OpenCandy refuse de fondre Résolu/Fermé

Question

Bonsoir, 

Suite à l'installation de daemon tool depuis #ttp://www.daemon-tools.cc/ je me suis retrouvé avec OpenCandy sur ma machine (bundled avec DT sans possibilité d'uncheck sauf erreur de ma part) ; j'ai suprimé la bestiole avec adwCleaner mais je me retrouve avec une clef d'instalation qui cherche à installer le programme supprimé à chaque démarrage :

https://i34.servimg.com/u/f34/15/04/67/93/captur22.png

Un petit coup de main s'il vous plait.



Configuration: Windows 7 SP1 family Premium 64/ Firefox 14.0.1

cabrier · Answer

Bonjour,

Peux-tu utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau,
/!\Il est très important de l'enregistrer sur le bureau / !\  
* Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
/!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
/!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\
* Vérifie si tu trouves une icône marquée "UAC" en haut à droite de ZHPDiag : si c'est le cas, clique dessus.
* Clique également sur l'icône du "tournevis" et dans la fenêtre d'options qui apparait coche "Tous"
* Clique sur la loupe pour  « lancer le diagnostic » .
* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
* En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
* Laisse l'outil travailler, il peut être assez long. 
* Le rapport s'enregistre sur ton bureau et dans le dossier où est installé ZHPDiag (en général C:\ZHP\). 
* Transmets moi le lien du fichier.
* Rappel des dépôts : cijoint ou pjjoint

Illitch · Answer

Voici le rapport demandé
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120817_b10w15x11c15m11

cabrier · Answer

Illitch,

Ce script va cibler certains éléments à supprimer :

* Copie tout le texte ci-dessous (en gras et italique) tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C

O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\OpenCandyHelper.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\OpenCandyHelperRun.job
O61 - LFC:Last File Created 14/08/2012 - 10:06:49 R--A- C:\Users\bullshit\AppData\Roaming\Microsoft\Installer\{1FEA83F9-7B47-47FF-8297-08E0D07C26F4}\_188e3184.exe   [4710]
O61 - LFC:Last File Created 14/08/2012 - 10:06:49 R--A- C:\Users\bullshit\AppData\Roaming\Microsoft\Installer\{1FEA83F9-7B47-47FF-8297-08E0D07C26F4}\_2e8633c1.exe   [1078]
O61 - LFC:Last File Created 14/08/2012 - 10:06:49 R--A- C:\Users\bullshit\AppData\Roaming\Microsoft\Installer\{1FEA83F9-7B47-47FF-8297-08E0D07C26F4}\_3f947574.exe   [4710]
O61 - LFC:Last File Created 14/08/2012 - 10:06:49 R--A- C:\Users\bullshit\AppData\Roaming\Microsoft\Installer\{1FEA83F9-7B47-47FF-8297-08E0D07C26F4}\_7fdf717c.exe   [4710]
O4 - Global Startup: C:\Users\bullshit\Desktop\Impression.lnk - Clé orpheline
[MD5.00000000000000000000000000000000] [APT] [{21660430-B249-4BDF-A678-2C4C31C1C42A}] (...) -- C:\Users\bullshit\Downloads\Drivers\Carte mère ASUS P5E\ASUS\Chipset\Intel_Chipset_V9111019_XPVistaWin7\AsusSetup.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{8DC23CE5-F08A-4EEA-BE6D-80F1E5E82B1E}] (...) -- F:\Manual\IMSM\FRA\AsusSetup.exe (.not file.)
O8 - Extra context menu item: Rechercher sur le Web - (.not file.) - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35D-6118-11DC-9C72-001320C79847}]
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ


* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPFix.exe, « exécuter en tant qu'Administrateur »/ !\ 
* Clique sur le H "coller les lignes Helper", les lignes copiées vont automatiquement se coller dans la fenêtre. Si ce n'est pas le cas fais un CTRL+V.
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre. 
* Clique sur le bouton «GO » pour lancer le nettoyage 
* Le rapport s'ouvre automatiquement après l'exécution du script. Il se trouve aussi sous C:\ZHP\ZHPPFixReport.txt
* Transmets-moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
*Rappel des dépôts : cijoint ou pjjoint 
 
A+

Illitch · Answer

Rapport de contrôle :

https://pjjoint.malekal.com/files.php?id=20120817_p15g10t15o10c9

cabrier · Answer

Illitch,

OpenCandy ne devrait plus t'enquiq....er !

Mais j'ai un doute sur une infection par disque amovible.

¶ Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
¶ Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
¶ Fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'.
¶ Au menu principal, clique sur "Suppression"
¶ Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
¶ Laisse travailler l'outil jusqu'au bout
¶ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse.

Illitch · Answer

En effet il y a un archos sous android qui vient régulièrement se connecter et je n'ai pas la main là dessus (PC partagé) plus deux ou trois clef (même problème) 

/EDIT : Gné ?

https://i34.servimg.com/u/f34/15/04/67/93/captur23.png
  

Il est aussi facile de faxer un hamster que de nettoyer le fax après

cabrier · Answer

Illitch,

Ceci fait tu vas relancer un ZHPDiag de contrôle mais auparavant on va neutraliser Daemon Tool.

 * Defogger désactive temporairement les logiciels d'émulation tels que Daemon Tools qui gênent les outils de désinfection.
* Télécharge Defogger (de jpshortstuff) sur ton bureau
* Double-clique sur DeFogger.exe pour démarrer l'outil (ou clic droit et exécuter en tant qu'administrateur sous Vista),
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
 
maintenant refais le ZHPDiag s'il te plait.

A+

Illitch · Answer

Rapport ZHPdiag après defogger :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120817_j10l14c12x15c11

cabrier · Answer

Illitch,

OK c'est bon sauf à vérifier par USBFix.
Bonne soirée !

cabrier · Answer

Illitch bonjour,

Commences avec tes clés normales ou HDD externes.
S'il n'y a rien sur celles-ci inutile de traiter les autres.

Illitch · Answer

Rapport USBFix (oui il y avait !) 

https://pjjoint.malekal.com/files.php?id=20120819_w8m6i8u11y6 

Peux tu apporter des précisions sur (si tu as le temps et que le sujet est pas trop complexe) : 

################## | Mountpoints2 | 

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{00c3bd73-4231-11e1-8c44-806e6f6e6963} 
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d36d7711-e844-11e1-9c7f-001e8c5cefb6}

cabrier · Answer

Illitch,

La clé de Registre mountpoints2 contient des données mises en cache pour tous les périphériques amovibles qui ont été utilisées sur le système. 
Certains malwares créent une clé de registre Shell MountPoints2 comme "Mabezat" par exemple.

Voudrais tu envoyer ce fichier à l'auteur de USBFix pour examen ?
C:\UsbFix_Upload_Me_BULLSHIT0376.zip
sur ce site : http://eldesaparecido.com/upload.php

Tes disques amovibles sont vaccinés, tu peux traiter les autres.

puis :

* Télécharge Malwaresbytes anti malware ici
* Choisis la version -Download free version-
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installation ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* Tu as un tuto si tu en as besoin : tuto
* Avant de lancer le programme Déconnecte toi d'Internet et ferme toutes tes applications.
* /I\ Sous Vista ou Seven ---> clic droit "Exécuter en tant qu'administrateur"/I\
* Clique sur l'onglet "Mise à jour" si celle ci ne t'a pas été proposée lors de l'installation.
* Clique ensuite sur l'onglet "Recherche" puis coche "Exécuter un examen Complet"
* Le scan peut durer plusieurs heures, aussi ne t'impatiente pas et laisse tourner le programme sans rien faire d'autre sur ta machine.
* Lorsque le scan est terminé clique sur "Afficher les résultats"
* Vérifie que toutes les lignes des objets infectés soient cochées, puis clique sur "Supprimer la sélection"

PS : Redémarre ta machine pour achever le nettoyage.

*  Un rapport sera généré, enregistre-le dans un endroit approprié pour le retrouver et héberge-le sur ce site
*  Envoie-moi le lien fourni dans ta prochaine réponse.

A+

Illitch · Answer

Rapport MBAM :

https://pjjoint.malekal.com/files.php?id=20120819_g8y12y7s9j9

cabrier · Answer

Illitch,

C'est ok, ton PC comment va ?

Si pas de soucis et pas de question on termine d'accord ?

cabrier · Answer

Illitch,

Je ne connais pas les implications de Everywhere sur ta machine car je ne l'ai jamais utilisé, mais ça m'étonnerait que cela te cause quelque problème.

file missing = fichier absent sur un scan HJT, bof ! HJT dépassé depuis longtemps.

Les scan ZHPDiag et Mbam sont corrects et il ne me semble pas subsister de malware donc inutile de lancer d'autres outils plus sophistiqués, mais si tu y tiens...!

A+


---------------Contributeur Sécurité--------------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

Illitch · Answer

Je repasse pour une remarque de feed back, dans ton fix :

O4 - Global Startup: C:\Users\bullshit\Desktop\Impression.lnk - Clé orpheline 

C'était un raccourci vers l'imprimante qui était hors ligne, si je peux me permettre tu devrais te méfier avant de virer des raccourcis qui peuvent pointer des éléments non raccordés au moment du scan.
 T'inquiète c'est vraiment pas un problème mais pour certains ça pourrait en être un...
Merci encore.

OpenCandy refuse de fondre

16 réponses

Discussions similaires