Claro search, un de plus Résolu

Question

Bonjour, 

Bonjour
Je suis infecté moi aussi par claro search.
Je passe en revue le processus décrit et j'envoie dès que j'ai pris contact sur le forum les fichiers attendus...

Merci d'avance

Configuration: Windows 7 / Firefox 15.0.1

afideg · Answer

Bonsoir maximuspascus 

Pourrais-tu t'inscrire sur le Forum CCM, s'il te plaît?
Ce sera plus commode pour le suivi.
Merci.
Al.

maximuspascus · Answer

Ca commence mal....La page où télécharger ZHPDiag est considérée comme comme dangereuse par Office Scan !!!!

maximuspascus · Answer

Bonsoir et merci pour la réponse rapide.....Il me semble être inscrit au forum ?

afideg · Answer

Pour ZHPDiag

Télécharger [ https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html    ZHPDiag] (de Nicolas Coolman) sur le bureau . 
Dérouler la page et cliquer sur [Télécharger] ([ https://imageshack.com/  le bouton radio inférieur]).  

- Ne pas oublier de cocher le bouton ratio en face de "Créer une icône sur le bureau".          
- Se laisser guider lors de l'installation, ZHPDiag.exe se lancera automatiquement à la fin.

( /!\ L'outil a créé [ https://imageshack.com/ 4 icônes] , dont ZHPDiag (pour lancer l'application ultérieurement) et ZHPFix (pour le traitement du rapport) sur le bureau ) .     

/!\Utilisateur de Vista et Seven : Clic-droit sur le logo ZHPDiag2.exe > choisir, dans le menu contextuel qui s'affiche, l'option  [Exécuter en tant qu'Administrateur]/!\  

- Cliquer sur le raccourci ZHPDiag du Bureau pour l'ouvrir. 

Cliquer sur l'icône représentant une loupe pour "Lancer le diagnostic". 

NOTES:     
- Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une "Disquette" 

- Héberger le rapport sur ce site https://www.cjoint.com/ ( ou sur celui-là ) > puis copier/coller le lien fourni dans la prochaine réponse vers le forum en cours.  

Merci

maximuspascus · Answer

Et voici le fichier créé par ZHPDiag : 

https://www.cjoint.com/?BJitLwFRQGs

maximuspascus · Answer

Et voici le rapport Adwcleaner :

https://www.cjoint.com/?BJitPIJA8Cn

maximuspascus · Answer

Ah ouais la vache ! Vous savez même que je l'ai passé hier soir.... Classe !

Le voila :

https://www.cjoint.com/?BJitYkOHF67

PS : je vais m'absenter pour cause de réunion tardive.
Je me reconnecterai plus tard dans la soirée

Merci beaucoup

afideg · Answer

Bonsoir Yoann ;) 
Si tu le souhaites, je pourrai te passer la main. 

@ maximuspascus  

A)- Qui et sur quel forum éventuellement a réclamé toutes ces opérations Adw-Cleaner ? 
As-tu fait d'autres analyses ? Si OUI, poste leur rapport. 


B)- Utilisation de ZHPFix dont l'icône est sur le Bureau. 
- Désactiver les protections résidentes (antivirus, antispywares, ...). 
- Lancer l'outil par clic-droit sur le logo ZHPFix > dans le menu contextuel qui s'affiche, choisir l'option [Exécuter en tant qu'Administrateur] 
- Avec la souris, sélectionner toutes ces lignes en italique gras ci-dessous, en vrac; puis après un clic-droit sur la sélection, les "copier" (ces lignes sont maintenant "dans la souris = le presse-papier")  : 

FirewallRAZ  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9E131A93-EED7-4BEB-B015-A0ADB30B5646}]   =>Hijacker.Agent  
[MD5.00000000000000000000000000000000] [APT] [{14B9A89C-626A-4A2E-8EA6-F85CA30FB388}] (...) -- C:\Users\prenoult\Downloads\googletalk-setup-fr.exe (.not file.) 
[MD5.A5275199DB0A1D6BEAC60CD5DC7EF2E7] [SPRF][07/03/2012] (.Conduit - Pas de description.) -- C:\Users\prenoult\AppData\Local\Temp\conduitinstaller.exe   [209576]     
O43 - CFD: 08/10/2012 - 17:40:28 - [0] ----D C:\Users\prenoult\AppData\Local\CutePDF Writer    
O44 - LFC:[MD5.AD80A721AC50F871B3043D00F37EC22E] - 07/10/2012 - 21:07:51 ---A- . (...) -- C:\SUService.log   [72150]  
O44 - LFC:[MD5.C4EAFC087E5721E755C424ED5987EFF6] - 07/10/2012 - 21:07:04 ---A- . (...) -- C:\AdwCleaner[S2].txt   [1082]       
 O44 - LFC:[MD5.B7F13EF24846F86C5951FD68D99FCE7D] - 07/10/2012 - 21:06:44 ---A- . (...) -- C:\AdwCleaner[R5].txt   [1019]       
 O44 - LFC:[MD5.7CA9BC2CD888E8A31233B430A0112E8A] - 07/10/2012 - 21:02:15 ---A- . (...) -- C:\AdwCleaner[R4].txt   [960]       
 O44 - LFC:[MD5.3BAF2926596E9FE9A25CABA488C7FEA4] - 07/10/2012 - 20:51:25 ---A- . (...) -- C:\AdwCleaner[R3].txt   [1118]       
 O44 - LFC:[MD5.B6C69294BB7E6E709360B5784A015BE9] - 07/10/2012 - 20:48:40 ---A- . (...) -- C:\AdwCleaner[S1].txt   [2745]       
 O44 - LFC:[MD5.BC72285F1FA51535ADCC6577C167CE50] - 07/10/2012 - 20:46:57 ---A- . (...) -- C:\AdwCleaner[R2].txt   [2988]       
 O44 - LFC:[MD5.E6839F696854A94F14410853C19C589F] - 07/10/2012 - 20:45:31 ---A- . (...) -- C:\AdwCleaner[R1].txt   [2928]       
 O44 - LFC:[MD5.113C917098D573E33C68AABB67F097C0] - 05/10/2012 - 11:49:28 ---A- . (...) -- C:\Windows\cfgall.ini   [9114]    
O51 - MPSK:{2e7f02c9-433c-11e1-a7cb-806e6f6e6963}\AutoRun\command. (...) -- E:\Programs
u2menu
u2menu.exe (.not file.)    
O51 - MPSK:{e21c7243-0fe0-11e2-94d0-24b6fd01caa4}\AutoRun\command. (...) -- F:\laucher.exe (.not file.) 
HiddenFix 
EmptyTemp  
EMPTYCLSID 
SysRestore 

- Cliquer sur l'icône représentant la lettre bleue H, cela collera sur la page ouverte de ZHPFix les lignes qui sont en mémoire dans le presse-papier.      
Vérifier que toutes les lignes prescrites de copier (et seulement elles) sont dans la fenêtre.    
- Cliquer sur GO.  

Accepter la désinstallation des programmes si proposé, mais refuser le redémarrage de ton pc si également proposé, car cela stopperait ZHPFix.      
Le bureau peut disparaître.  
Entretemps, un fichier du rapport sous la forme "ZHPFixReport.txt" est présent sur le bureau.        
Copier/coller la totalité du rapport dans la prochaine réponse.  
( [CTRL+A] pour tout sélectionner, [CTRL+C] pour copier et [CTRL+V] pour coller )         


C)- Télécharger Malwarebyte's Anti-Malware - depuis ce lien  
  https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/?1 .   
Enfoncer le bouton radio [Download Now],   
- puis sur le bouton [Enregistrer], choisir sur le Bureau.   
Sur le bureau s'affiche alors l'icône "mbam-setup-****.exe"   

Imprimer ces instructions (ou les copier dans un fichier texte à enregistrer sue le Bureau) car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse. 

1°- Installation   
  
- Double-cliquer sur l'icône "mbam-setup-****.exe" du bureau pour démarrer le programme d'installation > [Exécuter] > Choisir "Français" et valider par [OK] > l'assistant d'installation s'affiche.   
Cliquer sur "Suivant" > cocher la case du bouton ratio devant "... accepter ... la licence" > "Suivant" > "Suivant" > "Suivant" > "Suivant" > "Suivant" > et cliquer sur  
[Installer] (laisser faire)   
/!\ Cocher la case du bouton ratio devant "Mettre à jour ... ".   
/!\ Décocher la case du bouton ration devant "Exécuter MBAM"   
> Ensuite cliquer sur [Terminer]   

Attention, à ce moment, la mise à jour démarre (laisser faire) > à la suite du message "Succès de la mise à jour ..." cliquer sur [OK]   

NB : Si un message s'affiche signalant qu'il manque COMCTL32.OCX (ce qui est peu probable), alors le télécharger [ https://www.malekal.com/tutorial-aboutbuster/ ]; et faire les mises à jour (cliquer sur "Mises à jour" puis "Recherche de mises à jour")   

2°- Vérifier que tous les disques amovibles soient encore branchés et sans les ouvrir.   

3°- Analyse   
/!\ Utilisateur de Vista et Windows 7 : Clic-droit sur le logo de Malwarebytes' Anti-Malware, et choisir « Exécuter en tant qu'Administrateur »   

Cliquer sur l'icône de raccourci Malwarebytes's Anti-Malware du bureau.   

Sur la page affichée, choisir l'onglet "Recherche" et cocher la case du bouton ratio "Exécuter un examen Complet", ensuite enfoncer le bouton radio [Rechercher]  
Cocher alors la case devant chaque disques à analyser, clés USB incluses, puis [Rechercher] pour lancer l'analyse.  
Le scan est relativement long (+ de 1 heure généralement), c'est normal.   

4°- A la fin de l'analyse, un message s'affiche   
==> Citation : L'examen s'est terminé normalement.   
==> Cliquer sur "Ok" pour poursuivre.  
Si des malwares ont été détectés, cliquer sur "Afficher les résultats".   
Sélectionner tout (ou laisser coché) ( ATTENTION Vérifier que toutes les cases soient cochées, surtout si présence de TUTO4PC! ) et cliquer sur "Supprimer la sélection" > MBAM va détruire les fichiers et clés de registre, et en mettre une copie dans la quarantaine.   

5°- MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.   
Copier-coller ce rapport et le poster dans la prochaine réponse sur le topic en cours.  

NB : Si MBAM demande à redémarrer, il faut le faire, mais seulement après avoir posté le rapport.   

Une aide précieuse dans ce Tutoriel  


Merci 
Al.   

Patience-Vigilance-Amour.

maximuspascus · Answer

Bonsoir

J'ai fait ces analyses de mon propre chef, car en tant qu'informaticien de métier, j'ai bien sûr cru que j'allais m'en sortir tout seul....

Bref, j'ai finalement décidé de faire selon les règles et avec votre expérience précieuse....

Je reprends donc les travaux après ADW dans ton post, et je reviens ensuite....

maximuspascus · Answer

Bonsoir

Voici le rapport de ZHPFix

debut
-----------------------------------------------------------------------------------
Rapport de ZHPFix 1.3.04 par Nicolas Coolman, Update du 30/09/2012
Fichier d'export Registre : 
Run by prenoult at 08/10/2012 22:52:46
Windows 7 Enterprise Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://nicolascoolman.skyrock.com/



========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\prenoult\AppData\Local\Temp\conduitinstaller.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9E131A93-EED7-4BEB-B015-A0ADB30B5646}
SUPPRIME CLSID MPSK: {2e7f02c9-433c-11e1-a7cb-806e6f6e6963}
SUPPRIME CLSID MPSK: {e21c7243-0fe0-11e2-94d0-24b6fd01caa4}

========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 

========== Dossier(s) ==========

========== Fichier(s) ==========
SUPPRIME File: c:\users\prenoult\appdata\local	emp\conduitinstaller.exe
SUPPRIME File: c:\suservice.log
SUPPRIME File: c:\adwcleaner[s2].txt
SUPPRIME File: c:\adwcleaner[r5].txt
SUPPRIME File: c:\adwcleaner[r4].txt
SUPPRIME File: c:\adwcleaner[r3].txt
SUPPRIME File: c:\adwcleaner[s1].txt
SUPPRIME File: c:\adwcleaner[r2].txt
SUPPRIME File: c:\adwcleaner[r1].txt
SUPPRIME File: c:\windows\cfgall.ini
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: {14B9A89C-626A-4A2E-8EA6-F85CA30FB388}

========== Dossiers/Fichiers cachés restaurés ==========
Mes images (My Pictures) : 13 Restauré(s) avec succès
Ma musique (My Music) : 1 Restauré(s) avec succès
Ma Video (My Video) : 1 Restauré(s) avec succès
Mes Favoris (My Favorites) : 3 Restauré(s) avec succès
Mes Documents (My Documents) : 8 Restauré(s) avec succès
Mon Bureau (My Desktop) : 3 Restauré(s) avec succès
Menu demarrer (Programs) : 9 Restauré(s) avec succès
Dossier utilisateur (AppData) : 44 Restauré(s) avec succès
Programmes (Program Files) : 7 Restauré(s) avec succès

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
1 : Processus mémoire
3 : Clé(s) du Registre
2 : Valeur(s) du Registre
11 : Fichier(s)
1 : Tache planifiée
89 : Dossiers/Fichiers cachés restaurés
1 : Restauration Système


End of clean in 00mn 33s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 08/10/2012 22:52:54 [2363]
-----------------------------------------------------------------------------------
Fin

afideg · Answer

Re,

Bien, merci pour ta réponse.

OK pour le log ZHPFix

Poursuis avec Malwarebyte's Anti-Malware 

Mais je ne serai plus là ce soir (dodo)

Al.

maximuspascus · Answer

Merci pour votre dispo

Voici le rapport malwarebytes :

Malwarebytes Anti-Malware (Essai) 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.10.08.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
prenoult :: LT-PRENOULT-1 [administrateur]

Protection: Activé

08/10/2012 23:02:17
mbam-log-2012-10-08 (23-02-17).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 368468
Temps écoulé: 37 minute(s), 38 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)



Sauf erreur d'interprétation de ma part ça doit être OK

juju666 · Answer

Salut pour avancer

Relance ZHPDiag avec l'élévation des privilèges si tu es sous Vista/7, pour ce faire, "clic droit => exécuter en tant qu'admin" puis, appuyer sur le bouton UAC dans ZHPDiag

Coche tout au tournevis vert, puis appuie sur la loupe.

Une fois le rapport élaboré, tu peux fermer ZHPDiag et héberger son rapport.

Colle le lien dans ta prochaine réponse.

A+

==================

Hello Al,

Mes respects,

Julien.

maximuspascus · Answer

Bonjour

Voici comme prévu le rapport ZHPDiag de ce matin :

https://www.cjoint.com/?BJjifSvXYzv


Merci d'avance

afideg · Answer

Bonjour Juju et merci d'avoir anticipé.  ;) -- > lire infra en 4°- ; merci.     

Bonjour maximuspascus     
Merci pour les rapports encourageants, en effet.     

Toutefois, dans le log ZHPDiag, je ne trouve pas grand chose .     

1°- Est-ce que nous pouvons te vider le dossier Prefetch en C:\Windows\Prefetch     
(beaucoup de fichiers inutiles)     

2°- Cette clé indique encore une "redirection" de ta page d'accueil vers "claro-search.com"     
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.claro-search.com      
(et je n'en trouve pas le responsable)      
As-tu ce souci avec "claro-search" depuis un téléchargement particulier ?     

3°- As-tu installer un proxy ?    
Je vois cette ligne :     
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1     
(=> Internet Explorer Allows Proxy Settings Remotely)     

4°- @Juju s'il te plaît.     
Je n'interprête pas cette ligne :     
O5 - control.ini: [HKLM\..\Control Panel] inetcpl.cpl=no       
(=> Panneau de contrôle Internet Explorer désactivé)       
a)- Je serais tenté de relancer Adw-Cleaner en MSE; mode [Suppression];   
b)- Lancer RK en [Recherche] pour vérification?   



@maximuspascus  
Pourrais-tu lancer cette recherche avec SEAF, comme ceci:  

Télécharger SEAF ( de C__XX ) sur le bureau, à aprtir de ce lien :   
http://general-changelog-team.fr/fr/outils/60-seaf  

! Fermer toutes applications en cours !   

* Lancer "SEAF.exe" ( clic-droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) .   
* Dans l'encadré blanc intitulé " Entrez ci-dessous....",   
il faut copier/coller le mot claro  

* Au niveau des "Options des fichiers ", faire les réglages suivant :   
> A "Calculer le checksum" , choisis : MD5   
> Cocher la case devant " Info. supplémentaire ".   
> Cocher la case devant " Afficher les ADS "   
> Cocher la case devant " Afficher également les dossiers "   

* Au niveau des " Options du registre " :   
> coche " chercher également dans le registre "   
 
* Ne toucher à aucun autre réglage !   

* Cliquer sur " Lancer la recherche " et laisser travailler l'outil ...   
( cela peut-être plus ou moins long suivant les cas ).   

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher.   
Enregistrer ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ).   
Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )   

--> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod https://www.cjoint.com/  

Merci.     
Albert     
      
Hello Yoann   ;)    


Patience-Vigilance-Amour.

maximuspascus · Answer

Bonjour

Je ne comprends pas très bien la dernière réponse de juju.

Concernant le PC, il y a eu effectivement téléchargement d'un outil pour tenter de récupérer des infos sur une clé USB défectueuse....mauvaise idée.

Il est possible que claro soit encore défini comme moteur de recherche dans IE, mais je n'ai pas redémarré IE depuis le début des travaux.....J'hésite !

Concernant un proxy, je n'ai pas l'info. J'utilise souvent un VPN pour me connecter au réseau de ma boîte. Cela est peut être du à  ça.

Pour info, je ne suis pas sur le PC touché pendant la journée, je lancerai les travaux demandés ce soir, y compris le vidage du préfetch comme demandé.

Bonne journée à tous
Merci pour votre soutien

afideg · Answer

Re,  
Merci Juju  ;)  

@maximuspascus  

OK  
Merci pour tes réponses.  

A)- À ce soir donc   
==> et commence alors par SEAF sur " claro "   
--> suivront ZHPFix et Adw-Cleaner en MSE=Mode sans Echec ([Suppression]  

B)- Est-ce toi qui as paramétré "Active Desktop désactivé"  
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified     
(=> SYSTEM : Active Desktop désactivé et configuration refusée) ?? 

C)- Ta citation: « Concernant le PC, il y a eu effectivement téléchargement d'un outil pour tenter de récupérer des infos sur une clé USB défectueuse....mauvaise idée. »  ==> s'agit-il de celui-là:
O61 - LFC:Last File Created 07/10/2012 - 10:44:32 ---A- C:\Users\prenoult\Downloads\SoftonicDownloader_pour_getdataback-for-fat.exe   [373472] 

Tu dois éviter les téléchargements chez SOFTONIC !
Il est toujours préférable de charger un programme auprès de l'éditeur, tant que faire se peut.
- Eviter au maximum les sites qui, à leur tour, installent autre chose que le programme qu'on leur demande.
- Lire ces deux articles :
https://www.malekal.com/on-te-pourrit-le-net-acte-3-le-tour-des-sites-de-telechargement/
https://www.sebsauvage.net/rhaa/index.php?2011/08/22/21/07/35-on-ne-peut-plus-faire-confiance-a-personne
- Pour résumer attention avec : Softonic - BrotherSoft - Tucows - C|Net - Telecharger facile - Télécharger Sans Risque.[/


Bonne journée.  
Al.  
   
Patience-Vigilance-Amour.

maximuspascus · Answer

Bonsoir

Voici le rapport SEAF.
Je lance dans la foulée ZHP et ADW en mode MSE.
++ merci

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 20:42:48 le 09/10/2012
4. 
5. Valeur(s) recherchée(s):
6. claro
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Affichage des dossiers
14. (!) --- Recherche registre
15. 
16. ====== Fichier(s) ======
17. 
18. 
19. "C:\Users\prenoult\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\0JHIB5HT\claro-search_com[1].htm" [ NOT_CONTENT_INDEXED|ARCHIVE | 4 Ko ]
20. TC: 08/10/2012,19:40:23 | TM: 08/10/2012,19:40:23 | DA: 08/10/2012,19:40:23
21. 
22. Hash MD5: C42B4C566B78EFDA3636CC7A8D9F9B74
23. 
24. 
25. =========================
26. 
27. 
28. "C:\Users\prenoult\AppData\Roaming\Microsoft\Windows\Recent\Claro Search me fout les boules..pdf.lnk" [ ARCHIVE | 647 o ]
29. TC: 08/10/2012,17:40:28 | TM: 08/10/2012,19:39:18 | DA: 08/10/2012,19:39:18
30. 
31. Hash MD5: 08067756105EE1722C83927C7E55A335
32. 
33. 
34. =========================
35. 
36. 
37. "C:\Users\prenoult\Desktop\A trier PERSO\Dossier sécurité\Claro Search me fout les boules..pdf" [ ARCHIVE | 213 Ko ]
38. TC: 08/10/2012,17:40:28 | TM: 08/10/2012,17:40:23 | DA: 08/10/2012,17:40:28
39. 
40. Hash MD5: B6985D645C666BBB7C3FD426D8BDA5F3
41. 
42. 
43. =========================
44. 
45. 
46. 
47. ====== Entrée(s) du registre ======
48. 
49. 
50. [HKU\S-1-5-21-1409082233-1343024091-1060284298-9245\Software\Acro Software Inc\CPW]
51. "Title"="Claro Search me fout les boules... | CommentCaMarche" (REG_SZ)
52. 
53. [HKU\S-1-5-21-1409082233-1343024091-1060284298-9245\Software\Acro Software Inc\CPW]
54. "Filename"="C:\Users\prenoult\Desktop\Claro Search me fout les boules..pdf" (REG_SZ)
55. 
56. [HKU\S-1-5-21-1409082233-1343024091-1060284298-9245\Software\Adobe\Acrobat Reader\10.0\AVGeneral\cRecentFiles\c1]
57. "sDI"="/C/Users/prenoult/Desktop/Claro Search me fout les boules..pdf" (REG_BINARY)
58. 
59. [HKU\S-1-5-21-1409082233-1343024091-1060284298-9245\Software\Adobe\Acrobat Reader\10.0\AVGeneral\cRecentFiles\c1]
60. "tDIText"="/C/Users/prenoult/Desktop/Claro Search me fout les boules..pdf" (REG_SZ)
61. 
62. [HKU\S-1-5-21-1409082233-1343024091-1060284298-9245\Software\Microsoft\Internet Explorer\Main]
63. "Start Page"="http://www.claro-search.com/?affID=114508&tt=4012_6&babsrc=HP_clro&mntrId=148d52bc0000000000000627376cd025" (REG_SZ)
64. 
65. [HKU\S-1-5-21-1409082233-1343024091-1060284298-9245\Software\Microsoft\Internet Explorer\Main]
66. "bProtector Start Page"="http://www.claro-search.com/?affID=114508&tt=4012_6&babsrc=HP_clro&mntrId=148d52bc0000000000000627376cd025" (REG_SZ)
67. 
68. [HKU\S-1-5-21-1409082233-1343024091-1060284298-9245\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs]
69. "56"="Claro Search me fout les boules..pdf" (REG_BINARY)
70. 
71. [HKU\S-1-5-21-1409082233-1343024091-1060284298-9245\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.pdf]
72. "4"="Claro Search me fout les boules..pdf" (REG_BINARY)
73. 
74. =========================
75. 
76. Fin à: 20:44:04 le 09/10/2012
77. 349497 Éléments analysés
78. 
79. =========================
80. E.O.F

maximuspascus · Answer

Petite précision....Pour ZHPFix, je dois coller un rapport pour le nettoyer.....Mais lequel ?

afideg · Answer

(suite)

Seaf nous informe de la présence de "claro" dans ces trois lignes (les autres lignes contenant un PDF sont de toi, je présume):

1°- C:\Users\prenoult\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\0JHIB5HT\claro-search_com[1].htm
==> ce fichier temporaire devrait être vidé par ZHPFix 
==> navigue dans C:\Users\prenoult\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\ et supprime le dossier "0JHIB5HT" (s'il existe encore)


Pour les actions dans ces deux clés suivantes, je te fais confiance  ;)

2°- [HKU\S-1-5-21-1409082233-1343024091-1060284298-9245\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.claro-search.com/?affID=114508&tt=4012_6&babsrc=HP_clro&mntrId=148d52bc0000000000000627376cd025"
Vas dans la BdR supprimer la donnée en gras ci-dessus, en face de la valeur "Start Page"


3°- [HKU\S-1-5-21-1409082233-1343024091-1060284298-9245\Software\Microsoft\Internet Explorer\Main] 
"bProtector Start Page"="http://www.claro-search.com/?affID=114508&tt=4012_6&babsrc=HP_clro&mntrId=148d52bc0000000000000627376cd025"
Vas dans la BdR supprimer la donnée en gras ci-dessus, en face de la valeur "bProtector Start Page"

Redémarre le PC impérativement.

Relance ensuite un dernier ZHPDiag mis à jour en cliquant sur la flèche verticale verte, au-dessus à droite de la page ZHPDiag.

Merci

maximuspascus · Answer

Bonjour

ZHPFix a été passé, je colle le rapport ci dessous et je passe à ADW sans échec.
Pour ce qui est de la ligne "claro" concernant le PDF est bien de moi, il s'agit d'une impression PDF d'une de vos actions sur le sujet...

Rapport de ZHPFix 1.3.04 par Nicolas Coolman, Update du 30/09/2012
Fichier d'export Registre : 
Run by prenoult at 10/10/2012 07:39:07
Windows 7 Enterprise Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://nicolascoolman.skyrock.com/



========== Clé(s) du Registre ==========
SUPPRIME Key*: CLSID Extra Buttons: {7815BE26-237D-41A8-A98F-F7BD75F71086}

========== Valeur(s) du Registre ==========
ABSENT inetcpl.cpl:
SUPPRIME MWPE Value: NoActiveDesktop
SUPPRIME MWPE Value: NoActiveDesktopChanges

========== Elément(s) de donnée du Registre ==========
SUPPRIME R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page
SUPPRIME R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy
REMPLACE Value NoActiveDesktopChanges :   Good (0) - Bad (1)

========== Dossier(s) ==========

========== Fichier(s) ==========
SUPPRIME File: c:\users\prenoult\downloads\softonicdownloader_pour_getdataback-for-fat.exe
SUPPRIME Temporaires Windows:

========== Dossiers/Fichiers cachés restaurés ==========
Mes images (My Pictures) : 0
Ma musique (My Music) : 0
Ma Video (My Video) : 0
Mes Favoris (My Favorites) : 0
Mes Documents (My Documents) : 0
Mon Bureau (My Desktop) : 0
Menu demarrer (Programs) : 0
Dossier utilisateur (AppData) : 4 Restauré(s) avec succès
Programmes (Program Files) : 0

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
1 : Clé(s) du Registre
3 : Valeur(s) du Registre
3 : Elément(s) de donnée du Registre
2 : Fichier(s)
4 : Dossiers/Fichiers cachés restaurés
1 : Restauration Système


End of clean in 01mn 06s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 08/10/2012 21:52:54 [2415]
C:\ZHP\ZHPFix[R2].txt - 10/10/2012 07:39:09 [1807]


Je continue.....Merci

maximuspascus · Answer

Bonsoir

J'ai fait les dernières opérations : la suppression des clés de registre et le ZHPDiag avec version à jour.

Le rapport est stocké ici :
https://www.cjoint.com/?BJkuXDVET4j 

Merci à vous

juju666 · Answer

Hello pour avancer

ça donne quoi sur les navigateurs ? 

Firefox vient de passer en v 16 => màj à réaliser

Le reste me paraît bon :)

afideg · Answer

Bonsoir maximuspascus 

Bien.
Comme le demande juju666; as-tu encore des soucis avec "claro search" ?

Veille à réactiver l'UAC ==> "UAC : Deactivate by program"
Lire https://forum.malekal.com/viewtopic.php?t=20646&start= 

@juju666
Merci à toi d'être passé; c'est généreux.

Albert

maximuspascus · Answer

Bonsoir

Plus de traces de claro search nulle part.

L'UAC était déjà réactivé après le redémarrage.

Merci à tous de votre aide

maximuspascus

afideg · Answer

Bonsoir et merci à toi. 

Content d'avoir pu t'aider un tantinet. 

Tu as pu constater que ces outils que nous utilisons sont en perpétuelle modification; c'est pour cela que s'impose régulièrement une mise à jour avant leur usage; et il faut savoir si l'on possède bien la dernière version. 
C'est ce qu'il faut retenir de ce topic.  ;) 

Tu as pu constater également que nous étions une petite équipe d'amis qui n'hésitent pas à intervenir sur un topic en cours dans un esprit d'entraite et en toute humilité. Quand je dis "petite équipe", c'est plus que ça ! ... ;)
Nous ne sommes jamais que des bénévoles qui apprenons sur le tas pour la plupart.

Merci pour ta simplicité dans tes réponses claires. 
Ça m'a aidé. 
Bonne continuation dans ta noble profession. 

Peut-être un jour ce sera mon tour de t'appeler à l'aide.  ;) 
Je ne pourrai le faire que via la messagerie privée à ton actuel pseudo.  ;) 

Albert.  
  
Patience-Vigilance-Amour.

maximuspascus · Answer

Bonjour

Ce sera avec plaisir si je peux apporter ma contribution.
Je passe mon sujet à résolu.

Bonne continuations à tous, sans claro et son search !

maximuspascus

Claro search, un de plus

27 réponses

Votre réponse

Discussions similaires

Newsletters