Sujet Précédent Sujet Suivant

Impossible de me débarrasser d'un Hijacker proxy

Fermé
Samzzz - 21 avril 2017 à 19:34
 samzzz - 22 avril 2017 à 14:31
Salut a tous !

Cela fait quelques temps que j'ai de gros problèmes avec ma connexion internet.
Après moultes péripétie ( appel a mon fournisseur internet, téléchargement de who's on my wifi, d'un nouveau firewall ) , j'ai eu connaissance de zhpcleaner qui detecte un Hijacker mais n'arrive pas à le retirer.
je suis donc passé par adwcleaner et malwarebyte, rien n'y fait ...

au fil de mes recherches, je me rends compte qu'il n'y a pas de solution miracle et que seul une personne compétente puisse m'aider !
je fais donc appel a vous.

Voilà les rapports FRST que je viens d'effectuer
addition => addition : http://pjjoint.malekal.com/files.php?id=20170421_k13e6w612u11
FRST => http://pjjoint.malekal.com/files.php?id=FRST_20170421_10l12y9c11h13
Shortcut => http://pjjoint.malekal.com/files.php?id=20170421_i15f11b13l12z9


Je suis d'habitude autonome pour les problèmes informatiques, mais là je suis vraiment perdu .

a noté que je suis sous windows 7, je compte bientot passer au 10.

en esperant que quelqu'un puisse m'aider et surtout que cela ne lui prenne pas trop de temps

Je vous remercie par avance !

6 réponses

Réponse 1 / 6
Samzzz
21 avril 2017 à 19:49
Si vous avez besoins d'autres informations, je vous répondrais au plus vite naturellement.
0
Réponse 2 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
21 avril 2017 à 19:56
Salut,

Tu devrais désinstaller ZoneAlarm, pas utile.
Pareil désinstalle McAfee Security Scan, sert à rien.

scanne C:\Windows\system32\wuaueng2.dll
sur https://www.virustotal.com/gui/
Donne le lien de scan ici.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 


CreateRestorePoint:
CloseProcesses:
HKLM\...\RunOnce: [ZHPCleaner_File1] => CMD /c DEL "C:\Users\samzzz\AppData\Local\Temp\~DF6C18FD2CF3AC1642.TMP" /F /Q <===== ATTENTION
HKLM\...\RunOnce: [ZHPCleaner_File2] => CMD /c DEL "C:\Users\samzzz\AppData\Local\Temp\~DF99078A577C5FE9A6.TMP" /F /Q <===== ATTENTION
HKLM\...\RunOnce: [ZHPCleaner] => C:\Users\samzzz\AppData\Roaming\ZHP\ZHPCleaner.txt [2640 2017-04-21] ()
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.11.523\McCHSvc.exe [404376 2017-03-20] (McAfee, Inc.)
2017-04-21 18:42 - 2017-04-21 18:46 - 00000000 ____D C:\AdwCleaner
2017-04-21 18:41 - 2017-04-21 18:41 - 04089296 _____ C:\Users\samzzz\Downloads\adwcleaner_6.045.exe
2017-04-18 22:20 - 2017-04-18 22:20 - 02761728 _____ C:\Users\samzzz\Downloads\ZHPCleaner(1).exe
2017-04-18 21:09 - 2017-04-21 19:02 - 00002640 _____ C:\Users\samzzz\Desktop\ZHPCleaner.txt
2017-04-18 21:02 - 2017-04-21 19:02 - 00000000 ____D C:\Users\samzzz\AppData\Roaming\ZHP
2017-04-18 21:02 - 2017-04-21 18:58 - 00000000 ____D C:\Users\samzzz\AppData\Local\ZHP
2017-04-18 21:02 - 2017-04-18 22:20 - 00000808 _____ C:\Users\samzzz\Desktop\ZHPCleaner.lnk
2017-04-18 21:01 - 2017-04-18 21:01 - 02761728 _____ C:\Users\samzzz\Downloads\ZHPCleaner.exe
2017-04-06 18:53 - 2017-04-06 18:53 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus 
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",

A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.
0
Samzzz
21 avril 2017 à 20:11
Merci de ta rapidité !

J'ai supprimé zone alarm et mcafee.
par contre je ne trouve pas
C:\Windows\system32\wuaueng2.dll

j'ai essayer manuellement et en tappant dans la barre de recherche mais cela ne fonctionne pas.

Je m'occupe maintenant du fix que tu m'as envoyé.
0
samzzz
21 avril 2017 à 20:23
et voilà le Fixlog :



Fix result of Farbar Recovery Scan Tool (x64) Version: 20-04-2017
Ran by samzzz (21-04-2017 20:15:03) Run:1
Running from C:\Users\samzzz\Desktop
Loaded Profiles: samzzz (Available Profiles: samzzz)
Boot Mode: Normal
==============================================

fixlist content:

CreateRestorePoint:
CloseProcesses:
HKLM\...\RunOnce: [ZHPCleaner_File1] => CMD /c DEL "C:\Users\samzzz\AppData\Local\Temp\~DF6C18FD2CF3AC1642.TMP" /F /Q <===== ATTENTION
HKLM\...\RunOnce: [ZHPCleaner_File2] => CMD /c DEL "C:\Users\samzzz\AppData\Local\Temp\~DF99078A577C5FE9A6.TMP" /F /Q <===== ATTENTION
HKLM\...\RunOnce: [ZHPCleaner] => C:\Users\samzzz\AppData\Roaming\ZHP\ZHPCleaner.txt [2640 2017-04-21] ()
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.11.523\McCHSvc.exe [404376 2017-03-20] (McAfee, Inc.)
2017-04-21 18:42 - 2017-04-21 18:46 - 00000000 ____D C:\AdwCleaner
2017-04-21 18:41 - 2017-04-21 18:41 - 04089296 _____ C:\Users\samzzz\Downloads\adwcleaner_6.045.exe
2017-04-18 22:20 - 2017-04-18 22:20 - 02761728 _____ C:\Users\samzzz\Downloads\ZHPCleaner(1).exe
2017-04-18 21:09 - 2017-04-21 19:02 - 00002640 _____ C:\Users\samzzz\Desktop\ZHPCleaner.txt
2017-04-18 21:02 - 2017-04-21 19:02 - 00000000 ____D C:\Users\samzzz\AppData\Roaming\ZHP
2017-04-18 21:02 - 2017-04-21 18:58 - 00000000 ____D C:\Users\samzzz\AppData\Local\ZHP
2017-04-18 21:02 - 2017-04-18 22:20 - 00000808 _____ C:\Users\samzzz\Desktop\ZHPCleaner.lnk
2017-04-18 21:01 - 2017-04-18 21:01 - 02761728 _____ C:\Users\samzzz\Downloads\ZHPCleaner.exe
2017-04-06 18:53 - 2017-04-06 18:53 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
EmptyTemp:
RemoveProxy:
Reboot:


Restore point was successfully created.
Processes closed successfully.
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\ZHPCleaner_File1 => value removed successfully
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\ZHPCleaner_File2 => value removed successfully
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\ZHPCleaner => value removed successfully
McComponentHostService => service not found.
C:\AdwCleaner => moved successfully
C:\Users\samzzz\Downloads\adwcleaner_6.045.exe => moved successfully
C:\Users\samzzz\Downloads\ZHPCleaner(1).exe => moved successfully
C:\Users\samzzz\Desktop\ZHPCleaner.txt => moved successfully
C:\Users\samzzz\AppData\Roaming\ZHP => moved successfully
C:\Users\samzzz\AppData\Local\ZHP => moved successfully
C:\Users\samzzz\Desktop\ZHPCleaner.lnk => moved successfully
C:\Users\samzzz\Downloads\ZHPCleaner.exe => moved successfully
"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus" => not found.

========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => key removed successfully
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxySettingsPerUser => value removed successfully
HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\\ => value removed successfully
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => value removed successfully
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => value removed successfully
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully
HKU\S-1-5-21-3260038069-849044349-3932566143-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
HKU\S-1-5-21-3260038069-849044349-3932566143-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully


========= End of RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 33944992 B
Java, Flash, Steam htmlcache => 345759867 B
Windows/system/drivers => 17329689 B
Edge => 0 B
Chrome => 0 B
Firefox => 389697048 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 16802 B
systemprofile32 => 66356 B
LocalService => 0 B
NetworkService => 0 B
samzzz => 4030813100 B

RecycleBin => 774943827 B
EmptyTemp: => 5.2 GB temporary data Removed.

================================


The system needed a reboot.

End of Fixlog 20:16:56

0
samzzz
21 avril 2017 à 20:29
Sur mon explorateur de fichier je trouve le dll que tu m'as demander de scanner, mais je ne le trouve pas via l'explorateur de virus total.

Je n'y comprend rien.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628 > samzzz
Modifié le 21 avril 2017 à 22:31
Tu peux la copier sur le bureau et faire le scan VirusTotal de celle du bureau ?
0
samzzz
22 avril 2017 à 11:09
Salut !

j'ai effectué ta manip ( je n'osais pas la faire ne connaissant pas l'utilité d'un *.dll )

Probably harmless! There are strong indicators suggesting that this file is safe to use.

Antivirus Résultat Mise à jour
Ad-Aware 20170422
AegisLab 20170422
AhnLab-V3 20170421
Alibaba 20170421
ALYac 20170422
Antiy-AVL 20170422
Arcabit 20170422
Avast 20170422
AVG 20170422
Avira (no cloud) 20170421
AVware 20170422
Baidu 20170421
BitDefender 20170422
Bkav 20170422
CAT-QuickHeal 20170421
ClamAV 20170422
CMC 20170421
Comodo 20170422
CrowdStrike Falcon (ML) 20170130
Cyren 20170422
DrWeb 20170422
Emsisoft 20170422
Endgame 20170419
ESET-NOD32 20170422
F-Prot 20170422
F-Secure 20170422
Fortinet 20170422
GData 20170422
Ikarus 20170422
Invincea 20170413
Jiangmin 20170422
K7AntiVirus 20170422
K7GW 20170422
Kaspersky 20170422
Kingsoft 20170422
Malwarebytes 20170422
McAfee 20170422
McAfee-GW-Edition 20170421
Microsoft 20170422
eScan 20170422
NANO-Antivirus 20170422
nProtect 20170422
Palo Alto Networks (Known Signatures) 20170422
Panda 20170421
Qihoo-360 20170422
Rising None
SentinelOne (Static ML) 20170330
Sophos 20170422
SUPERAntiSpyware 20170422
Symantec 20170421
Symantec Mobile Insight 20170422
Tencent 20170422
TheHacker 20170420
TrendMicro 20170422
TrendMicro-HouseCall 20170422
VBA32 20170421
VIPRE 20170422
ViRobot 20170422
Webroot 20170422
WhiteArmor 20170409
Yandex 20170421
Zillya 20170421
ZoneAlarm by Check Point 20170422
Zoner 20170422
0
Réponse 3 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
22 avril 2017 à 11:58
ok refais un scan FRST et donne les rapports via pjjoint.
0
Réponse 4 / 6
samzzz
22 avril 2017 à 12:37
Voilà les nouveaux rapports

addition : http://pjjoint.malekal.com/files.php?id=20170422_j12j7v13c12v6
FRST : http://pjjoint.malekal.com/files.php?id=FRST_20170422_k5w12k7x6p8
Shortcut : http://pjjoint.malekal.com/files.php?id=20170422_i7z15b13y8q15

Sache que je te suis très reconnaissant !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
22 avril 2017 à 13:29
Il semble toujours y avoir un proxy configuré sur le port 8080.

Voir là : https://forum.malekal.com/viewtopic.php?t=47404&start=#p379918
Il faudrait voir quel programme est en écoute sur ce port.

Tu peux suivre la procédure avec netstat ou utiliser currports
il devrait lister le programme en LISTENING sur le port 8080.

Tu peux indiquer lequel est-ce.

0
Réponse 6 / 6
samzzz
22 avril 2017 à 14:31
J'ai récupéré currports ( je ne pouvais pas faire cela via le gestionnaire de taches car depuis quelques temps, je n'ai pas accès aux onglets en haut de l'application)

Si j'ai bien compris le port 8080 qu'il faut regarder c'est le "local port".

le soft affilié est ISUSPM.exe

j'en ai 4 différents

ISUSPM.exe 1556 TCP 8080 127.0.0.1 0.0.0.0 Listening C:\Program Files (x86)\Common Files\InstallShield\Update\ISUSPM.exe Update Service Scheduler InstallShield® Update Service Scheduler 20.0.0.3 InstallShield® N/A A 22/04/2017 14:06:21 InstallShield


ISUSPM.exe 1556 TCP 8080 127.0.0.1 49397 127.0.0.1 samzzz-PC Established C:\Program Files (x86)\Common Files\InstallShield\Update\ISUSPM.exe Update Service Scheduler InstallShield® Update Service Scheduler 20.0.0.3 InstallShield® N/A A 22/04/2017 14:06:21 InstallShield

ISUSPM.exe 1556 TCP 8080 127.0.0.1 59587 127.0.0.1 samzzz-PC Established C:\Program Files (x86)\Common Files\InstallShield\Update\ISUSPM.exe Update Service Scheduler InstallShield® Update Service Scheduler 20.0.0.3 InstallShield® N/A A 22/04/2017 14:06:21 InstallShield



ISUSPM.exe 1556 TCP 59588 192.168.0.10 80 http 185.60.115.21 Close Wait C:\Program Files (x86)\Common Files\InstallShield\Update\ISUSPM.exe Update Service Scheduler InstallShield® Update Service Scheduler 20.0.0.3 InstallShield® N/A A 22/04/2017 14:06:21 InstallShield

c'est un soft que je vois souvent dans mon gestionnaire de tache, je ne sais pas ce que c'est mais il m'avait l'air safe ( oui je suis crédule )
0

Discussions similaires

Refus connexion... Adresse IP utilisée signalée proxy ouvert
jost -
RF7 -

12 réponses
WinGate Proxy Server
lili1602 -
Dimitrii -

3 réponses
Nous ne pouvons pas nous connecter au serveur proxy avec Microsoft Edge
monikho83870 -
pistouri -

4 réponses
Connexion a été refusée par le serveur proxy
Watsha -
BOB22 -

71 réponses
Proxy Loopback
wajubu -
Malekal_morte- -

3 réponses