Bonjour,

Depuis que, le 2 novembre courant, j'ai quitté KIS pour installer Norton (motif géopolitique), quand je vais sur tous les sites Web - y compris en ce moment sur PCA - je suis infesté par une incrustation de fenêtres de publicité sur l'écran.

C'est en vain que j'ai tenté un nettoyage complet avec, successivement, Norton 360, Avast, et AVTotal, sans succès.

Comme je l'indique, si j'ai quitté KIS, c'est pour une raison de conscience, alors que je disposais de cet antivirus depuis 2011, avec une satisfaction sans faille.

Merci de me secourir contre cette intrusion publicitaire "virale".

Je m'appelle Didier et je vais tenter de résoudre votre problème.

Pourriez vous suivre les consignes du lien ci dessous. Prendre le temps de bien lire

https://forum.pcastuces.com/procedure_a_suivre_pour_une_demande_de_desinfection-f26s60.htm

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection

Fournir les rapports au format.txt

Je vais te prendre en charge, n'effectue que les procédures demandées

et ne télécharge rien d'autre pouvant fausser mon analyse.

En dehors du forum, j'ai une vie privée, je ne pourrais te répondre de suite. Soit patient

PS Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports au format .txt ( impératif) avec https://transfert.free.fr/

je ferai désinstaller les outils en fin de désinfection. Ne pas désinstaller antérieurement Merci.

Bonjour,

Impossible de télécharger ni d'utiliser correctement le lien : https://nicolascoolman.com/download/zhpdiag/ qui m'envoie sur "EAsy View"

courte incruste

Telechargez le ici

Bonjour El Magnifico

Quand je télécharge le lien, je me trouve sur le site SHPSuite 2025 (Officiel) - ZAM, sans pouvoir télécharger le logiciel comportant le ".exe" ...dont je ne vois pas la présence.

Et quand je sélectionne dans ZAM parmi les logiciel de diagnostic le logiciel " ZHPDiag 2025 (Officiel)", je clique pour le télécharger, et alors je me retrouve sur le site de Nicolas Coolman, sans que le log ait été enregistré......

....mai la seconde fois, le téléchargement du fichier ZHPSuite.exe a réussi.

Je vais donc lancer et suivre les instructions.

A bientôt

"

Voici le lien de téléchargement du rapport valable 48 H sur Free Transfert

https://transfert.free.fr/AmlCm7b

stef9

manque la seconde partie

les 3 rapports farbar pour que je te fasse un script

@+

OK, je vais faire la seconde partie

Voici le lien
Seuls, les 2 premiers fichiers s'y trouvent, le troisième n'étant pas visible

https://transfert.free.fr/bOvdDGx

NOTA

Depuis l'installation de BitDefender free installé hier soir et un scan (interrompu involontairement) après plus de 4 heures, ce matin, la pub intempestive sur les sites Web a disparu. Origine de la cessation de ce phénomène ? ?????

pour le troisieme il fallait cocher la case tanpis

ceci

si FF est le navigateur principal

ICI et

La

2/ Lance Farbar

passez l'outil 1 seul fois

a la fin la machine redémmarera

Copies les lignes suivantes dans le cadre rouge

start::

CloseProcesses:

CreateRestorePoint:

Task: {9A52D35B-41F4-4154-8C33-32B874AF9D72} - System32\Tasks\{2126E1FE-D41E-43CB-AE7D-FC032E29963A} => C:\Users\surf1\Downloads\WPU\Wise Program Uninstaller\WiseProgramUninstaller.exe (Pas de fichier)

Task: {BB03AFB8-1366-46B8-B11F-16E8B7024475} - System32\Tasks\{2CFCB5CB-0E46-48FC-B8FF-0B68C05A8FF3} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksdeui.exe (Pas de fichier)

Task: {906C493E-8209-444F-B073-6E7189FBE824} - System32\Tasks\{B95D3436-AC87-45EA-ABE8-74A0F054D813} => C:\Program Files\CDBurnerXP\cdbxpp.exe (Pas de fichier)

Task: {9C4DD8DF-8BE0-47FE-970B-EA96A38DEED9} - System32\Tasks\{C143944D-4579-4537-8594-770C9D386B5B} => C:\Users\surf1\Downloads\captvty-3.0.1.11\Captvty.exe (Pas de fichier)

Task: {1C5046BF-4046-41B7-AD38-FE6060EFE7FD} - System32\Tasks\{D33700B1-2234-4AE3-9578-5A77BD2FE3FB} => C:\Program Files\CDBurnerXP\cdbxpp.exe (Pas de fichier)

Task: {AF67E3FC-62CF-4040-B42D-2A3E40FDEDB1} - System32\Tasks\{DA711AE6-2A22-49B3-9F2E-5247196E2835} => C:\Program Files (x86)\Skype\\Phone\Skype.exe (Pas de fichier)

Task: {2E5CB0B5-D1B8-499C-98CC-5F124FB57B27} - System32\Tasks\AdwCleaner_onReboot => E:\Informatique 2020\adwcleaner_8.0.6(1).exe /r (Pas de fichier)

Task: {7F2136ED-1348-497E-8F58-1966E9C6BD38} - System32\Tasks\Auslogics\Duplicate File Finder\Start Duplicate File Finder on surf1 logon => C:\Program Files (x86)\Auslogics\Duplicate File Finder\Integrator.exe /UseTray (Pas de fichier)

Task: {0E6A1115-6F51-453F-9AD6-3145E0B36C0C} - System32\Tasks\Lenovo\Lenovo Service Bridge\S-1-5-21-1582529512-3610290790-3027262254-1001 => "C:\Users\as\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\LSBUpdater.exe" (Pas de fichier)

Task: {DDCC33A4-F199-43C0-8019-79D468F5009F} - System32\Tasks\Lenovo\Lenovo Service Bridge\S-1-5-21-1582529512-3610290790-3027262254-1004 => "C:\Users\surf1\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\LSBUpdater.exe" (Pas de fichier)

Task: {0E6A1115-6F51-453F-9AD6-3145E0B36C0C} - System32\Tasks\Lenovo\Lenovo Service Bridge\S-1-5-21-1582529512-3610290790-3027262254-1001 => "C:\Users\as\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\LSBUpdater.exe" (Pas de fichier)

Task: {DDCC33A4-F199-43C0-8019-79D468F5009F} - System32\Tasks\Lenovo\Lenovo Service Bridge\S-1-5-21-1582529512-3610290790-3027262254-1004 => "C:\Users\surf1\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\LSBUpdater.exe" (Pas de fichier)

S2 HuaweiHiSuiteService64.exe; "C:\Program Files (x86)\HiSuite\HandSetService\HuaweiHiSuiteService64.exe" -/service [X]

S3 catchme; \??\C:\ComboFix\catchme.sys [X]

S3 cpuz137; \??\C:\Users\surf1\Downloads\pc-wizard_2014.2.13\pcwiz_x64.sys [X]

S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ATTENTION

S3 massfilter_hs; \??\C:\Windows\system32\drivers\massfilter_hs.sys [X]

S3 nllWireGuard; system32\DRIVERS\nllWireguard.sys [X]

S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]

S3 tsusbhub; system32\drivers\tsusbhub.sys [X]

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

S3 zghsdiag; system32\DRIVERS\zghsdiag.sys [X]

S3 zghsmdm; system32\DRIVERS\zghsmdm.sys [X]

S3 zghsnmea; system32\DRIVERS\zghsnmea.sys [X]

ContextMenuHandlers1: [BCSShellMenuExt] -> [CC]{947217BD-E967-400A-B14A-BA851A8EDCBB} => -> Pas de fichier

ContextMenuHandlers1: [DefragglerShellExtension] -> [CC]{4380C993-0C43-4E02-9A7A-0D40B6EA7590} => -> Pas de fichier

ContextMenuHandlers1: [Eraser] -> [CC]{BC9B776A-90D7-4476-A791-79D835F30650} => -> Pas de fichier

ContextMenuHandlers1: [PDFArchitect5_ManagerExt] -> [CC]{00B7B69F-6774-4906-9C7F-7D117A3644A9} => -> Pas de fichier

ContextMenuHandlers1: [PDFArchitect7_ManagerExt] -> [CC]{21989F59-B260-4302-90C3-E51740E03639} => -> Pas de fichier

ContextMenuHandlers1: [PDFCreator.ShellContextMenu] -> {d9cea52e-100d-4159-89ea-76e845bc13e1} => C:\Program Files\PDFCreator\PDFCreatorShell.DLL -> Pas de fichier

ContextMenuHandlers1: [ShellConverter] -> [CC]{30A4E07E-068A-4d91-8F05-691283A1336B} => -> Pas de fichier

ContextMenuHandlers2: [Eraser] -> [CC]{BC9B776A-90D7-4476-A791-79D835F30650} => -> Pas de fichier

ContextMenuHandlers3: [UnlockerShellExtension] -> [CC]{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} => -> Pas de fichier

ContextMenuHandlers4: [BCSShellMenuExt] -> [CC]{947217BD-E967-400A-B14A-BA851A8EDCBB} => -> Pas de fichier

ContextMenuHandlers4: [Eraser] -> [CC]{BC9B776A-90D7-4476-A791-79D835F30650} => -> Pas de fichier

ContextMenuHandlers5: [BCSShellMenuExt] -> {947217BD-E967-400A-B14A-BA851A8EDCBB} => -> Pas de fichier

ContextMenuHandlers6: [DefragglerShellExtension] -> [CC]{4380C993-0C43-4E02-9A7A-0D40B6EA7590} => -> Pas de fichier

ContextMenuHandlers6: [Eraser] -> [CC]{BC9B776A-90D7-4476-A791-79D835F30650} => -> Pas de fichier

AlternateDataStreams: C:\ProgramData\TEMP:2CB9631F [270]

AlternateDataStreams: C:\ProgramData\TEMP:A3E39C6A [428]

Toolbar: HKU\S-1-5-21-1582529512-3610290790-3027262254-1001 -> Pas de nom - {C500C267-63BF-451F-8797-4D720C9A2ED9} - Pas de fichier

Toolbar: HKU\S-1-5-21-1582529512-3610290790-3027262254-1001 -> Pas de nom - {EF293C5A-9F37-49FD-91C4-2B867063FC54} - Pas de fichier

Toolbar: HKU\S-1-5-21-1582529512-3610290790-3027262254-1004 -> Pas de nom - {093F479D-712E-46CD-9E06-62E734A05F68} - Pas de fichier

Toolbar: HKU\S-1-5-21-1582529512-3610290790-3027262254-1004 -> Pas de nom - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} - Pas de fichier

Toolbar: HKU\S-1-5-21-1582529512-3610290790-3027262254-1004 -> Pas de nom - {C500C267-63BF-451F-8797-4D720C9A2ED9} - Pas de fichier

Toolbar: HKU\S-1-5-21-1582529512-3610290790-3027262254-1004 -> Pas de nom - {EF293C5A-9F37-49FD-91C4-2B867063FC54} - Pas de fichier

StartRegedit:

Windows Registry Editor Version 5.00

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

@=""

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]

[-HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

@=""

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]

EndRegedit:

DeleteKey: HKLM\SOFTWARE\WOW6432Node\Auslogics

C:\Program Files (x86)\Auslogics

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Auslogics

C:\ProgramData\Auslogics

C:\ProgramData\SecuritySuite

C:\Windows\System32\Config\systemprofile\AppData\Roaming\TotalAV

C:\Windows\Installer\23b14d.msi

C:\Program Files\CCleaner.exe

C:\Program Files\CCleaner64.exe

StartBatch:

For /D %%d In ("%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\*") Do (If Exist "%%d\Cache2" Del /s /q "%%d\Cache2\*.*")

del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"

del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"

Endbatch:

C:\Windows\Temp\ *.*

C:\Users\CurrentUserName\Appdata\Local\Temp\ *.*

C:\Windows\SoftwareDistribution\Download\ *

EmptyTemp:

cmd: dism.exe /online /cleanup-image /restorehealth

cmd: sfc /scannow

cmd: Net start wuauserv

netsh winsock reset

reboot:

end::

Corrige et heberge le rapport fixlog

@+

Voici le lien pour le rapport fixlog

https://transfert.free.fr/uCaavOx

@+

ceci en mode admin

entree laisse travailler

puis redemarre

Dans " Démarrer" puis "Rechercher" dois-je écrire un extrait ou bien tout ce qui est indiqué en blanc dans l'image en noir ?

Désolé de mon ignorance sur ce point

recherche cmd

prendre invites de commandes

Quand je suis sur cette fenêtre, que dois-je faire ?

Voici ce que j'ai écrit......sans résultat

ok pour la capture de 19h36

reste a taper netsh winsock reset après surf1>

puis entrée

La dernière instruction a été effectuée. l'opération a été très rapide.

Est-ce normal, qu’après le redémarrage demandé, l'ouverture de Windows a été plus longue et précédée d'un écran noir durant une vingtaine de secondes ?

@ +

oui c'est normal

ceci maintenant

3 rapports attendus

https://forum.pcastuces.com/pre_nettoyage-f26s887.htm

Voici le lien du premier rapport

https://transfert.free.fr/Cn79Hcb

pour la seconde partie, où dois-je télécharger ADWCleaner ?

Voici le lien du second rapport

https://transfert.free.fr/hFZt0Tq

reste malwarebyt'es a faire

Après plus de 2 heures 30 de scannage par Malwarebytes, (environ 250 mille fichiers examinés, sans aucune anomalie) je viens d'interrompre le processus parce que j'ai un doute sur le logiciel utilisé qui ne correspond pas à celui que décrit le Groupe Sécurité de PCA;

En effet, je n'ai pu télécharger sur le lien proposé par PCA, et les images des fenêtres ne correspondent pas au logiciel que j'ai utilisé, avec, par exemple, je n'avais pas la recommandation de diriger une flèche vers les rootkits ou encore de cocher ou décocher telles ou telles critères d'examen; et autres détails.

Je vais donc recommencer demain matin, et si, dans l'intervalle, il vous était possible de m'indiquer comment télécharger le bon logiciel, cela pourrait peut-être m'éviter de refaire un scannage inapproprié.

Je vous remercie beaucoup du temps que vous consacrez à cette désinfection.

@ +

reinfection??

Malwarebytes Antivirus, Anti-Malware, Protection de Privacy et contre les escroqueries

cadre bleu en haut a gauche

fichier mbsetup.exe

Bonjour,

En fait, avec le lien indiqué, je sus arrivé au même logiciel qu'hier.

Cependant, l'analyse a été faite en quelques minutes

Aucun rapport n'a été édité....

Aussi, voici des captures d'écran, peut être plus ou moins utiles pour la désinfection en cours

....et 2 autres captures :

supprime le pup dans la quarantaine

Comment va la mchine?

Je viens donc de supprimer le fichier mis en quarantaine.

La machine est devenue très lente au démarrage : toujours un tableau noir durant 40 seconde après le lancement de Windows.

Pour ce qui est de la pub agressive et incessante, cause de ma demande, elle a disparu dès le début des opérations de désinfection.

refais moi un zhpdiag stp

Voici le lien du rapport ZHPDiag terminé à l'instant (il y a 8 "anomalies" lampes rouges)

https://transfert.free.fr/Pvszha8

pas d'infection

2/3 superflus

L'ordinateur est devenu très lent pour l'ouverture, et pour la connexion Web

Comment faire pour revenir à sa vitesse antérieure avant la désinfection ?

problème non viral

farbar a crée un point de restauration

Bonjour,

Par sécurité, depuis des années, je n'utilise mon ordinateur qu'avec l’utilisateur "surf1" session secondaire, et non avec l'utilisateur "as" qui est administrateur.

Je viens d'aller sur la session administrateur, et je constate que la publicité virale s'y trouve encore !!

Donc, il semble que la désinfection ne l'ait pas concerné, ce qui explique sans doute la page noire d'un quarantaine de secondes qui apparait après le lancement de Windows.

et bien maintenant

tu sais comment faire

bon courage

Je vais donc reprendre la procédure de A à Z, en l'effectuant sous la session "Administrateur", ce qui ne sera pas facile avec cette publicité intrusive et mouvante qui me cache ee quasi permanence la fonction "Publier le message" ....mais j'y parviendrai, comme au premier essai.

En raison d'obligations aujourd'hui et demain, je ne commencerai le processus que seulement lundi matin

@ +