[Résolu] Supprimer Plus H-D 4.9 ?

[robigus]

Bonjour,

 

Mon PC a eu la malchance d'installer ce virus il semblerait lors du téléchargement d'un logiciel sur un site pas top mais je n'étais pas au courant.

Je suis avec W7 et j'utilise Firefox. J'ai vu qu'il y avait déjà quelques cas en faisant une recherche sur le forum, mais il semblerait que chaque situation soit un peu différente.

 

J'attends vos conseils de désinfection de ce Plus HD 4-9 qui commence à empoisonner l'ordi familial...

 

Merci d'avance.

 

Robigus

Modifié le 25 janvier 2014 par robigus

[bernard53]

Bonsoir.

Fait ceci.

Télécharge AdwCleaner d'Xplode sur ton bureau.

 

Ensuite :

Valide le mode Scanner

 

 

Puis : valide Rapport et si des intrusions sont détectées valide alors le mode Nettoyer

 

Possibilité après ce lancement d’une demande de redémarrage pour valider toutes les suppressions.

 

- Au redémarrage, un rapport s'ouvrira. Postes le sur le forum.

 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[s1].txt

Mets les rapports ici car ils prennent bien de la place.

http://cjoint.com/

ou.

http://www.1fichier.com/

 

 

 

Ensuite :

Télécharge Junkware Removal Tool sur le bureau: lien ici

( patientez quelques instants, ensuite clic sur " Enregistrer" à l'apparition du fichier à télécharger JRT.exe )

Une fois le téléchargement terminé,

 

Sous XP, double-clique sur l'icône de JRT.exe pour démarrer l'outil.

Sous Vista/Seven/et Windows 8, clic droit sur le fichier téléchargé( JRT.exe ) et choisir "exécuter en tant qu'administrateur".

 

Une fenêtre va s'ouvrir, appuie sur une touche pour continuer...

 

 

Afin de ne pas fausser les rapports, ne passer l'outil qu'une seule fois svp!

Si l'antivirus fait des siennes :arrow: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Ensuite, patiente le temps du scan de l'outil, il va faire une sauvegarde du "registre" pour commencer et ensuite scanner différents modules de ton PC.

NB: Le bureau disparaitra quelques instants, c’est normal.

 

 

Une fois tout ton PC examiné tu auras cette fenêtre:

 

 

Poste le rapport généré à la fin de l'analyse.

 

Pour rappel:

Fais un ctrl + a, à l'intérieur de la fenêtre de ton bloc note (présent sur le bureau) puis un ctrl +c, pour copier ton rapport dans ta réponse sur le forum. ( ctrl+v )

 

Mets les rapports ici car ils prennent bien de la place.

http://cjoint.com/

ou.

http://www.1fichier.com/

 

 

Ensuite :

Télécharges http://nicolascoolman.webs.com/'> ZHPDIAG (de Nicolas Coolman) sur ton bureau...
Doubles-clique sur l'icône ZHPDiag .exe pour l’installation.

L'installation va créer 2 raccourcis (ZHPDiag et ZHPFix ) sur ton bureau

 

Double-clique ensuite sur l’icône ZHPDiag pour le lancer l’analyse puis :

 

A la fin du scan le rapport est sauvegardé directement sur ton bureau. ZHPDiag.txt

Mets le rapport ici car il prend bien de la place.

http://cjoint.com/

ou.

http://www.1fichier.com/

[robigus]

Rapport AwdCleaner:

http://cjoint.com/?DAzjyVk5Uzb

 

Rapport Jrt:

Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.0 (01.07.2014:1)
OS: Windows 7 Home Premium x64
Ran by proprietaire on 25/01/2014 at 9:28:42,97
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\installer\upgradecodes\f928123a039649549966d4c29d35b1c9
Successfully deleted: [Registry Key] "hkey_current_user\software\microsoft\internet explorer\low rights\elevationpolicy\{a5aa24ea-11b8-4113-95ae-9ed71deaf12a}"



~~~ Files

Successfully deleted: [File] C:\Windows\Tasks\Plus-HD-4.9-chromeinstaller.job
Successfully deleted: [File] C:\Windows\Tasks\Plus-HD-4.9-codedownloader.job
Successfully deleted: [File] C:\Windows\Tasks\Plus-HD-4.9-firefoxinstaller.job
Successfully deleted: [File] "C:\Users\Public\Desktop\iLivid Download Manager.lnk"



~~~ Folders

Successfully deleted: [Folder] "C:\ProgramData\{b49a644a-1076-4a3d-b124-daa7862f2318}"
Successfully deleted: [Folder] "C:\Users\proprietaire\appdata\locallow\datamngr"



~~~ FireFox

Successfully deleted: [Folder] C:\Users\proprietaire\AppData\Roaming\mozilla\firefox\profiles\sdbvjxi8.default\extensions\d019febe-eb2b-4057-a3f2-7def88f2c9cd@1cced8ec-0ffe-43ea-b4b2-fbce5de8e9a4.com
Emptied folder: C:\Users\proprietaire\AppData\Roaming\mozilla\firefox\profiles\sdbvjxi8.default\minidumps [135 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 25/01/2014 at 9:41:45,02
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[robigus]

Et voilà le dernier scan avec ZHPDiag (j'ai du lancé 2 fois car la première le programme s'est bloqué à 95% et ne répondait plus.)

http://cjoint.com/?DAzkbwrVPHA

[bernard53]

ok ceci.

* Copie tout le texte présent que tu télécharges dans le lien ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

 

http://cjoint.com/?DAzkzqvOyNk

 

Puis Lance ZHPFix depuis le raccourci du bureau.

Valides l’icône IMPORTER

 

 

puis valide GO dans cette fenêtre.

 

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

A la fin du scan le rapport est sauvegardé directement sur ton bureau. ZHPFixReport.txt

Mets le rapport ici car il prend bien de la place.

http://cjoint.com/

ou.

http://www.1fichier.com/

 

Ensuite:

Installe Malewarebytes' Antimalware,

 

http://malwarebytes.org/products/malwarebytes_free

 

Prends bien la version FREE << et ne pas valider l'essai de la version PRO >> lors de l’installation.

*** Met-le à jour puis choisi, Fait juste un scan rapide

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final En choisissant l'onglet Rapports/Logs dans MalwaresBytes

[robigus]

Et voilà les 2 rapports:

 

ZHP Fix:

Rapport de ZHPFix 2014.1.17.2 par Nicolas Coolman, Update du 17/01/2014
Fichier d'export Registre :
Run by proprietaire at 25/01/2014 11:33:00
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 06s)
Réparation des raccourcis navigateur

========== Logiciels ==========
ABSENT Uninstall Process: c:\program files (x86)\plus-hd-4.9\uninstall.exe

========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\Users\proprietaire\Downloads\cacaoweb.exe

========== Clés du Registre ==========
SUPPRIMÉ Logiciel Key: [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Plus-HD-4.9]
SUPPRIMÉ: Service: WinkHandler
SUPPRIMÉ: HKCU\Software\AppDataLow\Software\Plus-HD-4.9
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\2B1E51D87B2D71A44BB42DDD5E894160
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\5E0C8759C69912A4485AD49572CE7CA3
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2

========== Valeurs du Registre ==========
SUPPRIMÉ: {47419069-086F-41BE-9225-5F9035868393}
SUPPRIMÉ: {7A09D0D9-D020-4593-ADF3-CA5BA1198C74}
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-In-TCP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIMÉ: FirewallRaz (None) : {2407CAEC-9899-48DA-A0C1-C85846D249AC}
SUPPRIMÉ: FirewallRaz (Domain) : {F1D028F3-3748-4BE3-9DAB-2325A402ECAA}
SUPPRIMÉ: FirewallRaz (Domain) : {2AC704BF-E96C-4001-B2EA-770831E2F37E}
SUPPRIMÉ: FirewallRaz (Public) : {6143E235-1A18-49B3-94E1-1C6C48DF3069}
SUPPRIMÉ: FirewallRaz (Public) : {F3C66914-4D4C-4463-8C77-E74A00AE6BD0}
SUPPRIMÉ: FirewallRaz (Domain) : {33E40C79-7B9A-4D69-B50D-9554456A727E}
SUPPRIMÉ: FirewallRaz (Domain) : {6A3402CB-27B6-43FE-A17D-34407C234F45}
SUPPRIMÉ: FirewallRaz (Domain) : {7B1AC57B-9B29-4582-BFC4-9E48A77576C4}
SUPPRIMÉ: FirewallRaz (Domain) : {5DCA1280-4ADD-4447-B2B6-39C5F3F82568}
SUPPRIMÉ: FirewallRaz (Public) : {38D42B5C-2731-4390-AD34-24448665D66B}
SUPPRIMÉ: FirewallRaz (Public) : {D180ECA1-67F3-415C-BD33-D9C33C7F12D3}
SUPPRIMÉ: FirewallRaz (Public) : {9ECFA6D8-A8A6-4D55-84BA-4FB0FD13E49E}
SUPPRIMÉ: FirewallRaz (Public) : {E50BF1CE-196D-4A09-81F5-A0BAAEDB2B43}

========== Dossiers ==========
SUPPRIMÉ: C:\Program Files (x86)\Plus-HD-4.9
SUPPRIMÉ: c:\users\proprietaire\appdata\local\temp\iminent
SUPPRIMÉS Temporaires Windows (233)

========== Fichiers ==========
SUPPRIMÉ: c:\windows\prefetch\plus-hd-4.9-codedownloader.ex-dc656076.pf
SUPPRIMÉ: c:\windows\prefetch\plus-hd-4.9-chromeinstaller.e-3ca7b838.pf
SUPPRIMÉ: c:\windows\prefetch\plus-hd-4.9-firefoxinstaller.-a7de8d81.pf
SUPPRIMÉ: c:\users\proprietaire\appdata\local\google\chrome\user data\default\extensions\jjflmfkjppbmejlfbhlpgjnomdoefkfa\1.26.36_0\crossridermanifest.json
SUPPRIMÉ: c:\users\proprietaire\appdata\local\google\chrome\user data\default\extensions\jjflmfkjppbmejlfbhlpgjnomdoefkfa\1.26.36_0\js\lib\installer.js
SUPPRIMÉ: C:\Windows\Installer\1cc498a.msi
SUPPRIMÉS Temporaires Windows (979) (2 500 418 945 octets)

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
1 : Processus mémoire
27 : Clés du Registre
23 : Valeurs du Registre
3 : Dossiers
7 : Fichiers
1 : Logiciels
1 : Restauration Système


End of clean in 00mn 47s

========== Chemin de fichier rapport ==========
C:\Users\proprietaire\AppData\Roaming\ZHP\ZHPFix[R1].txt - 25/01/2014 11:33:07 [6593]

Et Malwarebytes:

 

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.01.25.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
proprietaire :: AMD [administrateur]

25/01/2014 11:37:28
mbam-log-2014-01-25 (11-37-28).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 234724
Temps écoulé: 4 minute(s), 33 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Plus-HD-4.9 (PUP.Optional.PlusHD.A) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 9
C:\Windows\System32\ALZALZ.BIN (Spyware.Passwords) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\ALZZip.BIN (Spyware.Passwords) -> Mis en quarantaine et supprimé avec succès.
C:\Users\proprietaire\Downloads\SoftonicDownloader_for_faststone-image-viewer.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
C:\Users\proprietaire\Downloads\SoftonicDownloader_pour_free-ringtone-maker.exe (PUP.Optional.Softonic.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\proprietaire\Local Settings\Temporary Internet Files\Content.IE5\7X90ME8R\IminentMinibarIE[1].exe (PUP.Optional.Iminent.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\proprietaire\Local Settings\Temporary Internet Files\Content.IE5\P4SQ9MP6\MinibarChrome[1].exe (PUP.Optional.Iminent.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\proprietaire\Local Settings\Temporary Internet Files\Content.IE5\P4SQ9MP6\MinibarFirefox[1].exe (PUP.Optional.Iminent.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\proprietaire\Local Settings\Temporary Internet Files\Content.IE5\PUCG7NRJ\metro[1].exe (PUP.Optional.Iminent.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\proprietaire\AppData\Roaming\Mozilla\Extensions\{1FD91A9C-410C-4090-BBCC-55D3450EF433} (PUP.Optional.Searchqu.A) -> Mis en quarantaine et supprimé avec succès.

(fin)

[bernard53]

Comment va ton pc cette fois?

[robigus]

Nickel, ça semble mieux fonctionner, plus de ad partout et de fenêtres intempestives. Merci pour les manips, on est vraiment bien guidé avec vous.

Je suis curieux de savoir ce que faisait là ce plus HD49. Je suis assez vigilent quand j'installe des trucs, en décochant la Ask barre ou autre mais là, rien vu de tel. J'espère que ce virus ou assimilé n'est pas néfaste.

[bernard53]

Très bien te voila tranquille.

Avec ce genre de logiciel tout est bon pour arnaquer les personnes.

 

Juste ceci pour terminer.

* Télécharge << DelFix >>(d'Xplode) sur ton bureau.

* Lance le, puis coche les cases suivantes :

 

 

Supprimer les outils de désinfection

 

* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.

 

Et valide ton post en résolu s.t.p.

http://forum.zebulon.fr/comment-afficher-son-sujet-comme-resolu-t180253.html

Bon après midi.

[robigus]

C'est fait! Merci vous êtes très pro.