[Réglé] POP inofensive, mais qui reviennent sans cesse. • page 2

[dubignyp]

Je vous envoie à nouveau la recherche de babylon restant encore, après avoir fait le nettoyage ci-dessus.
Qui m'a fait redémarrer l'ordi après aussi.

Toujours pas de résultats info dans la partie C pour le nettoyage, mais un dossier est créé c'est tout.
Mais, vide. Par contre je l'ai vu apparaître dans l'autre disc dur, disc de stockage simplement, bizzarement... Je vous envoie le résulat.

Alors pour ma part les fichiers caché n'était pas coché et donc je voyais déjà des fichiers caché comme AppData dans mes documents.
C'est belle et bien pleins de dossiers transparents cachés qui se sont arrivé même en double racoursis sur mes documents que j'ai pu enfin les supprimer. Mais pleins de fichier qu'on ne peut pas ouvrir, ni supprimer sont apparu. Egalement pleins de fichiers .txt un peu partout dans mes discs dans chaque sous dossiers rangé.
Egalement un fichier recycle et un dossier volume impossible de supprimer, aussi transparent apparu un peu partout.
Le fichier recycle.bin contient dedans une corbeille et pleins de fichiers transparent inaccessible. Un cheni tout ça...
Comment supprimer tout ça ? Tous les fichiers .txt et les dossiers apparu qui sont tous transparent ne vont rien faire de grave, juste simplement recocher pour cacher ? Et décocher si je veux aller dans appdata ?

Pour la recherche Ask, de nouveau il bloque à un endroit je suis obligé de fermer le logiciel avec gestionnaire de tâche.
Même endroit que la première fois : https://i62.servimg.com/u/f62/11/81/42/35/2018-011.jpg

[bernard53]

ok on va faire autrement.
Télécharges ZHPDIAG (de Nicolas Coolman) sur ton bureau.
Doubles-clique sur l'icône ZHPDiag .exe pour l’installation.

Double-clique ensuite sur l’icône ZHPDiag puis :



Dans un premier temps << options et valider « Tout cocher>>> puis
Valide Scanner puis Valide Rapport
à la fin du scan : Ce dernier est aussi sauvegardé directement sur ton bureau.
ZHPDiag.txt

Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel

[dubignyp]

Tien ce logiciel je l'ai déjà eu utilisé y a bien fort longtemps.

J'ai vu dans le rapports que j'ai des traces de logiciel que je n'ai plus pourtant. Comme le Hola un application pour être connecté sur d'autres pays que j'ai assez vite débarrassé pompant trop mon CPU quand il était actif. Mon iobit malware fighter que j'avais eu testé et déçu par la suite. Quelques trucs que je devrais plus en avoir pourtant.

J'ai vu un fichier dll du groupe optionnel pop de BitCoinMiner. Si jamais c'est normal ce fichier DLL, c'est un logiciel que je dispose de minage de chez Nicehash. Ce logiciel qui s'installe ; il installe également une sécurité C++ en package.
Il porte presque le même nom du fameux virus qui pompe à notre insu le GPU ou le CPU je connais, mais là c'est un logiciel volontaire que j'ai pris au site officiel de Nicehash pour minage, que j'utilise quand je dors (car l'utilisation ram l'ordi).
Ainsi, ceux qui porte le nom Miner (dans disc E), qui sont des applications qui permet faire tourner le fichier .bat (là où on code manuellement), pour miner des crypto, en exploration CMS. Je les ai mi exception de l'antivirus, car l'antivirus n'aime pas ces applications qui pompe le matériel informatique, pour lui c'est pas normal. Ils ont été pris sur le site officiel github.com

Après la recherche y a une page qui s'est ouvert montrant 4 choses, dont 1 normal l'optionnel considéré pup cité ci-dessus, mais 3 autres que je connais pas.

Voici le rapport

[bernard53]

les lignes reportées avec Zhpdiag sont en référence avec excavator_cuda et plus ou moins avec "BITCOINS "
Pas mal de chose ont l'air d'être en relation avec cela.

[dubignyp]

Ok. Si tu me donnais les lignes de désinfections y aurait quoi comme code ?
Seulement pour celui là ? Les PUP sorti de malwarebyte serait indiqué à cause de extravator ? (Ce dernier est pour l'extraction sur le GPU effectivement).

J'ai vu des orphelins aussi. Je pense que c'est de Hola, car il est à nul part, sauf qu'il apparaît dans la partie activation d'ouverture windows. Mais je l'ai décoché pour qu'il ne s'active pas à l'ouverture.

[bernard53]

il semble que seul cette ligne fait référence en plus a Bitcoins.
C:\Users\Pat\AppData\Local\Programs\iota\IOTA Wallet.exe

[dubignyp]

Pourtant je l'ai désinstallé celui là le IOTA.
Le IOTA est une wallet de la crypto IOTA que j'ai désinstallé. Je l'avais pris sur le site https://iota.org/
Celui là aussi je comprend pas pourquoi il reste dans les traces dans l'ordi, tout comme ce iobit malware fighter ou le Hola.

En allant manuellement à ce dossier C:\Users\Pat\AppData\Local\Programs je ne le voie pas. Il est en mode fantôme...
Dans tout les cas, le bitcoins n'a rien à faire dans cette partie. Puisque le seul bitcoin connu volontairement est dans Nicehash pour la conversion à Bitcoin.
Ou encore l'application chrome de la ledger wallet bitcoin.

Vous pensez que c'est ça qui amène des Ask et babylon ?

[bernard53]

iobit il reste des choses et si tu veux bien tout supprimer alors.
Correctifs.

• Exécutez FRST/FRST64 par clic-droit -> Exécuter en tant qu'administrateur
• Copiez la totalité du contenu, de Start:: à End:: de la zone Code ci-dessous (clic-droit -> Sélectionner -> Copier)
  
  
  
  Start::
  CloseProcesses:
  CreateRestorePoint:
  (IObit) C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallMonitor.exe
  BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer.dll [2017-05-22] (IObit)
  S2 IObitUnSvr; C:\Program Files (x86)\IObit\IObit Uninstaller\IUService.exe [206112 2017-06-14] (IObit)
  S4 IObitUnlocker; C:\Program Files (x86)\IObit\IObit Unlocker\IObitUnlocker.sys [36944 2014-03-04] (IObit)
  R3 IUFileFilter; C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win7_amd64\IUFileFilter.sys [21928 2017-06-06] (IObit.com)
  R3 IURegProcessFilter; C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win7_amd64\IURegProcessFilter.sys [21872 2017-09-28] (IObit.com)
  2018-01-11 10:08 - 2017-06-03 19:09 - 000000000 ____D C:\Users\Pat\AppData\LocalLow\IObit
  2018-01-09 20:59 - 2017-09-11 12:27 - 000001332 _____ C:\Users\Public\Desktop\IObit Uninstaller.lnk
  2018-01-09 20:59 - 2017-06-03 19:09 - 000001344 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Uninstaller.lnk
  2018-01-09 20:59 - 2017-06-03 19:09 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Uninstaller
  IObit Uninstaller (HKLM-x32\...\IObitUninstall) (Version: 7.2.0.11 - IObit)
  ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallMenuRight.dll [2017-05-22] (IObit)
  ContextMenuHandlers1: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} => C:\Program Files (x86)\IObit\IObit Unlocker\IObitUnlockerExtension.dll [2014-03-04] (IObit)
  ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallMenuRight.dll [2017-05-22] (IObit)
  ContextMenuHandlers4: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} => C:\Program Files (x86)\IObit\IObit Unlocker\IObitUnlockerExtension.dll [2014-03-04] (IObit)
  ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallMenuRight.dll [2017-05-22] (IObit)
  ContextMenuHandlers6: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} => C:\Program Files (x86)\IObit\IObit Unlocker\IObitUnlockerExtension.dll [2014-03-04] (IObit)
  Task: {8C82BE89-5CE3-4B37-82D0-9053A33FEDCF} - System32\Tasks\Uninstaller_SkipUac_Pat => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe [2017-12-12] (IObit)
  2017-06-03 19:09 - 2017-05-22 11:16 - 000442144 _____ () C:\Program Files (x86)\IObit\IObit Uninstaller\madExcept_.bpl
  2017-06-03 19:09 - 2017-05-22 11:16 - 000210720 _____ () C:\Program Files (x86)\IObit\IObit Uninstaller\madBasic_.bpl
  2017-06-03 19:09 - 2017-05-22 11:16 - 000059680 _____ () C:\Program Files (x86)\IObit\IObit Uninstaller\madDisAsm_.bpl
  2017-06-03 19:09 - 2017-05-22 11:17 - 000899872 _____ () C:\Program Files (x86)\IObit\IObit Uninstaller\webres.dll
  2017-06-03 19:09 - 2017-05-23 18:57 - 000631584 _____ () C:\Program Files (x86)\IObit\IObit Uninstaller\ProductStatistics.dll
  2017-06-03 19:09 - 2017-05-22 11:16 - 000524064 _____ () C:\Program Files (x86)\IObit\IObit Uninstaller\sqlite3.dll
  FirewallRules: [{1F9F2974-3A08-493D-922D-38DA6DBA7CFC}] => (Allow) C:\Program Files (x86)\IObit\IObit Malware Fighter\Surfing Protection\FFNativeMessage.exe
  FirewallRules: [{B34F9446-FE73-4E7C-9CDD-BAE38C53C805}] => (Allow) C:\Program Files (x86)\IObit\IObit Malware Fighter\Surfing Protection\FFNativeMessage.exe
  C:\Users\Pat\AppData\Local\Programs\iota\IOTA Wallet.exe
  
  EmptyTemp:
  Cmd: ipconfig /flushdns
  End::
  
  
  
• Sur le menu principal de FRST, cliquez une seule fois sur Corriger et patientez le temps de la correction
• Acceptez le redémarrage du système si demandé
• L'outil va créer un rapport de correction Fixlog.txt. Postez ce rapport dans votre réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.

[dubignyp]

On fait pas le Hola aussi ?

Je devrai remettre le iobit uniinstaller et le Unlocker qui sont les deux indispensable. Mais, comme ça c'est propre.

Donc c'est tout bon j'ai fait la liste à corriger, voici le rapport.

Le iota.exe n'a pas été supprimé, car il ne le trouve pas. Comme à l’œil nu non plus, en allant à l'endroit.

[bernard53]

Peux être une ligne bug concernant "iota"
Comment va ton pc maintenant.

[dubignyp]

Il va bien.
J'ai à nouveau fait la recherche avec malwarebyte, idème il laisse toujours sa détection dans le fichier google chrome. Mais, vu que tu m'a montré le logiciel de désinstallation browser je vais passer par là tôt ou tard. Je voie que ces PUP sont inoffensive dans mon cas je ne voie rien d’anormale.
J'ai connu quand j'ai eu XP dans le passé, le fameux babylon, où la page d'accueil changeait, les lettres changeait au clavier, pub intempestive...
Mais ils étaient pas placé dans la partie cash de Chrome, plutôt dans des clés.

Sa reste un mystère qu'il y a encore des traces dans le registre de babylon impossible de tout enlever et de Ask impossible de faire sa recherche sans que le logiciel bloque et bug. Et que ZHPfixe ne trouve pas ces deux nom.
Tout comme pour le Iota est un mystère informatique...

J'ai appris pas mal de petite chose avec toutes ses manœuvres de nettoyage et de recherche. Merci en tout cas.
C'est pas grave si on a pas aboutit jusqu'au bout, la solution c'est changer Chrome peut-être, ou l'ignorer dans malwarebyte, sachant qu'ils sont inoffensif.

Par contre je te ressors en image ma configuration système où ressort justement le Iota.
J'ai également mi en bleu tous les trucs qui ne sont pourtant plus dans mon ordi, comment les supprimer avec ton système ? Ils sont placé dans un emplacement HKLM
Faut aller chercher manuellement ?
J'ai vu aussi que realdownload est en double dans ma configuration système, un est coché et l'autre non, ne me servent à rien d'avoir deux clés identique.

Si on trouve pas le Iota, c'est confondu avec la ligne de commande, car l'emplacement est dans HKLM. Peut-être à cause de ça de ce mystère

https://i62.servimg.com/u/f62/11/81/42/35/2018-013.jpg

[bernard53]

En premier dis moi utilise tu la Synchronisation avec Google chrome.
Si oui désactive cela puis fait une réinitialisation de Google.
https://support.google.com/chromebook/a ... 4794?hl=fr
Sinon:
regarde dans le registre a cette clé "Uninstall" a tout hasard.
https://support.microsoft.com/fr-fr/hel ... grams-list
ou alors ceci.
Télécharger SystemLook à partir d’un des liens ci-dessous sur ton Bureau.
Download Mirror:: http://jpshortstuff.247fixes.com/SystemLook.exe
Download Mirror #2:: http://images.malwareremoval.com/jpshor ... emLook.exe
* Double-clic SystemLook.exe pour le lancer.
* Clic droit copier le contenu du cadre ci-dessous, et clic droit coller dans le cadre blanc de SystemLook:

:reg
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall /sub

[/code]
* Click le bouton Look pour commencer le scan.
* Copier-coller dans ta prochaine réponse le rapport contenu du fichier texte qui s’affiche
Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt

[dubignyp]

Alors oui il était activé, je l'ai désynchronisé et réinitialiser, (ce qui a enlevé tous les infos codes connexion automatique). Le problème c'est que dès que je me reconnect à google (pour pseudo connexion sur youtube par exemple), cela va à nouveau tout ce synchroniser. Mais, tout est remis à 0 et j'ai désactivé tous les synchro proposé.

Le lien https://jpshortstuff.247fixes.com/SystemLook.exe m'amène à une page not fund.
Mais le mirror 2 oui j'ai pu le télécharger et l'utiliser. Je te poste le résultat.

[bernard53]

juste des lignes sur "RealDownloader" et c'est tout vraiment rien d'autres.
Je pense que la syncro a du résoudre ce soucis de Babylon.

[dubignyp]

Non ils existent toujours dans la recherche malwarebyte
Aussi Ask.
Et, cela même ayant reset broser chrome, avec le logiciel utilitaire. Ils se cachent toujours dans un fichiers cash
ça me fait rire, car c'est comme si on court après un fantôme informatique.

Et donc, dans fichier système pour l'activation ouverture windows, les logiciel que j'ai désinstallé mais qui reste sur le fichier système d'ouverture c'est pas grave, pas important ?
Et le doublons de realdoanload aussi ? C'est pas grave si l'un est coché et que l'autre non ?