Une infection pokki?

[jhc019]

Bonjour, cela fait un bon moment que j'étais tranquille tout en gardant d'excellents souvenir de l'aide qui m'a été apporté par ce site. Je suis passé de l'ordi du bureau au portable et de Windows XP à Windows 10.
En voulant regarder le fichier Temp dans Users\Mon nom\Appdata\local j'ai eu l désagréable surprise de voir deux nouveaux "utilisateurs" qui n'existaient pas auparavant - TEMP et TEMP.MON ORDI. Par ailleurs j'ai trouvé sous mon profil pas mal de fichier LOG de AppExplorer qui m'ont appris que mon dossier Host App Service a été modifié et que le nouvel Engine a été installé.

Tout cela me fait penser à une infection et j'ai besoin de votre aide pour la virer. J'ai effacé le fichier .exe qui a servi d'installateur et qui se trouvait également dans le TEMP mais il y a sans douta autre chose à faire pou l'éradiquer complètement et surtout pour retrouver le système comme avant. J'imagine que le fichier Hosts a été aussi remplacé.

Mercu beaucoup d'avance de votre aide.

[Malekal_morte]

Salut,

Ce sont ds programmes inclus par défaut dans les PC Lenovo.
Tu peux les désinstaller.

Sinon,


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[jhc019]

Merci de votre réponse rapide Malekal_morte et ravi de voir que vous êtes toujours de service :-).

En effet j'ai un ordi Lenovo sauf qu'auparavant ces dossiers TEMP et TEMP.MON ORDI n'existaient pas dans le dossier USERS, c'est ça qui m'embête... En plus mon fils a exactement le même modèle et il n'a pas tout ça. Par ailleurs Pokki n'est pas listé dans les applications mais bien présente dans les Temp. D'ailleurs si c'était une appli légitime pourquoi serait-il présente dans les Temp et non pas dans les Programmes....

Je vais faire le FRST et je vous poste les liens. Je constate avec la nostalgie que les OTL, TFC, Avenger et autres super outils d'antan ne sont plus de mlise (((

[jhc019]

Voici le liens des rapports FRST. Vous verrez dans Additional que App Explorer est bien listé avec un marqueur Attention
https://pjjoint.malekal.com/files.php?i ... 1r11w7l9n7
https://pjjoint.malekal.com/files.php?i ... v15l15e5n8
https://pjjoint.malekal.com/files.php?i ... 8z13r13z13

Merci encore!

[Malekal_morte]

Le scan FRST est incomplet.
Mais tu peux désinsstaller tout ça :

App Explorer
Avast Antivirus Gratuit
Avast Secure Browser
Avast Update Helper
CCleaner
CyberLink
Java

Laisse Windows Defender comme antivirus, plus léger et moins pénible.
CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : [https://www.malekal.com/supprimer-cclea ... e-windows/]
Pense aussi à désactiver l'envoie de données dans les options de CCleaner. Elles remontent des informations aux serveurs Avast!

[jhc019]

Bonsoir Malekal_morte, merci de votre réponse, j'ai désinstallé App Explorer, qui est à l'origine de mes soucis. Avast n'est pas un problème comme Ccleaner et CyberLink qui ne sont peut-être pas utile mais qui ne sont pas des "méchants". Java m'est nécessaire pour certaines applis qui tournent sur ça.

Tout cela ne me dit pas comment résoudre mon problème et retrouver le dossier USERS sans sous-dossier TEMP et Temp.MON ORDI...

Je vais refaire le scan FRST et je vous réposte le lien, je suis étonné que les scans soient incomplets.

[jhc019]

Voici les rapports en espérant qu'ils soient complets:
https://pjjoint.malekal.com/files.php?i ... h11r14f6g5
https://pjjoint.malekal.com/files.php?i ... 0d11o78r14
https://pjjoint.malekal.com/files.php?i ... q14d12x5w8

Merci de m'aider à virer les restes de App Explorer/pokki et retrouver mon fichier Hosts d'origine ainsi que me débarrasser des utilisateurs TEMP et TEMP.[le nom de mon ordi]

[Malekal_morte]

Y a rien d'anormal sur les rapports.
Pas de pokki.

Ton fichier HOSTS, il a une entrée erronée :

Hosts: 127.0.0.0.1 https://api.appexnw.com

Le https:// n'est pas censé être là.

[jhc019]

Pour l'entrée dans Hosts c'est moi qui l'ai mis la dedans pour éviter la connexion de updater à ce site.

J'ai un fichier 4efc125e5bdfe64bf86cc73a85a9d56ebf10231c.pokki dans Users\TEMP.MON ORDI\AppData\Local\HostAppService\Apps
Et dans un autre sous-dossier Engine plein de fichiers de Pokki et SweetLabs. Est-ce que vous pensez quu je peux tout simplement supprimer les deux "utilisateurs" TEMP et TEMP.MON ORDI?

[Malekal_morte]

\Users\TEMP.MON ORDI\AppData\Local\HostAppService tu peux le supprimer
Mais bon \ Users\TEMP.MON ORDI ce n'est pas ton utiliser.

[jhc019]

J'ai supprimé (dans la corbeille en attendant de voir) les deux utilisateurs TEMP et TEMP.[le nom de mon ordi], je verrai s'il y a un problème ou pas.D'après votre site les profils TEMP sont crées en cas de problème d'accès sur le compte principal or je n'ai pas eu ça. C'est bizarre mais bon.

Merci de vous être penché sur mon cas,je vous tiens au courant si jamais j'ai un problème

[Malekal_morte]

Touche à rien et laisse comme cela.
Pokki n'est pas actif.