methode suppression logiciels indesirables
DESCRIPTION
TRANSCRIPT
Voici un PC portable rempli de logiciels indésirables:
C’est un PC de client et il y a dessusla totale (voila le pourquoi de cet article)
détourneur de pages web, « optimiseur » de PC, fenêtre d’erreur à
l’arrivée en session, lenteur de démarrage. Pas de virus dans le sens que
aucuns de ces logiciels empêchent l’utilisation du PC.
Comment supprimer ces programmes nuisibles ?
Avec le logiciel Iobit uninstaller(CF. article pour le lien)
On peut désinstaller par lot les logiciels incriminés:
Pas besoin d’attendre qu’un logiciel se désinstalle pour
lancer la désinstallation d’un second logiciel: on coche et on
valide les fenêtres de confirmation!
Ce sera un bon début de nettoyage…
…Sauf que certains programmes nuisibles ne sont –finalement-
pas supprimables par leurs désinstalleurs dédiés.
Ce n’est pas étonnant vu leur nature.
Dans ce cas on clic sur OK, ou sur annuler pour passer à la
désinstall du programme suivant.
On réglera ce problème par la suite
Autre souci sur ce PC: à l’entrée en session, une
fenêtre d’erreur s’affiche qui dit: Le module spécifié est
introuvable
Comment connaitre le programme qui se cache
derrière ce message d’erreur?
Avec System Explorer(CF lien dans mon article):
On clic droit sur la petite croix, ici encadrée en rouge mais qu’on voit mal et on choisi
Process
L’onglet Processus ouvert, on glisse avec la souris l’icône qui
représente une cible sur la fenêtre d’erreur..
Le fenêtre d’erreur se colore en rouge: Signe que System explorer l’a bien prise en compte
Puis on relâche la souris:Process Explorer surligne alors
automatiquement le processus qui se cache derrière la fenêtre d’erreur
Il s’agit du programme indésirable Speedup my PC et on voit son
emplacement sur le disque dur…
Auparavant avec Iobit uninstaller, je n’étais pas parvenu à le désinstaller: on verra
dans la suite de cette diapo comment faire
Je vois beaucoup de programmes que je ne connais pas sur le PC à nettoyer.
Hors; comment savoir si tel ou tel logiciel est utile, indésirable, facultatif ?
Le logiciel Should I remove It (là aussi voir lien dans l’article)
Répond à toutes ces questions..
Exemple avec DealPly: ce logiciel est « noté » en rouge ce qui veut dire qu’il est carrément nuisible:
On désinstalle sans hésiter depuis le bouton Uninstall.
Le bouton What is it? Dirige vers une page Web qui décrit précisément à
quoi sert le logiciel choisit :
On va voir ce que donne ce bouton avec le logiciel Speed Up my PC dans la
diapo suivante..
Alors; que dévoile le bouton « What is it? » pour le logiciel
Speedup my PC ?
Ce n’est pas glorieux: Ce logiciel est contenu dans les fameux bundles de
programmes:
On croit récupérer un seul logiciel, mais lors de son installation, d’autres logiciels
non souhaités sont proposés et précochés pour installation:
Généralement un utilisateur lambda clic simplement sur « Suivant » sans
décocher les programmes tiers et se retrouve avec une ménagerie inutile et
invasive:
Cela confirme que Speed up my PC doit être éradiqué du portable
Je passe au nettoyage des « véroles »
Je télécharge ZHP Diag et ..ZHP(l’article pour les liens).
ZHPdiag installe par défaut un autre logiciel: ZHPscript que l’on verra plus loin
ZHPdiag scanne les zones sensibles du PC (registre en section démarrages, plugins de
navigateurs Webs, etc)
Pour ça je clic sur rechercher
Il va dresser un rapport de ces zones
En gros pour comprendre:
-ZHPdiag génère un rapport -ZHP analyse le rapport et dévoile les entrées vérolée ou indésirables-ZHPfix supprime ces entrées
ZHPdiag fini son rapport en seulement quelques minutes (c’est pour ça que je l’utilise dans un 1er temps au lieu d’un
antivirus classique!).
Ce rapport au format texte est enregistré sur le bureau sous le nom
ZHPDiag.txt
J’ouvre ZHP(de son nom complet Zeb Help Process) et lui soumet le rapport en cliquant sur l’icone de dossier (Encadré rouge) puis
en cheminant vers le bureau et enfin en double-cliquant sur ZHPdiag.txt
Quelques secondes suffisent à Zeb help Process pour analyser les entrées
légitimes, superflus, indésirables et autres (voir les intitulés dans l’encadré rouge)
ZHP représente son diagnostic sous la forme d’un rapport façon texte organisé
en chapitres: ex chapitre navigateur, chapitre autoruns.
Très instructif par rapport à un scan antivirus classique qui n’énumère que les
fichiers infectés
Je jette un œil en section Malwares(en diapo suivante)
Et bien, le PC est bien chargé !305 entrées malveillantes détectées.
Chaque ligne présente soit: un fichier, un réglage, une clé registre infectés. et au
début de chaque ligne, un code qui défini sa façon d’être « lancé ». Ex:
R0 : page de démarrage de IE04: démarrage auto d’un logiciel en session039: Tache planifiée
Je clic sur Script:
Cela génère une liste spéciale d’éléments à supprimer que je vais copier-coller dans le
logiciel ZHPfix
En fait, c’est simplement un script de nettoyage que sait interpréter ZHPfix…
Toujours dans Zeb Help Process:
Depuis l’onglet Script je clic droit>Sélectionner toutPuis encore clic droit et Copier
Je quitte Zeb Help Process et ouvreEn tant qu’administrateur ZHPfix
(raccourci sur le bureau)
ZHPfix se présente comme un gros champ texte vide.
Je clic droit dedans et je choisis Coller
Voilà donc comment fonctionne ZHP:
Pour simplifier, on lui donne le script généré par ZHP et il va se charger de
supprimer les éléments listés
Et voici le script copiés dans ZHPfix
Si vous vous risquez à utiliser cet outil, ne vous trompez pas et
vérifiez les lignes !
Cet outil de suppression est fait pour les professionnels: Il ne
vous avertira pas si des éléments essentiels à Windows sont listés
pour élimination
Après vérification des données du listing je clic sur Go
Pour lancer le nettoyage
Le nettoyage fini (quelques secondes), le rapport de suppression s’ouvre au
format texte.
Tout s’est bien passé mais il faut redémarrer l’ordinateur
(encadré rouge) pour permettre à ZHPfix de finir son travail
Un redémarrage plus tard, le PC est enfin utilisable!
Plus de fenêtres intempestives et détournement de pages web en plein surf.
Cependant j’ai du réinitialiser manuellement la page de démarrage et le moteur de recherche de Google
chrome
Tout n’est pas fini: Il faut nettoyer en profondeur Windows avec un antivirus pour supprimer les scories
MAIS désormais on peut utiliser le PC en même temps que de laisser tourner le long scan complet
de l’ antivirus
Pour le scan j’utilise l’antivirus « ponctuel » Eset online scanner
(CF lien dans l’article)
Mes paramétrages pour le nettoyage apparaissent dans cette capture d’écran
3 heures 48 minutes!
C’est le temps qu’a mis Eset online scanner pour vérifier/supprimer les
restes de malwares (fichiers d’installation essentiellement)
Vous comprenez pourquoi les outils ZHP, ZHPdiag et ZHPfix sont si précieux dans
un 1er temps:
Quelques minutes suffisent à « dévéroler » le système et à le rendre fonctionnel. Ensuite un scan complet
avec Eset se charge du reste en tâche de fond
Facultatif:
Retour sur l’utilitaire System Explorer:
Il me permet d’avoir un maximum d’informations sur un démarrage automatique, grâce à Google ou
virustotal.com
Ici pour lister les démarrages auto je clic sur la croix (encadrée en rouge) puis
choisis Autoruns
Ici par exemple, à quoi peut bien servir le démarrage automatique nommé
PLFSetl ?
System explorer présente depuis l’onglet Autoruns: l’emplacement de
l’exécutable, l’éditeur et son entrée de démarrage dans le registre
Mais je ne sais toujours pas à quoi il sert : Je clic droit sur PLFSetl et choisi
« Google Search »
Le navigateur Web s’ouvre avec comme paramètres de chercher
le terme PLFSetl via Google.
Résultat, Je sais désormais à quoi sert ce démarrage
automatique (en faisant un peu le trie car les avis utilisateurs sur
cette diapo sont tout sauf officiels):
PLFSetl est donc un composant légitime pour le bon
fonctionnement de la Webcam
L’ onglet Services regroupe les processus qui démarrent avant
l’ouverture de session:
Après avoir caché les services Windows (clic sur l’icône
Windows encadrée en rouge) on y voit plus clair
Quel est ce service Tor Win32 Service?
L’exécutable se nomme tor.exe
Un clic droit dessus puis sur« Contrôle Fichier » envoie le fichier sur
virustotal.com
Le site virustotal s’ouvre alors automatiquement sur la page
de diagnostic.
Une minorité de moteurs antivirus considèrent le
processus suspect: c’est sans doute des faux-positifs
De retour dans System Explorer;Je choisis quand même de
placer le service en démarrage auto désactivé
De toute façon ce n’est pas un service Windows et
Je testerais ensuite le PC pour voir si il fonctionne
correctement