Bonsoir,

Je viens vers vous concernant le PC de mon papa.

Il m'a demandé d'y regarder car il a plusieurs fenêtres qui s'ouvrent intempestivement.

J'ai passé Malwarebytes, voici le rapport : Rapport Malwarebytes

Voici le Rapport ZHPDiag

Voici le Rapport FRST

Voici le Rapport Shortcut

Voici le Rapport Addition

Par avance, merci pour votre aide.

Cordialement.

David

davcar14

Pouvez vous refaire un scan avec ZHPDiag en cochant toutes les options

***

Bonsoir El magnifico,

Merci pour la rapidité de la réponse.

Voici le Rapport ZhpDiag

Réponses aux questions:

* Pas de sauvegarde récente

* L'antivirus c'est Avira

* Pas de modification du fichier Hosts

* Pas d'utilisation de Yahoo

Bonsoir El Magnifico,

Tout d'abord, je t'informe que je ne peux intervenir sur le PC qu'en soirée et comme je suis à distance, j'utilise TeamViewer.

Alors, j'ai supprimé: Avira, Mozilla Maintenance Service, WildTangent Games et ZebHelpProcess 2016.

Voici les rapports :

ZhpFix

ZhpDiag

ZhpCleaner

AdwCleaner

Bonne lecture et merci pour ton aide.

Bonne nuit et à demain.

David

Bonjour

Parfait, mais Avira est toujours installé, utilisez ce logiciel: https://www.avira.com/fr/download/product/avira-registry-cleaner

******************

On poursuit:

ROGUEKILLER en scan

Téléchargez Roguekiller sur le bureau ICI

Quittez absolument tous tes travaux en cours et fermez toutes les applications

Démo animée Cliquez ICI

• Lancez Roguekiller ( clique droit exécuter comme administrateur )

Modifiez le démarrage

• Lancez l'exécution de RogueKiller en cliquant sur

Scanner

Dans la fenêtre qui s'ouvre, dans la colonne "Scan standard" cliquez sur Démarrer

Le scan se déroule, patientez !

A la fin du scan, cliquez sur Résultats puis sur Rapport cochez devant "Seulement Malicieux" puis sur "Exporter" et enfin sur Fichier Texte

Dans la fenêtre qui s'ouvre, choisissez le lieu du dépot du rapport,( Bureau ou Documents) taper le nom du fichier ( exemple : Rapport Roguekiller Scan" ) puis "Enregistrer"

Postez le avec l' aide de CJOINT (diffusion: privée, durée: 21 jours)

CJOINT donne un lien internet à poster dans votre réponse.

*************************

ROGUEKILLER en Nettoyage

Démo animée Cliquez ICI



Cliquez sur Résultats, puis sur Suppression

Cliquez sur Resultats, puis sur Rapport

Cliquez sur Exporter, puis sur Fichier texte,

Choisir le lieu du dépot (Bureau ou Documents), taper le Nom du fichier ( par exemple: Roguekiller Nettoyage), puis Enregistrer

Vous retrouverez ce fichier à cet endroit.

Postez le avec l' aide de CJOINT (diffusion: privée, durée: 21 jours)

.

****************************************************************************************************


Malwarebytes (MBAM)

• Téléchargez Malwarebytes ICI

• Procèdez à l'installation de celui çi, quand vous voyez cette fenetre cliquez sur lacroix.



• Désactiver l'essai Premium, cliquez sur l'onglet Paramètres, puis sur Informations sur le compte et ensuite cliquez sur Désactiver l'essai Premium




• Une autre fenêtre s'ouvre en bas à droite, cochez devantJe n' ai pas besoin de la protection en temps réel et cliquez sur OK




• Cliquez sur l'onglet Paramètres puis sur l'onglet Protection, il faut que les trois cases Rechercher les rookits , et , Analyser les archives ,et, Utiliser la detection......, soient activées

• Sélectionnez Analyse des menaces

• Cliquez sur Lancer l'analyse

• Une fois le scan terminé, si des menaces ont été trouvées, cliquez sur Quarantaine

• Le rapport est disponible dans l'onglet Comptes-rendus.

• Cochez la case en face de Compte rendu d'analyse

• Cliquez sur Afficher le compte rendu

• Une autre fenêtre s'ouvre cliquez sur Exporter puis sur Fichier texte

• Enregistrez le rapport sur le bureau, héberge le sur Cjoint ici (diffusion : Privée et durée : 21 jours) et postez le lien fourni



****************************************************************************************************

Téléchargez Junkware Removal Tool et enregistrez le sur votre Bureau =>. (Bouton vert de gauche)(bleepingComputer)

C' est un outil qui vous aide à supprimer les logiciels et toolbars indésirables comme Ask, Babylon, iLivid, MyWebSearch et bien d'autres....

Quittez tous les programmes ouverts et pensez à sauvegarder vos travaux en cours !

L'outil de suppression va maintenant commencer son travail, appuyez sur une touche de votre clavier pour confirmer cette action.

Soyez patient(e) car les processus peuvent prendre un certain temps en fonction des spécifications de votre système.

Si votre bureau disparaît provisoirement lors du travail de l'outil, pas de panique , c'est normal !

Junkware Removal Tool fait un nettoyage automatique et crée un point de restauration .

Lorsque le nettoyage est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, une copie se trouve aussi à proximité de Junkware Removal Tool.

Poster le rapport avec l’aide de Cjoint ou TextUp

***************************************************************************************************

Pour un dernier diagnostic et correctif

Refaire un scan avec ZHPDiag, postez le rapport

Ouvrez FRST, cochez toutes les cases, cliquez sur Analyser, postez les 3 Rapports
.

***************************************************************************************************

Bonsoir El Magnifico,

Je suis désolé pour le délai mais j'ai raté mon papa mardi soir et je n'étais pas chez moi hier soir.

Je m'y remets .

A tout à l'heure.

Cordialement.

David

Bonsoir

Ad t' aleur

.

Bonsoir,

J'ai utilisé l'utilitaire pour Avira mais il m'a demandé de rédemarrer en mode sans echec pour terminer et je n'ai pas reussi à le faire.

Voici les rapports

Roguekiller

MBAM

JRT

ZHPDIAG

FRST

Shortcut

Addition

Bon courage pour toutes ces lectures

A bientot

David

Bonjour

Voici un correctif avec FRST

Le correctif va etre un peu plus long du fait que j' ai introduit une réparation des fichiers Windows éventuellement corrompus, pas de stress , possible écran noir, laissez travailler l' outil , attendre l' apparition du rapport sur le bureau. La machine va rebooter d' elle même. Patience.

Ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur, si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls


ENREGISTREMENT du script FixList pour correction.

Copiez tout ceci dans le Presse papier, surlignez toutes les lignes puis un clic droit / copier, et c'est tout ! ( commence par start:: et fini par end::)



start::
CreateRestorePoint:
CloseProcesses:
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\010
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\034
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\042
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\050
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\051
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\054
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\055
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\072
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\073
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\074
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\File System\075
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AntiVirMailService
C:\Program Files (x86)\Avira\Antivirus\avmailc7.exe
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AntiVirSchedulerService
C:\Program Files (x86)\Avira\Antivirus\sched.exe
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AntiVirService
C:\Program Files (x86)\Avira\Antivirus\avguard.exe
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AntiVirWebService
C:\Program Files (x86)\Avira\Antivirus\avwebg7.exe
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Avira.ServiceHost
C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{58A4B742-5DAB-4377-805F-82C4F78E9C6F
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{58A4B742-5DAB-4377-805F-82C4F78E9C6F
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{58A4B742-5DAB-4377-805F-82C4F78E9C6F
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Maintenance\{58A4B742-5DAB-4377-805F-82C4F78E9C6F
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{58A4B742-5DAB-4377-805F-82C4F78E9C6F
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{58A4B742-5DAB-4377-805F-82C4F78E9C6F
C:\Windows\System32\Tasks\Avira_Antivirus_Systray
C:\Program Files (x86)\Avira\Antivirus\avgnt.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Avira SystrayStartTrigger
C:\Program Files (x86)\Avira\Launcher\Avira.SystrayStartTrigger.exe
C:\Program Files (x86)\Avira\Antivirus\avshadow.exe
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccbpbkebodcjkknkfkpmfeciinhidaeh
C:\Users\CARTON FRANCIS\AppData\Local\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk
C:\Users\Public\Desktop\Avira.lnk
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{18787388-9263-47A6-B954-41BDE0B90959}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2884d9b5-2fed-48df-b0e0-fe229e7eb781}
DeleteKey: HKLM\SOFTWARE\Avira
DeleteKey: HKLM\SOFTWARE\X-AVCSD
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Avira
DeleteKey: HKLM\SOFTWARE\WOW6432Node\X-AVCSD
DeleteKey: HKCU\SOFTWARE\Avira
DeleteKey: HKU\.DEFAULT\SOFTWARE\Avira
DeleteKey: HKU\S-1-5-21-3207925316-451008923-1216650643-1001\SOFTWARE\Avira
C:\Program Files (x86)\Avira
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
C:\ProgramData\Avira
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\Shell Extension for Malware scanning
DeleteKey: HKLM\Software\Classes\CLSID\{45AC2688-0253-4ED8-97DE-B5370FA7D48A}
C:\Program Files (x86)\Avira\Antivirus\shlext64.dll
DeleteKey: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\Shell Extension for Malware scanning
DeleteKey: HKLM\Software\Classes\CLSID\{45AC2688-0253-4ED8-97DE-B5370FA7D48A}
unlock: C:\WINDOWS\System32\drivers\avdevprot.sys
C:\WINDOWS\System32\drivers\avdevprot.sys
unlock: C:\WINDOWS\System32\drivers\avgntflt.sys
C:\WINDOWS\System32\drivers\avgntflt.sys
unlock: C:\WINDOWS\System32\drivers\avipbb.sys
C:\WINDOWS\System32\drivers\avipbb.sys
unlock: C:\WINDOWS\System32\drivers\avkmgr.sys
C:\WINDOWS\System32\drivers\avkmgr.sys
unlock: C:\WINDOWS\System32\drivers\avnetflt.sys
C:\WINDOWS\System32\drivers\avnetflt.sys
unlock: C:\WINDOWS\System32\drivers\avusbflt.sys
C:\WINDOWS\System32\drivers\avusbflt.sys
DeleteKey: HKLM\Software\Classes\Installer\Products\8837878136296A749B4514DB0E9B9095
DeleteKey: HKLM\Software\Classes\Installer\Features\8837878136296A749B4514DB0E9B9095
DeleteKey: HKCU\Software\Microsoft\Installer\Products\8837878136296A749B4514DB0E9B9095
DeleteKey: HKCU\Software\Microsoft\Installer\Features\8837878136296A749B4514DB0E9B9095
C:\WINDOWS\Installer\3b30a.msi
DeleteKey: HKLM\SOFTWARE\WildTangent
DeleteKey: HKLM\SOFTWARE\WOW6432Node\WildTangent
C:\ProgramData\WildTangent
C:\Users\CARTON FRANCIS\AppData\Roaming\WildTangent
DeleteKey: HKCU\SOFTWARE\yahooinstall
DeleteKey: HKU\S-1-5-21-3207925316-451008923-1216650643-1001\SOFTWARE\yahooinstall
DeleteValue: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_DISABLE_UNICODE_HANDLE_CLOSING_CALLBACK|YahooMusicEngine.exe
DeleteKey: HKCU\SOFTWARE\DropboxUpdate
DeleteKey: HKU\S-1-5-21-3207925316-451008923-1216650643-1001\SOFTWARE\DropboxUpdate
C:\Users\CARTON FRANCIS\AppData\Roaming\DropboxOEM
C:\Users\CARTON FRANCIS\AppData\Local\DropboxOEM
DeleteKey: HKCU\SOFTWARE\ZebHelpProcess Helper
DeleteKey: HKU\S-1-5-21-3207925316-451008923-1216650643-1001\SOFTWARE\ZebHelpProcess Helper
C:\Program Files (x86)\Common Files\AWS 21/11/2016 -
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HKLM\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
Task: {107EB863-FD01-4A03-A6B0-2F119EC05CAA} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
C:\Users\CARTON FRANCIS\Desktop\Track01.cda - Raccourci.lnk
C:\Users\CARTON FRANCIS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7634a48803fa655b\ASUS GIFTBOX.lnk
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
Reboot:
Hosts:
EmptyTemp:
RemoveProxy:
cmd: ipconfig /flushdns
cmd: netsh winsock reset
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
end::


Maintenant lancez FRST.exe avec un clic droit dessus, puis sur "Executer en tant qu' administrateur"

Que les cases soient cochées ou non, cela n'a pas d'importance !

Collez le correctif, en plaçant le curseur dans la fenetre blanche rectangulaire, puis clic droit/ coller

Cliquez sur puis validez le Disclaimer par "Ok"



Laissez le travailler, cela peut durer un certain temps.

La machine doit redemarrer seule.

Postez le rapport Fixlog.txt quand celui ci est disponible.

Il se termine de cette manière => ==== Fin de Fixlog 15:59:05 ====



.........................

Comment se comporte la machine ?
Si c' est correct , on finalise au prochain passage

***************************************************************************************************

Bonsoir El Magnifico,

Rapport Fixlog

Le Pc est plus rapide mais les fausses alertes sont toujours présentes.

Cordialement.

David

davcar14

Avira n' est pas complétement désinstallé.

Quelles sont ces fausses alertes ? si vous pouvez poster une capture d' écran.

Bonsoir El Magnifico

Voici les captures d'écran

Capture

Capture 1

Merci.

David

Bonsoir davcar14

REINITIALISER LES NAVIGATEURS

· Télécharger Reset Browser dans Bureau et pas ailleurs ICI !

· Pour Windows 7 et 8 clic droit sur ResetBrowser.exe choisir" Exécuter en tant qu'administrateur"

· Cliquer sur Réinialisation des DNS puis sur Obtenir les DNS automatiquement

· Cliquer ensuite sur Réinitialiser Chrome

· Cliquer ensuite sur Réinitialiser Internet explorer

· Cliquer enfin sur Réinitialiser Firefox

· Les opérations suivantes seront effectuées :

Redémarrez la machine.

Bonsoir El Magnifico,

Le souci des notifications a l'air d'être résolu.

Il doit rester je pense le souci de la désinstallation d'avira.

David

Normalement Avira a été eradiqué au redemarrage du PC suite à mon correctif du Posté le 23/11/2018 à 11:34 .

Refaire un scan avec ZHPDiag , pour verif

El Magnifico,

Voici le rapport

davcar14

Avira n' a pas été désinstallé correctement.

Vous allez le réinstaller,

puis le supprimer avec leur logiciel ( si vous pouvez en mode sans echec)

Logiciel=> https://www.avira.com/fr/download/product/avira-registry-cleaner

Puis refaire un scan avec ZHPDiag pour verif. Désolé pour toutes ces manips, mais c'est une plaie pour le supprimer.

Bonsoir El Magnifico,

Je suis désolé de ne pas être venu plus tôt mais je n'arrive pas à gérer le mode sans échec à distance avec teamviewer.

De plus, mon papa est parti de chez lui pour plusieurs jours mais je vais y aller pour le week end du 15/12. J'essaierai là-bas sur place.

Je te tiens au courant.

bon courage.

A bientôt.

David

Hello

Tu peux supprimer le sujet de rappel

Et poursuivre ici.

Merci El Magnifico,

Du coup j'ai reinstallé Avira puis je l'ai désinstallé et j'ai passé l'utilitaire de suppression des clés de registre en mode sans échec.

Veux-tu que je refasse un rapport Zhpdiag ?

Merci.

David

Bonjour

Désolé pour le verrouillage, fait machinalement

Du coup avec ce temps qui passe , je ne sais plus très bien où nous en étions.

Refaites un ZHPDiag, vous me direz ce qu'il se passe comme soucis sur la machine.

Voici le Rapport ZHPDiag

ZHPFix (de Nicolas Coolman)

1) INSTALLATION de ZHPFix

Téléchargez ZHPFix sur le bureau , puis cliquez sur le (bouton bleu) "Download Now"et télécharger le sur votre Bureau et pas ailleurs !. (Enregistrer sous=> bureau) Téléchargement de secours : Blog US ou ICI

2) ENREGISTREMENT du scriptZHPfix pour correctif.

• Avec ce correctif nous allons effectuer un premier nettoyage



=> Surlignez toutes les lignes bleues ce qui se trouvent sous "Citation", ( commence par Script ZHPFix et fini par Fin) puis clic droit / Copier

Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager

…………………………………

3) EXECUTION du Nettoyage

Lancez ZHPFix ( clic droit en tant qu’ administrateur )

Cliquez sur le bouton

Le script apparait dans la fenetre

Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton ci dessous

Cliquez sur le balai pour démarrer le correctif



Si en cours de traitement une fenetre apparait avec une demande d' accord de redémarrer la machine, cliquez sur OUI.
Il y aura un écran noir pendant un certain temps , pas de stress!!



.
Si aprés l' affichage du rapport sur le bureau la machine reste bloquée, fermez la fenetre du rapport.
Malgré celà, si la machine reste bloquée procedez à un redémarrage.

……………………………………………

4) HEBERGEZ le rapport ZHPFix.txt qui se trouve sur le bureau et communiquez le lien de l' hebergeur dans la prochaine réponse.


Le rapport ZHPFix.txt se trouve sur le bureau.
A defaut, Touches Windows + R Copier/>Coller dans la fenetre %AppData% /ZHP puis OK. dans la fentre explorateur cliquez sur ZHP

• Postez le rapport avec l’aide de Cjoint ou TextUp

• Refaire un scan avec ZHPDiag, postez le rapport

*****************************

Comment tourne la machine ?



A vous lire

A priori le PC se comporte normalement.

Voici le rapport ZHPFIX

Rapport ZHPDIAG

Merci.

David.

Ok

Pouvez vous refaire un scan avec FRST tout cocher , postez les 3 rapports, merci.