Un Malware perssistant
Sirise
-
lilidurhone Messages postés 43355 Date d'inscription Statut Contributeur sécurité Dernière intervention -
lilidurhone Messages postés 43355 Date d'inscription Statut Contributeur sécurité Dernière intervention -
J'ai par malheur était atteint par un malware, naturellement j'ai clean avec adwcleaner qui fessait jusqu'à maintenant, après avoir nettoyé, tout se passe bien jusqu'à se que se c****** de malware revient tout seul, bien sûr j'ai clean avec adwcleaner et ça recommence. Bref voici les malwares en question qui revient en boucle :
Dossier Supprimé : C:\ProgramData\NetEngine
Dossier Supprimé : C:\Users\AppData\Local\BreakingNewsAlert
Tâche Supprimée : NetEngine
Clé Supprimée : HKU\.DEFAULT\Software\IM
Clé Supprimée : HKU\.DEFAULT\Software\ImInstaller
Clé Supprimée : HKU\.DEFAULT\Software\SweetIM
Clé Supprimée : HKU\.DEFAULT\Software\WNLT
Donnée Supprimée : HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <-loopback>
Merci de votre aide.
Dossier Supprimé : C:\ProgramData\NetEngine
Dossier Supprimé : C:\Users\AppData\Local\BreakingNewsAlert
- [ Tâches planifiées ] *****
Tâche Supprimée : NetEngine
- [ Raccourcis ] *****
- [ Registre ] *****
Clé Supprimée : HKU\.DEFAULT\Software\IM
Clé Supprimée : HKU\.DEFAULT\Software\ImInstaller
Clé Supprimée : HKU\.DEFAULT\Software\SweetIM
Clé Supprimée : HKU\.DEFAULT\Software\WNLT
Donnée Supprimée : HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <-loopback>
Merci de votre aide.
A voir également:
- Un Malware perssistant
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Supprimer malware - Guide
- Anti malware service executable ram - Forum Antivirus
- Win32:malware-gen ✓ - Forum Virus
- Tor jack malware - Forum Virus
25 réponses
▶ Télécharge ici : FRST (de Farbar)
!!! En fonction de ta version de Windows, prends la "32-Bit Version" ou la "64-Bit Version" !!!
Aide : va dans Démarrer > Panneau de configuration > Système pour savoir si tu es sous 32 bits ou 64 bits.
▶ Double-clique sur l'icône FRST.exe pour lancer le programme. (Sous Windows Vista, 7 et 8, il faut faire un clic droit dessus, puis exécuter en tant qu'administrateur.) Clique ensuite sur Oui lorsqu'un message d'avertissement (Disclaimer) s'affiche.
▶ Sur le menu principal, clique sur le bouton Scan et patiente le temps de l'analyse.
▶ A la fin du scan, deux rapports s'affichent, FRST.txt et Addition.txt Poste les rapports dans ta prochaine réponse.
Les rapport se trouvent ici : C:\FRST\Logs
▶ Envoie-les sur https://www.cjoint.com/ et poste les liens obtenus en échange.
!!! En fonction de ta version de Windows, prends la "32-Bit Version" ou la "64-Bit Version" !!!
Aide : va dans Démarrer > Panneau de configuration > Système pour savoir si tu es sous 32 bits ou 64 bits.
▶ Double-clique sur l'icône FRST.exe pour lancer le programme. (Sous Windows Vista, 7 et 8, il faut faire un clic droit dessus, puis exécuter en tant qu'administrateur.) Clique ensuite sur Oui lorsqu'un message d'avertissement (Disclaimer) s'affiche.
▶ Sur le menu principal, clique sur le bouton Scan et patiente le temps de l'analyse.
▶ A la fin du scan, deux rapports s'affichent, FRST.txt et Addition.txt Poste les rapports dans ta prochaine réponse.
Les rapport se trouvent ici : C:\FRST\Logs
▶ Envoie-les sur https://www.cjoint.com/ et poste les liens obtenus en échange.
ZHPCleaner
Désactiver l'Anti-virus
Ton moteur de recherche va se fermer il faudra le réouvrir pour poster les rapports
téléchargement : https://nicolascoolman.eu
- Cet outil ne nécessite aucune installation, il est très rapide car basé sur l'éxécution de scripts.
- Clique droit sur le dossier téléchargé
- Clique sur Scanner :
- Savoir que tous les navigateurs ou onglets ouvert seront fermés et qu'il faudra les remettre
- En cas de présence d'un proxy, un message apparaît avec la question suivante
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy
- Si vous n'avez pas installé de Proxy, cliquer sur "NON" pour accepter la réparation du proxy.
- En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante
- Avez-vous installé ce serveur ? suivi du nom du serveur
- Si vous n'avez pas installé de serveur,, cliquer sur "NON" pour accepter la réparation
- Fournir le rapport
Désactiver l'Anti-virus
Ton moteur de recherche va se fermer il faudra le réouvrir pour poster les rapports
téléchargement : https://nicolascoolman.eu
- Cet outil ne nécessite aucune installation, il est très rapide car basé sur l'éxécution de scripts.
- Clique droit sur le dossier téléchargé
- Clique sur Scanner :
- Savoir que tous les navigateurs ou onglets ouvert seront fermés et qu'il faudra les remettre
- En cas de présence d'un proxy, un message apparaît avec la question suivante
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy
- Si vous n'avez pas installé de Proxy, cliquer sur "NON" pour accepter la réparation du proxy.
- En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante
- Avez-vous installé ce serveur ? suivi du nom du serveur
- Si vous n'avez pas installé de serveur,, cliquer sur "NON" pour accepter la réparation
- Fournir le rapport
https://www.cjoint.com/c/EDivyKCXyfl
Je tient à préciser que le problème persiste toujours malgrès le nettoyage :x
Je tient à préciser que le problème persiste toujours malgrès le nettoyage :x
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Macfee a été mal désinstallé
https://service.mcafee.com/webcenter/portal/cp/home/articleview?articleId=TS101331
https://service.mcafee.com/webcenter/portal/cp/home/articleview?articleId=TS101331
Désinstallation en cours, par contre c'est pas lui mon plus gros problème, c'est le Breaking new alert. qui m'affiche une bulle très chiante qui allume un pop up quand je clique dessus, en plus il fait grossir la mémoire de mon firefox si je l'éteint pas vite mais c'est inutile vue qu'il revient tout les 5 mins
- Télécharge sur le bureau RogueKiller
- Quitte tous tes programmes en cours.
- Sous Vista/Seven et windows 8 , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Patiente pendant le pre-scan, puis clique sur le bouton Scan
- Un rapport RKreport.txt a du se créer sur le bureau, poste-le en l'hébergeant sur cjoint
- Pour t'aider https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers
Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.
Sirise
Si tu connais
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SbieDrv (\??\C:\ProgramData\youxihe\Box\SafeMode\SbieDrv.sys) -> Trouvé(e)
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SbieSvc ("C:\ProgramData\youxihe\Box\SafeMode\SbieSvc.exe") -> Trouvé(e)
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vtany (\??\C:\windows\vtany.sys) -> Trouvé(e)
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\xhunter1 (\??\C:\windows\xhunter1.sys) -> Trouvé(e)
Décoches les lors de la suppression
Si tu connais
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SbieDrv (\??\C:\ProgramData\youxihe\Box\SafeMode\SbieDrv.sys) -> Trouvé(e)
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SbieSvc ("C:\ProgramData\youxihe\Box\SafeMode\SbieSvc.exe") -> Trouvé(e)
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vtany (\??\C:\windows\vtany.sys) -> Trouvé(e)
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\xhunter1 (\??\C:\windows\xhunter1.sys) -> Trouvé(e)
Décoches les lors de la suppression
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Patiente pendant le pre-scan, clique sur Scan
- Vérifie que tous les éléments sont cochés puis clique sur Suppression
- Poste le rapport RKreport.txt présent sur le bureau.
https://www.cjoint.com/?0DsrAHxdmPJ
Il ne sait rien passé de visible, j'ai toujours se problème, autre précision, ce netengine est toujours présent alors que je l'ai supprimé. ça comment vraiment à m'énerver de ne pas pouvoir naviguer en paix.
Il ne sait rien passé de visible, j'ai toujours se problème, autre précision, ce netengine est toujours présent alors que je l'ai supprimé. ça comment vraiment à m'énerver de ne pas pouvoir naviguer en paix.
▶ /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images/!\
▶ Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
▶ Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
▶ Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
▶ Ferme toutes les applications, y compris ton navigateur
▶ Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
▶ Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
▶ L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
▶ /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
▶ Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
▶ Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
(Useful Technology) C:\ProgramData\OPcFKXHdtE\GUGloeH.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF Extension: FrameFox - C:\Program Files\Mozilla Firefox\extensions\{D6F4FFAF-E3C9-4f3d-AD5B-F78CD969D7BF} [2013-11-24]
2015-04-11 21:14 - 2015-04-11 21:15 - 00000000 ____D () C:\ProgramData\Browser
2015-04-10 18:55 - 2015-04-10 18:55 - 00000000 ___HD () C:\Users\Collégien\AppData\Local\BreakingNewsAlert
FF Extension: FrameFox - C:\Program Files\Mozilla Firefox\browser\extensions\{D6F4FFAF-E3C9-4f3d-AD5B-F78CD969D7BF} [2013-11-24]
2015-04-08 14:47 - 2015-04-08 14:48 - 00000000 ____D () C:\ProgramData\NetEngine
2015-04-07 17:38 - 2015-04-07 21:39 - 00000000 ____D () C:\ProgramData\T122078ED
2015-04-07 17:33 - 2015-04-07 17:37 - 00000000 ____D () C:\ProgramData\OPcFKXHdtE
2015-04-07 16:59 - 2015-04-07 17:00 - 00000000 ____D () C:\Users\Collégien\AppData\Local\6284D73B-1428425971-11DF-915F-2CC05F0600CA
2015-04-07 16:57 - 2015-04-07 16:57 - 00000000 ____D () C:\Users\Collégien\AppData\Local\6284D73B-1428425821-11DF-915F-2CC05F0600CA
C:\Users\Collégien\AppData\Local\Temp\efcabfiegi.exe
Task: {1A6D0161-5013-4472-A770-DF29E0E67F16} - System32\Tasks\NetEngine => C:\ProgramData\NetEngine\bin\D7\netengine.exe [2015-04-15] ()
end
▶ Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
▶ Ferme toutes les applications, y compris ton navigateur
▶ Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
▶ Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
▶ L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
▶ /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
https://www.cjoint.com/c/EDtuvvIhTfF Tu es mon héros ! Il semble que ça ai réglé le problème Pop-up mais pas celui de skype,
Pour skype c'est quoi le souci?
Je vais détaillé:
Donc imaginons que je veuille me connecter sur skype donc je l'allume normalement puis j'ai le choix entre pseudo skype et compte microsoft, je choisi pseudo skype, ensuite il y a mon pseudo skype préenregistré car je me suis déjà connecté auparavant il me suffit donc de me connecter avec mon mot de passe sauf qu'il est impossible de le saisir, quand je clique sur la case il se passe rien. je ne peux pas nom plus changer de pseudo skype et pareil si je veux essayer avec un compte Microsoft.
Donc imaginons que je veuille me connecter sur skype donc je l'allume normalement puis j'ai le choix entre pseudo skype et compte microsoft, je choisi pseudo skype, ensuite il y a mon pseudo skype préenregistré car je me suis déjà connecté auparavant il me suffit donc de me connecter avec mon mot de passe sauf qu'il est impossible de le saisir, quand je clique sur la case il se passe rien. je ne peux pas nom plus changer de pseudo skype et pareil si je veux essayer avec un compte Microsoft.
https://www.cjoint.com/c/EDitIdq4iy4