Virus et mise à jour Windows impossible

[lenou33]

Salut,

Je vais essayer de faire bref.
Je suis intervenue sur la tablette d'une dame squattée par un pré-ado qui a téléchargé des jeux et des tas de trucs en de multiples exemplaires,
qu'il a installés + ou - n'importe comment (certains sur le bureau) et qu'il a cru avoir désisntallés en supprimant un dossier ou ... un raccourci !

Symptômes de départ :
- presque plus d'espace disponible => fichiers temporaires supprimés de façon intempestive
- tablette très ralentie redémarrant sans arrêt avec :
. message de Windows signalant "Votre ordinateur a un problème et doit redémarrer. Nous collectons des informations relatives aux erreurs ..."
. au démarrage des messages signalant une erreur de Javascript ne trouvant pas le module Discord,
une exception logicielle dans SegurazoClient.exe, un problème de pilote d'affichage ...

1ère intervention :
- ménage et regroupage des fichiers du gamin sur une clé Usb puis désintallation de ses jeux et mods,
- historique de Windows defender : alerte signalant mise à jour de Windows defender incomplète puis menace grave détectée : VirTool:Win32/DefenderTamperingRestore
- scan approfondi : néant
- désinstallation de 2 versions de Java, de FSecure, Segurazo, de plusieurs barres de navigation, puis nettoyage et redémarrage,
- nouveau scan approfondi (anti-virus + outil KB de Windows), redémarrage ...
- du mieux mais un nouveau logiciel est apparu dans le menu Démarrer avec des caractères asiatiques ...
=> nouveau scan signalant mise à jour de Windows defender incomplète puis une menace grave détectée : BrowserModifier:Win32/Istuni
- j'ai désinstallé le logiciel suspect et suivi les préconisations de Defender et du navigateur,
- ensuite j'ai viré toutes les fichiers "Discord" et entrées "Discord " dans la base des registres que j'ai pu trouver,
puis scanné, redmarré et scanné à nouveau,
- problème de menace réglé (du moins temporairement)
- problème de saturation du DD : des fichiers utilisateurs un peu partout avec pas mal de doublons, en particulier des photos
dans les dossiers Images, OneDrive, iCloud et iTunes qui cherchaient à se synchroniser : j'ai montré comment repérer les doublons
et donné des conseils d'utilisation et d'organisation des fichiers.
J'ai dû partir en laissant le problème mise à jour de Windows (dont Windows Defender) en échec.

2ème intervention (pour contrôle) :
Constat :
- 50 Go de libérés avec fichiers mieux organisés et photos et videos sur une clé usb avec copie synchronisée sur le cloud),
- mise à jour de Windows toujours en échec,
Avant que je dise ouf le gamin a réinstallé Discord et de nouveau un virus est apparu et j'ai passé 1 bonne heure à tout remettre clean
Une fois clean :
- scan avec Malwarebytes Anti-Malware (MBAM): 359 adwares de type "Pup" : mise en quarantaine,
- redémarrage puis scans avec anti-virus + outil KB de Windows : clean en apparence,
- scan avec FRST.

Pas mal de problèmes conjugués, donc je fais appel à vous pour un diagnostic plus poussé au cas où la tablette soit toujours infectée et régler le problème de mise à jour de Windows (dont Windows Defender).

FRST : https://pjjoint.malekal.com/files.php?i ... 6q5v6i5s14
Addition : https://pjjoint.malekal.com/files.php?i ... o9d13q8j12

Désolée pour la longueur ...

[Malekal_morte]

Tu t'es fait avoir par un installer InstallCore, une plateforme de PUP (programmes potentiellement indésirables) qui est proposé sur des sites de téléchargement ou à travers de fausses mises à jour Java, Flash.
Cela propose d'installer Chromium pour forcer Yahoo!, ByteFence, Segurazo Avast!, McAfee Security Advisor ou McAfee LiveSafe.
Pour ne plus te faire avoir à lire : PUPs InstallCore

Sinon ça semble correct.

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

CCleaner
iCloud

PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : [https://www.malekal.com/supprimer-cclea ... e-windows/]
Pense aussi à désactiver la télémétrie. Elles remontent des informations aux serveurs Avast!

~~

A supprimer :
C:\Users\annel\AppData\Local\chromium
C:\Program Files (x86)\Chromium
C:\ProgramData\{07DD3BE1-2FF5-4399-77AD-6BB19F45B369}

[lenou33]

Un grand merci

C'est la tablette des mères des enfants que je garde les mercredis soirs, je vais voir ça demain et je te tiens au courant du résultat.
Cccleaner c'est moi qui l'ai installé pour faire du nettoyage, repérer les doublons et les fichiers volumineux. Il me semblait l'avoir désactivé au démarrage, je vais vérifier.

Et pour la mise à jour de Windows impossible ?
Demain je vais noter le message d'erreur et je le posterai jeudi.

Bonne journée et encore merci !

PS : pour éviter une réinfection je vais faire lire la page sur InstallCore mais le gamin a 11 ans, c'est dur de lui faire comprendre les risques à faire n'importe quoi … je milite plutôt pour qu'il ait sa propre tablette et subisse les conséquences de ses erreurs, ce sera plus efficace ;)

[Malekal_morte]

Pour la mise à jour de Windows 10 qui plante.
Tente avec MediaCreation tool.


Installe la mise à jour Windows 1909 manuellement avec l'assistant de mise à jour ou Media Creation tool.
Suis ces tutos pas à pas :Télécharger et installer la mise à jour Windows 10 1909