Virus Bizigames

[Résolu/Fermé]
Signaler
Messages postés
7
Date d'inscription
lundi 11 mai 2015
Statut
Membre
Dernière intervention
11 mai 2015
-
Messages postés
7
Date d'inscription
lundi 11 mai 2015
Statut
Membre
Dernière intervention
11 mai 2015
-
Bonjour,

Depuis ce matin j'ai un virus, je suppose sur mon PC. Quand je l'ai allumé, Chrome s'est automatiquement lancé avec une page de pub pour un site nommé Bizigames.

Après avoir passé un coup de Malwarebytes Anti-Malware, le pop up n'apparaît plus au démarrage mais il me semble que le virus est toujours présent et qu'il bloque le démarrage de certains programmes comme CCleaner.

Actuellement, Avast et Malwarebytes ne détectent plus aucunes menaces ni fichiers suspects mais je suis toujours dans l'incapacité de lancer CCleaner sauf si je renomme le CCleaner64.exe et nimportequoi.exe, là il se lance, mais après un nettoyage des registres et applications, rien ne change, le nom d'origine du programme reste bloqué.

Bref, y a-t-il un moyen simple et efficace pour supprimer cette chose. Je tenterais bien une restauration système mais je n'ai jamais utilisé cette méthode et vu que je n'ai rien installé entre hier et aujourd'hui, je ne sais pas du tout d'ou a pu surgir ce problème.

Merci d'avance pour toute aide utile !

Zera

5 réponses

Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 790
Salut,
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme S0ft0nic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

Fais ceci :

Télécharge ici : AdwCleaner (de Xplode)

▶ Lance-le.

▶ Lis et accepte le contrat d'utilisation.

▶ Clique sur Scanner puis Nettoyer, et patiente le temps du nettoyage.

▶ Poste le contenu du rapport que tu trouveras dans le répertoire AdwCleaner de ton disque dur ( C:\AdwCleaner\AdwCleaner[x].txt) ou son contenu s'il s'ouvre.


A+
Messages postés
7
Date d'inscription
lundi 11 mai 2015
Statut
Membre
Dernière intervention
11 mai 2015

Voilà le rapport.

A noter que j'ai également du renommé l'exécutable du programme, il ne se lancait pas sinon.

Rapport :

# AdwCleaner v4.203 - Rapport créé le 11/05/2015 à 11:18:24
# Mis à jour le 30/04/2015 par Xplode
# Base de données : 2015-05-09.1 [Serveur]
# Système d'exploitation : Windows 8.1 (x64)
# Nom d'utilisateur : Zera - ZERA
# Exécuté depuis : C:\Users\Zera\Desktop\test.exe
# Option : Nettoyer
          • [ Services ] *****
          • [ Fichiers / Dossiers ] *****


Dossier Supprimé : C:\ProgramData\apn
          • [ Tâches planifiées ] *****
          • [ Raccourcis ] *****
          • [ Registre ] *****


Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\eofcbnmajmjmplflapaojjnihcjkigck
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Conduit
          • [ Navigateurs ] *****


-\\ Internet Explorer v11.0.9600.17416


-\\ Google Chrome v42.0.2311.135

[C:\Users\Zera\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - Supprimée [Extension] : eofcbnmajmjmplflapaojjnihcjkigck


AdwCleaner[R0].txt - [1132 octets] - [11/05/2015 11:17:19]
AdwCleaner[S0].txt - [1021 octets] - [11/05/2015 11:18:24]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1081 octets] ##########
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 790
C'est étrange, donc ils se protègent maintenant :)

Comment se porte Chrome ? Toujours ce Bizigames ?
Messages postés
7
Date d'inscription
lundi 11 mai 2015
Statut
Membre
Dernière intervention
11 mai 2015

Non, à part les programmes qui refusent de se lancer, aucuns soucis.

Egalement quand je veux renommé un fichier il m'affiche une fenêtre supplémentaire me disant : "Vous devez disposer des droits d'administrateur pour renommer ce fichier. Continuer, Ignorer ou Annuler" alors que je suis en admin, ma session est la seule sur ce PC. (Windows 8.1) et c'est la première fois que je vois ce genre de message de validation.

Mais bon, même si je n'ai plus de popup vers ce site, un problème doit subsister quelques part si il me bloque encore les applications.
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 790
Oui c'est bizarre en effet.

On va pousser les analyses :)

▶ Télécharge ici : FRST (de Farbar)
!!! En fonction de ta version de Windows, prends la "32-Bit Version" ou la "64-Bit Version" !!!
Aide : va dans Démarrer > Panneau de configuration > Système pour savoir si tu es sous 32 bits ou 64 bits.

▶ Double-clique sur l'icône FRST.exe pour lancer le programme. (Sous Windows Vista, 7 et 8, il faut faire un clic droit dessus, puis exécuter en tant qu'administrateur.) Clique ensuite sur Oui lorsqu'un message d'avertissement (Disclaimer) s'affiche.

▶ Sur le menu principal, clique sur le bouton Scan et patiente le temps de l'analyse.

▶ A la fin du scan, deux rapports s'affichent, FRST.txt et Addition.txt Poste les rapports dans ta prochaine réponse.

Les rapport se trouvent ici : C:\FRST\Logs

▶ Envoie-les sur http://pjjoint.malekal.com et poste les liens obtenus en échange.
Messages postés
7
Date d'inscription
lundi 11 mai 2015
Statut
Membre
Dernière intervention
11 mai 2015

Voilà.
Comme pour les précédents j'ai du renommé le FRST64.exe pour qu'il accepte de se lancer...

FRST.txt : https://pjjoint.malekal.com/files.php?id=FRST_20150511_m7c11n10x8j14

Addition.txt : https://pjjoint.malekal.com/files.php?id=20150511_j13y6h15i11h11
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 790
Ah ouais en fait y'a des IFEO qui se collent. Mais je vois pas trop d'où ça vient.

En attendant, fais une recherche avec RogueKiller :

▶ Télécharge ici : RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
Messages postés
7
Date d'inscription
lundi 11 mai 2015
Statut
Membre
Dernière intervention
11 mai 2015

Pas de soucis pour mon Windows, c'est du 64 bits. Mais mes connaissances en software ne vont pas beaucoup plus loin :)

Voilà pour le rapport de RogueKiller.

RogueKiller V10.6.3.0 (x64) [May 11 2015] par Adlice Software
email : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site web : https://www.adlice.com/fr/roguekiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows 8.1 (6.3.9200 ) 64 bits version
Démarré en : Mode normal
Utilisateur : Zera [Administrateur]
Démarré depuis : C:\Users\Zera\Desktop\RogueKillerX64.exe
Mode : Scan -- Date : 05/11/2015 12:07:13

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 20 ¤¤¤
[Orphan] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | WebCheck : {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | WebCheck : {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrivePro1 (ErrorConflict) | (default) : {8BA85C75-763B-4103-94EB-9470F12FE0F7} -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrivePro2 (SyncInProgress) | (default) : {CD55129A-B1A1-438E-A425-CEBC7DC684EE} -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrivePro3 (InSync) | (default) : {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{2FDB4BA0-7FFC-4405-9C8F-369CB355DB15} | DhcpNameServer : 62.197.111.140 109.88.203.3 [BELGIUM (BE)][-] -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{31F36741-A730-4888-8479-6095D9E90353} | DhcpNameServer : 62.197.111.140 109.88.203.3 [BELGIUM (BE)][-] -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{2FDB4BA0-7FFC-4405-9C8F-369CB355DB15} | DhcpNameServer : 62.197.111.140 109.88.203.3 [BELGIUM (BE)][-] -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{31F36741-A730-4888-8479-6095D9E90353} | DhcpNameServer : 62.197.111.140 109.88.203.3 [BELGIUM (BE)][-] -> Trouvé(e)
[PUM.Policies] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 -> Trouvé(e)
[PUM.Policies] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3939281544-3072151568-3479297486-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {645FF040-5081-101B-9F08-00AA002F954E} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3939281544-3072151568-3479297486-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {645FF040-5081-101B-9F08-00AA002F954E} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3939281544-3072151568-3479297486-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {645FF040-5081-101B-9F08-00AA002F954E} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3939281544-3072151568-3479297486-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {645FF040-5081-101B-9F08-00AA002F954E} : 1 -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: Crucial_CT512MX100SSD1 +++++
--- User ---
[MBR] c4f0714bd7499b98eba43780820fe21a
[BSP] 14e5c173e8fd185d4cedb47016a9c1a8 : Windows Vista/7/8|VT.Unknown MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 350 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 718848 | Size: 488034 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: ST3000DM001-1ER166 +++++
--- User ---
[MBR] a37731c6037b9f68187a1877ec949e5c
[BSP] 2c05920a387a5c7bedf4d1f6d9ebb658 : Empty|VT.Unknown MBR Code
Partition table:
0 - Microsoft reserved partition | Offset (sectors): 34 | Size: 128 MB
1 - Basic data partition | Offset (sectors): 264192 | Size: 2861459 MB
User = LL1 ... OK
User = LL2 ... OK
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 790
Le proxy, c'est bien toi qui l'a installé hein ? Le VPN quoi.
Messages postés
7
Date d'inscription
lundi 11 mai 2015
Statut
Membre
Dernière intervention
11 mai 2015

Oui c'est moi.
J'avais poster une demande d'aide à 2 endroits suite à ce soucis. Ici et sur un autre forum ou j'étais inscrit et il semble que mon soucis soit régler grâce à un script utiliser sur le soft ZHPFix. Mon soucis semble régler.

Apparemment j'avais un détournement des clés IFEO suite à un hijacker ou à un rogue, quand un programme légitime se lançait au démarrage du PC (soit svchost.exe dans mon cas), il bloquait certains programmes qui étaient en l'occurrence des programmes de sécurité mais en général, les clés IFEO sont utilisées par les malwares pour lancer des programmes infectieux.

Voilà voilà.

En tout cas merci énormément pour le temps que vous avez passer a analysé les divers rapports.
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 790
Ne JAMAIS ouvrir 2 sujets différents, d'autant plus sur 2 sites différents, pour un même problème !!!
Les outils que nous utilisons peuvent entrer en conflit, les scripts donnés ici ou là bas pourraient endommager irrémédiablement le PC.
Et surtout, tu nous fait perdre notre temps.

Les IFEO, comme je te l'avais dis, c'est eux qui empêchaient le lancement des programmes. Pas besoin de me l'expliquer ;)
Messages postés
7
Date d'inscription
lundi 11 mai 2015
Statut
Membre
Dernière intervention
11 mai 2015

Je me doute.

Désolé de vous avoir fait perdre votre temps donc et merci quand même d'avoir prit la peine d'analyser mon soucis.