PUP.Optional.Hicosmea

Votre ordinateur est infecté? vous avez un doute ? c'est ici

PUP.Optional.Hicosmea

Messagepar pierrevg » Sam 10 Déc 2016 12:39

Bonjour,

J'ai un soucis avec ce PUP qui revient comme de la glu.
Quelqu'un peut m'aider à m'en débarrasser ?

Merci
Gigabyte GA-890GPA-UD3H (rev. 2.1) - Phenom II X2 550 - 4Go - Win7/32
pierrevg
 
Messages: 205
Inscription: Ven 18 Sep 2015 09:47

Re: PUP.Optional.Hicosmea

Messagepar chantal11 » Sam 10 Déc 2016 14:32

Bonjour,

Ce PUP apparaît sous quelle forme ? Où le vois-tu ?

@+
Image Image
Image
En cas de problème constaté sur un sujet, alertez un modérateur. N'intervenez pas vous-même. Merci
Avatar de l’utilisateur
chantal11
 
Messages: 13449
Inscription: Dim 11 Jan 2009 15:14
Localisation: Aude

Re: PUP.Optional.Hicosmea

Messagepar pierrevg » Sam 10 Déc 2016 14:58

Je le vois dans Malwarebytes 2.
Clés du Registre: 1
PUP.Optional.Hicosmea, HKU\S-1-5-21-2740256219-3263161439-4069880455-1000_Classes\CLSID\{33C53A50-F456-4884-B049-85FD643ECFED}, , [f2b8a73ec0dac571c28bc065c53ea25e],

Quand je le supprime, je reboote et j'ai quelques symptômes bizarres :
- Github Desktop est désinstallé
- Le systray est remis à 0
- certaines icônes dans Programmes et fonctionnalités sont génériques

Github Desktop est récupéré sur le site de Github, il s'installe avec clickOnce de Microsoft.
Là, je l'ai complètement supprimé (Programmes et fonctionnalités + contenus dans AppData/Local, AppData/Local/2.0, AppData/Roaming), reboot.
J'ai repassé Malewarebytes et il n'a rien trouvé.

J'attends quelques jours avant de retenter Github Desktop et passerait Malmachin régulièrement.

Peut-on savoir à quelle date une clé de registre a été créée ? Ça permettrait de déterminer ce qui a pu être installé, non ?

Pour info j'ai KAV 2017 (17.0.0.611(c)).

Merci
Gigabyte GA-890GPA-UD3H (rev. 2.1) - Phenom II X2 550 - 4Go - Win7/32
pierrevg
 
Messages: 205
Inscription: Ven 18 Sep 2015 09:47

Re: PUP.Optional.Hicosmea

Messagepar chantal11 » Sam 10 Déc 2016 15:05

Re,

pierrevg a écrit:Github Desktop est récupéré sur le site de Github, il s'installe avec clickOnce de Microsoft.
Là, je l'ai complètement supprimé (Programmes et fonctionnalités + contenus dans AppData/Local, AppData/Local/2.0, AppData/Roaming), reboot.
J'ai repassé Malewarebytes et il n'a rien trouvé.

Tu as donc ta réponse, la détection de ce PUP et Github Desktop sont liés.


pierrevg a écrit:J'attends quelques jours avant de retenter Github Desktop et passerait Malmachin régulièrement.

OK, tiens-moi au courant.

@+
Image Image
Image
En cas de problème constaté sur un sujet, alertez un modérateur. N'intervenez pas vous-même. Merci
Avatar de l’utilisateur
chantal11
 
Messages: 13449
Inscription: Dim 11 Jan 2009 15:14
Localisation: Aude

Re: PUP.Optional.Hicosmea

Messagepar pierrevg » Sam 10 Déc 2016 18:24

Ça doit être autre chose, je n'ai pas réinstallé Github Desktop et revoilà le même PUP au même endroit.

Clés du Registre: 1
PUP.Optional.Hicosmea, HKU\S-1-5-21-2740256219-3263161439-4069880455-1000_Classes\CLSID\{33C53A50-F456-4884-B049-85FD643ECFED}, , [f7b7d90c2d6deb4bb3f8f530e320e818],

Comment savoir à quoi c'est lié ?

J'ai passé Eset scan online et il a trouvé des trucs mais sans rapport avec ce PUP :
F:\Tools\audio-video\setup_tubemaster++.exe a variant of Win32/Complitly.A potentially unwanted application
F:\Tools\audio-video\SubRip_v150_beta_4zip.exe a variant of Win32/OpenInstall potentially unwanted application
F:\Tools\audio-video\conversions audio - video\FreeWebMVideoConverter.exe a variant of Win32/Toolbar.Conduit.AI potentially unwanted application
F:\Tools\audio-video\conversions audio - video\MiroVideoConverter_Setup.exe a variant of Win32/OpenInstall potentially unwanted application
F:\Tools\audio-video\conversions audio - video\format factory\FFSetup3.9.0.0.exe a variant of Win32/FusionCore.I potentially unwanted application
F:\Tools\download\BitComet_1.42_setup.exe a variant of Win32/FusionCore.I potentially unwanted application
F:\Tools\smartphone\HTC\svg\svg du 05-07-2016\clockworkmod\advanced\system\2013-03-01.11.53.46_ViperSAGA2.1.1\system.ext4.tar a variant of Android/AdDisplay.AirPush.A potentially unwanted application
F:\Tools\smartphone\HTC\svg\svg du 05-07-2016\clockworkmod\backup\2013-03-01.11.51.03_ViperSAGA2.1.1\system.ext4.tar a variant of Android/AdDisplay.AirPush.A potentially unwanted application

Les dits trucs ont été supprimés par Eset.

D'une manière générale, je n'installe pas de trucs exotiques et essaie toujours (quand c'est possible) de faire des installations personnalisées (choix du dossier de l'appli, choix des options de l'appli, etc.). Et là, je n'ai strictement rien installé entre ce matin et maintenant (3 reboots volontaires).

Je suis perplexe...

Des idées pour me mettre sur une autre piste ?

Merci
Gigabyte GA-890GPA-UD3H (rev. 2.1) - Phenom II X2 550 - 4Go - Win7/32
pierrevg
 
Messages: 205
Inscription: Ven 18 Sep 2015 09:47

Re: PUP.Optional.Hicosmea

Messagepar chantal11 » Sam 10 Déc 2016 20:25

Re,

Nous allons lancer cet outil en mode Scanner voir ce qu'il trouve. Selon le rapport, nous vérifierons le système avec un outil de diagnostic plus complet.

--------------------------------------------------------------------------------------------------------------

ZHPCleaner-Scanner :

  • Télécharge ZHPCleaner de Nicolas Coolman en cliquant sur le bouton bleu "Télécharger" et enregistre-le sur le Bureau
  • Ferme toutes les applications, y compris le navigateur
  • Double-clique sur l'icône ZHPCleaner.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Accepte, après l'avoir lu, l'accord de licence en cliquant sur J'accepte
  • Clique sur le bouton Scanner
    Image
  • Poste le rapport obtenu ZHPCleaner.txt qui s'affiche.

    Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

    Tutoriel d'utilisation ZHPCleaner en images

--------------------------------------------------------------------------------------------------------------

Est attendu le rapport ZHPCleaner.

@+
Image Image
Image
En cas de problème constaté sur un sujet, alertez un modérateur. N'intervenez pas vous-même. Merci
Avatar de l’utilisateur
chantal11
 
Messages: 13449
Inscription: Dim 11 Jan 2009 15:14
Localisation: Aude

Re: PUP.Optional.Hicosmea

Messagepar pierrevg » Sam 10 Déc 2016 20:51

Et hop !
Si vous préférez que je poste un lien vers le fichier txt, je peux.
Code: Tout sélectionner
~ ZHPCleaner v2016.12.8.211 by Nicolas Coolman (2016/12/08)
~ Run by Pierre (Administrator)  (10/12/2016 19:43:58)
~ Web: https://www.nicolascoolman.com
~ Blog: https://www.anti-malware.top
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version :
~ Type : Scanner
~ Report : C:\Users\Pierre\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\Pierre\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Home Premium, 32-bit Service Pack 1 (Build 7601)


---\\  Service. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Navigateur internet. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Fichier hôte. (1)
~ Le fichier hôte est légitime. (23)


---\\  Tâche planifiée. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Explorateur  ( Dossiers, Fichiers ). (2)
TROUVÉ dossier: D:\Users\temp\scoped_dir5140_7480  =>.Superfluous.Temporary.Steam
TROUVÉ dossier: D:\Users\temp\scoped_dir7224_30453  =>.Superfluous.Temporary.Steam


---\\  Base de Registres ( Clés, Valeurs, Données ). (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Récapitulatif des éléments trouvés sur votre station. (1)
https://www.nicolascoolman.com/fr/logiciels-superflus  =>.Superfluous.Temporary.Steam


---\\ Bilan de la réparation
~ Aucune réparation effectuée.
~ Ce navigateur est absent  (Mozilla Firefox)
~ Ce navigateur est absent  (Opera Software)


---\\ Statistiques
~ Items scannés : 43463
~ Items trouvés : 2
~ Items annulés : 0
~ Items réparés : 0


~ End of search in 00h04mn06s
~====================
ZHPCleaner-[S]-10122016-19_48_04.txt
Gigabyte GA-890GPA-UD3H (rev. 2.1) - Phenom II X2 550 - 4Go - Win7/32
pierrevg
 
Messages: 205
Inscription: Ven 18 Sep 2015 09:47

Re: PUP.Optional.Hicosmea

Messagepar chantal11 » Sam 10 Déc 2016 21:57

Re,

L'outil ne trouve rien de néfaste, tu peux relancer ZHPCleaner avec l'option Nettoyer pour purger les dossiers temporaires trouvés.

Malwarebytes détecte toujours cet élément ?

@+
Image Image
Image
En cas de problème constaté sur un sujet, alertez un modérateur. N'intervenez pas vous-même. Merci
Avatar de l’utilisateur
chantal11
 
Messages: 13449
Inscription: Dim 11 Jan 2009 15:14
Localisation: Aude

Re: PUP.Optional.Hicosmea

Messagepar pierrevg » Sam 10 Déc 2016 22:23

Les dossiers scoped sont des reliquats de quoi ?
Pas vraiment trouvé de réponse claire à ce propos (ou pas en Français).
J'ai passé le ZHPCleaner et les dossiers ont été supprimés.

J'ai mis à jour Malewarebytes en v3, il passe, ne trouve rien, je reboote, je repasse, il trouve parfois la même saloperie. C'est de l'aléatoire décourageant ;(
Sinon, c'est du nuisible hyper nocif ou juste un truc qui est potentiellement peut-être on sait pas un peu dommageable mais on sait pas trop ?

Merci
Gigabyte GA-890GPA-UD3H (rev. 2.1) - Phenom II X2 550 - 4Go - Win7/32
pierrevg
 
Messages: 205
Inscription: Ven 18 Sep 2015 09:47

Re: PUP.Optional.Hicosmea

Messagepar chantal11 » Dim 11 Déc 2016 10:20

Bonjour,

Toute application, qu'elle soit installée sur ton système ou que utilisée en ligne, crée des fichiers et dossiers temporaires.
Ce ne sont pas des éléments néfastes pour la plupart, juste des éléments à nettoyer, mais non dangereux s'ils restent sur le système, sauf dans le cas d'une infection avérée. Ce qui n'est pas ton cas.


Sinon, c'est du nuisible hyper nocif ou juste un truc qui est potentiellement peut-être on sait pas un peu dommageable mais on sait pas trop ?

Non, ce n'est pas nuisible, rassure-toi.
C'est juste un CLSID qui est créé et Malwarebytes tilte sur ce CLSID.



Nous allons regarder en profondeur si tu le veux bien.

---------------------------------------------------------------------------------------------

SystemLook :

  • Télécharge SystemLook de jpshortstuff et enregistre-le sur ton Bureau
  • Double-clique sur SystemLook.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie-colle dans le cadre principal :

    :reg
    HKU\S-1-5-21-2740256219-3263161439-4069880455-1000_Classes\CLSID\{33C53A50-F456-4884-B049-85FD643ECFED} /s


  • Clique sur Look et patiente le temps de la recherche
  • Clique sur Exit pour refermer l'outil
  • Poste le rapport SystemLook.txt qui s'affiche dans ta prochaine réponse
    Le rapport SystemLook.txt est enregistré sur le Bureau.

---------------------------------------------------------------------------------------------

Est attendu le rapport SystemLook.txt

@+
Image Image
Image
En cas de problème constaté sur un sujet, alertez un modérateur. N'intervenez pas vous-même. Merci
Avatar de l’utilisateur
chantal11
 
Messages: 13449
Inscription: Dim 11 Jan 2009 15:14
Localisation: Aude

Suivante

Retourner vers Désinfection

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités

Livre photo