Page 1 sur 4

[RESOLU]Ménage fait mais j'ai un doute

MessagePosté :06 mai 2019, 12:05
par Nathy78
Bonjour,
Sur conseil d'un contact informaticien, j'ai fait appel aux deux outils ZHP diag et ZHP Cleaner pour faire un checkup de mon PC acheté en décembre (équipé windows 10).
ZHP cleaner a trouvé deux fichiers aria-debug, visibles dans les données utilisateurs/appdata/local/temp. Impossible de les supprimer.
ZHP diag m'annonce 30 fichiers infectés dont voici le rapport
Code : Tout sélectionner
---\ ÉTAT DU CENTRE DE SÉCURITÉ WINDOWS (7) - 0s
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: OK
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] CheckedValue: Modified

---\ TÂCHES PLANIFIÉES EN AUTOMATIQUE (Registre) (26) - 8s
O38 - TASK: {17BA4D35-9F72-41DC-8B3E-233A337F9009} [64Bits][\ASUS Hello] - (.SSD,ASUS Tek - .) -- C:\Program Files (x86)\ASUS\ASUS Hello\ASUSHelloBG.exe  [642448] 
C:\WINDOWS\System32\Tasks\ASUS Hello - (.SSD,ASUS Tek.) -- C:\Program Files (x86)\ASUS\ASUS Hello\ASUSHelloBG.exe  [] 

---\ FIREFOX, Plugins,Démarrage,Recherche,Extensions (30) - 3s
P2 - EXT FILE: (...) -- C:\Users\Nathy-AC\AppData\Roaming\Mozilla\Firefox\Profiles\58q9fc0q.default-1557062796146\extensions\hotfix-update-xpi-intermediate@mozilla.com.xpi
P2 - EXT FILE: (...) -- C:\Users\Nathy-AC\AppData\Roaming\Mozilla\Firefox\Profiles\58q9fc0q.default-1557062796146\extensions\{20a15a74-371f-5098-a362-bd127db4f8bc}.xpi
C:\Users\Nathy-AC\AppData\Roaming\Mozilla\Firefox\Profiles\58q9fc0q.default-1557062796146\browser-extension-data\{059cddf1-f66c-4b63-a79a-c35ac7e6ac65}

---\ RACCOURCIS GLOBAL STARTUP (74) - 5s
O4 - GS\CommonDesktop [Public]: Evernote.lnk . (...) C:\WINDOWS\Installer\{B47B6F80-6143-11E9-9F8E-005056951CAD}\Evernote.ico  
O4 - GS\ProgramsCommon [Public]: Evernote.lnk . (...) C:\WINDOWS\Installer\{B47B6F80-6143-11E9-9F8E-005056951CAD}\Evernote.ico  

---\ CLÉ DE REGISTRE EXPLORER StartupApproved (2) - 0s
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder]:ASUSCD64.cmd

---\ LOGICIELS INSTALLÉS (103) - 18s
O42 - Logiciel: Freizeitkarte_FRA (Ausgabe 18.09) - (..) [HKLM][64Bits] -- Freizeitkarte_FRA

---\ CLÉ DE REGISTRE SOFTWARE HKCU & HKLM (170) - 18s
HKLM\SOFTWARE\ELAN
HKLM\SOFTWARE\Screenovate
HKLM\SOFTWARE\WOW6432Node\Screaming Frog SEO Spider
[highlight=yellow]HKU\S-1-5-21-1093500070-1876523435-424729120-1001\SOFTWARE\67ab15dc-0a8b-5db2-8ebe-bd4994c956f6  =>Adware.CrossRider[/highlight]

---\ CONTENU DES DOSSIERS PROGRAMMES (227) - 4s
O43 - CFD: 27/01/2019 - [] D -- C:\Program Files (x86)\Code Postal
O43 - CFD: 06/05/2019 - [] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Communication
O43 - CFD: 19/03/2019 - [] RD -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Création GPS
O43 - CFD: 27/04/2019 - [] RD -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet & Web
O43 - CFD: 06/05/2019 - [] RD -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Medias
O43 - CFD: 06/05/2019 - [] RD -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Utilitaires
O43 - CFD: 07/12/2018 - [0] D -- C:\Users\Nathy-AC\AppData\Roaming\HeidiSQL
O43 - CFD: 11/02/2019 - [] D -- C:\Users\Nathy-AC\AppData\Roaming\Local by Flywheel
O43 - CFD: 21/04/2019 - [] D -- C:\Users\Nathy-AC\AppData\Roaming\OpenConcerto
O43 - CFD: 21/01/2019 - [] D -- C:\Users\Nathy-AC\AppData\Roaming\Poedit
O43 - CFD: 29/01/2019 - [] D -- C:\Users\Nathy-AC\AppData\Roaming\uk.co.screamingfrog.seospider.i.b
O43 - CFD: 10/02/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\local-by-flywheel-updater
O43 - CFD: 10/04/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\OneDrive
O43 - CFD: 21/04/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\OpenConcerto
O43 - CFD: 13/03/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\Suite
O43 - CFD: 11/02/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\Programs\local-by-flywheel
O43 - CFD: 05/05/2019 - [] AD -- C:\Users\Nathy-AC\OneDrive\Bureau\Anciennes données de Firefox

---\ LISTE DES EXCEPTIONS DU PAREFEU WINDOWS (44) - 3s
O87 - FAEL: 'UDP Query User{651DBCDA-A495-4575-B141-E81117F1A50B}C:\programmesutilisateur\uwamp\bin\database\mysql-5.7.11\bin\mysqld.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\uwamp\bin\database\mysql-5.7.11\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{1E629DCF-A74F-44DD-BA96-1CE3D88AE1CC}C:\programmesutilisateur\uwamp\bin\database\mysql-5.7.11\bin\mysqld.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\uwamp\bin\database\mysql-5.7.11\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{B9A93787-569E-47E8-8D37-67579F429E4F}C:\programmesutilisateur\uwamp\bin\apache\bin\httpd.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\uwamp\bin\apache\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{C80B609B-03A0-4B62-B8E2-4754D2B4DFD4}C:\programmesutilisateur\uwamp\bin\apache\bin\httpd.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\uwamp\bin\apache\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{C32D9A9C-ADB9-4B2B-80C5-DE57DFF5F46C}C:\programmesutilisateur\laragon\bin\memcached\memcached-1.4.5\memcached.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\memcached\memcached-1.4.5\memcached.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{AF398036-11D6-45A0-8D84-3752040A99DD}C:\programmesutilisateur\laragon\bin\memcached\memcached-1.4.5\memcached.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\memcached\memcached-1.4.5\memcached.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{AE3B50C4-A293-4820-9897-8EFA7C371802}C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{2FD23ED1-EB17-467B-8A93-D8EE1B4A82FF}C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{3BE1F19C-C885-4633-95CD-011216366B29}C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{51A8D50F-972D-4038-8D81-64CF8C2151E4}C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{DF8EBB85-D106-4E8E-AC53-FFA724AE31C5}' [In-None-P17-TRUE] .(...) -- C:\Program Files\Microsoft Office\Office16\UcMapi.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{8D8F8989-9B8F-4338-A378-005FA2266848}' [In-None-P6-TRUE] .(...) -- C:\Program Files\Microsoft Office\Office16\UcMapi.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{245DA219-84C7-4E78-961F-D8A157883F38}' [In-None-P17-TRUE] .(...) -- C:\Program Files\Microsoft Office\Office16\lync.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{E009B421-4CEA-4C06-A7D0-69D0B8C96DA6}' [In-None-P6-TRUE] .(...) -- C:\Program Files\Microsoft Office\Office16\lync.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{311EA091-1EF7-401D-A985-3BA84EB7B909}' [In-None-P17-TRUE] .(...) -- C:\ProgrammesUtilisateur\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{42981DCC-F120-414C-A0FA-A646EF39C262}' [In-None-P6-TRUE] .(...) -- C:\ProgrammesUtilisateur\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{19CE610A-BE96-4CB0-B007-1DEC0C8DA060}' [In-None-P17-TRUE] .(...) -- C:\Program Files\CCleaner\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{40AFBF22-A594-406E-9D83-CCBD568B776A}' [In-None-P6-TRUE] .(...) -- C:\Program Files\CCleaner\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{714A79B5-8BD3-4C00-8E9A-86DAE5D375D7}C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{C70FC769-A074-4FBA-B52E-DADBE0CC9348}C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{0F5BE52E-EFE6-448B-908D-88158E4C817C}C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{CA0B8F89-9D74-4C02-9AAA-61E70CF63ABA}C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{9E0DC1E6-3FF5-4526-AA07-DBF76AEFC2CD}' [In-None-P6-TRUE] .(...) -- C:\ProgrammesUtilisateur\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{25401A7F-5544-41A3-B243-5DE3A0341FDF}' [In-None-P17-TRUE] .(...) -- C:\ProgrammesUtilisateur\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{35D81FBA-A035-4781-826A-E13DBD4B3CB0}' [In-None-P17-TRUE] .(...) -- C:\Users\Nathy-AC\AppData\Roaming\Zoom\bin\airhost.exe (.not file.)  =>.SUP.Orphan

---\ CODES PRODUITS LOGICIELS (50) - 1s
O90 - PUC: '32C3CBF34D3A9F74C907ABE0F1C068C4' [HKLM] . (.PDF-XChange Editor.) -- C:\WINDOWS\Installer\{3FBC3C23-A3D4-47F9-9C70-BA0E1F0C864C}\AppIco

---\ SCAN ADDITIONNEL (1) - 1s
HKCU\Software\undefined  =>.SUP.Downloader

---\ RÉCAPITULATIF DES ÉLÉMENTS TROUVÉS SUR VOTRE STATION (3) - 0s
[highlight=yellow]https://nicolascoolman.eu/2017/03/11/pup-optional-crossrider/  =>Adware.CrossRider[/highlight]
https://nicolascoolman.eu/2017/12/22/sup-downloader/  =>.SUP.Downloader
https://nicolascoolman.eu/2017/09/12/origine-lignes-orphelines/  =>.SUP.Orphan

~ Unselected Options:  O82,
~ End of the scan, 8845 items in 01mn43s (2014)(0)
Je n'ai laissé que les lignes signalant quelque chose. Mais je ne sais faire la différence entre les couleurs des lignes. J'ai surligné ce qui ressort en rouge dans le rapport ZHPDiag.

J'ai téléchargé les logiciels anti malvare recommandés et les ai lancé. Ils n'indiquent aucune contamination.

Que dois-je comprendre ? Infecté ou pas infecté mon PC ?

Merci infiniment pour votre soutien et surtout, pour ces outils si précieux.
A bientôt

Re: Ménage fait mais j'ai un doute

MessagePosté :06 mai 2019, 12:13
par did80
Bonjour,

Je m'appelle Didier et je vais tenter de résoudre votre problème.

Pourriez vous suivre les consignes du lien ci dessous. Prendre le temps de bien lire

>> Comment poster pour une désinfection <<

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection

je désinfecte gratuitement mais si vous souhaitez contribuer aux travaux de Nicolas

c'est Don Ici Merci


ce n'est pas une obligation

Fournir les rapports au format.txt

Je vais te prendre en charge, n'effectue que les procédures demandées
et ne télécharge rien d'autre pouvant fausser mon analyse.
Tous les logiciels demandés sur cette désinfection seront à télécharger sur ton bureau et pas ailleurs.
En dehors du forum, j'ai une vie privée, je ne pourrais te répondre de suite. Soit patient.

Re: [did80]Ménage fait mais j'ai un doute

MessagePosté :09 mai 2019, 21:24
par Nathy78
Bonsoir

Merci Didier pour votre proposition d'aide. J'ai donc relancé un diagnostic en suivant la procédure indiquée avec point de restauration sur C (j'utilise mon disque D pour stockage de documents). J'ai eu depuis une MAJ windows 10 et maintenant, j'ai 19 fichiers suspects....

J'ai déposé le rapport sur Cjoint https://www.cjoint.com/c/IEjtvoIjfpn

Si nécessaire, dites moi de quoi vous auriez besoin pour savoir comment nettoyer ces fichiers indésirables.

Merci tout plein ;)
Nathalie

Re: [did80]Ménage fait mais j'ai un doute

MessagePosté :09 mai 2019, 21:34
par did80
bonsoir Nathalie

dans l'attente de tes 4 rapports

zhpdiag

et les 3 liens farbar

didier

Re: [did80]Ménage fait mais j'ai un doute

MessagePosté :13 mai 2019, 19:21
par Nathy78
Bonjour Didier, c'est quoi les liens farbar ? je ne comprends pas et ne vois pas de liens portant ce nom... désolée... :roll:
Nathalie

Re: [did80]Ménage fait mais j'ai un doute

MessagePosté :13 mai 2019, 19:42
par did80
Bonsoir Nathalie

je te redonne le lien de mon premier post

avant-poster-pour-une-desinfection-vers ... t8180.html

tout est expliqué dedans

Didier

Re: [did80]Ménage fait mais j'ai un doute

MessagePosté :15 mai 2019, 13:49
par Nathy78
merci, je suis étourdie... excusez moi

voici les liens sur cjoint :

addition
Frst
Shortcut

Je remets le fichier zh diag, car le délai est passé, en espérant que j'envoie le bon...

https://www.cjoint.com/c/IEplW242QUV

encore merci à vous
Nathalie

Re: [did80]Ménage fait mais j'ai un doute

MessagePosté :15 mai 2019, 17:05
par did80
Bonjour Nathalie

je vais regarder les liens farbar

pour zhpdiag tu as mis un zhpcleaner :)

Didier

Re: [did80]Ménage fait mais j'ai un doute

MessagePosté :16 mai 2019, 16:07
par Nathy78
l'étourderie encore ou la fatigue... encore désolée

voici le lien pour le zh diag https://www.cjoint.com/c/IEqogjDFMaV

mille merci

Re: [did80]Ménage fait mais j'ai un doute

MessagePosté :16 mai 2019, 16:41
par did80
Image Nathalie


Lance Farbar

Image


Copies les lignes suivantes dans le cadre rouge
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Corrige et heberge le rapport fixlog

@+ Didier