Voici un PC portable rempli de logiciels indésirables:

C’est un PC de client et il y a dessusla totale (voila le pourquoi de cet article)

détourneur de pages web, « optimiseur » de PC, fenêtre d’erreur à

l’arrivée en session, lenteur de démarrage. Pas de virus dans le sens que

aucuns de ces logiciels empêchent l’utilisation du PC.

Comment supprimer ces programmes nuisibles ?

Avec le logiciel Iobit uninstaller(CF. article pour le lien)

On peut désinstaller par lot les logiciels incriminés:

Pas besoin d’attendre qu’un logiciel se désinstalle pour

lancer la désinstallation d’un second logiciel: on coche et on

valide les fenêtres de confirmation!

Ce sera un bon début de nettoyage…

…Sauf que certains programmes nuisibles ne sont –finalement-

pas supprimables par leurs désinstalleurs dédiés.

Ce n’est pas étonnant vu leur nature.

Dans ce cas on clic sur OK, ou sur annuler pour passer à la

désinstall du programme suivant.

On réglera ce problème par la suite

Autre souci sur ce PC: à l’entrée en session, une

fenêtre d’erreur s’affiche qui dit: Le module spécifié est

introuvable

Comment connaitre le programme qui se cache

derrière ce message d’erreur?

Avec System Explorer(CF lien dans mon article):

On clic droit sur la petite croix, ici encadrée en rouge mais qu’on voit mal et on choisi

Process

L’onglet Processus ouvert, on glisse avec la souris l’icône qui

représente une cible sur la fenêtre d’erreur..

Le fenêtre d’erreur se colore en rouge: Signe que System explorer l’a bien prise en compte

Puis on relâche la souris:Process Explorer surligne alors

automatiquement le processus qui se cache derrière la fenêtre d’erreur

Il s’agit du programme indésirable Speedup my PC et on voit son

emplacement sur le disque dur…

Auparavant avec Iobit uninstaller, je n’étais pas parvenu à le désinstaller: on verra

dans la suite de cette diapo comment faire

Je vois beaucoup de programmes que je ne connais pas sur le PC à nettoyer.

Hors; comment savoir si tel ou tel logiciel est utile, indésirable, facultatif ?

Le logiciel Should I remove It (là aussi voir lien dans l’article)

Répond à toutes ces questions..

Exemple avec DealPly: ce logiciel est « noté » en rouge ce qui veut dire qu’il est carrément nuisible:

On désinstalle sans hésiter depuis le bouton Uninstall.

Le bouton What is it? Dirige vers une page Web qui décrit précisément à

quoi sert le logiciel choisit :

On va voir ce que donne ce bouton avec le logiciel Speed Up my PC dans la

diapo suivante..

Alors; que dévoile le bouton « What is it? » pour le logiciel

Speedup my PC ?

Ce n’est pas glorieux: Ce logiciel est contenu dans les fameux bundles de

programmes:

On croit récupérer un seul logiciel, mais lors de son installation, d’autres logiciels

non souhaités sont proposés et précochés pour installation:

Généralement un utilisateur lambda clic simplement sur « Suivant » sans

décocher les programmes tiers et se retrouve avec une ménagerie inutile et

invasive:

Cela confirme que Speed up my PC doit être éradiqué du portable

Je passe au nettoyage des « véroles »

Je télécharge ZHP Diag et ..ZHP(l’article pour les liens).

ZHPdiag installe par défaut un autre logiciel: ZHPscript que l’on verra plus loin

ZHPdiag scanne les zones sensibles du PC (registre en section démarrages, plugins de

navigateurs Webs, etc)

Pour ça je clic sur rechercher

Il va dresser un rapport de ces zones

En gros pour comprendre:

-ZHPdiag génère un rapport -ZHP analyse le rapport et dévoile les entrées vérolée ou indésirables-ZHPfix supprime ces entrées

ZHPdiag fini son rapport en seulement quelques minutes (c’est pour ça que je l’utilise dans un 1er temps au lieu d’un

antivirus classique!).

Ce rapport au format texte est enregistré sur le bureau sous le nom

ZHPDiag.txt

J’ouvre ZHP(de son nom complet Zeb Help Process) et lui soumet le rapport en cliquant sur l’icone de dossier (Encadré rouge) puis

en cheminant vers le bureau et enfin en double-cliquant sur ZHPdiag.txt

Quelques secondes suffisent à Zeb help Process pour analyser les entrées

légitimes, superflus, indésirables et autres (voir les intitulés dans l’encadré rouge)

ZHP représente son diagnostic sous la forme d’un rapport façon texte organisé

en chapitres: ex chapitre navigateur, chapitre autoruns.

Très instructif par rapport à un scan antivirus classique qui n’énumère que les

fichiers infectés

Je jette un œil en section Malwares(en diapo suivante)

Et bien, le PC est bien chargé !305 entrées malveillantes détectées.

Chaque ligne présente soit: un fichier, un réglage, une clé registre infectés. et au

début de chaque ligne, un code qui défini sa façon d’être « lancé ». Ex:

R0 : page de démarrage de IE04: démarrage auto d’un logiciel en session039: Tache planifiée

Je clic sur Script:

Cela génère une liste spéciale d’éléments à supprimer que je vais copier-coller dans le

logiciel ZHPfix

En fait, c’est simplement un script de nettoyage que sait interpréter ZHPfix…

Toujours dans Zeb Help Process:

Depuis l’onglet Script je clic droit>Sélectionner toutPuis encore clic droit et Copier

Je quitte Zeb Help Process et ouvreEn tant qu’administrateur ZHPfix

(raccourci sur le bureau)

ZHPfix se présente comme un gros champ texte vide.

Je clic droit dedans et je choisis Coller

Voilà donc comment fonctionne ZHP:

Pour simplifier, on lui donne le script généré par ZHP et il va se charger de

supprimer les éléments listés

Et voici le script copiés dans ZHPfix

Si vous vous risquez à utiliser cet outil, ne vous trompez pas et

vérifiez les lignes !

Cet outil de suppression est fait pour les professionnels: Il ne

vous avertira pas si des éléments essentiels à Windows sont listés

pour élimination

Après vérification des données du listing je clic sur Go

Pour lancer le nettoyage

Le nettoyage fini (quelques secondes), le rapport de suppression s’ouvre au

format texte.

Tout s’est bien passé mais il faut redémarrer l’ordinateur

(encadré rouge) pour permettre à ZHPfix de finir son travail

Un redémarrage plus tard, le PC est enfin utilisable!

Plus de fenêtres intempestives et détournement de pages web en plein surf.

Cependant j’ai du réinitialiser manuellement la page de démarrage et le moteur de recherche de Google

chrome

Tout n’est pas fini: Il faut nettoyer en profondeur Windows avec un antivirus pour supprimer les scories

MAIS désormais on peut utiliser le PC en même temps que de laisser tourner le long scan complet

de l’ antivirus

Pour le scan j’utilise l’antivirus « ponctuel » Eset online scanner

(CF lien dans l’article)

Mes paramétrages pour le nettoyage apparaissent dans cette capture d’écran

3 heures 48 minutes!

C’est le temps qu’a mis Eset online scanner pour vérifier/supprimer les

restes de malwares (fichiers d’installation essentiellement)

Vous comprenez pourquoi les outils ZHP, ZHPdiag et ZHPfix sont si précieux dans

un 1er temps:

Quelques minutes suffisent à « dévéroler » le système et à le rendre fonctionnel. Ensuite un scan complet

avec Eset se charge du reste en tâche de fond

Facultatif:

Retour sur l’utilitaire System Explorer:

Il me permet d’avoir un maximum d’informations sur un démarrage automatique, grâce à Google ou

virustotal.com

Ici pour lister les démarrages auto je clic sur la croix (encadrée en rouge) puis

choisis Autoruns

Ici par exemple, à quoi peut bien servir le démarrage automatique nommé

PLFSetl ?

System explorer présente depuis l’onglet Autoruns: l’emplacement de

l’exécutable, l’éditeur et son entrée de démarrage dans le registre

Mais je ne sais toujours pas à quoi il sert : Je clic droit sur PLFSetl et choisi

« Google Search »

Le navigateur Web s’ouvre avec comme paramètres de chercher

le terme PLFSetl via Google.

Résultat, Je sais désormais à quoi sert ce démarrage

automatique (en faisant un peu le trie car les avis utilisateurs sur

cette diapo sont tout sauf officiels):

PLFSetl est donc un composant légitime pour le bon

fonctionnement de la Webcam

L’ onglet Services regroupe les processus qui démarrent avant

l’ouverture de session:

Après avoir caché les services Windows (clic sur l’icône

Windows encadrée en rouge) on y voit plus clair

Quel est ce service Tor Win32 Service?

L’exécutable se nomme tor.exe

Un clic droit dessus puis sur« Contrôle Fichier » envoie le fichier sur

virustotal.com

Le site virustotal s’ouvre alors automatiquement sur la page

de diagnostic.

Une minorité de moteurs antivirus considèrent le

processus suspect: c’est sans doute des faux-positifs

De retour dans System Explorer;Je choisis quand même de

placer le service en démarrage auto désactivé

De toute façon ce n’est pas un service Windows et

Je testerais ensuite le PC pour voir si il fonctionne

correctement