[Résolu] Analyse d'un diagnostic ZHPDiag

[Yeti73]

Bonjour,

 

Des pubs apparaissent sur toutes les pages webs que j'ouvre!

J'ai effectué un scan avec Malawerebyte et supprimé les fichiers qui semblaient "méchants" mais les publicités sont toujours présentes!

Je me suis renseigné sur ce forum et j'ai effectué une analyse avec ZHP Diag.

 

Je sollicite donc votre aide pour me dire si le ou les "méchants" se cachent dans cette suite de mot incompréhensible pour moi?

Et comment faire pour les bouter hors de mon ordi?

 

Voici le diagnostic ZHP :

 

http://cjoint.com/?0IAcllo1LKo

 

Merci.

Modifié le 28 septembre 2013 par Yeti73

[nardino]

Bonjour,

Junkware Removal Tool de Thisisu sur le bureau

Clique sur l'icône suivante pour lancer l'outil qui ne nécessite pas d'installation.
Sous Vista, Windows 7 et 8, cliquer droit sur l'icône et Exécuter en tant qu'administrateur dans le menu contextuel qui s'ouvre



Dans la fenêtre principale de type Invite de commandes clique sur n'importe quelle touche pour lancer le programme.
Il est indiqué que le bureau va disparaître temporairement et qu'une fenêtre Internet Explorer va s'ouvrir durant le scan.
Ne pas s'affoler en conséquence.



Clique sur Oui dans le message suivant pour créer une sauvegarde du registre.



Dans un autre message, autoriser la modification du registre par Oui.



Le scan peut prendre plus de 10 minutres.
La progression des phases s'affiche dans la fenêtre .



Attendre l'affichage du rapport et poster un copier-coller de ce dernier dans la prochaine réponse.



Ce dernier sera enregistré sur le bureau, l'ouvrir si il a été refermé.





Remarque importante
Ne pas relancer Junkware Removal Tool une seconde fois car le rapport qu'il est important de communiquer sera écrasé par le nouveau et nous perdrions tout contrôle de ce qui a été éradiqué.
Le moteur de recherche d'Internet Explorer sera remis par défaut sur Bing.

@+

[Yeti73]

Merci pour ton aide.

 

Voilà le rapport junkware :

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.0.3 (09.27.2013:1)
OS: Windows 8 x64
Ran by Anquetil on 27/09/2013 at 19:38:33,48
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully deleted: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb
Failed to delete: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{ae07101b-46d4-4a98-af68-0333ea26e113}
Failed to delete: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{ae07101b-46d4-4a98-af68-0333ea26e113}
Failed to delete: [Registry Value] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar\\{ae07101b-46d4-4a98-af68-0333ea26e113}
Failed to delete: [Registry Value] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar\\{ae07101b-46d4-4a98-af68-0333ea26e113}



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\bi
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\conduit
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\installedbrowserextensions
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\smartbar
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\smartbarbackup
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\smartbarlog
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\softonic
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\AppDataLow\software\crossrider
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\iesmartbar.bandobjectattribute
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\iesmartbar.dockingpanel
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\iesmartbar.iesmartbar
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\iesmartbar.iesmartbarbandobject
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\iesmartbar.smartbardisplaystate
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\iesmartbar.smartbarmenuform
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\quickshare_rasapi32
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\quickshare_rasmancs
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\quickshare_rasapi32
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\quickshare_rasmancs
Failed to delete: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{22222222-2222-2222-2222-220422152254}
Failed to delete: [Registry Key] HKEY_CLASSES_ROOT\Interface\{66666666-6666-6666-6666-660466156654}
Failed to delete: [Registry Key] HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{22222222-2222-2222-2222-220422152254}
Failed to delete: [Registry Key] HKEY_CLASSES_ROOT\Wow6432Node\Interface\{66666666-6666-6666-6666-660466156654}
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\Interface\{66666666-6666-6666-6666-660466156654}
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\Wow6432Node\Interface\{66666666-6666-6666-6666-660466156654}



~~~ Files

Failed to delete: [File] "C:\end"



~~~ Folders

Successfully deleted: [Folder] "C:\Users\Anquetil\AppData\Roaming\cacaoweb"
Successfully deleted: [Folder] "C:\Users\Anquetil\appdata\locallow\smartbar"



~~~ FireFox

Successfully deleted: [Folder] C:\Users\Anquetil\AppData\Roaming\mozilla\firefox\profiles\a4pk0ev0.default\extensions\536c2ac1-a17c-4de1-a3f2-1b869a3be96c@2f6608a0-8c65-4bfe-8e2f-c65b5cc757cb.com
Successfully deleted the following from C:\Users\Anquetil\AppData\Roaming\mozilla\firefox\profiles\a4pk0ev0.default\prefs.js

user_pref("extensions.crossrider.bic", "1413ab604885e7320ec93851f62f99a1");



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 27/09/2013 at 20:17:06,48
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[nardino]

Bonsoir,

Visiblement JRT n'a pas tout supprimé.

AdwCleanerV3 de Xplode sur ton bureau

Lance l'outil en cliquant sur AdwCleaner.exe.
Sous Vista et Windows 7 par un clic droit sur l'icône et Exécuter en tant qu'administrateur dans le menu contextuel
Clique sur le bouton Scanner



Une fois l'analyse terminée clique sur Nettoyer



Un message t'informe que toutes les applications vont être fermées, valide par OK pour continuer.



Une fois le scan terminé, une fenêtre d'informations va s'ouvrir. Lis bien son contenu et valide par OK.



Le pc va redémarrer. Valide par OK



Poste le rapport qui s'ouvre après le redémarrage de l'ordinateurpar copier-coller dans ta réponse.
Il sera enregistré sous C:\AdwCleane\AdwCleaner[s0].txt



A lire concernant l'installation des barres d'outils.
Les sponsors
Stoppublicités

@+

[Yeti73]

Merci de suivre mon cas, vous êtes au top l'équipe Zébulon et surtout toi !

 

Voilà le rapport ADWcleaner

 

# AdwCleaner v3.005 - Rapport créé le 27/09/2013 à 23:39:59
# Mis à jour le 22/09/2013 par Xplode
# Système d'exploitation : Windows 8 (64 bits)
# Nom d'utilisateur : Anquetil - ETIENNE
# Exécuté depuis : C:\Users\Anquetil\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Users\Anquetil\AppData\Local\Bundled software uninstaller
Dossier Supprimé : C:\Users\Anquetil\AppData\Roaming\Mozilla\Firefox\Profiles\a4pk0ev0.default\Extensions\cacaoweb@cacaoweb.org
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Users\Anquetil\Desktop\cacaoweb.exe

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\IESmartBar.BandObjectAttribute
Clé Supprimée : HKLM\SOFTWARE\Classes\IESmartBar.DockingPanel
Clé Supprimée : HKLM\SOFTWARE\Classes\IESmartBar.IESmartBar
Clé Supprimée : HKLM\SOFTWARE\Classes\IESmartBar.IESmartBarBandObject
Clé Supprimée : HKLM\SOFTWARE\Classes\IESmartBar.SmartbarDisplayState
Clé Supprimée : HKLM\SOFTWARE\Classes\IESmartBar.SmartbarMenuForm
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\QuickShare_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\QuickShare_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{56561B2A-FB5D-363A-9631-4C03D6054209}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A717364F-69F3-3A24-ADD5-3901A57F880E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CCB08265-B35D-30B2-A6AF-6986CA957358}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CD92622E-49B9-33B7-98D1-EC51049457D7}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E041E037-FA4B-364A-B440-7A1051EA0301}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\CLSID\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\CLSID\{56561B2A-FB5D-363A-9631-4C03D6054209}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\CLSID\{A717364F-69F3-3A24-ADD5-3901A57F880E}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\CLSID\{CCB08265-B35D-30B2-A6AF-6986CA957358}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\CLSID\{CD92622E-49B9-33B7-98D1-EC51049457D7}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\CLSID\{E041E037-FA4B-364A-B440-7A1051EA0301}
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
Valeur Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16688


-\\ Mozilla Firefox v23.0.1 (fr)

[ Fichier : C:\Users\Anquetil\AppData\Roaming\Mozilla\Firefox\Profiles\a4pk0ev0.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [3526 octets] - [27/09/2013 23:39:06]
AdwCleaner[s0].txt - [3400 octets] - [27/09/2013 23:39:59]

########## EOF - C:\AdwCleaner\AdwCleaner[s0].txt - [3460 octets] ##########

[Yeti73]

Je viens de naviguer sur internet pour tester, et plus aucune pub sur les pages et la fenêtre popup qui s'ouvrait toute les 3 pages visitées n'est plus de ce monde!

Est ce que je ne dois pas me réjouir trop vite?

Merci encore.

Et si j'ai bien compris dans un cas comme le miens il faut lancer tous les outils d'analyse possible jusqu'à suppression des fichiers infectés?

[nardino]

Bonsoir,

Afin de d'avoir un une image détaillée de ton pc, mais sans indiscrétion, fais ce rapport :

ZHPDiag de Nicolas Coolman sur ton bureau en cliquant sur ZHPDiag (Outil de diagnostic).

Une fois téléchargé, clique sur le fichier ZHPDiag2.exe pour installer l'outil et suis la routine.
Laisse coché Installer une icône sur le bureau quand cela te sera proposé.

Lance ZHPDiag en cliquant sur l'icône ZHPDiag affichée sur le bureau

1 - Dans l'interface, clique sur le bouton Configurer pour afficher la rangée d'icône en bas.
2 - Clique sur la loupe avec le signe + Pour lancer l'analyse.



Laisse faire le scan jusqu'à ce que la barre de progression en bas soit à 100%.

Tu refermes ZHPDiag en cliquant sur la croix rouge en haut à droite.
Un fichier ZHPDiag.txt sera enregistré sur le bureau.



Tu l'héberges sur Cjoint en cochant 21 jours dans la ligne Et pour quelle durée ?
Tu communiques le lien obtenu dans ta réponse.
Explications pour Cjoint

@+

[Yeti73]

Voilà lr diagnostic ZHP

 

http://cjoint.com/?CICkvJMwCcR

 

Merci

[nardino]

Bonjour,

Lance ZHPFix par l'icône sur le bureau

• 

Elle a été créée lors de l'installation de ZHPDiag.

Clique sur Importer dans la fenêtre de l'outil et sur OK dans le message suivant

*******

Tu copies le script suivant (dans l'encadré ci-dessous)

Script ZHPFix
C:\Program Files (x86)\a2zLyrics-1
C:\Windows\Installer\4c7190d.msi   
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{232F1B14-7126-491F-AC8C-6123BA58FDE2}]   
[HKLM\Software\Classes\CLSID\{11111111-1111-1111-1111-110411151154}]  
[HKLM\Software\Classes\CLSID\{22222222-2222-2222-2222-220422152254}]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110411151154}]   
[HKLM\Software\Wow6432Node\Classes\CLSID\{22222222-2222-2222-2222-220422152254}]  
C:\Users\Anquetil\AppData\Roaming\Mozilla\Firefox\Profiles\a4pk0ev0.default\{472c1aa8-e72e-9c53-e1a7-4532e65e6a9c}   
C:\Windows\Prefetch\SOFTONICDOWNLOADER_POUR_SANDB-9CE7B716.pf   
C:\Windows\Prefetch\A2ZLYRICS-1-FIREFOXINSTALLER.-F935CD93.pf   
C:\Windows\Prefetch\LINKSWIFT_8162019.EXE-58C749D7.pf  
EmptyFlash
EmptyTemp
EmptyCLSID

Tu le colles dans la fenêtre de ZHPFixt comme ci-dessous, tu cliques sur GO pour le lancer.



Confirme la suppression par Oui dans l'avertissement qui s'affiche



Le résultat va s'afficher dans la fenêtre de l'outil et un rapport va s'ouvrir avec le bloc-notes.

Tu envoies un copier-coller du rapport dans ta réponse, il est enregistré sur le bureau.



@+

[Yeti73]

Voilà le rapport :

 

 

 

Rapport de ZHPFix 2013.9.28.12 par Nicolas Coolman, Update du 28/09/2013
Fichier d'export Registre :
Run by Anquetil at 28/09/2013 12:44:28
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit (Build 9200)

Corbeille vidée

========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\Windows\Prefetch\LINKSWIFT_8162019.EXE-58C749D7.pf

========== Clés du Registre ==========
SUPPRIMÉ:* HKLM\Software\Classes\CLSID\{11111111-1111-1111-1111-110411151154}
SUPPRIMÉ:* HKLM\Software\Classes\CLSID\{22222222-2222-2222-2222-220422152254}
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110411151154}

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichiers ==========
SUPPRIMÉ: C:\Windows\Installer\4c7190d.msi
SUPPRIMÉ:* c:\windows\installer\4c7190d.msi
SUPPRIMÉ: C:\Windows\Prefetch\SOFTONICDOWNLOADER_POUR_SANDB-9CE7B716.pf
SUPPRIMÉ: C:\Windows\Prefetch\A2ZLYRICS-1-FIREFOXINSTALLER.-F935CD93.pf
SUPPRIMÉ:* c:\windows\prefetch\linkswift_8162019.exe-58c749d7.pf
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows


========== Récapitulatif ==========
1 : Processus mémoire
3 : Clés du Registre
1 : Dossiers
7 : Fichiers


End of clean in 01mn 15s

========== Chemin de fichier rapport ==========
C:\Users\Anquetil\AppData\Roaming\ZHP\ZHPFix[R1].txt - 28/09/2013 12:44:32 [1367]