Page 1 sur 7
PUP.Optional.Hicosmea
Posté : sam. 10 déc. 2016 12:39
par pierrevg
Bonjour,
J'ai un soucis avec ce PUP qui revient comme de la glu.
Quelqu'un peut m'aider à m'en débarrasser ?
Merci
Re: PUP.Optional.Hicosmea
Posté : sam. 10 déc. 2016 14:32
par chantal11
Bonjour,
Ce PUP apparaît sous quelle forme ? Où le vois-tu ?
@+
Re: PUP.Optional.Hicosmea
Posté : sam. 10 déc. 2016 14:58
par pierrevg
Je le vois dans Malwarebytes 2.
Clés du Registre: 1
PUP.Optional.Hicosmea, HKU\S-1-5-21-2740256219-3263161439-4069880455-1000_Classes\CLSID\{33C53A50-F456-4884-B049-85FD643ECFED}, , [f2b8a73ec0dac571c28bc065c53ea25e],
Quand je le supprime, je reboote et j'ai quelques symptômes bizarres :
- Github Desktop est désinstallé
- Le systray est remis à 0
- certaines icônes dans Programmes et fonctionnalités sont génériques
Github Desktop est récupéré sur le site de Github, il s'installe avec clickOnce de Microsoft.
Là, je l'ai complètement supprimé (Programmes et fonctionnalités + contenus dans AppData/Local, AppData/Local/2.0, AppData/Roaming), reboot.
J'ai repassé Malewarebytes et il n'a rien trouvé.
J'attends quelques jours avant de retenter Github Desktop et passerait Malmachin régulièrement.
Peut-on savoir à quelle date une clé de registre a été créée ? Ça permettrait de déterminer ce qui a pu être installé, non ?
Pour info j'ai KAV 2017 (17.0.0.611(c)).
Merci
Re: PUP.Optional.Hicosmea
Posté : sam. 10 déc. 2016 15:05
par chantal11
Re,
pierrevg a écrit :Github Desktop est récupéré sur le site de Github, il s'installe avec clickOnce de Microsoft.
Là, je l'ai complètement supprimé (Programmes et fonctionnalités + contenus dans AppData/Local, AppData/Local/2.0, AppData/Roaming), reboot.
J'ai repassé Malewarebytes et il n'a rien trouvé.
Tu as donc ta réponse, la détection de ce PUP et Github Desktop sont liés.
pierrevg a écrit :J'attends quelques jours avant de retenter Github Desktop et passerait Malmachin régulièrement.
OK, tiens-moi au courant.
@+
Re: PUP.Optional.Hicosmea
Posté : sam. 10 déc. 2016 18:24
par pierrevg
Ça doit être autre chose, je n'ai pas réinstallé Github Desktop et revoilà le même PUP au même endroit.
Clés du Registre: 1
PUP.Optional.Hicosmea, HKU\S-1-5-21-2740256219-3263161439-4069880455-1000_Classes\CLSID\{33C53A50-F456-4884-B049-85FD643ECFED}, , [f7b7d90c2d6deb4bb3f8f530e320e818],
Comment savoir à quoi c'est lié ?
J'ai passé Eset scan online et il a trouvé des trucs mais sans rapport avec ce PUP :
F:\Tools\audio-video\setup_tubemaster++.exe a variant of Win32/Complitly.A potentially unwanted application
F:\Tools\audio-video\SubRip_v150_beta_4zip.exe a variant of Win32/OpenInstall potentially unwanted application
F:\Tools\audio-video\conversions audio - video\FreeWebMVideoConverter.exe a variant of Win32/Toolbar.Conduit.AI potentially unwanted application
F:\Tools\audio-video\conversions audio - video\MiroVideoConverter_Setup.exe a variant of Win32/OpenInstall potentially unwanted application
F:\Tools\audio-video\conversions audio - video\format factory\FFSetup3.9.0.0.exe a variant of Win32/FusionCore.I potentially unwanted application
F:\Tools\download\BitComet_1.42_setup.exe a variant of Win32/FusionCore.I potentially unwanted application
F:\Tools\smartphone\HTC\svg\svg du 05-07-2016\clockworkmod\advanced\system\2013-03-01.11.53.46_ViperSAGA2.1.1\system.ext4.tar a variant of Android/AdDisplay.AirPush.A potentially unwanted application
F:\Tools\smartphone\HTC\svg\svg du 05-07-2016\clockworkmod\backup\2013-03-01.11.51.03_ViperSAGA2.1.1\system.ext4.tar a variant of Android/AdDisplay.AirPush.A potentially unwanted application
Les dits trucs ont été supprimés par Eset.
D'une manière générale, je n'installe pas de trucs exotiques et essaie toujours (quand c'est possible) de faire des installations personnalisées (choix du dossier de l'appli, choix des options de l'appli, etc.). Et là, je n'ai strictement rien installé entre ce matin et maintenant (3 reboots volontaires).
Je suis perplexe...
Des idées pour me mettre sur une autre piste ?
Merci
Re: PUP.Optional.Hicosmea
Posté : sam. 10 déc. 2016 20:25
par chantal11
Re,
Nous allons lancer cet outil en mode Scanner voir ce qu'il trouve. Selon le rapport, nous vérifierons le système avec un outil de diagnostic plus complet.
--------------------------------------------------------------------------------------------------------------
ZHPCleaner-Scanner :
- Télécharge ZHPCleaner de Nicolas Coolman en cliquant sur le bouton bleu "Télécharger" et enregistre-le sur le Bureau
- Ferme toutes les applications, y compris le navigateur
- Double-clique sur l'icône ZHPCleaner.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Accepte, après l'avoir lu, l'accord de licence en cliquant sur J'accepte
- Clique sur le bouton Scanner
- Poste le rapport obtenu ZHPCleaner.txt qui s'affiche.
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
Tutoriel d'utilisation ZHPCleaner en images
--------------------------------------------------------------------------------------------------------------
Est attendu le rapport ZHPCleaner.
@+
Re: PUP.Optional.Hicosmea
Posté : sam. 10 déc. 2016 20:51
par pierrevg
Et hop !
Si vous préférez que je poste un lien vers le fichier txt, je peux.
Code : Tout sélectionner
~ ZHPCleaner v2016.12.8.211 by Nicolas Coolman (2016/12/08)
~ Run by Pierre (Administrator) (10/12/2016 19:43:58)
~ Web: https://www.nicolascoolman.com
~ Blog: https://www.anti-malware.top
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version :
~ Type : Scanner
~ Report : C:\Users\Pierre\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\Pierre\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Home Premium, 32-bit Service Pack 1 (Build 7601)
---\\ Service. (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Navigateur internet. (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Fichier hôte. (1)
~ Le fichier hôte est légitime. (23)
---\\ Tâche planifiée. (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Explorateur ( Dossiers, Fichiers ). (2)
TROUVÉ dossier: D:\Users\temp\scoped_dir5140_7480 =>.Superfluous.Temporary.Steam
TROUVÉ dossier: D:\Users\temp\scoped_dir7224_30453 =>.Superfluous.Temporary.Steam
---\\ Base de Registres ( Clés, Valeurs, Données ). (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Récapitulatif des éléments trouvés sur votre station. (1)
https://www.nicolascoolman.com/fr/logiciels-superflus =>.Superfluous.Temporary.Steam
---\\ Bilan de la réparation
~ Aucune réparation effectuée.
~ Ce navigateur est absent (Mozilla Firefox)
~ Ce navigateur est absent (Opera Software)
---\\ Statistiques
~ Items scannés : 43463
~ Items trouvés : 2
~ Items annulés : 0
~ Items réparés : 0
~ End of search in 00h04mn06s
~====================
ZHPCleaner-[S]-10122016-19_48_04.txt
Re: PUP.Optional.Hicosmea
Posté : sam. 10 déc. 2016 21:57
par chantal11
Re,
L'outil ne trouve rien de néfaste, tu peux relancer ZHPCleaner avec l'option Nettoyer pour purger les dossiers temporaires trouvés.
Malwarebytes détecte toujours cet élément ?
@+
Re: PUP.Optional.Hicosmea
Posté : sam. 10 déc. 2016 22:23
par pierrevg
Les dossiers scoped sont des reliquats de quoi ?
Pas vraiment trouvé de réponse claire à ce propos (ou pas en Français).
J'ai passé le ZHPCleaner et les dossiers ont été supprimés.
J'ai mis à jour Malewarebytes en v3, il passe, ne trouve rien, je reboote, je repasse, il trouve parfois la même saloperie. C'est de l'aléatoire décourageant ;(
Sinon, c'est du nuisible hyper nocif ou juste un truc qui est potentiellement peut-être on sait pas un peu dommageable mais on sait pas trop ?
Merci
Re: PUP.Optional.Hicosmea
Posté : dim. 11 déc. 2016 10:20
par chantal11
Bonjour,
Toute application, qu'elle soit installée sur ton système ou que utilisée en ligne, crée des fichiers et dossiers temporaires.
Ce ne sont pas des éléments néfastes pour la plupart, juste des éléments à nettoyer, mais non dangereux s'ils restent sur le système, sauf dans le cas d'une infection avérée. Ce qui n'est pas ton cas.
Sinon, c'est du nuisible hyper nocif ou juste un truc qui est potentiellement peut-être on sait pas un peu dommageable mais on sait pas trop ?
Non, ce n'est pas nuisible, rassure-toi.
C'est juste un CLSID qui est créé et Malwarebytes tilte sur ce CLSID.
Nous allons regarder en profondeur si tu le veux bien.
---------------------------------------------------------------------------------------------
SystemLook :
- Télécharge SystemLook de jpshortstuff et enregistre-le sur ton Bureau
- Double-clique sur SystemLook.exe sur ton Bureau
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Copie-colle dans le cadre principal :
:reg
HKU\S-1-5-21-2740256219-3263161439-4069880455-1000_Classes\CLSID\{33C53A50-F456-4884-B049-85FD643ECFED} /s
- Clique sur Look et patiente le temps de la recherche
- Clique sur Exit pour refermer l'outil
- Poste le rapport SystemLook.txt qui s'affiche dans ta prochaine réponse
Le rapport SystemLook.txt est enregistré sur le Bureau.
---------------------------------------------------------------------------------------------
Est attendu le rapport
SystemLook.txt
@+