[LeChe]

Bonjour

en faisant un ZHPDiag de vérification, ZHPDiag me trouve en superflu des SUP.Orphan.MUICache, je passe ZHPCleaner en mode suppression ( voir ci dessous )

https://www.cjoint.com/c/IEDkolSiQMC

je repasse un ZHPDiag, les mêmes fichiers sont de nouveau là

https://www.cjoint.com/c/IEDkpQLZm3C

ADWcleaner ne détecte rien , par contre Malwarebytes détecte ces fichiers ( surprenant!!!! FP certainement )

https://www.cjoint.com/c/IEDkrunoGjC

alors pour finir voila les 3 fichiers FRST

https://www.cjoint.com/c/IEDksXynggC

https://www.cjoint.com/c/IEDktJ2vqgC

https://www.cjoint.com/c/IEDkuy41D6C

qu'en pensez vous ?

[Pierre95]

Bonjour Willy,

En ce qui concerne, MBAM et les outils de Nicolas, tu dois désactiver temporairement MBAM pour qu'il ne dame pas le pion de ses outils.
En ce qui concerne les SUP.Orphan.MUICache, quelques explications
A notre demande, on a demandé qu'il scanne 2 clés MuiCache afin de trouver des anomalies
Ces 2 clés ne sont pas scannées par FRST sauf erreur de ma part et ZHPDiag ne fait pas doublon avec FRST
Il a mis en service hier ( c'est tout chaud, tout frais)
Actuellement tu peux les supprimer avec ZHPFix2
Par ZHPCleaner, cela n'est peut être pas encore opérationnel

[LeChe]

Hello

Ok, je vais faire un script ZHPFix2

pour Malwarebytes, je n'ai que la version free, et c'est au cours de l'analyse que ces FP ont été détectés

@+

[Pierre95]

En complément

Seules les lignes suivantes sont affichées :

Contenu caché

Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Exemple de format d'affichage:

Contenu caché

Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

PS: pour les Unsigned, c'est le plus interessant.
Je te conseille de t'adresser à un helper qualifié.
Elle signale au helper la possibibilité de processus nuisibles

[LeChe]

j'ai passé le script ZHPFix2

https://www.cjoint.com/c/IEDlFuIs6tC


mais les lignes sont toujours présentes dans ZHPDiag

https://www.cjoint.com/c/IEDlHzPR1VC

[Pierre95]

Curieux, curieux !!
Hier, j'ai giclé les miennes ( des sup Orhans ) et elles ne sont pas revenues.
Il faut dire que ce ne sont pas les mêmes.
Voir avec Nicolas, si ce ne sont pas des FP de ZHPDiag
Peut être un probleme de jeunesse de ce scan aditionnel de ZHPDiag

En fait seul 2 exécutables sont concernées

Contenu caché

Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Peux tu voir s'ils existent sur ta bécane ( sont ils présents)
Peux tu faire une exportation de la clé ?

Contenu caché

Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

[LeChe]

Oui ces 2 fichiers sont présents

export de la clé:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"LangID"=hex:0c,04
"C:\\Windows\\system32\\WFS.exe.FriendlyAppName"="Microsoft Windows Fax and Scan"
"C:\\Windows\\system32\\WFS.exe.ApplicationCompany"="Microsoft Corporation"
"C:\\Windows\\System32\\fsquirt.exe.FriendlyAppName"="fsquirt.exe"
"C:\\Windows\\System32\\fsquirt.exe.ApplicationCompany"="Microsoft Corporation"

[Pierre95]

Willy,

Je pense que nous touchons le noeud du problème:
Prenons un exemple
ZHPDiag scrute la clé

Contenu caché

Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Elle a une valeur:

Contenu caché

Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Il supprime à la fin .FriendlyAppName

et va voir si dans ta bécane tu as toujours

C:\\Windows\\system32\\WFS.exe

Il ne le trouve pas et met donc Sup Orphan
Toi tu vas au charbon et tu la trouve , crénom d'une pipe
est ce que la boulette est du au \\

Contenu caché

Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

et que en réalité c'est \

Contenu caché

Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

[LeChe]

Alors comment dénouer ce nœud ?

je vais en parler à Nicolas comme tu me l'as suggéré

[Pierre95]

Je viens d'envoyer un MP à Nicolas pour lui signaler ta demande.
On lui a récolté des billes