Bonjour,

une responsable d'une collectivité m'a officiellement (avec accord du dirigeant) remis un fichier pdf sur une clé USB neuve que je lui ai remise. Elle a donc branché la clé pour la 1er fois sur son PC. Lors du branchement sur mon PC fixe (Win XP) l'installation du pilote de ce nouveau périphérique mouline puis une fenêtre pop-up d'avertissement s'ouvre : . L'emballage de la clé mentionnait pourtant bien sa compatibilité avec mes versions de Windows

Le logiciel que vous êtres en train d'installer pour ce matériel :

périphérique de stockage de masse USB

n'a pas été validé lors du test permettant d'obtenir le logo

Windows et vérifiant sa compatibilité avec Windows XP. ...

Bon je laisse tomber et clique sur "Arrêter l'installation".

Je branche la clé USB sur mon pc portable (Win 7) et là tout se déroule normalement, j'accède au pdf et peux le lire...

Par contre des soucis apparaissent sur mon PC fixe. AVG est perturbé.

Pire les points de restauration du système d'avant l'installation de la clé ont disparus, ainsi que ceux des 4 jours suivants (à moins que ce soit le fait d'une taille insuffisante de la mémoire du pc ?)

SpyBot a permis de repérer 2 Malwares que j'ai éliminé :

Sur mon PC tour, AVG ne veut plus se mettre à jour et affiche des écrans inquiétants :

Impossible de mettre à jour AVG, de restaurer, ni de le réinstaller après l'avoir désinstallé !

Je décide de prendre le risque de cliquer sur "Continuer",

la même fenêtre pop-up beige s'affiche, j'insiste puis apparait une nouvelle fenêtre mentionnant le nom du logiciel ActivityMonitor

Une recherche permet de trouver le descriptif suivant, qui correspond bien à ce qui est un logiciel de flicage !

Activity Monitor est un système permettant de contrôler les activités des utilisateurs d'un PC à travers le réseau. En utilisant Activity Monitor, vous serez toujours informé de ce que font les autres utilisateurs. Vous pouvez contrôler vos employés, vos étudiants, etc. Ce programme n'inclut pas les possibilités d'une influence destructrice d'un ordinateur à distance.

Page détaillée du fournisseur vantant les possibilités du logiciel : http://www.softactivity.com/fr/

Mes questions

- Comment procéder pour remettre mon pc ou mes pc en état ?

- Comment peut-on déceler la présence de ce spyware ? Est-ce possible via le Gestionnaire des tâches ?

- La clé est-elle toujours virulente ? Comment le vérifier et la nettoyer ?

- Ne faisant pas partie du réseau de cette collectivité, mais par contre d'autres réseaux (domicile, boulot) est-ce que je risquait tout de même d'être espionné par cette collectivité ?

Merci d'avoir pris la peine de lire ce post, mais qui pourra certainement servir à d'autres !

Salut, Ensuite faire le scan de base de ma signature et me donner les 3 logs.

Ici on commence par les 3 logs et ensuite regarde vers où on va.

lavoie a écrit :

Se forum est ouvert à tous, chacun est libre d' avoir sa méthode de travail , tu te prend pour qui pour te permettre de dire aux autres se qu'ils doivent faire ...

Bonsoir,

certes ce forum est ouvert à tous..... pour autant il n'est pas question d'y donner des solutions incomplètes.

G225 propose la base de ce qui doit être fait ici Et LUI n'est pas agressif.

Je conseille à Phorcys de faire ce que lui demande G225 qui lui sait ce qu'il fait.

Bonjour, Merci à vous 3 pour vos réponses.

A Lavoie : 32 bits. Quelle différence et intéret y a-t-il à voilouir encore une fois désinstaller AVG via "avg_remouver". J'avais pu le faire - peut-être imprfaitement" via "avg-antivirus-free-edition_2015_fr_10997_32.exe" ? Certes lors de la tentative de réinstallation le n0 de licence free était encore en mémoire.

A G225 :

Malwarebytes n'a rien décelé.

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 18/01/2015
Heure de l'examen: 11:08:45
Fichier journal: MBAM.txt
Administrateur: Oui

Version: 2.00.4.1028
Base de données Malveillants: v2015.01.18.05
Base de données Rootkits: v2015.01.14.01
Licence: Gratuit
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Auto-protection: Désactivé(e)

Système d'exploitation: Windows XP Service Pack 3
Processeur: x86
Système de fichiers: NTFS
Utilisateur: Utilisateur

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 472462
Temps écoulé: 21 min, 16 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristique: Activé(e)
PUP: Avertir
PUM: Activé(e)

Processus: 0
(Aucun élément malicieux detecté)

Modules: 0
(Aucun élément malicieux detecté)

Clés du Registre: 0
(Aucun élément malicieux detecté)

Valeurs du Registre: 0
(Aucun élément malicieux detecté)

Données du Registre: 0
(Aucun élément malicieux detecté)

Dossiers: 0
(Aucun élément malicieux detecté)

Fichiers: 0
(Aucun élément malicieux detecté)

Secteurs physiques: 0
(Aucun élément malicieux detecté)


(end)

Bon je vais poursuivre avec les 2 autres examens.

Fichier joint : AdwCleaner[R0].txt_TOURNEC_2015_01_19_0758.txt

Fichier joint : MBAM.txt

Fichier joint : ZHPDiag.txt

Vous avez seulement 1 gig soit 3% de libre sur votre disque dur. Pour que cela fonctionne correctement, vous devez avoir 15%...

Désinstaller Spybot en premier et Auslogics Bootspeed pour faire de l'espace.

--

Ouvrir le lien suivant avec Internet Explorer: http://g225.mvps.org/securite/phorcys.txt

Vous copier les lignes dans le fichier ci-haut en les sélectionnant tous avec la souris.

Ensuite ouvrir ZHPFIX

1. Fermer toutes les applications ouvertes. Il se peut que logiciel ferme et ouvre de nouveau selon la configuration de l'UAC (Windows Vista et supérieur).

- Cliquer sur le bouton Importer.
- Cliquer sur le bouton "GO".

2. Le rapport ZHPFixReport.txt s'affiche automatiquement sur le bureau et le mettre sur le forum dans votre prochaine réponse.

--

Téléchargement de Junkware Removal Tool
http://thisisudax.org/downloads/JRT.exe
et mettre le fichier sur le Bureau.
Faire bouton droit "Exécuter en tant qu'administrateur" sur le fichier JRT.exe.
Appuyer sur une touche pour continuer
L'outil sauvegarde le Registre avec Erunt ensuite analyse le système.
À la fin du scan, un rapport JRT.txt s'ouvre.
Pour me copier/coller les log dans le "Bloc note" vous allez dans le menu Édition et cliquer sur "Sélectionner tout" et retourner dans "Édition" et cliquer sur "copier"
Sur le forum, faire un clic droit et cliquer sur "coller".

--

Prendre le logiciel ZHPCleaner et vérifier que tout est bien cocher et faire réparer.
http://www.nicolascoolman.fr/download/zhpcleaner-2/
Mettre le log ici.

Réinitialiser Firefox:https://support.mozilla.org/fr/kb/reinitialiser-firefox-corriger-facilement-problemes

Désinstaller Java 7 et installer le 8.

Refaire ZHPdiag.

Bien reçu votre message de procédure.

SpyBot désinstallé. PC redémarré.

Par contre, je ne suis pas parvenu à accéder au fichier que vous avez mis en ligne "Ouvrir le lien suivant avec Internet Explorer: http://g225.mvps.org/securite/phorcys.txt" ni avec IE, ni Firefox ! Pouvez-vous vérifier le lien ?

Fonctionnel!

En effet, maintenant (!) il l'est. Merci d'avoir vérifié. Je poursuis donc la manip.

"Vous avez seulement 1 gig soit 3% de libre sur votre disque dur. Pour que cela fonctionne correctement, vous devez avoir 15%...

Désinstaller Spybot en premier et Auslogics Bootspeed pour faire de l'espace."

Après désinstallation de ces 2 logiciels, j'ai toujours que 1,72 Go d'espace libre sur les 40 Go de C:

Q1 : Avant de poursuivre (importation code fichier txt sous ZPHFIX), dois-je impérativement avoir les 15% sur C: ?

Q2 : Est-il opportun de tenter d'utiliser la compression du lecteur C: pour augmenter l'espace libre (cf. copie fenêtre ci-dessous) ?

Non, pour ce logiciel, mais comme votre espace est vraiment restreins, les logiciels comme bootspeed sont inutile.

Vérifier combien de mémoire virtuel Windows prend. Mettre vous même 512 megs dans les 2 cases. Vous pourriez gagner 1 voir 2 gigs.

Explications:

http://windows.microsoft.com/fr-ca/windows/change-virtual-memory-size#1TC=windows-7

Vérifier combien d'espace prend la restauration système et la mettre à 2% ou 3%.

Si vous avez Ccleaner, faire un nettoyage. Paramètres et explication: http://www.ordi-netfr.com/ccleaner.php

J'ai libéré un peu de place sur C:. Déplacé quelques gros dossiers et supprimé quelques programmes. Exécuté CCleaner.

J'ai réduit la mémoire virtuelle à 512 Mo dans les 2 cases. Merci pour le lien, qui m'a aidé, bien qu'étant sur le PC en question sous Win XP. Ci-dessous le paramétrage initial.

Globalement c'est mieux, j'arrive à 12% de libre.

Pour l'autre manip j'ignore comment faire :

"Vérifier combien d'espace prend la restauration système et la mettre à 2% ou 3%."

Je reprends au point de votre message posté à 19/01/2015 à 09:02

Fichier joint : ZHPFix[R1].txt

Voici le log de Junkware Removal Tool demandé au point (3) de votre message posté à 19/01/2015 à 09:02

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.4.1 (12.28.2014:1)
OS: Microsoft Windows XP x86
Ran by Utilisateur on 19/01/2015 at 12:52:35,20
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key - Orphan] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}
Successfully deleted: [Registry Key - Orphan] HKEY_CLASSES_ROOT\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}



~~~ Files

Successfully deleted: [File] "C:\WINDOWS\wininit.ini"



~~~ Folders

Successfully deleted: [Folder] "C:\Documents and Settings\All Users\application data\cloud software ltd"
Successfully deleted: [Folder] "C:\Documents and Settings\Utilisateur\Application Data\getrighttogo"



~~~ FireFox

Emptied folder: C:\Documents and Settings\Utilisateur\Application Data\mozilla\firefox\profiles\yn7iudfq.default-1369563562000\minidumps [2 files]





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 19/01/2015 at 12:56:44,78
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Fichier joint : ZHPCleaner.txt

Bien je pense avoir fait tout "mes devoirs"

J'ai aussi réinitialisé Firefox.

Reste que pour la màj de JAVA cela ne semblait pas à faire, selon le test

http://www.java.com/fr/download/installed8.jsp

Pourtant en cliquant sur "télécharger" la version 8 est bien proposée !

Bon je suis vos recommandations et vais tenter cette installation.

Finalement, je suis resté à la version précédente de JAVA, à la vue du message suivant affiché en début d'installation. Rappel ce PC fonctionne sous Windows XP.

Je refais encore un ZHPdiag et le poste. Puis, j'attends votre avis.

Fichier joint : ZHPDiag.txt

G225, suis-je "autorisé" à réinstaller AVG Free ou autre type Spyboot Free (les 2 ensemble) ?

Pas grave pour Java cela fonctionne pareil, bien installer le 8, il va s'installer.

Ouvrir le lien suivant avec Internet Explorer:

http://g225.mvps.org/securite/phorcys2.txt

Vous copier les lignes dans le fichier ci-haut en les sélectionnant tous avec la souris.

Ensuite ouvrir ZHPFIX

1. Fermer toutes les applications ouvertes. Il se peut que logiciel ferme et ouvre de nouveau selon la configuration de l'UAC (Windows Vista et supérieur).

- Cliquer sur le bouton Importer.
- Cliquer sur le bouton "GO".

2. Le rapport ZHPFixReport.txt s'affiche automatiquement sur le bureau et le mettre sur le forum dans votre prochaine réponse ainsi qu'un nouveau log ZHPdiag toujours sur Cjoint ou héberger sur le forum.

Spybot ne donne pas grand chose, mais vous pouvez réinstaller AVG mais attention dans l'installation, la toolbar n'est pas obligatoire....

Refaire un dernier ZHPdiag. Vous êtes à 11% libre ce qui est dans le minimum de l'acceptable mais surveiller cela.

G225 a écrit :

Pas grave pour Java cela fonctionne pareil, bien installer le 8, il va s'installer.

L'installation de Java 8 Update 25 a effectivement été possible.

Un pop-up d'avertissement est cependant apparu sous Firefox lors de la vérification des plugins.

J'ai fait autoriser. Puis au pop-up suivant juste cette fois.

Je passe à la suite.

Voici le rapport ZHPFix[R3].txt

--------------------------------------------------------------------------

Rapport de ZHPFix 2015.1.15.1 par Nicolas Coolman, Update du 15/01/2015
Fichier d'export Registre :
Run by Utilisateur at 19/01/2015 20:52:35
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)

Corbeille vidée (00mn 12s)
Dossier Prefetcher vidé

========== Valeurs du Registre ==========
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIMÉ ProxyServer Value
SUPPRIMÉ ProxyEnable Value
SUPPRIMÉ EnableHttp1_1 Value
SUPPRIMÉ ProxyHttp1.1 Value
SUPPRIMÉ ProxyOverride Value

========== Eléments de donnée du Registre ==========
SUPPRIMÉ Explorer Association Data Intl: http://go.microsoft.com/fwlink/?LinkId=57426&Ext=%s

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIMÉ Redémarrage:** C:\Documents and Settings\All Users\Application Data\boost_interprocess

========== Fichiers ==========
SUPPRIMÉS Temporaires Windows (118) (3 656 507 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)


========== Récapitulatif ==========
7 : Valeurs du Registre
1 : Eléments de donnée du Registre
2 : Dossiers
2 : Fichiers


End of clean in 00mn 19s

========== Chemin de fichier rapport ==========
C:\Documents and Settings\Utilisateur\Application Data\ZHP\ZHPFix[R1].txt - 19/01/2015 12:16:09 [12647]
C:\Documents and Settings\Utilisateur\Application Data\ZHP\ZHPFix[R1].txt_TOURNEC_2015_01_19_1216.txt - 19/01/2015 12:16:44 [12647]
C:\Documents and Settings\Utilisateur\Application Data\ZHP\ZHPFix[R3].txt - 19/01/2015 20:52:48 [1508]

---------------------------------------------------------------------------------

Bon je redémarre le pc comme le demande le logiciel ZHPFIX. Puis je ferai un nouveau log ZHPdiag.

Fichier joint : ZHPDiag.txt

G225 a écrit : Spybot ne donne pas grand chose, mais vous pouvez réinstaller AVG mais attention dans l'installation, la toolbar n'est pas obligatoire...

Bon je vais me contenter d'installer AVG Free. Je n'avais d'ailleurs installé SpyBot que récemment suite aux problèmes constatés. Merci pour votre mise en garde quant aux risques inhérents à l'installation de la toolbar proposée lors de l'installation d'AVG. J'y étais déjà attentif et la décochait systématiquement. Cet avertissement, sera certainement utile à d'autres lecteurs.

G225 a écrit : Refaire un dernier ZHPdiag. Vous êtes à 11% libre ce qui est dans le minimum de l'acceptable mais surveiller cela.

Ce sera fait. Je veillerai à conserver ce minimum d'espace libre.

J'ai tenté d'installer AVG Free à partir du fichier préalablement téléchargé : avg-antivirus-free-edition_2015_fr_10997_32.exe (le n° de licence Free ayant toujours été conservée en mémoire).

Hélas, grosse déception, la même fenêtre d'avertissement beige apparait toujours !

Puis celle-ci après avoir cliqué sur "Arrêter l'installation".

lavoie a écrit : bonjour , .../... ( pour désinstaler avg ) .../... http://download.avg.com/filedir/util/support/avg_remover_stf_x86_2015_5501.exe

Est-il maintenant judicieux d'effectuer cette manip ? Je suppose que cela permet de mieux supprimer AVG pour pourvoir entièrement le réinstaller.

Pourquoi vous arrêter l'installation au lieu de continuer ?

Refaire un nouveau ZHPdiag que je regarde quelque chose.

Bonjour,

J'avais arrêté par crainte ! Bon, j'ai donc repris et effectué avec succès l'installation d'AVG , bien que de nombreux messages d'alerte soient apparus. Ci-joint un extrait - utiles peut-être pour certains autres lecteurs.

s'est affiché 3 fois de suite, puis 1 fois le suivant avec mention ActivityMonitor

Puis à nouveau 5 fois (!) le suivant :

Puis enfin :

et

puis à nouveau après fermeture d'AVG 2 fois le suivant :

puis

Redémarrage effectué.

Ensuite j'ai fait comme souhaité un ZHPdiag que je transmets de suite.

Fichier joint : ZHPDiag.txt

AVG sollicite un scann global.

Dans le ZHPdiag je vois toujours le Java 7 et non le 8.

Oui faire un FullScan avec AVG.

La case: Je souhaite améliorer........................... C'est à votre choix.

Et pourtant j’avais la fenêtre d'info comme quoi Java 8 avait bien été installé (voir mon message du 19/01/2015 à 20:50).

Peut-être qu'il y a les 2 ? Je vais vérifier et le cas échéant désinstaller Java 7 et ne garder que le 8.

Résultat du FullScan d'AVG : OK RAS

Pour la case, c'était bien un choix. Je suppose, j'espère, sans conséquences !

Effectivement les 2 versions de Java 7 et 8 étaient présentes toutes les deux.Visibles via le panneau de configuration.

J'ai donc désinstallé Java 7. Redémarré et fait un ZHPdiag.

Fichier joint : ZHPDiag.txt

Encore des problèmes sinon faire ceci:

Télécharger DelFix de Xplode pour supprimer les logs et outils d'aide.
https://toolslib.net/downloads/viewdownload/2-delfix/ sur le bureau.
Faire bouton de droit et "Exécuter en tant qu'administrateur" sous Windows Vista ou mieux.
Cocher toutes les cases.
Poster le contenu du rapport. C:\DelFix.txt
Supprimer DelFix.

Fichier joint : DelFix.txt

Bonsoir G225, quel est le verdict ? Une situation saine est rétablie ?

Oui, le pourquoi plus haut, je vous demande si tout est beau et si oui de prendre Delfix pour enlever nos logiciels de désinfections car, il ne faudrait pas prendre de vieilles versions s'il faut plus tard les utiliser de nouveau.

Sage précaution en effet que d'éliminer les anciens logiciels de désinfection.

Puis-je donc marquer le sujet comme résolu ?

Si c'est le cas allez-y!

Précision, vous pouvez garder Malwarebytes sans problème.