Transfert sur site web non sollicité

[yodrack]

voici les rapports

 

http://cjoint.com/?DLipup18AIm ZHPCleaner

 

http://cjoint.com/?DLipvUCtmwt ZHPdiag

[pear]

Spybot est dépassé et à supprimer.

Eset est bien pour vérifier la santé du pc, mais il n'est pas actif en permanence.

Activez Windefender qui est très bon, sous windows 8.1.

 

1)Vous devez trouver les 2 icônes Zhpdiag, Zhpfix,
Sur le bureau ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)

Cliquer sur l'icône Zhpfix
Sous Vista et + clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquersur Importer
pour inscrire le texte dans la fenêtre vide qui s'ouvre




Script ZHPFix

O1 - Hosts: 192.95.55.228 www.google-analytics.com.
O1 - Hosts: 192.95.55.228 google-analytics.com.
O1 - Hosts: 192.95.55.228 connect.facebook.net.
O1 - Hosts: 85.25.107.66 www.google-analytics.com.
O1 - Hosts: 85.25.107.66 google-analytics.com.
O1 - Hosts: 85.25.107.66 connect.facebook.net.
O1 - Hosts: 146.0.75.24 www.google-analytics.com.
O1 - Hosts: 146.0.75.24 google-analytics.com.
O1 - Hosts: 146.0.75.24 connect.facebook.net.
O2 - BHO: Adobe Acrobat Create PDF Helper [64Bits] - {AE7CD045-E861-484f-8273-0445EE161910} . (.Adobe Systems Incorporated - Adobe PDF Toolbar for Internet Explorer.) -- C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect [64Bits] - {F4971EE7-DAA0-4053-9964-665D8EE6A077} . (.Adobe Systems Incorporated - Adobe PDF Toolbar for Internet Explorer.) -- C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe Acrobat Create PDF Toolbar - [HKLM]{47833539-D0C5-4125-9FA8-0819E2EAAC93} . (.Adobe Systems Incorporated - Adobe PDF Toolbar for Internet Explorer.) -- C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\x64\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Nvtmru] C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe (.not file.)
O4 - HKLM\..\Run: [synTPEnh] C:\Program Files (x86)\Synaptics\SynTP\SynTPEnh.exe (.not file.)
O4 - HKLM\..\Wow6432Node\Run: [DelaypluginInstall] C:\ProgramData\iSkysoft\iTube Studio\DelayPluginI.exe (.not file.)
[HKCR\CLSID\{33BCC8EC-0D01-4E10-AD3D-4DAF749873ED}] (Browser Application State)
[HKCR\CLSID\{ADBE6DEC-9B04-4A3D-A09C-4BB38EF1351C}] (XAML Browser Application)
[HKCR\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}] (Browser Application State)
[HKCR\CLSID\{33BCC8EC-0D01-4E10-AD3D-4DAF749873ED}] (Browser Application State)
[HKCR\CLSID\{ADBE6DEC-9B04-4A3D-A09C-4BB38EF1351C}] (XAML Browser Application)
[HKCR\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}] (Browser Application State)
Spybot - Search & Destroy v2.4.40
R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O4 - HKLM\..\Wow6432Node\Run: [DelaypluginInstall] C:\ProgramData\iSkysoft\iTube Studio\DelayPluginI.exe (.not file.)
[MD5.9CCE733E5262FB92C2331E8578512B49] [APT] [Check for updates] (.Safer-Networking Ltd..) -- C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe [4747720]
O42 - Logiciel: Spybot - Search & Destroy - (.Safer-Networking Ltd..) [HKLM][64Bits] -- {B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1
O43 - CFD: 15/11/2014 - 21:54:41 - [] ----D C:\Program Files (x86)\Spybot - Search & Destroy 2
O43 - CFD: 19/11/2014 - 10:21:27 - [] ----D C:\ProgramData\Spybot - Search & Destroy
O43 - CFD: 15/11/2014 - 21:46:23 - [] ----D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2
O47 - AAKE:Key Export SP - "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe" [Enabled] .(.Safer-Networking Ltd..) -- C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe
O47 - AAKE:Key Export SP - "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe" [Enabled] .(.Safer-Networking Ltd..) -- C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe
O47 - AAKE:Key Export SP - "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe" [Enabled] .(.Safer-Networking Ltd..) -- C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe
O47 - AAKE:Key Export SP - "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe" [Enabled] .(.Safer-Networking Ltd..) -- C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe
O61 - LFC: 05/12/2014 - 15:11:05 ---A- . (...) -- C:\Users\françois\AppData\Local\Temp\Quarantine.exe [601088]
SS - | Demand 24/06/2014 1738168 | (SDScannerService) . (.Safer-Networking Ltd..) - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe
SS - | Demand 27/06/2014 2088408 | (SDUpdateService) . (.Safer-Networking Ltd..) - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe
SS - | Demand 25/04/2014 171928 | (SDWSCService) . (.Safer-Networking Ltd..) - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe
P2 - FPN: [HKLM] [@mcafee.com/MSC,version=10] - (...) -- C:\Program Files (x86)\mcafee\msc\NPMCSN~1.dll (.not file.)



EmptyPrefetch
EmptyFlash
EmptyClsid
FirewallRaz
Ifeofix
Proxyfix
ShortcutFix
Sysrestore



Cliquer sur "Go" en bas, à gauche

Redémarrer pour achever le nettoyage.

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .
Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt



2)Si besoin Mises à jour Java

JavaUpdate

Java peut mettre en péril la sécurité de votre ordinateur.
Il vous est fortement conseillé de le désactiver de vos navigateurs WEB, si vous en avez pas l'utilité.
Lorsqu'une application Java se présentera, un message d'avertissement vous demandera d'installer Java ou d'activer le plug-in.
Vous le désactiverez dès que vous aurez fini d'utiliser l'application écrite en Java.

Désactivez l'antivirus en cas de blocage .
Mise à Jour sécurisée de Flash par Pierre13

3)Il faut Réinitialiser votre Navigateur
en cliquant ici

Cela désinstallera plugins et extensions que vous pourrez réinstaller avec la prudence nécessaire


4)Télécharger SFTGC.exe
sur le Bureau, impérativement sous peine de risquer un plantage


Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.
Il peut donc être nécessaire de désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de la désinfection
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

Sous XP, double cliquer sur le fichier.
Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.
Un rapport apparait sur le bureau
Les fichiers supprimés sont dans la corbeille.
Cela donne la possibilité de replacer les fichiers supprimés par erreur dans leur dossier original.
Il suffit de faire un clic droit sur le fichier concerné => Restaurer.
Pour les supprimer, clic droit sur la corbeille => Vider la corbeille.

Comment poster les rapports
Aller sur le site :Ci-Joint

Appuyer sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Noter que le copier/coller de l'adresse ne fonctionne pas sous Firefox.
Dans ce cas, clic droit sur l'URL et, dans le menu contextuel qui s'ouvre, choisir « Copier l'adresse du lien »

Modifié le 8 décembre 2014 par pear

[yodrack]

bonjour

 

voici les rapports d'exécution

 

ZHPfix : http://cjoint.com/?DLitauOKNPq

 

ZHPdiag : http://cjoint.com/?DLis7rQDDCy

 

SFTGC : http://cjoint.com/?DLis6pfZJo3

 

il reste toujours le PUP.CrossRider qui revient toujours même après suppression.

 

merci pour vos conseils

[pear]

On en aurait oublié ?

 

Vous devez trouver les 2 icônes Zhpdiag, Zhpfix,
Sur le bureau ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)

Cliquer sur l'icône Zhpfix
Sous Vista et + clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquersur Importer
pour inscrire le texte dans la fenêtre vide qui s'ouvre


Script ZHPFix

[HKCR\CLSID\{33BCC8EC-0D01-4E10-AD3D-4DAF749873ED}] (Browser Application State)
[HKCR\CLSID\{ADBE6DEC-9B04-4A3D-A09C-4BB38EF1351C}] (XAML Browser Application)
[HKCR\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}] (Browser Application State)
[HKCR\CLSID\{33BCC8EC-0D01-4E10-AD3D-4DAF749873ED}] (Browser Application State)
[HKCR\CLSID\{ADBE6DEC-9B04-4A3D-A09C-4BB38EF1351C}] (XAML Browser Application)
[HKCR\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}] (Browser Application State)


EmptyPrefetch
EmptyFlash
EmptyClsid
FirewallRaz
Ifeofix
Proxyfix
ShortcutFix
Sysrestore



Cliquer sur "Go" en bas, à gauche

Redémarrer pour achever le nettoyage.

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .
Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

[yodrack]

voici le nouveau rapport de fix http://cjoint.com/?DLixfxD0S3u

 

et le rapport de ZHPdiag executé dans la foulée http://cjoint.com/?DLixgnwRD7J

 

le PUP.CrossRider a la peau dure !

[pear]

Je suis surpris.

 

Zhpfix est-il bien lancé avec droits administrateur ?

 

autre solution:

 

Télécharger sur le bureauOTM by OldTimer .
Double-clic sur OTM.exe pour le lancer.
Sous Vista et +,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur
Dans le cadre gauche, "Paste Instructions...."

Copiez /Collez les lignes ci dessous) en vert:
:Files
:Reg
[-HKCR\CLSID\{33BCC8EC-0D01-4E10-AD3D-4DAF749873ED}] (Browser Application State)
[-HKCR\CLSID\{ADBE6DEC-9B04-4A3D-A09C-4BB38EF1351C}] (XAML Browser Application)
[-HKCR\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}] (Browser Application State)
[-HKCR\CLSID\{33BCC8EC-0D01-4E10-AD3D-4DAF749873ED}] (Browser Application State)
[-HKCR\CLSID\{ADBE6DEC-9B04-4A3D-A09C-4BB38EF1351C}] (XAML Browser Application)
[-HKCR\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}] (Browser Application State)



:Commands
:Commands
[purity]
[emptytemp]
[Reboot]

Revenez dans OTM,
Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).
Click le bouton rouge Moveit!
Fermez OTM
Votre Pc va redémarrer.
Rendez vous dans le dossier C:\_OTM\MovedFiles ,
ouvrez le dernier fichier .log
Copiez/collez en le contenu dans votre prochaine réponse

[yodrack]

bonjour,

 

pour être bien sûr j'ai refait ZHPfix en mode admin : le resultat est le même qu'auparavent.

 

j'ai donc fait OTM en admin et voici le resultat :

 

All processes killed
========== FILES ==========
========== REGISTRY ==========
Registry key HKEY_CLASSES_ROOT\CLSID\{33BCC8EC-0D01-4E10-AD3D-4DAF749873ED}] (Browser Application State\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33BCC8EC-0D01-4E10-AD3D-4DAF749873ED}] (Browser Application State\ not found.
Registry key HKEY_CLASSES_ROOT\CLSID\{ADBE6DEC-9B04-4A3D-A09C-4BB38EF1351C}] (XAML Browser Application\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ADBE6DEC-9B04-4A3D-A09C-4BB38EF1351C}] (XAML Browser Application\ not found.
Registry key HKEY_CLASSES_ROOT\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}] (Browser Application State\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}] (Browser Application State\ not found.
Registry key HKEY_CLASSES_ROOT\CLSID\{33BCC8EC-0D01-4E10-AD3D-4DAF749873ED}] (Browser Application State\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33BCC8EC-0D01-4E10-AD3D-4DAF749873ED}] (Browser Application State\ not found.
Registry key HKEY_CLASSES_ROOT\CLSID\{ADBE6DEC-9B04-4A3D-A09C-4BB38EF1351C}] (XAML Browser Application\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ADBE6DEC-9B04-4A3D-A09C-4BB38EF1351C}] (XAML Browser Application\ not found.
Registry key HKEY_CLASSES_ROOT\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}] (Browser Application State\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}] (Browser Application State\ not found.
========== COMMANDS ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: françois
->Temp folder emptied: 1522 bytes
->Temporary Internet Files folder emptied: 3465236 bytes
->FireFox cache emptied: 26981045 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 1947 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 16037076 bytes

Total Files Cleaned = 44,00 mb


OTM by OldTimer - Version 3.1.21.0 log created on 12092014_101607

Files moved on Reboot...
C:\Users\françois\AppData\Local\Microsoft\Windows\INetCache\counters.dat moved successfully.

Registry entries deleted on Reboot...

 

 

 

j'ai réessayé ZHPdiag à la suite et les infos de PUP sont toujours dedans

---\\ Recherche de clés de registre CLSID (O101)
[HKCR\CLSID\{33BCC8EC-0D01-4E10-AD3D-4DAF749873ED}] (Browser Application State) =>PUP.CrossRider
[HKCR\CLSID\{ADBE6DEC-9B04-4A3D-A09C-4BB38EF1351C}] (XAML Browser Application) =>PUP.CrossRider
[HKCR\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}] (Browser Application State) =>PUP.CrossRider
~ BCK: 5494 Scanned in 00mn 05s

un nouveau problème depuis ce matin, au boot le bloc note s'ouvre avec desktop.ini et il contient les lignes suivantes:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

 

ça n'a pas l'air d'affecter le systeme.

 

cordlt

[pear]

Pas simple!

 

Otm ne les voit pas mais Zhp les voit sans les détruire.

 

1)Télécharger sur le bureauOTM by OldTimer .
Double-clic sur OTM.exe pour le lancer.
Sous Vista et +,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur
Dans le cadre gauche, "Paste Instructions...."

Copiez /Collez les lignes ci dessous) en vert:
:Files
:Reg
[-HKCR\CLSID\{33BCC8EC-0D01-4E10-AD3D-4DAF749873ED}]
[-HKCR\CLSID\{ADBE6DEC-9B04-4A3D-A09C-4BB38EF1351C}]
[-HKCR\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}]

:Commands
:Commands
[purity]
[emptytemp]
[Reboot]

Revenez dans OTM,
Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).
Click le bouton rouge Moveit!
Fermez OTM
Votre Pc va redémarrer.
Rendez vous dans le dossier C:\_OTM\MovedFiles ,
ouvrez le dernier fichier .log
Copiez/collez en le contenu dans votre prochaine réponse


Réinitialiser le navigateur

 

2)On tente autre chose :

Télécharger OTL sur le bureau





Si la protection en temps réel de Malwarebytes Anti-Malware est activée..
Il faut absolument la désactiver sous peine de plantage dans MBAM version PRO ou dans MBAM version gratuite si la période d'essai (de 14 jours de la version PRO) est en cours

Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
Cochez]----------------->Tous les utilisateurs (scan all users)
Sous Rapport (output)
Cliquez ----------------------------->Rapport Standard (Standard Output)
Sous Régistre Standard(Standard Registry) cocher Tous(All)
Cochez------------------------------> Lop check et Purity check

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous, en vert:


SAVEMBR:0
NetSvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
%USERPROFILE%\AppData\Local\*.*
%USERPROFILE%\AppData\Roaming\*.*
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
afd.sys
ahcix86s.sys
atapi.sys
iaStor.sys
iastorv.sys
ipsec.sys
netbt.sys
tcpip.sys
nvrd32.sys
nvstor.sys
nvstor32.sys
explorer.exe
ntoskrnl.exe
services.exe
userinit.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT

Clic sur Analyse
une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir

Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Noter que le copier/coller de l'adresse ne fonctionne pas sous Firefox.
Dans ce cas, clic droit sur l'URL et, dans le menu contextuel qui s'ouvre, choisir « Copier l'adresse du lien »

Modifié le 9 décembre 2014 par pear

[yodrack]

voici le rapport otl http://cjoint.com/?DLjlLLbwe8x

 

 

(a la fin, il y a un truc écrit en chinois, c'est peut être normal car j'apprends le chinois et je vais sur des sites (à priori sérieux) chinois)

[yodrack]

voici le rapport extra : http://cjoint.com/?DLjlPWhWOrM