Page 2 sur 7
Re: PUP.Optional.Hicosmea
Posté : dim. 11 déc. 2016 12:23
par pierrevg
Bonjour,
C'est indispensable de le stocker sur le bureau ? J'aime bien ne rien mettre sur le bureau.
Comme Malewarebytes n'a rien trouvé, je lancerai l'appli quand le pot de glu sera de retour...
Soyons confiants, ça ne saurait tarder ;)
Bon dimanche ;)
Re: PUP.Optional.Hicosmea
Posté : dim. 11 déc. 2016 12:51
par chantal11
Re,
Tu l'enregistres où tu veux, du moment que tu le retrouves
Re: PUP.Optional.Hicosmea
Posté : dim. 11 déc. 2016 15:29
par pierrevg
Ahhhh
Code : Tout sélectionner
SystemLook 30.07.11 by jpshortstuff
Log created at 14:06 on 11/12/2016 by Pierre
Administrator - Elevation successful
========== reg ==========
[HKEY_USERS\S-1-5-21-2740256219-3263161439-4069880455-1000_Classes\CLSID\{33C53A50-F456-4884-B049-85FD643ECFED}]
(No values found)
[HKEY_USERS\S-1-5-21-2740256219-3263161439-4069880455-1000_Classes\CLSID\{33C53A50-F456-4884-B049-85FD643ECFED}\InprocServer32]
(No values found)
-= EOF =-
Et j'ai une pub sonore qui déboule ;(
Je passe Malewarebytes qui trouve mon sparadrap collant, sale et mouillé...
Code : Tout sélectionner
Malwarebytes
www.malwarebytes.com
-Détails du journal-
Date de l'analyse: 11/12/2016
Heure de l'analyse: 14:11
Fichier journal: malwarebytes-rapport-11-9-16.txt
Administrateur: Oui
-Informations du logiciel-
Version: 3.0.4.1269
Version de composants: 1.0.39
Version de pack de mise à jour: 1.0.693
Licence: Gratuit
-Informations système-
Système d'exploitation: Windows 7 Service Pack 1
Processeur: x86
Système de fichiers: NTFS
Utilisateur: Pierre-PC\Pierre
-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 266025
Temps écoulé: 12 min, 51 s
-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Activé
Heuristique: Activé
PUP: Activé
PUM: Activé
-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)
Module: 0
(Aucun élément malveillant détecté)
Clé du registre: 1
Adware.Hicosmea, HKU\S-1-5-21-2740256219-3263161439-4069880455-1000_Classes\CLSID\{33C53A50-F456-4884-B049-85FD643ECFED}, Aucune action de l'utilisateur, [789], [185984],1.0.693
Valeur du registre: 0
(Aucun élément malveillant détecté)
Flux de données: 0
(Aucun élément malveillant détecté)
Dossier: 0
(Aucun élément malveillant détecté)
Fichier: 0
(Aucun élément malveillant détecté)
Secteur physique: 0
(Aucun élément malveillant détecté)
(end)
Je le laisse actif ou le mets en quarantaine ?
Merci
Edit 14h42 :
j'ai donc laissé le machin pot de glu en liberté, ai repassé ZHPCleaner qui ne l'a strictement pas vu, repassé SystemLook qui, lui, l'a bien vu.
Bon bon bon...
Re: PUP.Optional.Hicosmea
Posté : dim. 11 déc. 2016 18:01
par chantal11
Re,
C'est une clé vide ?????
Aucune information, donc on ne sait pas de quelle application elle dépend
C'est donc bien sur le CLSID que tilte Malwarebytes.
pierrevg a écrit :Et j'ai une pub sonore qui déboule
C'est-à-dire ?
Cette pub apparaît où et à quel moment ?
@+
Re: PUP.Optional.Hicosmea
Posté : dim. 11 déc. 2016 18:30
par pierrevg
Ben je vous ai donné la totalité du rapport sans rien toucher, donc ça doit être vide avec des trous parce que le dimanche on a du temps ?
Une pub sonore qui GUEULE avec un jingle de débile et qui me fait sursauter.
Là, je réinstalle Firefox (puisque c'est le navigateur que j'utilise et qui était ouvert quand la saleté sonore a déboulé) : sauvegarde de la liste des addons, sauvegarde du profil actuel afin de récupérer des éléments (pass, favoris, , suppression de Firefox, suppression des dossiers qui restent inévitablement un peu partout, reboot, récupération de l'exe avec Chrome, installation de Firefox, récupération des addons directement chez Mozilla, configuration des addons, configuration de Firefox.
Les autres applis ouvertes (outre Windows, la surcouche au parefeu de Windows et l'antivirus) étaient :
- winamp (pour écouter de la zizique)
- pspad (éditeur de texte, comme notepad++)
- peerblock (un bloqueur d'ip)
- the bat! (mon outil de courrier)
J'ai déjà réinstallé Chrome (avec resetBrowser), et j'ai resynchronisé avec mon profil chez Google).
Et maintenant, j'attends que la pub revienne me faire coucou.
Re: PUP.Optional.Hicosmea
Posté : dim. 11 déc. 2016 18:36
par chantal11
Re,
OK, tiens-moi au courant.
@+
Re: PUP.Optional.Hicosmea
Posté : dim. 11 déc. 2016 23:22
par pierrevg
Et PUP.Optional.Hicosmea est revenu.
Repassé Malewarebytes, a remis en quarantaine, reboot. Le systray est revenu aux valeurs par défaut comme à chaque fois.
Repassé, a rien trouvé. Mais ça va revenir mais d'où ???!
J'ai plus d'idée ;(
Re: PUP.Optional.Hicosmea
Posté : lun. 12 déc. 2016 09:14
par chantal11
Bonjour,
On va essayer de cerner ensemble.
Quand tu dis
"Le systray est revenu aux valeurs par défaut" , quelle est l'application qui l'a modifié ?
Tu peux me faire une capture du systray "aux valeurs par défaut" et une capture du systray "modifié" ?
D'autre part, pour un un diagnostic complet de ton système :
---------------------------------------------------------------------------------------------
FRST :
- Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
Pour un système en 32 bits -> FRST
Pour un système en 64 bits -> FRST64
Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
Rappel : FRST doit être enregistré sur ton Bureau <-- Important
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
- A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
---------------------------------------------------------------------------------------------
Sont attendus les rapports
FRST.txt et
Addition.txt
Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation
@+
Re: PUP.Optional.Hicosmea
Posté : lun. 12 déc. 2016 12:31
par pierrevg
Le systray, selon moi, par défaut affiche les notifs et l'icône de :
son
réseau
centre de maintenance
Tous les autres sont avec l'attribut "Afficher les notifs uniquement"
Dans ma config, j'affiche les notifs et l'icône de :
KAV
TheBat!
CoreTemp (un monitoring pour le CPU qui a tendance à monter dans les tours)
et je change l'attribut du centre de maintenance en "afficher les notifs uniquement".
Cette modification du systray, je la fais à la main, aucune appli ne s'en charge. Je clique sur le petit triangle pointant vers le haut et je clique sur "personnaliser".
Quand il revient aux valeurs par défaut c'est en général quand Malwarebytes a supprimé la cochonceté et que j'ai rebooté. Sauf que là, hier soir j'ai fait un scan, il n'a rien trouvé, donc rien supprimé ou mis en quarantaine et ce matin quand je démarre l'ordi les icônes sont revenues aux valeurs par défaut. Je vais devenir dingue dans pas longtemps...
Comme, d'après SystemLook, ma saleté est de retour au boot ce matin, voici les rapports demandés :
FRST :
https://up.security-x.fr/file.php?h=R20 ... e814f3c2e3
Addition :
https://up.security-x.fr/file.php?h=Rc0 ... c6d96b077f
Shortcut :
https://up.security-x.fr/file.php?h=Rf2 ... 52ece460a8
Merci de ta patience :)
Re: PUP.Optional.Hicosmea
Posté : lun. 12 déc. 2016 13:15
par chantal11
Re,
Je ne télécharge aucun fichier, merci de respecter les consignes pour héberger les rapports sur le site indiqué.
@+