[Résolu] Présence de PUM.UserWLoad

[Av3n4s]

En utilisant l'invité de command sous dos en administrateur, ComboFix s'est bien lancé, j'ai accepté les conditions puis un message est apparu, toujours le même. Il refuse de se lancer en mode de compatibilité pourtant, il ne l'est pas !!

[pear]

Tant pis.

On tente autre chose:

 

Choisissez la version 32 ou 64 bits en fonction de votre système
Télécharger sur le Bureau
FRST 64 de Farbar
Frst 32 de Farbar
Fermez toutes les applications, y compris le navigateur
Double-clic sur FRST64.exe et sur Oui pour accepter le Disclaimer
Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur


Sur le menu principal,

clic sur Scan
A la fin du scan, un rapport FRST.txt s'ouvre.
Au premier lancement, un fichier nommé Addition.txt sera créé

Modifié le 24 août 2013 par pear

[Av3n4s]

Voilà le rapport :

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 23-08-2013 01
Ran by MisterFreeze at 2013-08-24 13:28:35 Run:1
Running from D:\Users\MisterFreeze\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
start
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$59b4a70c5d0ca7e69ea629398817f0dc\n. ATTENTION! ====> ZeroAccess?
C:\$Recycle.Bin\S-1-5-18\$59b4a70c5d0ca7e69ea629398817f0dc
C:\$Recycle.Bin\S-1-5-21-521969637-634259189-3992293400-1001\$59b4a70c5d0ca7e69ea629398817f0dc
DeleteJunctionsInDirectory: C:\Windows\Program Files\Windows Defender
DeleteJunctionsInDirectory: C:\Windows\Program Files\Microsoft Security Client
end
*****************

HKLM\Software\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32\\Default => Error setting value.
"C:\$Recycle.Bin\S-1-5-18\$59b4a70c5d0ca7e69ea629398817f0dc" => File/Directory not found.
"C:\$Recycle.Bin\S-1-5-21-521969637-634259189-3992293400-1001\$59b4a70c5d0ca7e69ea629398817f0dc" => File/Directory not found.
"C:\Windows\Program Files\Windows Defender" => Not Found
"C:\Windows\Program Files\Microsoft Security Client" => Not Found

==== End of Fixlog ====

[pear]

Il y a un problème.

Vous me présentez un fixlog.txt alors que je ne vous l'ai pas encore demandé.

Je dois en conclure que vous vous faites aider ailleurs, ce qui est inélégant et proscrit.

Je dois donc en rester là.

[Av3n4s]

Vous êtes sérieux ?

J'ai suivi vos recommandations. Et apparemment, vous avez modifié votre post. En retourant dessus, il n'y avait plus certaines démarches !!! Je n'ai soumis mon problème nul part ailleurs !!

Il y avait bel et bien une suite à :

 

A la fin du scan, un rapport FRST.txt s'ouvre.
Au premier lancement, un fichier nommé Addition.txt sera créé

 

La suite a été supprimé par vous-même. Après que vous avez édité votre message. Je ne suis pas fou !

[pear]

Je suis sérieux, la désinfection prêtant peu à la plaisanterie.

 

Il est cependant exact que j'ai modifié ma procédure dont une partie ne vous concernait pas.

Votre réponse aurait donc été ultra rapide

Alors, si vous voulez bien, recommencez au message 12#

Modifié le 24 août 2013 par pear

[Av3n4s]

Elle fut ultrarapide !! Par "sérieux", je faisais référence à votre allégation. J'ai été moi-même étonné d'y voir :

 

HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$59b4a70c5d0ca7e69ea629398817f0dc\n. ATTENTION! ====> ZeroAccess?
C:\$Recycle.Bin\S-1-5-18\$59b4a70c5d0ca7e69ea629398817f0dc
C:\$Recycle.Bin\S-1-5-21-521969637-634259189-3992293400-1001\$59b4a70c5d0ca7e69ea629398817f0dc
DeleteJunctionsInDirectory: C:\Windows\Program Files\Windows Defender
DeleteJunctionsInDirectory: C:\Windows\Program Files\Microsoft Security Client

 

Car en relisant tous les posts, aucun log ne faisait référence à ça. J'en avais alors déduit que vous aviez confondu avec quelqu'un d'autre !

 

Rapport FRST

Modifié le 24 août 2013 par Av3n4s

[pear]

Nettoyage
Dans le Bloc-notes (Démarrer -> Tous les programmes -> Accessoires -> Bloc-notes)
Copier/coller le textei ci-dessous :

start
HKLM\[...]\Run : 9695 (D:\PROGRA~3\LOCALS~1\Temp\msbxwx.exe
HKLM\[...]\Wow6432Node\[...]\Run : 9695 (D:\PROGRA~3\LOCALS~1\Temp\msbxwx.exe
HKCU\[...]\Windows : load (D:\Users\MISTER~1\LOCALS~1\Temp\mshxva.cmd
HKUS\[...]\Windows : load (D:\Users\MISTER~1\LOCALS~1\Temp\mshxva.cmd
HKCU\...\CurrentVersion\Windows: [Load] D:\Users\MISTER~1\LOCALS~1\Temp\mshxva.cmd <===== ATTENTION!
CHR DefaultSearchURL: (Delta Search) - http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=44981E85DE750675&affID=119357&tsp=4984
CHR DefaultSuggestURL: (Delta Search) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&q={searchTerms}&{google:cursorPosition}{google:zero PrefixUrl}sugkey={google:suggestAPIKeyParameter}
2013-08-09 01:31 - 2013-08-23 20:52 - 00000000 ____D D:\WINDOWS\AutoKMS
2013-07-25 17:05 - 2013-07-25 17:05 - 00003082 _____ D:\WINDOWS\System32\Tasks\{90CB6185-FDDB-4A91-A494-9D7C1CD2CCF4}
2013-07-25 17:02 - 2013-07-25 17:02 - 00003134 _____ D:\WINDOWS\System32\Tasks\{FABAF7D6-F3FC-4FA6-BE94-92580AA74D1C}
2013-07-25 16:51 - 2013-07-25 16:51 - 00003076 _____ D:\WINDOWS\System32\Tasks\{E3FD6072-C30A-49FC-848F-4C68B9711F92}
2013-07-25 16:49 - 2013-07-25 16:49 - 00003076 _____ D:\WINDOWS\System32\Tasks\{050C13A6-A304-4148-8C6D-217971413555}
end


Enregistrer le fichier sur le Bureau (au même endroit que FRST) sous fixlist.txt
Fermer toutes les applications, y compris le navigateur
Double-clic sur FRST64.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sur le menu principal, cliquer une seule fois sur Fix et patienter le temps de la correction

L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la réponse.

Modifié le 24 août 2013 par pear

[Av3n4s]

Rapport de nettoyage

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 23-08-2013 01
Ran by MisterFreeze at 2013-08-24 14:32:47 Run:2
Running from D:\Users\MisterFreeze\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
start
HKLM\[...]\Run : 9695 (D:\PROGRA~3\LOCALS~1\Temp\msbxwx.exe
HKLM\[...]\Wow6432Node\[...]\Run : 9695 (D:\PROGRA~3\LOCALS~1\Temp\msbxwx.exe
HKCU\[...]\Windows : load (D:\Users\MISTER~1\LOCALS~1\Temp\mshxva.cmd
HKUS\[...]\Windows : load (D:\Users\MISTER~1\LOCALS~1\Temp\mshxva.cmd
HKCU\...\CurrentVersion\Windows: [Load] D:\Users\MISTER~1\LOCALS~1\Temp\mshxva.cmd <===== ATTENTION!
CHR DefaultSearchURL: (Delta Search) - http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=44981E85DE750675&affID=119357&tsp=4984
CHR DefaultSuggestURL: (Delta Search) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&q={searchTerms}&{google:cursorPosition}{google:zero PrefixUrl}sugkey={google:suggestAPIKeyParameter}
2013-08-09 01:31 - 2013-08-23 20:52 - 00000000 ____D D:\WINDOWS\AutoKMS
2013-07-25 17:05 - 2013-07-25 17:05 - 00003082 _____ D:\WINDOWS\System32\Tasks\{90CB6185-FDDB-4A91-A494-9D7C1CD2CCF4}
2013-07-25 17:02 - 2013-07-25 17:02 - 00003134 _____ D:\WINDOWS\System32\Tasks\{FABAF7D6-F3FC-4FA6-BE94-92580AA74D1C}
2013-07-25 16:51 - 2013-07-25 16:51 - 00003076 _____ D:\WINDOWS\System32\Tasks\{E3FD6072-C30A-49FC-848F-4C68B9711F92}
2013-07-25 16:49 - 2013-07-25 16:49 - 00003076 _____ D:\WINDOWS\System32\Tasks\{050C13A6-A304-4148-8C6D-217971413555}
end
*****************

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load => Value was restored successfully.
CHR DefaultSearchURL: (Delta Search) - http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=44981E85DE750675&affID=119357&tsp=4984 ==> The Chrome "Settings" can be used to fix the entry.
CHR DefaultSuggestURL: (Delta Search) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&q={searchTerms}&{google:cursorPosition}{google:zero PrefixUrl}sugkey={google:suggestAPIKeyParameter} ==> The Chrome "Settings" can be used to fix the entry.
D:\WINDOWS\AutoKMS => Moved successfully.
D:\WINDOWS\System32\Tasks\{90CB6185-FDDB-4A91-A494-9D7C1CD2CCF4} => Moved successfully.
D:\WINDOWS\System32\Tasks\{FABAF7D6-F3FC-4FA6-BE94-92580AA74D1C} => Moved successfully.
D:\WINDOWS\System32\Tasks\{E3FD6072-C30A-49FC-848F-4C68B9711F92} => Moved successfully.
D:\WINDOWS\System32\Tasks\{050C13A6-A304-4148-8C6D-217971413555} => Moved successfully.

==== End of Fixlog ====

 

Merci, cela avance très bien. Le rapport MBAM est meilleur. Il ne reste qu'une menace.

Modifié le 24 août 2013 par Av3n4s

[pear]

Il faut nettoyer Delta Search dans Chrome:

CHR DefaultSearchURL: (Delta Search) - http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=44981E85DE750675&affID=119357&tsp=4984 ==> The Chrome "Settings" can be used to fix the entry.
CHR DefaultSuggestURL: (Delta Search) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&q={searchTerms}&{google:cursorPosition}{google:zero PrefixUrl}sugkey={google:suggestAPIKeyParameter} ==> The Chrome "Settings" can be used to fix the entry.

 

Pour le reste , ça semble bon.

Qu'en dites vous ?