HKLM, HKUS, juste après une réinstallation de rêve. 2015-05-14T16:36:45+00:00

SOSVirus : Dépannage PC Gratuit Forums Aide à la désinfection – Forum Virus Sécurité HKLM, HKUS, juste après une réinstallation de rêve.

15 sujets de 1 à 15 (sur un total de 31)
  • Auteur
    Messages
  • Eabani
    Participant
    Nombre d'articles : 21

    Bonjour à tous,

    Après un formatage et une réinstallation assez fastidieuse (un peu plus de 100 Go pour c:windows, soit 120 programmes installés – oui, oui, je les utilise tous), j’ai enfin le PC dont je rêvais… . …Dont je rêvais à l’exception près que j’ai quand même attrapé une infection avec HKLM et HKUS. Spybot et ADWCleaner combinés ne parviennent pas à éradiquer cette vermine tenace.

    J’espère donc que quelqu’un parmi vous va pouvoir m’aider à parfaire mon installation en supprimant le vilain petit nuage noir de mon ciel bleu.

    – Windows 8.1 Pro 64bit
    – Windows Defender
    – Malwarebites Home (Premium)
    – Spybot (Technician)

    D’avance, un tout grand merci aux pilotes qui voudront bien prendre momentanément le volant de ma bécane.

    Jean-Michel.

    Fish66
    Participant
    Nombre d'articles : 918

    Bonsoir et :welcome: sur SOSVirus! :)

    j’ai quand même attrapé une infection avec HKLM et HKUS. Spybot et ADWCleaner combinés ne parviennent pas à éradiquer cette vermine tenace.

    Commence à désinstaller Spybot, il ne sert à rien!
    Qui a détecté cette infection ?


      Télécharge Farbar Recovery Scanner Tool (FRST) sur ton bureau

    • Choisis la version compatible avec votre système 32 bits ou 64 bits)
    • Ferme toutes tes applications ouvertes
    • Double-clique sur l’icône FRST pour l’exécuter (pour Vista/7 et 8, clic droit et Exécuter en tant qu’administrateur)

    • Sous “Optional Scan”, vérifiez que la case “Addition.txt” soit cochée

    • Clique sur Scan
    • Patiente durant l’analyse
    • Deux ou trois rapports seront générés et s’ouvriront automatiquement nommés : FRST.txt, Addition.txt et shortcut.txt
    • Héberge-les sur :SOSupload ou sur : malekal
    • Copie/Colle les liens dans ta prochaine réponse.

    En cas de besoin, tu peux suivre : ce tutoriel

    Bonne soirée

    Eabani
    Participant
    Nombre d'articles : 21

    Merci beaucoup Fish66 de bien vouloir m’aider.

    Ok, je vais désinstaller Spybot qui ne sert à rien. Mais c’est quand même lui qui a détecté l’infection. Au moins, il aura servi à ça. Malwarebites ne voit rien… .

    Voici les 2 liens vers les fichiers texte générés par FRST :

    https://antimalware.top/download/ok408a6cz557tr4839wdlwc98z0ojrrbo0kn2878

    https://antimalware.top/download/foejvz8g0p31haqbhpc9l6fw5qcsylkgr9xe28ej

    A tout hasard, en attendant une réponse, m’inspirant d’autres cas traités sur ce forum, j’avais déjà généré un diagnostic ZHPdiag. Je te le mets aussi à disposition au cas où il pourrait servir :

    https://antimalware.top/download/ga0nw1xxa7h3v1cityt2b3g4nhjyl5v5a6y4hks4

    Voilà. Encore merci pour ton aide. A bientôt,

    Jean-Michel.

    Fish66
    Participant
    Nombre d'articles : 918

    :hello: ,
    On continue alors :
    1/
    Voici la correction à effectuer avec FRST.

    • Appuies simultanément sur les touches Windows et R
    • Une fenêtre va s’ouvrir, tape ceci : notepad
    • Clic sur OK (Le bloc note va s’ouvrir)
    • Coller tous le script ci-dessous dans votre bloc-notes

    start
    CloseProcesses:

    CHR StartupUrls: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3333205&octid=EB_ORIGINAL_CTID&ISID=I28D1E5A2-F62F-4D03-B6ED-5FDEC1A07029&SearchSource=55&CUI=&UM=8&UP=SP9968E7C9-441A-4E79-AD83-DCF985FE2320&SSPV=, hxxp://www.google.com/, hxxp://www.istartsurf.com/?type=hp&ts=1429451842&from=smt&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2ELFZRAXSZRAXS [Pays NL - 195.78.120.88]
    2015-05-11 01:40 - 2015-05-11 01:40 - 00000000 ____D () C:Program FilesDPHDR6
    2015-05-08 22:20 - 2015-05-08 22:20 - 00000000 ____D () C:Program Files (x86)GUM21C6.tmp
    2015-05-02 10:26 - 2015-05-02 10:28 - 00003566 _____ () C:WindowsSystem32TasksCreaticeProcessTask
    2015-05-04 00:30 - 2015-05-12 19:47 - 0000034 _____ () C:UsersJean-MichelAppDataRoamingAdobeWLCMCache.dat
    2015-05-02 18:23 - 2015-05-02 18:23 - 0000000 ____H () C:ProgramDataDP45977C.lfl
    AlternateDataStreams: C:UsersJean-MichelSkyDrive:ms-properties

    EmptyTemp:
    end

    • Une fois, le texte coller dans le bloc-note.
    • Cliquez sur “Fichier” puis dans le menu déroulant sur “Enregistrer sous”
    • A cette fenêtre cliquez sur “Bureau”
    • Dans la zone de “Nom de fichier” tapez : fixlist puis validez en cliquant sur Enregistrer
    • Sur votre bureau vous avec le fichier texte (fixlist.txt & FRST.exe)
    • Lancez FRST, “exécuter en tant qu’administrateur” sous Windows Vista, Windows Seven et Windows 8/8.1
    • Cliquez sur “Fix”
    • Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
    • Redémarrez l’ordinateur
    • ===> Aide : <<>>.

    2/
    Télécharger Eset Nod32 : http://download.eset.com/special/eos/esetsmartinstaller_fra.exe

    • Lancer le fichier
    • Accepter les conditions
    • Autoriser le programme à accéder à Internet
    • Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)
    • Téléchargement des signatures

      Il est recommandé de désactiver votre antivirus afin de ne pas ralentir le scan et d’afficher des message d’alerte !

    • Le scan débute dés la fin du téléchargement
    • Générer le rapport
    • Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte…
    • Vous pouvez l’enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum.
    • Si le rapport n’est pas sur le bureau regarde ici ==> C:Program FilesEsetOnlineScannerlog.txt
    • Pour vous aider voici un tuto rédigé par dorgane : http://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

    3/
    Après on aura besoin du rapport ZHPDiag! :)

    Bonne soirée

    Eabani
    Participant
    Nombre d'articles : 21

    Voici donc le contenu du fichier texte généré par le bouton “fix” de FRST :

    Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 14-05-2015 02
    Ran by Jean-Michel at 2015-05-14 22:40:57 Run:1
    Running from C:UsersJean-MichelDesktop
    Loaded Profiles: Jean-Michel (Available profiles: Jean-Michel)
    Boot Mode: Normal
    ==============================================

    Content of fixlist:
    *****************
    start
    CloseProcesses:

    CHR StartupUrls: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3333205&octid=EB_ORIGINAL_CTID&ISID=I28D1E5A2-F62F-4D03-B6ED-5FDEC1A07029&SearchSource=55&CUI=&UM=8&UP=SP9968E7C9-441A-4E79-AD83-DCF985FE2320&SSPV=, hxxp://www.google.com/, hxxp://www.istartsurf.com/?type=hp&ts=1429451842&from=smt&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2ELFZRAXSZRAXS [Pays NL – 195.78.120.88]
    2015-05-11 01:40 – 2015-05-11 01:40 – 00000000 ____D () C:Program FilesDPHDR6
    2015-05-08 22:20 – 2015-05-08 22:20 – 00000000 ____D () C:Program Files (x86)GUM21C6.tmp
    2015-05-02 10:26 – 2015-05-02 10:28 – 00003566 _____ () C:WindowsSystem32TasksCreaticeProcessTask
    2015-05-04 00:30 – 2015-05-12 19:47 – 0000034 _____ () C:UsersJean-MichelAppDataRoamingAdobeWLCMCache.dat
    2015-05-02 18:23 – 2015-05-02 18:23 – 0000000 ____H () C:ProgramDataDP45977C.lfl
    AlternateDataStreams: C:UsersJean-MichelSkyDrive:ms-properties

    EmptyTemp:
    end
    *****************

    Processes closed successfully.
    Chrome StartupUrls deleted successfully.
    C:Program FilesDPHDR6 => Moved successfully.
    C:Program Files (x86)GUM21C6.tmp => Moved successfully.
    “C:WindowsSystem32TasksCreaticeProcessTask” => File/Directory not found.
    C:UsersJean-MichelAppDataRoamingAdobeWLCMCache.dat => Moved successfully.
    C:ProgramDataDP45977C.lfl => Moved successfully.
    C:UsersJean-MichelSkyDrive => “:ms-properties” ADS removed successfully.
    EmptyTemp: => Removed 12.7 GB temporary data.

    The system needed a reboot.

    ==== End of Fixlog 22:41:45 ====

    Eabani
    Participant
    Nombre d'articles : 21

    Ca y est, le scan de ESET est terminé après 1h35m !

    A cette heure, je dois sans doute te dire bonjour.

    Je n’ose pas aller plus loin que le stade 2 des opérations que tu m’as demandées car je pense que, dans le résultat, les deux dernières cibles sont en fait des “faux-positifs”.

    https://antimalware.top/download/rhighxrn7mwtdvsz18dvhbgaljjcfoqgww7l3e19

    Tous les “recycle bin” sont des traces d’anciens programmes que j’ai virés avant ma nouvelle installation et je ne vois aucun inconvénient à les supprimer définitivement mais sur D:téléchargement……., je stocke les programmes que j’installe sur mes PC. Portrait Professional Studio n’est pas installé car j’attends la version 12 mais Daemon est installé et une des manips précédentes a dû prendre l’activateur pour une menace car, au lancement, il m’affiche maintenant : “Invalid Serial Number” alors qu’hier encore, il fonctionnait à merveille.

    En attendant ton avis, je laisse mon PC en l’état et en marche comme sur cette copie d’écran :

    https://antimalware.top/download/d8gt3qvwdhe4uusjwca68e2aeua42do0tc0dnfv9

    D’avance, merci,

    Bonne nuit ou bonjour,

    Jean-Michel.

    Eabani
    Participant
    Nombre d'articles : 21

    Bonjour Fish,

    J’ai bien reçu ton message privé. J’ai aussi pu restaurer ce qui devait l’être.

    Voici donc le ZHPDiag :

    https://antimalware.top/download/elfpzts9ail68caw04su0on4ydog1ydxznbfkw5u

    N’ayant pas encore désinstallé Spybot, j’ai tenté, à ce stade, un petit diagnostique :

    https://antimalware.top/download/zsfb0o2rnwlzgppdethbrt19m23zw73okop6zn7p

    Comme tu vois, HKLM et HKUS sont encore là et même d’autres choses encore. Mais peut-être, à ce stade, est-ce normal ? Je ne sais pas ce que tu as en tête.

    Merci de bien vouloir prendre tant de peine pour m’aider,

    Bonne après-midi,

    Jean-Michel.

    Eabani
    Participant
    Nombre d'articles : 21

    Aïe, c’est la cata. Je viens de tenter un surf sur Internet, et maintenant, c’est un festival de pubs et de pages publicitaires qui s’ouvrent. Avant, si je n’avais pas eu l’attention attirée par le diagnostic de Spybot, je ne me rendais compte de rien. Ca devient grave :badsmile:

    Eabani
    Participant
    Nombre d'articles : 21

    Mais je vois aussi que nos manip. ont enlevé toutes mes extensions de Chrome. Mais pas de Firefox. Or, c’est Chrome que j’utilise par défaut.

    Je n’ai donc plus Adblock. C’est peut-être ça qui a libéré les fauves qui attendaient, tapis dans un coin ?

    Non, je viens d’essayer Firefox et c’est la même folie de pubs qui sautent partout. D’ailleurs, dans l’analyse de Spybot (précédent message), je vois des trucs qui n’y étaient pas avant :

    .doubleclick.net
    .casalemedia.com
    .tradedoubler.com

    Pour le reste, c’est comme avant (HKUS, HKLM) à part le soi-disant Trojan dans le uninstall (???) du Plugin Photoshop.

    Fish66
    Participant
    Nombre d'articles : 918

    Bonsoir,

    Non, je viens d’essayer Firefox et c’est la même folie de pubs qui sautent partout. D’ailleurs, dans l’analyse de Spybot (précédent message), je vois des trucs qui n’y étaient pas avant :

    .doubleclick.net
    .casalemedia.com
    .tradedoubler.com

    • Surement tu as accepté l’installation des programmes parasites et des adwares!
    • Désinstalle depuis le panneau de configuration s’il est possible : Topaz Detail 3
    • Est ce que as fait le dernier rapport ZHPDiag avant l’apparition de ces publicités ?

    Suivant l’ordre fais ceci stp :
    1/

    • Copie tout le texte présent ci-dessous (Sélectionne-le, clique droit dessus et choisis “Copier”).

      Script ZHPFix
      EmptyPrefetch
      ShortcutFix

      [HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer] NoActiveDesktopChanges: Modified
      O42 - Logiciel: Topaz Detail 3 - (.Topaz Labs, LLC.) [HKLM][64Bits] -- Topaz Detail 3 =>PUP.TopDeal
      [HKCRCLSID{320AF880-6646-11D3-ABEE-C5DBF3571F49}] (SavePass) =>PUP.CrossRider
      [HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallTopaz Detail 3] =>PUP.TopDeal^
      [HKCRCLSID{320AF880-6646-11D3-ABEE-C5DBF3571F49}] (SavePass) =>PUP.CrossRider^
      O51 - MPSK:{6ee61901-f0a3-11e4-8250-806e6f6e6963}AutoRuncommand. (...) -- F:Autorun.exe (.not file.)

      Emptytemp
      Emptyclsid
      FirewallRaz

    • Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
      (Sous Vista/Win7/Win8, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu’administrateur)
    • Une fois ZHPFix ouvert, clique sur “importer”

    • Les lignes précédemment copiées vont se coller d’elles-mêmes dans la fenêtre de ZHPFix (si ce n’est pas le cas, clic droit dans la fenêtre et Coller)
      NB (W8) : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton “IMPORTER”.
    • clique sur GO en bas de page et confirme par oui pour lancer le nettoyage des données

    • Clique sur Oui à la demande de confirmation de nettoyage des données

    • Une boîte de dialogue va te demander si tu souhaites vider la corbeille : clique sur oui ou non selon ton choix. Si tu cliques sur Oui, le temps de nettoyage sera plus ou moins allongé

    • laisse travailler l’outil et ne touche à rien …
    • S’il t’est demandé de redémarrer le PC pour finir le nettoyage, fais le !
    • Une fois terminé, un nouveau rapport s’affiche : poste le contenu de ce dernier dans ta prochaine réponse …
    • Ce rapport est copié sur le bureau

    2/
    Tu vas maintenant réinitialiser, refaire le reparamétrage de tes navigateurs et supprimer/désactiver les extensions inutiles/parasites :

    Aide :

    3/

    • Lance ZHPDiag depuis le bureau.

    • lance l’analyse et héberge le rapport.
    • Colle le lien dans ta prochaine réponse

    Bonne soirée

    Eabani
    Participant
    Nombre d'articles : 21

    Voici les opérations faites dans l’ordre :

    – Désinstallation de Topaz Detail 3 depuis le panneau de config. OK.
    – J’avais fait le dernier rapport ZHPDiag avant de me rendre compte que les navigateurs généraient toutes ces pubs.

    1/ZHPFix, voici le rapport :

    https://antimalware.top/download/isp5zhet074m13wfncqa77grufp1b004tmffjvp5

    2/Réinitialisation des 3 navigateurs et reparamétrage des modules.

    3/ ZHPDiag, voici le rapport :

    https://antimalware.top/download/qzlq5x43uoathdtrcqnfi5zs54do67etb1zj47ii

    Pour les tests, je verrai demain, ce soir je suis fatigué.

    Bonne nuit,

    Jean-Michel.

    Fish66
    Participant
    Nombre d'articles : 918

    Bonjour,
    En principe les publicités doivent partir! :)
    J’attends la confirmation avant de finaliser..


    • Il est conseillé de désinstaller Spybot.
    • Sans antivirus, ton PC sera rapidement infecté!, concernant les antivirus gratuits, je te conseille : Avira ou Avast.
    • Pour vérification:

      • Lance Malwarebytes
      • Fais la mise à jour
      • Dans l’onglet [glow=red:3dbrmnnc]Détection et protection[/glow:3dbrmnnc], configure le logiciel comme ci-dessous :

      • Clic sur [glow=red:3dbrmnnc]Examiner maintenant[/glow:3dbrmnnc]

      • Une fois l’examen terminé vérifie que toutes les détections sont bien cochées, puis clique sur [glow=red:3dbrmnnc]Supprimer la sélection[/glow:3dbrmnnc]

      • Un redémarrage sera peut-être nécessaire, si oui laisse faire et relance ensuite Malwarebytes
      • Ouvre l’onglet [glow=red:3dbrmnnc]”Historique”[/glow:3dbrmnnc] puis [glow=red:3dbrmnnc]”Journaux de l'application”[/glow:3dbrmnnc]
      • Fais un double-clic sur le dernier [glow=red:3dbrmnnc]Scan Log[/glow:3dbrmnnc] en date (celui du haut)

      • En bas clique sur [glow=red:3dbrmnnc]Exporter[/glow:3dbrmnnc] -> sélectionne [glow=red:3dbrmnnc]”Fichier texte (*.txt)”[/glow:3dbrmnnc]

      • Dans l’explorateur sélectionne le bureau, nomme-le mbam.txt, clique sur [glow=red:3dbrmnnc]Enregistrer[/glow:3dbrmnnc]

      • Héberge le rapport mbam.txt sur SOSUpload puis donne le lien obtenu.

    Bonne journée.

    Eabani
    Participant
    Nombre d'articles : 21

    Bonjour Fish,

    Aux tests, la même situation que la fois passée s’est présentée : plein de pubs. Mais je me suis rendu compte que j’avais oublié de réinstaller Adblock sur Chrome et Firefox. Cet oubli réparé, j’ai retrouvé mes navigateurs d’avant mon premier post sur le site, c’est-à-dire plus de pubs intempestives. Je suppose que la fois passée, ces Adblocks avaient aussi été désactivés. Quant à IE, je ne m’en sers jamais, mais je l’ai quand même testé et j’ai constaté qu’il laisse aussi passer toutes les pubs. J’ai essayé de le re-paramétrer mais je n’y suis pas arrivé. Par exemple, je configure tous mes navigateurs pour qu’il téléchargent sur mon bureau et pas dans le dossier “téléchargements” comme par défaut. Dans IE, je clique sur la roue dentée qui symbolise les paramètres, je clique sur l’option “afficher les téléchargements” du menu, et je clique sur “options” en bas à gauche pour choisir le dossier. Mais cette fois, quand je cique sur “afficher les téléchargements”, rien ne se passe et je ne sais pas aller plus loin. Bizarre. Alors j’ai fait un autre test. Je suis allé sur SosVirus via IE et j’ai essayé de télécharger un lien d’un de mes posts à partir de upload.sosvirus.net. Ca ne fonctionne pas!

    Puis je suis allé voir mon thermomètre, le seul que je comprenne bien (désolé Fish), et là j’ai vu que la situation avait empiré. Je n’ai plus assez de place avec une seule copie d’écran pour montrer tout ce qu’il a trouvé :

    https://antimalware.top/download/wxm8dypdvbbv7eas6dxf55nyx9n3lfculoldmjj2

    https://antimalware.top/download/pisnpcrgyjgdc9ob9ha9ll4oypn7746ztlrdkpfm

    Mais cette fois, je me suis abstenu de cliquer sur “corriger la sélection” car je me suis dit que, peut-être, Spybot répare mal et, de ce fait, empêche tes outils de fonctionner convenablement.

    J’ai refermé Spybot tel que tu l’as vu.

    Voilà donc où j’en suis aujourd’hui.

    Bonne journée,

    Jean-Michel.

    Eabani
    Participant
    Nombre d'articles : 21

    Oups, je reçois ton dernier post juste après que mon message soit parti.

    J’en prends connaissance et je réponds

    Eabani
    Participant
    Nombre d'articles : 21

    OK, je commence par désinstaller Spybot. Mais je dois te dire que je ne me sers pas de la partie antivirus de Spybot. Il est désactivé au profit de Windows Defender.

    Penses-tu que je doive aussi désactiver Defender au profit d’Avast ?

    Bon, je commence par désinstaller Spybot, puis je suis tes instructions pour Malwarebytes

15 sujets de 1 à 15 (sur un total de 31)
  • Vous devez être connecté pour répondre à ce sujet.