PC suspecté d'être toujours infecté après nettoyage classique

[Exosky]

Bonjour,

A la suite d'une mauvaise manip, je me suis retrouvé avec ma page d'accueil Firefox bloquée sur : launchpage.org. J'ai bataillé pour l'en déloger mais j'y suis parvenu après l'utilisation de plusieurs logiciels :
- Avast (scan complet + scan au démarrage)
- Malwarebytes
- Adwcleaner
- ZHP Cleaner

Ma page d'accueil a bien été débloquée, mais j'ai l'impression que mon PC est toujours infecté. En effet, mes programmes par défaut sont réinitialisés à chaque redémarrage, Avast détecte parfois un module complémentaire Firefox ayant une mauvaise réputation (mais ne parvient pas à le supprimer, et je ne vois rien dans la liste des modules), et de temps en temps une fenêtre apparait et disparait instantanément (à peu près toutes les heures).

Si quelqu'un a une idée pour m'éviter de formater mon disque dur je suis preneur !

Je suis sur un PC portable MSI et sous Windows 10 64bits.
Je ne sais pas si vous travaillez avec HijackThis, mais au cas où voici un rapport de scan :

Vous devez être connecté pour voir les liens.

Merci et bonne journée

Exosky

 

[FORETG]

Hello,
je ne suis pas un pro de la désinfection mais tu peux déjà faire ça :
- supprimer Firefox qui est dans une version obsolète (supprimer tout y compris le profil; voir sur le Net), puis installer la dernière version que tu auras téléchargée auparavant sur le site officiel,
- supprimer le demaon tools, c'est une plaie.
- si il n'y a pas d'utilité particulière de ton coté pour Java, à désinstaller aussi.
C'est juste une première idée, il y a des pros de la désinfection ici qui pourront faire bien mieux.

 

[hyunkel30]

Bonjour,

à faire pour un premier diagnostic :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Vous devez être connecté pour voir les liens.

Vous devez être connecté pour voir les liens.

Vous devez être connecté pour voir les liens.

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

• ■ Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
  ■Clique sur le bouton Analyser.
  ■L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  ■A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).

Poste les deux rapports générés.

■Pour les rapports, merci d'utiliser

Vous devez être connecté pour voir les liens.

: dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

Vous devez être connecté pour voir les liens.

 

[Exosky]

Merci pour votre rapidité !

@FORETG : Je n'ai en effet pas besoin de Daemon Tools pour le moment donc je l'ai désinstallé. En revanche je peux encore avoir besoin de Java. Pour Firefox, tu parles bien de supprimer la "sauvegarde cloud" de mon profil ? Si oui il faut que je me renseigne sur l'exportation/importation de favoris avant

@hyunkel30 : Voici les deux rapports :
FRST :

Vous devez être connecté pour voir les liens.

Addition :

Vous devez être connecté pour voir les liens.

Exosky

 

[hyunkel30]

Re,

Merci de suivre exclusivement mes instructions pour le moment s'il te plait, les conseils donnés par FORETG seront à appliquer si et seulement si nous n'arrivons à rien.

Quelques questions pour commencer :

FirewallRules: [{D98686A0-64F2-472D-8ED7-738820804BC6}] => (Allow) D:\Logiciels\Firefox\firefox.exe
FirewallRules: [{AE6658F2-E4C9-4879-8DF8-B502BA2A138C}] => (Allow) D:\Logiciels\Firefox\firefox.exe

Tu utilises une version "portable" de Firefox ?
Ou bien tu as volontairement installé cette application dans ce dossier qui n'est pas celui par défaut ?

#######

==================== Points de restauration =========================

ATTENTION: La Restauration système est désactivée

As-tu volontairement désactivé le service de restauration système ?

############

Avast détecte parfois un module complémentaire Firefox ayant une mauvaise réputation

Peux-tu me donner le nom de ce module détecté ?

##########

Pour le reste, aucune infection active à première vue sur ce système.

Tu as par contre des erreurs système lié à des logiciels légitimes :

- Visual Studio

- Office

- Programmes Nvidia

Est-ce que Office Pro est bien activé légalement ?

 

[Exosky]

Re,

J'ai volontairement installé Firefox (entre autres) dans ce dossier. Mon disque système C: est un SSD de 120Go, je voulais l'alléger au maximum. D'ailleurs je me dis que c'est un peu con de ne pas avoir installé un tel programme sur mon SSD... Bref

###########

Je n'ai pas désactivée volontairement la restauration système. J'ai été surpris de voir cette ligne dans le rapport, j'aurais préféré qu'elle soit activée...

###########

Concernant le module détecté par Avast, il ne me donne pas de nom, malheureusement. Je ne vois rien à ce propos dans l'historique.

###########

Visual Studio devrait être désinstallé. Je ne sais pas pourquoi il en reste des traces.
Ma version d'Office n'est pas activée légalement. J'avais une licence étudiante mais elle est arrivée à expiration.
Les programmes nVidia n'ont a priori pas de raison de provoquer des erreurs. Je vais essayer de les mettre à jour.


Exosky

 

[hyunkel30]

Re,

J'ai volontairement installé Firefox (entre autres) dans ce dossier. Mon disque système C: est un SSD de 120Go, je voulais l'alléger au maximum. D'ailleurs je me dis que c'est un peu con de ne pas avoir installé un tel programme sur mon SSD... Bref

On va dire qu'effectivement vu qu'il est utilisé régulièrement, ce serait plus logique, mais pas grave non plus

Je n'ai pas désactivée volontairement la restauration système. J'ai été surpris de voir cette ligne dans le rapport, j'aurais préféré qu'elle soit activée...

Vérifie si elle est bien active :
http://www.chantal11.com/2017/04/creer-un-point-de-restauration-windows-10/

Concernant le module détecté par Avast, il ne me donne pas de nom, malheureusement. Je ne vois rien à ce propos dans l'historique.

ça va pas nous aider ça
Je ne vois rien en module ou plugin d'anormal ...

Faudrait voir s'il l'indique de nouveau à bien regarder les infos données

Visual Studio devrait être désinstallé. Je ne sais pas pourquoi il en reste des traces.

Lié à Office Pro je pense, dois rester des liaisons ...
Et je vois aussi des entrées "cachées" qui n'ont pas été désinstallée (mais que tu ne vois donc pas dans ta liste des programmes)

Ma version d'Office n'est pas activée légalement. J'avais une licence étudiante mais elle est arrivée à expiration.

No comment : elle devrait être supprimée donc.

Les programmes nVidia n'ont a priori pas de raison de provoquer des erreurs. Je vais essayer de les mettre à jour.

Probablement plutôt lié à ceci :
NVIDIA Logiciel système PhysX 9.17.0329
Que tes pilotes graphiques

 

[Exosky]

Re,

La restauration système était bien désactivée. Je viens de la réactiver.

Pour Office, c'est une solution temporaire, comme la période "fin des études - début du boulot" est compliquée. Je compte régler ça après

Pour nVidia, c'est le même installeur qui s'occupe des pilotes et de PhysX, je mettai les deux à jour en même temps.

Pour le module complémentaire, je vais attendre le prochain avertissement d'Avast. Je te donnerai des nouvelles à ce moment là.

Merci pour ton aide

Exosky

 

[Exosky]

Plus de trace de la fenêtre fantôme. Néanmoins les applications par défaut sont toujours réinitialisées au redémarrage du PC.
Je ferai une réinstallation de Windows un peu plus tard du coup.

Merci pour ton aide hyunkel30

 

[hyunkel30]

[:hyunkel30]

A bientôt sur les forums Tom's