SOSVirus : Dépannage PC Gratuit Forums Aide à la désinfection – Forum Virus Sécurité Demande d’aide suite infections « PUP.Optional… »

15 sujets de 1 à 15 (sur un total de 35)
  • Auteur
    Messages
  • Doriarella
    Participant
    Nombre d'articles : 83

    Bonjour,

    Mon amie m’a confié son vieux PC qui est sous Windows XP pour que je fasse un peu de maintenance pendant qu’elle est en vacances !
    J’ai effectué une analyse avec Malwarebytes Anti-malware qui a détecté diverses infections PUP.Optional et les 14 fichiers et dossiers reconnus infectés ont été mis en quarantaine.
    Dans la « quarantaine » j’ai supprimé 8 fichiers et 2 dossiers mais j’ai gardé les 4 fichiers qui sont des « Clés du registre » dont 3 appartiennent à SoftwareMicrosoftWindows.
    Dois-je supprimer également ces 4 « Clés du registre » ou faut-il les remettre dans le Système ?
    Dans l’attente de votre réponse.

    Cordialement,
    Doriarella

    Voici le rapport de Malwarebytes Anti-malware :

    Malwarebytes Anti-Malware
    http://www.malwarebytes.org » onclick= »window.open(this.href);return false;

    Date de l’examen: 19/07/2014
    Heure de l’examen: 02:44:41
    Fichier journal: Analyse Malwarebytes du 19-07-2014.txt
    Administrateur: Non

    Version: 2.00.2.1012
    Base de données Malveillants: v2014.07.18.10
    Base de données Rootkits: v2014.07.17.01
    Licence: Gratuite
    Protection contre les malveillants: Désactivé(e)
    Protection contre les sites Web malveillants: Désactivé(e)
    Self-protection: Désactivé(e)

    Système d’exploitation: Windows XP Service Pack 3
    Processeur: x86
    Système de fichiers: FAT32
    Utilisateur: Alice

    Type d’examen: Examen « Menaces »
    Résultat: Terminé
    Objets analysés: 330945
    Temps écoulé: 21 min, 21 sec

    Mémoire: Activé(e)
    Démarrage: Activé(e)
    Système de fichiers: Activé(e)
    Archives: Activé(e)
    Rootkits: Désactivé(e)
    Heuristics: Activé(e)
    PUP: Avertir
    PUM: Activé(e)

    Processus: 0
    (No malicious items detected)

    Modules: 0
    (No malicious items detected)

    Clés du Registre: 4
    PUP.Optional.MultiSP, HKLMSOFTWARE{77D46E27-0E41-4478-87A6-AABE6FBCF252}, Mis en quarantaine, [4cb6336e314ac76f57a9b8db21e123dd],
    PUP.Optional.Multiplug, HKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONUNINSTALL{7DD5E91C-3864-77EC-7635-D14910C2A03E}, Mis en quarantaine, [4ab8475a6f0cf541e78ab6ec5da4c13f],
    PUP.Optional.Multiplug, HKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONUNINSTALL{4820778D-AB0D-6D18-C316-52A6A0E1D507}, Mis en quarantaine, [7d85277a403bfc3a9cd5dac82ad735cb],
    PUP.Optional.Booster.A, HKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONUNINSTALL{5F189DF5-2D05-472B-9091-84D9848AE48B}{916e5338}, Mis en quarantaine, [2dd5dbc64635d4622fba2f95b64c4ab6],

    Valeurs du Registre: 0
    (No malicious items detected)

    Données du Registre: 0
    (No malicious items detected)

    Dossiers: 2
    PUP.Optional.Multiplug, C:Program FilesYoutubeAdblocker, Mis en quarantaine, [0bf7e6bb0477e353b4207a2aca38eb15],
    PUP.Optional.YoutubeAdblocker.A, C:Documents and SettingsAll UsersApplication DataYoutubeAdblocker, Mis en quarantaine, [a9592c753744ae88f0e2e3c323df12ee],

    Fichiers: 8
    PUP.Optional.Multiplug, C:Documents and SettingsAll UsersApplication DatasoAve onetpHi4K.exe, Mis en quarantaine, [4ab8475a6f0cf541e78ab6ec5da4c13f],
    PUP.Optional.Multiplug, C:Documents and SettingsAll UsersApplication DataYoutubeAdblockerEfeXp4nk_z_.exe, Mis en quarantaine, [7d85277a403bfc3a9cd5dac82ad735cb],
    PUP.Optional.DomaIQ, C:Documents and SettingsAliceLocal SettingsTempx4Oliwlm.exe.part, Mis en quarantaine, [be443d644e2d57df744fac9c3fc1b749],
    PUP.Optional.DomaIQ, C:Documents and SettingsAliceLocal SettingsTemp54vFKV+q.exe.part, Mis en quarantaine, [669cf6ab106b6ec893690b85b64bf010],
    PUP.Optional.Multiplug, C:Program FilesYoutubeAdblockerV2zFBo6ZQb.tlb, Mis en quarantaine, [0bf7e6bb0477e353b4207a2aca38eb15],
    PUP.Optional.Multiplug, C:Program FilesYoutubeAdblockerV2zFBo6ZQb.dat, Mis en quarantaine, [0bf7e6bb0477e353b4207a2aca38eb15],
    PUP.Optional.Multiplug, C:Program FilesYoutubeAdblockerV2zFBo6ZQb.x64.dll, Mis en quarantaine, [0bf7e6bb0477e353b4207a2aca38eb15],
    PUP.Optional.YoutubeAdblocker.A, C:Documents and SettingsAll UsersApplication DataYoutubeAdblockerEfeXp4nk_z_.dat, Mis en quarantaine, [a9592c753744ae88f0e2e3c323df12ee],

    Secteurs physiques: 0
    (No malicious items detected)

    (end)

    g3n-h@ckm@n
    Modérateur
    Nombre d'articles : 8223

    Bonsoir tu peux tout jeter :)

    ==

    Laisser travailler l’outil même s’il parait bloqué

    Désactiver temporairement l’antivirus , ou les agents de protection qu’il contient.
    Télécharger Shortcut_Module ici :
    https://www.sosvirus.net/telecharger/shortcut_module/ » onclick= »window.open(this.href);return false;
    L’ enregistrer sur le bureau, et le lancer

    cliquer sur « Nettoyer » puis laisser tourner le scan :



    Attention : il fermera les programmes en cours d’utilisation tels que IE, Firefox, Word etc…

    Si l’outil détecte un proxy et qu’aucun n’a été installé et qu’il n’y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy
    Il donnera un rapport en fin d’exécution , dans C:Shortcut_Module_xx_xx_xx_xx_xx_xx.txt (les « x » étant des chiffres)
    le pc va redemarrer
    Héberger le rapport sur http://cjoint.com » onclick= »window.open(this.href);return false; puis fournir le lien obtenu

    Note : En fin de désinfection (ET PAS AVANT) relancer l’outil et cliquer sur le petit « u » en bas à droite pour le desinstaller totalement

    Doriarella
    Participant
    Nombre d'articles : 83

    Bonjour g3n,

    Merci de m’avoir répondu aussi rapidement.
    J’ai donc tout jeté !

    Ensuite j’ai téléchargé Shortcut_Module et j’ai procédé à l’analyse/nettoyage.
    J’ai rencontré un problème à 75 % de l’analyse, le logiciel s’arrête et la fenêtre suivante s’affiche :
    Autolt Error :
    Line 22589 (File “C:Documents and SettingsAliceBureauShortcut_Module.exe”):
    Error: Variable used without being declared.

    J’ai recommencé 2 fois l’analyse et à chaque fois le même problème s’est reproduit.

    Enfin voici le rapport sur les 75 % analysés dans le lien cjoint.com:

    http://cjoint.com/?DGvfCcVduZJ » onclick= »window.open(this.href);return false;

    Je vois que beaucoup de fichiers ont été supprimés et j’espère que ce n’est pas par erreur ???

    Et maintenant que dois-je faire d’autre ?

    A bientôt,
    Doriarella

    g3n-h@ckm@n
    Modérateur
    Nombre d'articles : 8223

    bonjour

    et oui ! le support de windows XP n’étant plus pris en charge par microsoft , ton pc bugguera de plus en plus jusqu’à vraiment très mal fonctionner.
    nous , les developpeurs , nous commençont à perde la compatibilité avec ce système d’exploitation devenu bancal programmé pour mourrir sous peu , si j’ai vraiment un bon conseil à te donner , tu devrais changer de système et opter rapidement pour minimum windows 7.

    Doriarella
    Participant
    Nombre d'articles : 83

    Bonjour,

    Je me permets de vous rappeler que ce PC ne m’appartient pas et donc pour moi le souci n’est pas de savoir si je passe sous Windows 7 ou si je reste sous XP.

    Je vois sur le rapport de Shortcut_Module qu’il n’est pas conçu pour XP mais à partir de Vista et ça je ne le savais pas avant de m’en servir !

    Maintenant il va falloir que je rende dans 3 jours le PC à mon amie (sa propriétaire).

    Avez-vous analysé le rapport, j’ai l’impression que plein de composants ont été supprimés, peut-être suite à l’incompatibilité ?

    Je vous demande de bien vouloir me conseiller, comment procéder pour tout remettre comme avant ?

    J’ai vu que le registre avait été sauvegardé dans C: Shortcut_ModuleSaveERDNT.exe , mais comment restaurer tous les éléments que Shortcut_Module a supprimer ?

    Merci de me conseiller au mieux pour réparer.

    Cordialement,
    Doriarella

    Doriarella
    Participant
    Nombre d'articles : 83

    Bonsoir,

    Je suis sans réponse de votre part.

    Dans « Quarantine » il y a un dossier C de 309 Mo qui contient un dossier « Documents and Settings » et un dossier « Program Files », je voudrais remettre tous ces fichiers à leur place initiale là où ils étaient avant l’analyse/nettoyage avec Shortcut_Module.

    Pouvez-vous m’indiquer comment sortir tous les fichiers qui sont dans « Quarantine » pour les remettre à leur place ?

    Maintenant Word bug, enfin tout va mal et je répète : ce PC ne m’appartient pas.

    Merci de bien vouloir me répondre.
    Doriarella

    Anonyme
    Nombre d'articles : 0

    Hello Doriarella :hello: ,

    Suite à ton message privé, je vais prendre la suite.

    Va dans Menu démarrer -> panneau de configuration.

    Si tu es en affichage classique, cliques sur basculer vers l’affichage des catégories.

    Clic ensuite sur performance et maintenance

    Puis sur restaurer le système

    Et enfin clic sur restaurer à une date antérieure :

    Dans le calendrier qui suivra, choisi une date antérieur au passage de shortcut_module (hier par exemple) et valide.

    Patiente le temps de la restauration et dis moi stp.

    Doriarella
    Participant
    Nombre d'articles : 83

    Bonjour El Desaparecido, :hello:

    Merci d’être arrivé à la rescousse !

    Donc j’ai fait une restauration du système (dommage que je n’ai pas pensé à créer un point de restauration avant d’installer Shortcut_Module car entre le dernier point de restauration et l’analyse avec Shortcut_Module j’avais fait des analyses avec Malwarebytes et supprimé des PUP.Optional, fait des mises à jour, fait une défragmentation, etc.).

    – Il reste encore le dossier dans le disque C: Shortcut_Module avec la Quarantine, etc.
    Est-ce que je peux jeter ce dossier maintenant ?

    J’ai refait une analyse avec Malwarebytes qui a supprimé les derniers PUP.Optional restaurés.

    Maintenant je ne sais pas s’il existe encore un logiciel compatible avec Windows XP pour continuer la désinfection, sinon on en reste là

    Quand je me suis connectée sur le forum, j’ai eu une pub, je ne sais pas si c’est normal ?
    Je suis un peu découragée de voir que, dès que j’ai le dos tourné, mon amie installe un peu n’importe quoi.

    Merci de bien vouloir me conseiller.

    A bientôt,
    Doriarella

    Anonyme
    Nombre d'articles : 0

    :hello: ,

    Quand je me suis connectée sur le forum, j’ai eu une pub, je ne sais pas si c’est normal ?

    Oui c’est normal, il y a de la publicités affichée sur le site pour les non-inscrits afin de nous aider à financer SosVirus et son évolution.

    Pour le dossier shortcut_module, laisse le pour le moment.

    • Télécharge Adwcleaner (de Xplode) sur ton Bureau !
    • Fais clic droit dessus, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista,sinon double-clique pour XP.
      1. Choisis l’option Scanner
      2. Choisis l’option Nettoyer
    • Accepte l’avertissement en cliquant sur OK

    • Accepte les avertissements/informations en cliquant sur OK
    • Copie et Colle le contenu du rapport qui apparaît au redémarrage du PC.

    [hr:21n5qigi]

    • Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
    • Installe le logiciel.
    • Lance ZHPDiag, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Clic sur Complet

      Note : Ne pas fermer le programme même si il est indiqué qu’il ne répond plus.

    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt à été créé.
    • Héberge le rapport ZHPDiag.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
    Doriarella
    Participant
    Nombre d'articles : 83

    Bonsoir El Desaparecido, :hello:

    OK pour la pub sur ton site, j’ai compris c’est parce-que je n’étais pas connectée en tant qu’utilisateur !

    Depuis la restauration du système, j’ai constaté qu’1 fois sur 2 lorsque j’allume le PC, quand je place le pointeur de souris sur la barre des tâches (FR, horloge, etc.) j’ai le sablier et tout est bloqué, pas de symbole wifi, pas d’Avast, de même que si je place le pointeur de souris sur « démarrer », j’ai également le sablier.
    Je dois donc forcer le PC à s’éteindre et le rallumer…

    Voici le rapport d’ AdwCleaner:

    # AdwCleaner v3.216 – Rapport créé le 22/07/2014 à 23:41:07
    # Mis à jour le 17/07/2014 par Xplode
    # Système d’exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d’utilisateur : Alice – ACER-3FAFADAADF
    # Exécuté depuis : C:Documents and SettingsAliceBureauAdwCleaner.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    Dossier Supprimé : C:Documents and SettingsAll UsersApplication DataeSafe
    Dossier Supprimé : C:Documents and SettingsAll UsersApplication DatasoAve onet
    Dossier Supprimé : C:Program Filescacaoweb
    Dossier Supprimé : C:Program FilessoAve onet
    Dossier Supprimé : C:Documents and SettingsAdministrateurLocal SettingsApplication DataChromatic Browser
    Dossier Supprimé : C:Documents and SettingsAdministrateurLocal SettingsApplication Datatorch
    Dossier Supprimé : C:Documents and SettingsAliceLocal SettingsApplication DataChromatic Browser
    Dossier Supprimé : C:Documents and SettingsAliceLocal SettingsApplication Datatorch
    Dossier Supprimé : C:Documents and SettingsAliceApplication Datacacaoweb
    Dossier Supprimé : C:Documents and SettingsASPNETLocal SettingsApplication DataChromatic Browser
    Dossier Supprimé : C:Documents and SettingsASPNETLocal SettingsApplication Datatorch
    Dossier Supprimé : C:Documents and SettingsHelpAssistantLocal SettingsApplication DataChromatic Browser
    Dossier Supprimé : C:Documents and SettingsHelpAssistantLocal SettingsApplication Datatorch
    Dossier Supprimé : C:Documents and SettingsInvitéLocal SettingsApplication DataChromatic Browser
    Dossier Supprimé : C:Documents and SettingsInvitéLocal SettingsApplication Datatorch
    Dossier Supprimé : C:Documents and SettingsSUPPORT_388945a0Local SettingsApplication DataChromatic Browser
    Dossier Supprimé : C:Documents and SettingsSUPPORT_388945a0Local SettingsApplication Datatorch
    Dossier Supprimé : C:Documents and SettingsAliceApplication DataMozillaFirefoxProfilesrbxyruxr.defaultExtensionscacaoweb@cacaoweb.org
    [!] Dossier Supprimé : C:Documents and SettingsAdministrateurLocal SettingsApplication DataGoogleChromeUser DataDefaultExtensionshhifoejbmfghfaekgmimfcpdcjdahdpf
    [!] Dossier Supprimé : C:Documents and SettingsAliceLocal SettingsApplication DataGoogleChromeUser DataDefaultExtensionshhifoejbmfghfaekgmimfcpdcjdahdpf
    [!] Dossier Supprimé : C:Documents and SettingsASPNETLocal SettingsApplication DataGoogleChromeUser DataDefaultExtensionshhifoejbmfghfaekgmimfcpdcjdahdpf
    [!] Dossier Supprimé : C:Documents and SettingsHelpAssistantLocal SettingsApplication DataGoogleChromeUser DataDefaultExtensionshhifoejbmfghfaekgmimfcpdcjdahdpf
    [!] Dossier Supprimé : C:Documents and SettingsInvitéLocal SettingsApplication DataGoogleChromeUser DataDefaultExtensionshhifoejbmfghfaekgmimfcpdcjdahdpf
    [!] Dossier Supprimé : C:Documents and SettingsSUPPORT_388945a0Local SettingsApplication DataGoogleChromeUser DataDefaultExtensionshhifoejbmfghfaekgmimfcpdcjdahdpf
    [!] Dossier Supprimé : C:Documents and SettingsAdministrateurLocal SettingsApplication DataGoogleChromeUser DataDefaultExtensionscpdghdpppdaocnlfdpijofpdcdgdclka
    [!] Dossier Supprimé : C:Documents and SettingsAliceLocal SettingsApplication DataGoogleChromeUser DataDefaultExtensionscpdghdpppdaocnlfdpijofpdcdgdclka
    [!] Dossier Supprimé : C:Documents and SettingsASPNETLocal SettingsApplication DataGoogleChromeUser DataDefaultExtensionscpdghdpppdaocnlfdpijofpdcdgdclka
    [!] Dossier Supprimé : C:Documents and SettingsHelpAssistantLocal SettingsApplication DataGoogleChromeUser DataDefaultExtensionscpdghdpppdaocnlfdpijofpdcdgdclka
    [!] Dossier Supprimé : C:Documents and SettingsInvitéLocal SettingsApplication DataGoogleChromeUser DataDefaultExtensionscpdghdpppdaocnlfdpijofpdcdgdclka
    [!] Dossier Supprimé : C:Documents and SettingsSUPPORT_388945a0Local SettingsApplication DataGoogleChromeUser DataDefaultExtensionscpdghdpppdaocnlfdpijofpdcdgdclka
    Fichier Supprimé : C:Documents and SettingsAliceApplication DataMozillaFirefoxProfilesrbxyruxr.defaultsearchpluginsPlanet-surf.xml

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    Valeur Supprimée : HKCUSoftwareMicrosoftWindowsCurrentVersionRun [cacaoweb]
    Valeur Supprimée : HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun [LManager]
    Clé Supprimée : HKCUSoftwareAppDataLow{5F189DF5-2D05-472B-9091-84D9848AE48B}
    Valeur Supprimée : HKLMSYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList [C:Program Filescacaowebcacaoweb.exe]
    Clé Supprimée : HKCUSoftwarecacaoweb
    Clé Supprimée : HKCUSoftwareOptimizer Pro
    Clé Supprimée : HKCUSoftwareRegisteredApplicationsEx
    Clé Supprimée : HKLMSoftware{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
    Clé Supprimée : HKLMSoftware{5F189DF5-2D05-472B-9091-84D9848AE48B}
    Clé Supprimée : HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallOptimizer Pro_is1

    ***** [ Navigateurs ] *****

    -\ Internet Explorer v8.0.6001.18702

    -\ Mozilla Firefox v30.0 (fr)

    [ Fichier : C:Documents and SettingsAliceApplication DataMozillaFirefoxProfilesrbxyruxr.defaultprefs.js ]

    Ligne Supprimée : user_pref(« extensions.C_Qca9KcS.scode », « (function(){try{var url=(window.self.location.href + document.cookie);if(url.indexOf(« acebook »)>-1||url.indexOf(« warnalert11.com »)>-1||url.indexOf(« sumoro[…]
    Ligne Supprimée : user_pref(« extensions.tSLQFWdh8fKS.scode », « (function(){try{var url=(window.self.location.href + document.cookie);if(url.indexOf(« acebook »)>-1||url.indexOf(« warnalert11.com »)>-1||url.indexOf(« sum[…]

    -\ Google Chrome v

    *************************

    AdwCleaner[R0].txt – [5967 octets] – [22/07/2014 23:39:04]
    AdwCleaner[S0].txt – [5901 octets] – [22/07/2014 23:41:07]

    ########## EOF – C:AdwCleanerAdwCleaner[S0].txt – [5961 octets] ##########

    Doriarella
    Participant
    Nombre d'articles : 83

    Voici le lien pour le rapport ZHPDiad:

    http://upload.sosvirus.net/www/?a=d&i=hdDHleTgws » onclick= »window.open(this.href);return false;

    Merci de bien vouloir m’écrire ce que tu penses de tout cela.
    Encore une fois, je tiens à te repréciser que je ne suis pas à l’origine de ces téléchargements suspects ! :secretsmile:

    A bientôt et merci encore,
    Doriarella

    Anonyme
    Nombre d'articles : 0

    :hello:

    • Séléctionne et copie le script suivant :

      Script ZHPFix
      O20 - AppInit_DLLs: . (...) - C:Program Filessn406e~1.boo (.not file.)
      C:Documents and SettingsAll UsersApplication DataInstallMate
      firewallraz
      emptyclsid
      emptyprefetch
      EmptyCLSID
      Emptytemp
      EmptyFlash
      ShortcutFix
    • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      1. Clique sur Importer
      2. Les lignes précedemment copiées doivent être collées dans le cadre
      3. Si c’est le cas, Clic sur « GO« 

    • Confirmes les nettoyages des données en cliquant sur « Oui« 
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.

    [hr:3l13dw86]

    • Pour supprimer les fichiers temporaires :
    • Télécharge SFTGC (de Pierre13) sur ton Bureau et pas ailleurs !.
    • Lance SFTGC, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Clique sur GO

      Note : A la fin un rapport va s’ouvrir

    • Une fois le scan terminé rends toi sur le bureau, le fichier SFTGC.txt à été créé.
    • Héberge le rapport SFTGC.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
    Doriarella
    Participant
    Nombre d'articles : 83

    :hello:

    Voici le lien pour le rapport de ZHPFixReport:

    http://upload.sosvirus.net/www/?a=d&i=KIm4b2pwNv » onclick= »window.open(this.href);return false;

    Depuis Shortcut_Module et la restauration système j’ai toujours ce problème au démarrage, le PC se bloque il faut que je le force à s’éteindre pour le redémarrer…

    Doriarella
    Participant
    Nombre d'articles : 83

    Voici le lien pour le rapport de SFTGC :

    http://upload.sosvirus.net/www/?a=d&i=lIgybAfMqI » onclick= »window.open(this.href);return false;

    Et maintenant que dois-je faire ?

    A bientôt,
    Doriarella

    Anonyme
    Nombre d'articles : 0

    Et maintenant que dois-je faire ?

    Me dire comment va le PC stp :)

15 sujets de 1 à 15 (sur un total de 35)

Vous devez être connecté pour répondre à ce sujet.