> Tous les forums > Forum Sécurité
 Comment se défaire fenêtre "installation FreeSoftToDay" ?Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]
Octave33
  Posté le 03/02/2014 @ 23:46 
Aller en bas de la page 
Petit astucien

Bonjour à tous et en particulier aux membres de la task force Sécurité (de vrais héros au quotidien !!!)

Comme indiqué en titre, une fenêtre "Installation Mise à jour Free Soft To Day" revient régulièrement après le démarrage de Window, sans qu'il soit possible d'en interrompre le processus ( d'où, bien sûr, suspicion de ma part).

La parade, pour l'instant, est de tuer la tâche correspondante (par le gestionnaire des tâches) pour éviter des dégâts ultérieurs (lesquels d'ailleurs, quelqu'un le sait-il ?).

En effet, ce soft n'apparaît pas dans les listes de programmes (non désinstallable) et 2 passages successifs d' AdwCleaner en suppression n'ont pas permis de supprimer la menace.

Un membre éminent de l'équipe citée plus haut pourrait-il me piloter pour la désinfection (ZHPDiag ? OTL ? ou tutti quanti ?...)

En vous remerciant par avance

A +

Publicité
poussebois
 Posté le 04/02/2014 à 07:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour ,

Si tu veux une aide de la task force :

1. Tu lis attentivement l'aide au diagnostic d'un PC infecté (voir en bas dans ma signature).

2. Tu crées les 3 rapports demandés et tu les postes.

3. Tu attends qu'un membre du Groupe Sécurité te prenne en charge

@ +

nardino
 Posté le 04/02/2014 à 10:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Inutile donc de repasser AdwCleaner mais tu posteras le premier rapport de suppression avec ceux de MBAM et ZHPDiag.

Hébergé comme précisé.

@+

Octave33
 Posté le 04/02/2014 à 15:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Nardino

Merci de t’intéresser à mon cas

Fichier joint : AdwCleaner[S0].txt

Autres suivent



Modifié par Octave33 le 04/02/2014 15:31
Octave33
 Posté le 04/02/2014 à 15:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Octave33
 Posté le 04/02/2014 à 15:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Octave33
 Posté le 04/02/2014 à 15:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : AdwCleaner[S0].txt

nardino
 Posté le 08/02/2014 à 23:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir,

Lance ZHPFix par l'icône sur le bureau

image


Elle a été créée lors de l'installation de ZHPDiag.

image Clique sur Importer dans la fenêtre de l'outil et sur OK dans le message suivant

image*******image

image Tu copies le script suivant (dans l'encadré ci-dessous)

Code
Script ZHPFix
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\fst_fr_26
C:\Program Files\iSafe
C:\Program Files\fst_fr_26
C:\Documents and Settings\All Users\Application Data\WPM
C:\Documents and Settings\Compaq_Propriétaire\Application Data\iSafe
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\fst_fr_26
C:\WINDOWS\Prefetch\UPFST_FR_26.EXE-3004F917.pf
C:\Windows\Installer\298f24b.msi
[HKLM\Software\Classes\CLSID\{1a03f196-9617-4ca0-842b-a83ceecb022b}]
[HKCU\Software\Tutorials]
[HKLM\Software\Tutorials]
[HKLM\SOFTWARE\SOFTWARE\UPDATE\CLIENTS\{5B54E9B6-D6C4-11E0-8E9D-92FB4824019B}]
[HKCU\Software\AOLToolbar]
[HKLM\Software\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\38D5CDD0A851B3940A43CC50ABBA251C]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AAC05EAA51DC78A41A1DCE3B31038584]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:fst_fr_26
[HKLM\Software\supWPM]
EmptyFlash
EmptyTemp
EmptyCLSID



image Tu le colles dans la fenêtre de ZHPFixt comme ci-dessous, sans ligne vide au début, tu cliques sur GO pour le lancer.

image

Confirme la suppression par Oui dans l'avertissement qui s'affiche

image

Le résultat va s'afficher dans la fenêtre de l'outil et un rapport va s'ouvrir avec le bloc-notes.

image Tu envoies un copier-coller du rapport dans ta réponse, il est enregistré sur le bureau.

image

@+

Octave33
 Posté le 09/02/2014 à 08:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonne journée (encore bien humide ma foi )

Voici le rapport demandé. J'espère que ça ne gâchera pas ton Week-end.

Est-ce que je mets le sujet en résolu ?

@+

Rapport de ZHPFix 2014.1.17.2 par Nicolas Coolman, Update du 17/01/2014
Fichier d'export Registre :
Run by Compaq_Propriétaire at 09/02/2014 08:38:27
High Elevated Privileges : OK
Windows XP Home Edition Service Pack 3 (Build 2600)

Corbeille vidée (00mn 09s)

========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\WINDOWS\Prefetch\UPFST_FR_26.EXE-3004F917.pf

========== Clés du Registre ==========
SUPPRIMÉ: HKLM\Software\Classes\CLSID\{1a03f196-9617-4ca0-842b-a83ceecb022b}
SUPPRIMÉ: HKCU\Software\Tutorials
SUPPRIMÉ: HKLM\Software\Tutorials
SUPPRIMÉ: HKLM\SOFTWARE\SOFTWARE\UPDATE\CLIENTS\{5B54E9B6-D6C4-11E0-8E9D-92FB4824019B}
SUPPRIMÉ: HKCU\Software\AOLToolbar
SUPPRIMÉ: HKLM\Software\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
SUPPRIMÉ: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\38D5CDD0A851B3940A43CC50ABBA251C
SUPPRIMÉ: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AAC05EAA51DC78A41A1DCE3B31038584
SUPPRIMÉ: HKLM\Software\supWPM

========== Valeurs du Registre ==========
SUPPRIMÉ [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:fst_fr_26

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichiers ==========
SUPPRIMÉ: C:\Windows\Installer\298f24b.msi
SUPPRIMÉS Flash Cookies (1) (215 octets)
SUPPRIMÉS Temporaires Windows (503) (159 674 179 octets)


========== Récapitulatif ==========
1 : Processus mémoire
9 : Clés du Registre
1 : Valeurs du Registre
1 : Dossiers
3 : Fichiers


End of clean in 00mn 24s

========== Chemin de fichier rapport ==========
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ZHP\ZHPFix[R1].txt - 09/02/2014 08:38:36 [1665]



Modifié par Octave33 le 09/02/2014 08:49
Publicité
Octave33
 Posté le 09/02/2014 à 11:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

La fenêtre "parasite" est revenue ( dans les mêmes conditions que d'habitude, c'est à dire de temps en temps - indéterminé - non lié au démarrage de Windows).

Mais je n'avais pas relancé Windows après la désinfection.

Était-ce nécessaire pour que les modifs dans ZHPFix soient efficaces ? Sinon, ça veut dire que la bête s'accroche ?

Je relance mon Windows et je surveille.

@+

Octave33
 Posté le 09/02/2014 à 13:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai redémarré Windows. Et là, maintenant, la fenêtre parasite est revenue e.

Est-ce que je recommence les mêmes manips (AdwCleaner, MBAM, ZHPDiag ) ou y a - t' il autre chose à faire ?

Dans l'attente

@+

nardino
 Posté le 10/02/2014 à 22:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir,

Pour supprimer les modules complémentaires d'un navigateur, modifier la page d'accueil et choisir un moteur de recherche, procéder comme suit.

-Sous Internet Explorer

Cliquer sur la roue dentée en haut à droite et sur Gérer les modules complémentaires.
Dans Barre d'outils et extensions, désactiver ce qui est gênant.
Dans Moteurs de recherche, sélectionner celui souhaité et cliquer Par défaut en bas.
Sélectionner ensuite un à un les indésirables et cliquer sur Supprimer.
Sélectionner la page désirée comme page d'accueil, cliquer sur Ajouter un site à l'écran d'accueil dans la roue dentée .
Cliquer sur Ajouter dans le message qui s'ouvre.
Dans l'onglet Avancé cliquer sur le bouton Réinitialiser en cas de besoin.

-Sous Firefox

Cliquer sur les touches CTRL+Majuscules + A
Dans Extensions cliquer sur le bouton Désactiver ou Supprimer des entrées indésirables.
En haut dans la barre de recherche, cliquer sur la petite flèche après l'icône du moteur actif, à gauche.
Cliquer sur Gérer les moteurs de recherche et sélectionner un par un les indésirables, cliquer sur Supprimer.
Ouvrir la page souhaitée en accueil et cliquer sur Outils puis sur Options.
Dans l'onglet Général, Page d'accueil, cliquer sur Page courante.
Dans Aide, Informations de dépannage, cliquer sur Réinitialiser Firefox en cas de besoin.

-Sous Opéra

Cliquer sur l'icône en haut à gauche puis sur Réglages ou directement par Alt+P
Dans Navigateur, Rechercher, Gérer les moteurs de recherche, cliquer sur celui à supprimer et cliquer sur la croix à droite. Valider par OK.
Au démarrage, Ouvrir une page spécifique ou un ensemble de pages, Ensemble de pages et sélectionner celle à supprimer, cliquer sur la croix à droite et valider par OK
Pas de réinitialisation automatique.

-Sous Google Chrome

Cliquer droit sur les trois traits à droite de la barre de navigation.
Dans le menu, choisir Paramètres.
Dans Recherche, Gérer les moteurs de recherche, cliquer sur celui à supprimer et cliquer sur la croix à droite. Valider par OK.
Dans Au démarrage, Ouvrir une pas ou un ensemble de pages, cliquer sur Ensemble de pages et sélectionner celle à supprimer, cliquer sur la croix à droite et valider par OK.
Dans les paramètres avancés, en bas Cliquer sur Réinitialiser les paramètres du navigateur en cas de besoin.

@+

Octave33
 Posté le 10/02/2014 à 23:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour et encore merci de me suivre,

Je ne comprends pas le sens de ton dernier message et ton information sur la suppression de modules de navigateur, qui m'apparaît sans lien avec mon problème.

Quand je parlais de fenêtre "parasite", je faisais allusion à la fenêtre "Installation Mise à jour Free Soft To Day" qui revient régulièrement, même après la désinfection proposée et appliquée.

D'ailleurs, j'ai constaté que certaines lignes à supprimer dans ZHPFix (ex: C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\fst_fr_26 ) sont toujours là; d'où le retour de la fameuse fenêtre parasite ?

La désinfection était-elle incomplète ? mal exécutée ? Que dois-je faire maintenant ?

Recommencer la procédure (AdwCleaner, MBAM, ZHPDiag ) ? ou y a - t' il autre chose à faire ?

Milles excuses pour mon insistance.

@+

nardino
 Posté le 10/02/2014 à 23:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir,

image delfix sur ton bureau en cliquant sur Télécharger.
Il ne nécessite pas d'installation
Il va supprimer les outils utilisés pour cette désinfection.

image Clique sur le fichier delfix.exe pour lancer l'outil.

Icône du fichier
image


Clique sur le bouton Exécuter

Puis tu recommences la procédure : Aide au diagnostic d'un PC infecté

@+

Octave33
 Posté le 11/02/2014 à 00:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir,

Je relance tout ça et reposte quand tout est prêt

@+

Octave33
 Posté le 11/02/2014 à 01:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Octave33
 Posté le 11/02/2014 à 01:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : AdwCleaner[S0].txt

Publicité
Octave33
 Posté le 11/02/2014 à 01:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Octave33
 Posté le 11/02/2014 à 02:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonne nuit et à te lire bientôt

nardino
 Posté le 11/02/2014 à 09:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Lance ZHPFix par l'icône sur le bureau

image


Elle a été créée lors de l'installation de ZHPDiag.

image Clique sur Importer dans la fenêtre de l'outil et sur OK dans le message suivant

image*******image

image Tu copies le script suivant (dans l'encadré Code ci-dessous)

Code
Script ZHPFix
C:\Program Files\iSafe
C:\WINDOWS\Prefetch\UPFST_FR_26.EXE-3004F917.pf
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Sécurité\2014-02-03à09 Désinfection FreeSoftToDay
[HKLM\Software\Classes\CLSID\{1a03f196-9617-4ca0-842b-a83ceecb022b}]
[HKCU\Software\Tutorials]
[HKLM\Software\Tutorials]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:upfst_fr_26.exe
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\fst_fr_26
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Temp\Iminent
EmptyFlash
EmptyTemp
EmptyCLSID



image Tu le colles dans la fenêtre de ZHPFix comme ci-dessous, sans ligne vide au début, tu cliques sur GO pour le lancer.

image

Confirme la suppression par Oui dans l'avertissement qui s'affiche

image

Le résultat va s'afficher dans la fenêtre de l'outil et un rapport va s'ouvrir avec le bloc-notes.

image Tu envoies un copier-coller du rapport dans ta réponse, il est enregistré sur le bureau.

image

@+

Octave33
 Posté le 11/02/2014 à 11:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut

voici le rapport:

Rapport de ZHPFix 2014.2.3.1 par Nicolas Coolman, Update du 03/02/2014
Fichier d'export Registre :
Run by Compaq_Propriétaire at 11/02/2014 11:17:52
High Elevated Privileges : OK
Windows XP Home Edition Service Pack 3 (Build 2600)

Corbeille vidée (00mn 03s)

========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\WINDOWS\Prefetch\UPFST_FR_26.EXE-3004F917.pf

========== Clés du Registre ==========
SUPPRIMÉ: HKLM\Software\Classes\CLSID\{1a03f196-9617-4ca0-842b-a83ceecb022b}
SUPPRIMÉ: HKCU\Software\Tutorials
SUPPRIMÉ: HKLM\Software\Tutorials

========== Valeurs du Registre ==========
SUPPRIMÉ [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:upfst_fr_26.exe

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichiers ==========
SUPPRIMÉS Flash Cookies (1) (215 octets)
SUPPRIMÉS Temporaires Windows (125) (35 084 253 octets)


========== Récapitulatif ==========
1 : Processus mémoire
3 : Clés du Registre
1 : Valeurs du Registre
1 : Dossiers
2 : Fichiers


End of clean in 00mn 12s

========== Chemin de fichier rapport ==========
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ZHP\ZHPFix[R1].txt - 11/02/2014 11:17:56 [1131]

Je surveille l'évolution et te tiens au courant, en te remerciant encore de ton aide

@+

nardino
 Posté le 11/02/2014 à 11:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Ce truc a-t-il disparu ou bien faut-il pousser d'autres investigations ?

Si le problème est réglé tu passes à la phase finale.

Pour terminer, nous allons supprimer tout ce qui n'est plus nécessaire et qui nous a servi à mener à bien cette désinfection.


image TFC de OldTimer
Pour nettoyer certains fichiers temporaires.
Sous Vista et Windows 7, il faut être sous un compte administrateur

image Ferme toutes applications en sauvegardant le travail en cours sinon l'outil le fera.
image Clique sur l'icône en forme de poubelle et sur le bouton Start.
Quand le nettoyage sera terminé, clique sur le bouton Exit pour quitter l'outil.
Il peut être demandé de redémarrer pour terminer le nettoyage.

image delfix sur ton bureau en cliquant sur Télécharger.
Il ne nécessite pas d'installation et va supprimer les outils utilisés pour cette désinfection.

image Clique sur le fichier delfix.exe pour lancer l'outil.

Icône du fichier
image

image Coche la case Supprimer les outils
Puis clique sur le bouton Exécuter

image

image Passe la question en résolu
Clique surimage Marquer comme résolu en dessous du dernier message du topic.

Maintenant que nous avons remis le pc au clair, il serait judicieux de ne pas avoir à recommencer.

Je t'invite à lire les pages suivantes; clique dessus pour les ouvrir.


Conseils à lire

Bloquer les publicités inacceptables sur le Web

Barres d'outils (Toolbars)

Guerre des nettoyeurs et défragmenteurs du registre Windows

@+

Octave33
 Posté le 11/02/2014 à 14:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

Désolé, mais la désinfection semble avoir été incomplète puisque je viens d'avoir à nouveau la fenêtre "Installation Mise à jour Free Soft To Day".

J'ai remarqué que dans le rapport ZHPFix il y avait cette suppression:

========== Valeurs du Registre ==========
SUPPRIMÉ [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:upfst_fr_26.exe

Or, CCleaner me montre

La "bête" s'est donc réinstallée, comme le confirme les résultats d'une recherche:

et le contenu du dossier "Local Settings":

Il y a donc apparemment un "truc" qui reste tapi dans l'ombre à l'écart des correctifs de désinfection proposés.

Qu'en penses-tu ? Ces difficultés te paraissent-elles normales ? Que puis-je faire maintenant ?

A te lire

@+

Edit: je viens juste de voir ton message de 11h47



Modifié par Octave33 le 11/02/2014 14:38
Octave33
 Posté le 11/02/2014 à 14:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Tiens, la revoilà à nouveau, toute fraîche !!!!

nardino
 Posté le 11/02/2014 à 16:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Prends connaissance de ceci :

Tuto4Pc - eorezo

@+

Octave33
 Posté le 11/02/2014 à 19:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir,

Mon beau-frère (abonné à la NL de PCA) me dit qu'il avait déjà entendu parler de ce "Tuto4PC - eorazo" comme d'une bête à chagrin.

Ton lien ci-dessus renvoie sur une page qui peut induire en erreur un néophyte (comme moi sans l'assistance du beau-frère) qui ne lirait pas attentivement le titre (démo piège).

Penses-tu pouvoir trouver une solution pour éradiquer cette me ?

@+

Publicité
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
comment se débarrasser de la fenetre "donner une chance à chrome"
Comment faire disparaître cette fenêtre
Comment enlever cette fenêtre intrusive ?
comment suprimer les fenetre intempestif de pub
comment supprimer une fenetre pub intempestive ?
comment se debarassé de fenetre intempestives
re BHO, comment s'en défaire pour une semi-novice
comment supprimé cette fenetre - Résolu
Comment fermer une fenêtre "Alerte de virus" de No
Fenêtre qui se réduit toute seule
Plus de sujets relatifs à Comment se défaire fenêtre "installation FreeSoftToDay" ?
 > Tous les forums > Forum Sécurité