[Résolu] Résidus trouvés par ZHPDiag

[isyfur]

Bonjour,

 

J'ai lancé une grande phase de nettoyage sur mes machines. Et sur une j'ai des résidus qui ne veulent pas partir.

 

Pour info, j'ai déjà passé JRT (plus d'une fois; là j'ai foiré), adwcleaner (plus d'une fois ; faute à des doutes), mbam, et hitmanpro. Je n'ai pas relancé spy-bot car le résidu est presque aussi vieux que lui sur ma machine. HiJackThis (d'ailleurs le billet qui dit où le trouver devrait être patché car il a migré sur sf.net maintenant) ne me montre rien d'inquiétant/qui corresponde. Ah. Et j'ai antivir d'installé -- et peut-être l'outil de sécurité de windows (XP pro, au cas où) qui doit faire des choses, que je n'ai jamais pris la peine d'administrer, mais que je n'ai jamais supris à l'oeuvre.

Bref.

 

ZHPDiag continue à me trouver les mêmes saletés que voici:

O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job   [282] =>Rogue.SpeedUpMyPC
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job   [402] =>Rogue.SpeedUpMyPC
[MD5.00000000000000000000000000000000] [APT] [Uniblue SpeedUpMyPC Nag] (...) -- C:\Program Files\System\SpeedUpMyPC 3\SpeedUpMyPC.exe (.not file.)   [0]  =>Rogue.SpeedUpMyPC
[MD5.00000000000000000000000000000000] [APT] [Uniblue SpeedUpMyPC] (...) -- C:\Program Files\System\SpeedUpMyPC 3\SpeedUpMyPC.exe (.not file.)   [0]  =>Rogue.SpeedUpMyPC
O64 - Services: CurCS - 02/01/1601 - Pas de propriétaire (gel90xne)  .(...) - LEGACY_GEL90XNE    
[HKLM\Software\Classes\TypeLib\{090ACFA1-1580-11D1-8AC0-00C0F00910F9}]   =>Adware.AdRotator
C:\Documents and Settings\Isyfur\Local Settings\Application Data\eSupport.com   =>Rogue.RegistryWizard
C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job   =>Rogue.SpeedUpMyPC^
C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job   =>Rogue.SpeedUpMyPC^

Malware (9)

Plus quelques petites choses "superflues"

Spybot - Search & Destroy v1.6.2
O9 - Extra button: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -- Clé orpheline
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab    
O44 - LFC:[MD5.01AC966EC17AF8AB0B591B3BA2EBFB6B] - 14/09/2013 - 22:44:06 ---A- . (...) -- C:\WINDOWS\MedCtrOC.log   [18700]
O44 - LFC:[MD5.CF2241AC52960E239C605C7B5E33B994] - 14/09/2013 - 22:44:06 ---A- . (...) -- C:\WINDOWS\comsetup.log   [91174]
O44 - LFC:[MD5.2142F2426A06FB9A65847316A1A57108] - 14/09/2013 - 22:44:06 ---A- . (...) -- C:\WINDOWS\iis6.log   [318588]
O44 - LFC:[MD5.C9661C22137016CE607B8A801B29FC8E] - 14/09/2013 - 22:44:06 ---A- . (...) -- C:\WINDOWS\imsins.log   [1374]
O44 - LFC:[MD5.34E1FEADEEDF0CC071B3C96DBD9080E6] - 14/09/2013 - 22:44:06 ---A- . (...) -- C:\WINDOWS\netfxocm.log   [47652]
O44 - LFC:[MD5.9858DE49AEA0885324231998E0D7DD81] - 14/09/2013 - 22:44:06 ---A- . (...) -- C:\WINDOWS\ntdtcsetup.log   [55048]
O44 - LFC:[MD5.F714C0E4382057906B49DA1A00BDC1FF] - 14/09/2013 - 22:44:06 ---A- . (...) -- C:\WINDOWS\ocgen.log   [130064]
O44 - LFC:[MD5.B85E2CEA6ACC95D45D0DE192F56A48EC] - 14/09/2013 - 22:44:06 ---A- . (...) -- C:\WINDOWS\ocmsn.log   [15048]
O44 - LFC:[MD5.297EFEF6A86A5D899077057A482192B3] - 14/09/2013 - 22:44:06 ---A- . (...) -- C:\WINDOWS\tsoc.log   [124124]
O44 - LFC:[MD5.954A94669812A86F0D1BED696E5DCF28] - 14/09/2013 - 22:44:05 ---A- . (...) -- C:\WINDOWS\FaxSetup.log   [272063]
O44 - LFC:[MD5.DE6795B3602D164B589558622347B00A] - 14/09/2013 - 22:44:05 ---A- . (...) -- C:\WINDOWS\msmqinst.log   [83930]
O44 - LFC:[MD5.66BD0C88D9A5CB1C59397E09324ED0E6] - 14/09/2013 - 22:43:59 ---A- . (...) -- C:\WINDOWS\updspapi.log   [33130]

Superflu (15)

Je soupçonne que la prochaine étape est ZHPFix, mais je ne suis pas sûr de l'utiliser correctement. Et donc me voilà à vous demander de l'aide.

 

(si vous préférez avoir le rapport complet de ZHPDiag, je peux le mettre sur un pastebin quelconque).

Modifié le 1 octobre 2013 par isyfur

[nardino]

Bonsoir,

Peux-tu héberger ton rapport sur Cjoint

Merci

[isyfur]

OK. Et voici: http://cjoint.com/?0ICsPWtxCO5

 

Merci à toi.

[nardino]

Bonjour,

 

Malwarebytes Anti-Rootkit sur le bureau

Décompresse le dossier mbar-1.01.0.1009.zip
Dans le dossier mbar-1.01.0.1009 et le sous-dossier mbar, clique sur le fichier mbar.exe

Dans la première fenêtre, après acceptation de l'exécution du fichier, clique sur Non



La fenêtre suivante annonce que cette version sera valide un mois et que l'utilisation se fait aux risques et périls de l'utilisateur.



Les trois images suivantes sont consacrées à la mise à jour de la base de définition de l'outil avant de lancer l'analyse.







Par défaut toutes les cases surlignées sont cochées, clique sur Scan pour lancer l'analyse des zones cochées.



Déroulement du scan.



A la fin clique sur Cleanup si des entrées sont affichées.
Redémarre le pc si demandé par l'outil.

Si rien n'est détecté cette fenêtre s'affichera.



Dans ce cas ne pas envoyer le rapport.
Si un nettoyage à été effectué, poste copie du rapport mbar-log-2012-**-** (**-**-**).txt, enregistré dans le dossier mbar.

 

Lance ZHPFix par l'icône sur le bureau

• 

Elle a été créée lors de l'installation de ZHPDiag.

Clique sur Importer dans la fenêtre de l'outil et sur OK dans le message suivant

*******

Tu copies le script suivant (dans l'encadré ci-dessous)

Script ZHPFix
C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job   
C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job   
C:\Program Files\System\SpeedUpMyPC 3
[HKLM\Software\Classes\TypeLib\{090ACFA1-1580-11D1-8AC0-00C0F00910F9}]   
[HKLM\Software\Classes\TypeLib\{B4E90801-B83C-11D0-8B40-00C0F00AE35A}]   
C:\Program Files\PDFCreator Toolbar  
C:\Documents and Settings\Isyfur\Local Settings\Application Data\eSupport.com  
EmptyFlash
EmptyTemp
EmptyCLSID

Tu le colles dans la fenêtre de ZHPFixt comme ci-dessous, tu cliques sur GO pour le lancer.



Confirme la suppression par Oui dans l'avertissement qui s'affiche



Le résultat va s'afficher dans la fenêtre de l'outil et un rapport va s'ouvrir avec le bloc-notes.

Tu envoies un copier-coller du rapport dans ta réponse, il est enregistré sur le bureau.

 

Deux mises à jour importantes à affectuer.

Java Runtime Environment
Ouvre cette page
Coche Accept License Agreement .
Clique sur Windows x86 Offline - 27.69 MB -jre-7u40-windows-i586.exe
Installe le fichier téléchargé.
Lis les clauses en cours d'installation. (Il n'est pas nécessaire d'installer les programmes tiers proposés).
Désinstalle toutes les autres versions existantes sur ton pc dans Ajout/Suppression des programmes ou Programmes et fonctionnalités selon le système.
Si tu ne modifies pas les paramètres, les nouvelles versions te seront proposées au téléchargement automatiquement.
La version 64 bit n'est utile que pour l'utilisation d'un navigateur en 64bit
Dans l'état actuel des choses il faut désactiver ce dernier dans ton navigateur et ne l'activer que si nécessaire.
Comment désactiver Java dans son navigateur

Acrobat Reader XI
Ouvre cette page
Choisis ton système d'exploitation, la langue souhaitée, la version Reader 11.0.4 French for Windows
Décoche Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur Télécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_reader11_fr_mssd_aih.exe
Ce fichier s'auto-détruira.

 

Mais surtout le plus important est de libérer de la place sur ton disque dur C. :System drive C: has 4 GB (5%) free of 75 GB

Il te faut gagner au moins 11 Go

@+

[isyfur]

Merci beaucoup.

Cela a l'air d'avoir bien marché -> http://cjoint.com/?3IEoaO3rbfq

 

Pour mbar, je n'avais pas lancé de version récente (car je savais que mon soucis était plus ancien que lui, et que j'avais oublié son existence sur un coin de mon disque). [Et la dernière version n'a effectivement rien trouvé]

 

Pour les versions, merci. J'avais zappé que reader ne passait pas automatiquement de la X à la XI.

 

Merci encore pour ton temps!

[nardino]

Bonsoir,

Pour terminer, nous allons supprimer tout ce qui n'est plus nécessaire et qui nous a servi à mener à bien cette désinfection.

Relance AdwCleaner par le bouton Désinstaller.

Vide la quarantaine de Malwarebytes.
Ouvre l'onglet Quarantaine et clique sur le bouton Tout supprimer
Referme le programme.

TFC de OldTimer
Sous Vista et Windows 7, il faut être sous un compte administrateur

Ferme toutes applications en sauvegardant le travail en cours sinon l'outil le fera.
Clique sur l'icône en forme de poubelle et sur le bouton Start.
Quand le nettoyage sera terminé, clique sur le bouton Exit pour quitter l'outil.


delfixsur ton bureau en cliquant sur Télécharger.
Il ne nécessite pas d'installation
Il va supprimer les outils utilisés pour cette désinfection.

Clique sur le fichier delfix.exe pour lancer l'outil.

Icône du fichier


Coche la case Supprimer les outils
Puis clique sur le bouton Exécuter



**Passe la question en résolu**
Edite le titre du message d'origine et ajoute [résolu]

Maintenant que nous avons remis le pc au clair, il serait judicieux de ne pas avoir à recommencer.
Je t'invite à lire ce que va t'afficher le lien ci-dessous. Clique dessus.

Conseils à lire

@+

[isyfur]

Merci encore.

 

Petite question tant que j'y suis. Dans les bonnes pratiques & cie, vous ne proposez pas de remplir le fichier hosts pour neutraliser les sites qui repackagent des freewares en leur rajoutant des sponsors. Il y a une raison particulière pour ne pas pousser dans cette direction ?

C'est une pratique que je connaissais avec la vaccination de spy-bot puis http://winhelp2002.mvps.org/hosts.htm, et je viens de croiser aussi http://www.malekal.com/2012/01/10/hosts-anti-pupsadware dans cette lignée.

[nardino]

Bonjour,

Effectivement tu peux installer le fichier Hosts de Malekal.

Mais tu sais on ne peut pas tout mettre dans une seule liste et plus est longue moins elle est lue.

Par expérience.

@+

.