[Résolu] Présence d'infections sous Windows 10

[Invité Notpa]

Bonjour amis helpeurs sécu !

 

Suite à un plantage de mon PC sous Win 10 Pro (http://forum.zebulon.fr/demarrage-de-win-10-impossible-suite-a-suppressions-de-pups-t215341.html), j'ai passé ZHPDiag 2016 et il m'a trouvé 2 ou 3 infections (les rapports dans le sujet ouvert précédemment ne donnent pas le même chiffre !).

 

Je vous joint donc le rapport d'analyse : http://www.cjoint.com/c/FBmkOTw7iAs

 

Merci de m'indiquer la marche à suivre.

 

A+

 

Notpa

[Apollo]

Salut l'ami Modo.

 

Crée toujours un point de restauration au cas où... http://windows.microsoft.com/fr-fr/windows-10/create-a-system-restore-point

 

--------------

Télécharger ZHPcleaner de Nicolas Coolman: http://www.nicolascoolman.fr/download/zhpcleaner/ sur le bureau. (à ne pas confondre avec ZhpDiag... )

 

Il ne nécessite aucune installation.

 

 

Le lancer par double-clic sous XP et par clic droit/exécuter en temps qu'administrateur sous Windows Vista/7/8/10

 

Cliquer sur Scanner puis sur Nettoyer.

 

Le rapport de réparation sera généré sur le bureau: poste-le dans ta réponse stp.

 

 

 

@++

[Invité Notpa]

OK l'ami. Je fais ça et je reviens.

 

Merci du coup de main (ou plutôt de doigt sur le clavier !).

[Invité Notpa]

Coucou, me revoilou !

 

Analyse de ZHPCleaner :

 

 

 

 

Nettoyage de ZHPCleaner :

 

 

Ce dont j'ai du mal à suivre, ce sont les chiffres : l'analyse dit 46 et 3 infections trouvées, pour le Cleaner dit 32.

 

Bref, voici le rapport de ZHPCleaner :

~ ZHPCleaner v2016.2.11.24 by Nicolas Coolman (2016/02/11)

~ Run by Mulot-13 Admin (Administrator) (12/02/2016 13:43:17)

~ Site : http://www.nicolascoolman.fr

~ Facebook : https://www.facebook.com/nicolascoolman1

~ State version : Version OK

~ Type : Nettoyer

~ Report : C:\Users\Mulot-13 Admin\Desktop\ZHPCleaner.txt

~ Quarantine : C:\Users\Mulot-13 Admin\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt

~ UAC : Activate

~ Boot Mode : Normal (Normal boot)

Windows 10 Pro, 64-bit (Build 10586)

 

---\\ Service. (0)

~ Aucun élément malicieux ou superflu trouvé.

 

---\\ Navigateur internet. (0)

~ Aucun élément malicieux ou superflu trouvé.

 

---\\ Fichier hôte. (1)

~ Le fichier hôte est légitime. (117)

 

---\\ Tâche planifiée. (0)

~ Aucun élément malicieux ou superflu trouvé.

 

---\\ Explorateur ( Dossiers, Fichiers ). (30)

DEPLACÉ fichier*: C:\Users\Mulot-13 Admin\AppData\Roaming\iWin =>PUP.Optional.iWinArcade

DEPLACÉ dossier: C:\ProgramData\Trymedia =>PUP.Optional.Trymedia

DEPLACÉ dossier: C:\WINDOWS\Installer\MSI12A6.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSI149C.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSI15B6.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSI16FF.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSI825.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSI8F71.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSI904D.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSI9187.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSI9282.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSI937D.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSI9469.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSI9BFB.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSI9D06.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSI9EE2.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSIA2EA.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSIA415.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSIA5C4.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSIA723.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSIA7B1.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSIA85E.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSIAAB0.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSIAB2E.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSIB4A8.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSIC79D.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSID432.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSID6C4.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSID7EE.tmp- =>Empty

DEPLACÉ dossier: C:\WINDOWS\Installer\MSID928.tmp- =>Empty

 

---\\ Base de Registres ( Clés, Valeurs, Données ). (2)

SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Wow6432Node\Trymedia Systems [] =>PUP.Optional.Trymedia

SUPPRIMÉ valeur: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder\\MyPC Backup.lnk [0x03000000C0E600A8CEA1CF01] =>PUP.Optional.MyPCBackup

 

---\\ Récapitulatif des éléments trouvés sur votre station. (3)

 

---\\ Nettoyage Additionnel. (16)

~ Suppression des Clés de registre Tracing. (15)

~ Suppression des anciens rapports ZHPCleaner. (1)

 

---\\ Bilan de la réparation

~ Réparation réalisée avec succès.

~ Ce navigateur est absent (Opera Software)

 

---\\ Statistiques

~ Items scannés : 1914

~ Items trouvés : 0

~ Items annulés : 0

~ Items réparés : 32

 

~ End of clean in 00h00mn47s

===================

ZHPCleaner-[R]-10042015-16_15_56.txt

ZHPCleaner-[R]-12022016-13_44_04.txt

ZHPCleaner--12022016-13_41_15.txt

Faut-il supprimer le dossier C:\Users\Mulot-13 Admin\AppData\Roaming\ZHP\Quarantine ?

 

A de suite !

Notpa

 

PS : je fais souvent une sauvegarde système avec Quick Restore Maker. Ce que je viens de faire de suite !

[Apollo]

Cela n'est pas nécessaire pour le dossier quarantaine, Delfix désinstalle tout ça.

 

Juste pour faire la vérification à fond, passe JRT et AdwCleaner.

 

1) Télécharge Junkware Removal Tool sur le bureau: http://downloads.malwarebytes.org/file/jrt

 

http://www.bleepingcomputer.com/download/junkware-removal-tool/

 

 

 

 

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

Prendre patience pendant que JRT tourne, il est plus lent qu'AdwCleaner.

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

>>>Si le rapport est long, l'héberger ici: http://cjoint.com ou http://dl.free.fr/

 

 

 

 

------------------------------

*** Si tu as une ancienne version d'AdwCleaner, lance-le et clique sur désinstaller.***

 

2) Télécharge AdwCleaner par Xplode.

 

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Scanner et laisse travailler l'outil.

 

Cliquer sur Nettoyer, le bouton sera accessible.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[C1]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

 

A lire absolument: http://www.vista-xp.fr/forum/topic5482.html

http://www.vista-xp.fr/forum/topic10389.html

 

-------------------------

 

@++

 

je fais souvent une sauvegarde système avec Quick Restore Maker. Ce que je viens de faire de suite !

J'ignorais qu'il était compatible Windows 10, merci pour l'info.

 

@++

[Invité Notpa]

JRT et ADWCleaner passés avec succès. Rapport :

 

 

# AdwCleaner v5.033 - Rapport créé le 12/02/2016 à 14:24:54
# Mis à jour le 07/02/2016 par Xplode
# Base de données : 2016-02-07.2 [serveur]
# Système d'exploitation : Windows 10 Pro (x64)
# Nom d'utilisateur : Mulot-13 Admin - NONOW8
# Exécuté depuis : C:\Users\Mulot-13 Admin\Desktop\adwcleaner_5.033.exe
# Option : Nettoyer
# Support : http://toolslib.net/forum

***** [ Services ] *****


***** [ Dossiers ] *****

[-] Dossier Supprimé : C:\Users\Mulot-13 Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\mipony

***** [ Fichiers ] *****

[-] Fichier Supprimé : C:\Users\Mulot-13 Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MiPony.lnk

***** [ DLLs ] *****


***** [ Raccourcis ] *****


***** [ Tâches planifiées ] *****


***** [ Registre ] *****

[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MiPony.exe
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3CCC052E-BDEE-408A-BEA7-90914EF2964B}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{61F47056-E400-43D3-AF1E-AB7DFFD4C4AD}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A8F7D0A5-7074-40B8-9BDC-1174BDD0A132}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D14D64BC-A0E4-42E3-BB72-FB41EA43C198}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DD1F043F-ABC8-4643-8B95-D2C5B22BB019}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E3F3E8F9-F747-4DD6-BA6B-82A6CE1E0860}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ED0B64D4-BF27-4521-AD27-190F49BF5EA7}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{023E9EC8-B147-40EB-B0B3-DF90618FB371}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0522D9A4-4D57-437D-978D-E5B3B6C9005D}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{07F41522-AF7D-4F26-B394-094F059FDB8A}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0C40F472-7407-4467-8914-1DEA7C326972}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{212E6D43-6062-492A-B8CC-144669FF11ED}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{224FE662-1E6D-4BC0-AEBB-9E2FB4057BE9}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3A807417-B46D-4D37-8C9A-19AC6DE204F9}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3CC60715-D6C5-429D-830E-43FA3F86C61D}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4517D94C-19BA-46FA-BE66-2A30CEAC4A85}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{555D7146-94A8-4C94-AE76-C39CDC7F7705}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{59D188FA-757A-424E-8C93-F58FFD896BD7}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8120D9D6-785C-4413-9C0C-DF2028C56FAD}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{823AE2EB-E62C-4847-B192-C99B91B92416}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9B4F7CFE-987D-410E-A8E4-20182E0B3C24}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9B9A45F4-18FC-484A-BACA-076D78273D8E}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A6D54287-7939-466A-8579-92546D946C8C}
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A78EDAFB-926F-4D93-AB13-8232D7378EB1}
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B96B5D3-4A8D-42DC-9CDE-E9B94B3CFE5D}
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5645E0E7-FC12-43BF-A6E4-F9751942B298}
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{ACCC747B-2A59-4F30-BA7C-D26333DE65F5}
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
[-] Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID [{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}]
[-] Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID [{58124A0B-DC32-4180-9BFF-E0E21AE34026}]
[-] Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID [{977AE9CC-AF83-45E8-9E03-E2798216E2D5}]
[-] Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID [{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MiPony

***** [ Navigateurs ] *****


*************************

:: Clés "Tracing" supprimées
:: Paramètres Winsock réinitialisés

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [4484 octets] ##########

 

Et maintenant ? Delfix je suppose ?

[Apollo]

Yes, si tout va bien.

 

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. https://toolslib.net/downloads/viewdownload/2-delfix/

Lance-le et coche "Supprimer les outils de désinfection" ET "purger la restauration système" ; >> Exécuter.

 

 

Delfix s'autodétruira ensuite.

• Pense à éditer ton premier post pour ajouter [Résolu] devant le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.

Utilise pour ça, l'éditeur complet

 

 

@++

[Invité Notpa]

OK :

 

 

# DelFix v1.011 - Rapport créé le 12/02/2016 à 14:48:41
# Mis à jour le 18/08/2015 par Xplode
# Nom d'utilisateur : Mulot-13 Admin - NONOW8
# Système d'exploitation : Windows 10 Pro (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\RegBackup
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\Users\Mulot-13 Admin\Desktop\adwcleaner_5.033.exe
Supprimé : C:\Users\Mulot-13 Admin\Desktop\JRT.exe
Supprimé : C:\Users\Mulot-13 Admin\Desktop\JRT.txt
Supprimé : C:\Users\Mulot-13 Admin\Desktop\ZHPCleaner.exe
Supprimé : C:\Users\Mulot-13 Admin\Desktop\ZHPCleaner.lnk
Supprimé : C:\Users\Mulot-13 Admin\Desktop\ZHPCleaner.txt
Supprimé : C:\Users\Mulot-13 Admin\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Mulot-13 Admin\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Mulot-13 Admin\Downloads\ZHPDiag3(1).exe
Supprimé : C:\Users\Mulot-13 Admin\Downloads\ZHPDiag3.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

Supprimé : RP #15 [Point de contrôle planifié | 01/25/2016 19:06:36]
Supprimé : RP #16 [Point de contrôle planifié | 02/03/2016 18:48:56]
Supprimé : RP #17 [Windows Update | 02/10/2016 08:25:03]
Supprimé : RP #18 [Quick Restore Maker Generated | 02/12/2016 08:53:15]
Supprimé : RP #19 [Quick Restore Maker Generated | 02/12/2016 13:02:03]
Supprimé : RP #20 [JRT Pre-Junkware Removal | 02/12/2016 13:14:14]

Nouveau point de restauration créé !

########## - EOF - ##########

 

Merci pour tout ! Je boirai une Duvel à ta santé !

Et pour ce qui est de passer en résolu, ne t'inquiète pas, j'ai l'habitude !

Merci encore pour tout le bon boulot que tu fais !

Au plaisir

Notpa