Un Malware perssistant Fermé

Question

J'ai par malheur était atteint par un malware, naturellement j'ai clean avec adwcleaner qui fessait jusqu'à maintenant, après avoir nettoyé, tout se passe bien jusqu'à se que se c****** de malware revient tout seul, bien sûr j'ai clean avec adwcleaner et ça recommence. Bref voici les malwares en question qui revient en boucle :

Dossier Supprimé : C:\ProgramData\NetEngine
Dossier Supprimé : C:\Users\AppData\Local\BreakingNewsAlert

 [ Tâches planifiées ] *****

Tâche Supprimée : NetEngine

 [ Raccourcis ] *****
 [ Registre ] *****

Clé Supprimée : HKU\.DEFAULT\Software\IM
Clé Supprimée : HKU\.DEFAULT\Software\ImInstaller
Clé Supprimée : HKU\.DEFAULT\Software\SweetIM
Clé Supprimée : HKU\.DEFAULT\Software\WNLT
Donnée Supprimée : HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <-loopback>

Merci de votre aide.

lilidurhone · Answer

&#9654 Télécharge ici : FRST (de Farbar)
!!! En fonction de ta version de Windows, prends la "32-Bit Version" ou la "64-Bit Version" !!!
Aide : va dans Démarrer > Panneau de configuration > Système pour savoir si tu es sous 32 bits ou 64 bits.

&#9654 Double-clique sur l'icône FRST.exe pour lancer le programme. (Sous Windows Vista, 7 et 8, il faut faire un clic droit dessus, puis exécuter en tant qu'administrateur.) Clique ensuite sur Oui lorsqu'un message d'avertissement (Disclaimer) s'affiche.

&#9654 Sur le menu principal, clique sur le bouton Scan et patiente le temps de l'analyse.

&#9654 A la fin du scan, deux rapports s'affichent, FRST.txt et Addition.txt Poste les rapports dans ta prochaine réponse.

Les rapport se trouvent ici : C:\FRST\Logs

&#9654 Envoie-les sur https://www.cjoint.com/ et poste les liens obtenus en échange.

lilidurhone · Answer

ZHPCleaner




Désactiver l'Anti-virus

Ton moteur de recherche va se fermer il faudra le réouvrir pour poster les rapports

téléchargement : https://nicolascoolman.eu




- Cet outil ne nécessite aucune installation, il est très rapide car basé sur l'éxécution de scripts.
- Clique droit sur le dossier téléchargé


- Clique sur Scanner :

- Savoir que tous les navigateurs ou onglets ouvert seront fermés et qu'il faudra les remettre

- En cas de présence d'un proxy, un message apparaît avec la question suivante
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy
- Si vous n'avez pas installé de Proxy, cliquer sur "NON" pour accepter la réparation du proxy.

- En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante 
- Avez-vous installé ce serveur ? suivi du nom du serveur 
- Si vous n'avez pas installé de serveur,, cliquer sur "NON" pour accepter la réparation 



- Fournir le rapport

lilidurhone · Answer

Refais frst

lilidurhone · Answer

avast signale toujours?

lilidurhone · Answer

à propos de la détection

lilidurhone · Answer

Plus de détection de svchot alors

lilidurhone · Answer

Avast te détecte quelque chose ?

lilidurhone · Answer

Bonne nouvelle :)

Refais frst

lilidurhone · Answer

Macfee a été mal désinstallé

 https://service.mcafee.com/webcenter/portal/cp/home/articleview?articleId=TS101331

lilidurhone · Answer

Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=

lilidurhone · Answer

Refais frst(additionnal aussi ) après avoir désinstaller macfee

lilidurhone · Answer

Alors un peu de retard lié à windows update ne fonctionnant pas (résolu)

lilidurhone · Answer

Télécharge sur le bureau RogueKiller
 Quitte tous tes programmes en cours.
 Sous Vista/Seven et windows 8 , clique droit -> lancer en tant qu'administrateur
 Sinon lance simplement RogueKiller.exe
 Patiente pendant le pre-scan, puis clique sur le bouton Scan
 Un rapport RKreport.txt a du se créer sur le bureau, poste-le en l'hébergeant sur cjoint
 Pour t'aider  https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

lilidurhone · Answer

Sirise

Si tu connais
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SbieDrv (\??\C:\ProgramData\youxihe\Box\SafeMode\SbieDrv.sys) -> Trouvé(e)
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SbieSvc ("C:\ProgramData\youxihe\Box\SafeMode\SbieSvc.exe") -> Trouvé(e)
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vtany (\??\C:\windows\vtany.sys) -> Trouvé(e)
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\xhunter1 (\??\C:\windows\xhunter1.sys) -> Trouvé(e)


Décoches les lors de la suppression

 Quitte tous tes programmes en cours
 Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
 Sinon lance simplement RogueKiller.exe
 Patiente pendant le pre-scan, clique sur Scan
 Vérifie que tous les éléments sont cochés puis clique sur Suppression
 Poste le rapport RKreport.txt présent sur le bureau.

lilidurhone · Answer

C'est depuis le passage de Roguekiller?

lilidurhone · Answer

tu connais

Useful Technology

lilidurhone · Answer

Manque additionnal

lilidurhone · Answer

&#9654 /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images/!\

&#9654 Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
&#9654 Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes 

start(Useful Technology) C:\ProgramData\OPcFKXHdtE\GUGloeH.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION FF Extension: FrameFox - C:\Program Files\Mozilla Firefox\extensions\{D6F4FFAF-E3C9-4f3d-AD5B-F78CD969D7BF} [2013-11-24]  2015-04-11 21:14 - 2015-04-11 21:15 - 00000000 ____D () C:\ProgramData\Browser  2015-04-10 18:55 - 2015-04-10 18:55 - 00000000 ___HD () C:\Users\Collégien\AppData\Local\BreakingNewsAlert  FF Extension: FrameFox - C:\Program Files\Mozilla Firefox\browser\extensions\{D6F4FFAF-E3C9-4f3d-AD5B-F78CD969D7BF} [2013-11-24]2015-04-08 14:47 - 2015-04-08 14:48 - 00000000 ____D () C:\ProgramData\NetEngine  2015-04-07 17:38 - 2015-04-07 21:39 - 00000000 ____D () C:\ProgramData\T122078ED 2015-04-07 17:33 - 2015-04-07 17:37 - 00000000 ____D () C:\ProgramData\OPcFKXHdtE 2015-04-07 16:59 - 2015-04-07 17:00 - 00000000 ____D () C:\Users\Collégien\AppData\Local\6284D73B-1428425971-11DF-915F-2CC05F0600CA 2015-04-07 16:57 - 2015-04-07 16:57 - 00000000 ____D () C:\Users\Collégien\AppData\Local\6284D73B-1428425821-11DF-915F-2CC05F0600CA C:\Users\Collégien\AppData\Local\Temp\efcabfiegi.exe Task: {1A6D0161-5013-4472-A770-DF29E0E67F16} - System32\Tasks\NetEngine => C:\ProgramData\NetEngine\bin\D7
etengine.exe [2015-04-15] ()end

&#9654 Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
&#9654 Ferme toutes les applications, y compris ton navigateur
&#9654 Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
&#9654 Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
&#9654 L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

&#9654 /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

lilidurhone · Answer

Pour skype c'est quoi le souci?

lilidurhone · Answer

désinstalles le proprement avec Revo

lilidurhone · Answer

Oui :)

Vu que tu peux taper ton texte ici c'est un problème chez Skype

lilidurhone · Answer

on continue demain

lilidurhone · Answer

Et si tu créais une nouvelle session admin

lilidurhone · Answer

https://www.google.com
 
Si problème il y a il existe toujours une solution 
~~~~~~ Cs ~~~~~~

lilidurhone · Answer

Pour ton souci skype

Un Malware perssistant

25 réponses

Discussions similaires