Infection de mon pc par 3 virus : Win32:Evo-gen + 2 adwares

Question

Bonjour à tous,

Je suis en panique. Mardi soir, j'ai été infectée par un virus en téléchargeant et exécutant un programme infecté. C'est vraiment pas malin de ma part, je sais bien, mais pour en venir aux faits, après téléchargement tant bien que mal de AdwCleaner, j'ai exécuté un nettoyage total puis un scan minutieux par Avast.
Je pensais en être débarrassée.
Mais aujourd'hui, j'ai été attaquée de nouveau et à répétition malgré les différents scans et nettoyages successifs d'AdwCleaner et Avast. Je ne sais pas quoi faire pour enlever ces saletés de mon ordi. 
Avast a bloqué et mis en quarantaine trois types de virus : 
- Win32:Evo-gen
- Win32:Malware-gen
- Win32:Adware-gen
Avez-vous une idée de comment m'en débarrasser ? 
Je dois rendre mon mémoire dans 3 semaines, je ne peux pas perdre mon ordi maintenant !
Merci d'avance !

Malekal_morte- · Answer

Salut,

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Fish66 · Answer

Bonjour, Pour faire un diagnostique : [*] Télécharge :Farbar Recovery Scan Tool (FRST) à partir ce lien : https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ [*] Enregistre le sur votre bureau ( Vous devez exécuter la version compatible avec votre système 32 bits ou 64 bits) ==> Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ? [*] Lance FRST, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista [*] Sur le menu principal, vérifie que la case "Addition.txt" soit cochée puis clique sur "Scan" et patiente le temps de l'analyse [*] Une fois le scan terminé rends toi sur le bureau, deux rapports FRST.txt et Addition.txt ont été créés. [*] Héberge les rapports FRST.txt et Addition.txt présent sur ton bureau sur : malekal.com [*] Fais copier/coller les liens fournis dans ta prochaine réponse. ==> Aide: <<>> @+

Marvyx · Answer

Voilà ! Scan effectué et voici les liens où vous pourrez trouver les comptes-rendus !

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20150524_x14k12b6m9m11

Shortcut : https://pjjoint.malekal.com/files.php?id=20150524_r12d13w9h6k9

Addition : https://pjjoint.malekal.com/files.php?id=20150524_r15y12b11h15u7

Malekal_morte- · Answer

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix


Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

 HKU\S-1-5-21-1028377232-2113000493-156779762-1005\...\Run: [GoogleChromeAutoLaunch_96D1B21707DD67165A620D682D388DF9] => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe --no-startup-window  
 HKLM\...\Run: [3D BubbleSound] => C:\Program Files\BubbleSound\3D BubbleSound.exe  
C:\Program Files\BubbleSound
C:\Program Files (x86)\Crossbrowse
Task: C:\WINDOWS\Tasks\Periodic Synchronize Task.job => c:\programdata\{723655a8-1039-bb24-7236-655a810356a0}\hqghumeaylnlf.exe
Task: C:\WINDOWS\Tasks\6Y9rYPSloAmRfqw7Cal4PhUe.job => C:\Users\Marie_2\AppData\Roaming\6Y9rYPSloAmRfqw7Cal4PhUe.exe <==== ATTENTION
S2 insvc_1.10.0.14; "C:\Program Files (x86)\Infonaut_1.10.0.14\Service\insvc.exe" [X]
S2 mihyfyzi; C:\Users\Marie_2\AppData\Local\4E435451-1432075364-4131-4233-D850E6EE2505\snsg1414.tmp [X]
S2 scsvc_1.10.0.16; "C:\Program Files (x86)\SuperClick_1.10.0.16\Service\scsvc.exe" [X]
S2 Update Wooden Seal; "C:\Program Files (x86)\Wooden Seal\updateWoodenSeal.exe" [X]
R2 pyxycero; C:\Users\Marie_2\AppData\Roaming\4E435451-1432067968-4131-4233-D850E6EE2505
syFC07.tmp [166912 2015-05-24] () []
R2 rycimizu; C:\Users\Marie_2\AppData\Roaming\4E435451-1432067968-4131-4233-D850E6EE2505\hnsk6ED5.tmp [193024 2015-05-19] () []
R1 scfd_1_10_0_16; C:\Windows\System32\drivers\scfd_1_10_0_16.sys [58240 2015-05-13] (SuperClick)
2015-05-19 22:50 - 2015-05-19 22:50 - 00000000 ____D () C:\Users\Marie_2\Documents\Optimizer Pro
2015-05-19 22:50 - 2015-05-19 22:50 - 00000000 ____D () C:\Users\Marie_2\AppData\Roaming\Optimizer Pro
2015-05-19 22:45 - 2015-05-19 22:45 - 00003254 _____ () C:\WINDOWS\System32\Tasks\Periodic Synchronize Task
2015-05-19 22:45 - 2015-05-19 22:45 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2
2015-05-19 22:39 - 2015-05-24 16:13 - 00000000 ____D () C:\Users\Marie_2\AppData\Roaming\4E435451-1432067968-4131-4233-D850E6EE2505
2015-04-19 14:20 - 2015-05-20 00:53 - 0000626 _____ () C:\Users\Marie_2\AppData\Roaming\6Y9rYPSloAmRfqw7Cal4PhUe
2013-12-26 19:03 - 2015-05-24 19:37 - 0000073 _____ () C:\Users\Marie_2\AppData\Roaming\sp_data.sys
2014-03-13 12:12 - 2014-03-13 12:12 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2013-04-26 01:15 - 2012-09-07 13:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2013-04-26 01:15 - 2009-07-22 12:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2013-04-26 01:15 - 2012-09-07 13:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
C:\Program Files (x86)\SuperClick_1.10.0.16



Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

 Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
 Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=
 Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=

 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Marvyx · Answer

Mon pc a du redémarrer. J'imagine que le nouveau fichier note dont tu me parles est un fichier intitulé "Fixlog". Si c'est bien le cas, le voici :

Fix result of Farbar Recovery Scan Tool (x64) Version: 24-05-2015 01
Ran by Marie_2 at 2015-05-24 20:00:21 Run:1
Running from C:\Users\Marie_2\Desktop
Loaded Profiles: Marie_2 (Available Profiles: UpdatusUser & Marie_2)
Boot Mode: Normal
==============================================

fixlist content:


HKU\S-1-5-21-1028377232-2113000493-156779762-1005\...\Run: [GoogleChromeAutoLaunch_96D1B21707DD67165A620D682D388DF9] => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe --no-startup-window 
 HKLM\...\Run: [3D BubbleSound] => C:\Program Files\BubbleSound\3D BubbleSound.exe 
C:\Program Files\BubbleSound 
C:\Program Files (x86)\Crossbrowse 
Task: C:\WINDOWS\Tasks\Periodic Synchronize Task.job => c:\programdata\{723655a8-1039-bb24-7236-655a810356a0}\hqghumeaylnlf.exe 
Task: C:\WINDOWS\Tasks\6Y9rYPSloAmRfqw7Cal4PhUe.job => C:\Users\Marie_2\AppData\Roaming\6Y9rYPSloAmRfqw7Cal4PhUe.exe <==== ATTENTION 
S2 insvc_1.10.0.14; "C:\Program Files (x86)\Infonaut_1.10.0.14\Service\insvc.exe" [X] 
S2 mihyfyzi; C:\Users\Marie_2\AppData\Local\4E435451-1432075364-4131-4233-D850E6EE2505\snsg1414.tmp [X] 
S2 scsvc_1.10.0.16; "C:\Program Files (x86)\SuperClick_1.10.0.16\Service\scsvc.exe" [X] 
S2 Update Wooden Seal; "C:\Program Files (x86)\Wooden Seal\updateWoodenSeal.exe" [X] 
R2 pyxycero; C:\Users\Marie_2\AppData\Roaming\4E435451-1432067968-4131-4233-D850E6EE2505
syFC07.tmp [166912 2015-05-24] () [] 
R2 rycimizu; C:\Users\Marie_2\AppData\Roaming\4E435451-1432067968-4131-4233-D850E6EE2505\hnsk6ED5.tmp [193024 2015-05-19] () [] 
R1 scfd_1_10_0_16; C:\Windows\System32\drivers\scfd_1_10_0_16.sys [58240 2015-05-13] (SuperClick) 
2015-05-19 22:50 - 2015-05-19 22:50 - 00000000 ____D () C:\Users\Marie_2\Documents\Optimizer Pro 
2015-05-19 22:50 - 2015-05-19 22:50 - 00000000 ____D () C:\Users\Marie_2\AppData\Roaming\Optimizer Pro 
2015-05-19 22:45 - 2015-05-19 22:45 - 00003254 _____ () C:\WINDOWS\System32\Tasks\Periodic Synchronize Task 
2015-05-19 22:45 - 2015-05-19 22:45 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2 
2015-05-19 22:39 - 2015-05-24 16:13 - 00000000 ____D () C:\Users\Marie_2\AppData\Roaming\4E435451-1432067968-4131-4233-D850E6EE2505 
2015-04-19 14:20 - 2015-05-20 00:53 - 0000626 _____ () C:\Users\Marie_2\AppData\Roaming\6Y9rYPSloAmRfqw7Cal4PhUe 
2013-12-26 19:03 - 2015-05-24 19:37 - 0000073 _____ () C:\Users\Marie_2\AppData\Roaming\sp_data.sys 
2014-03-13 12:12 - 2014-03-13 12:12 - 0000000 ____H () C:\ProgramData\DP45977C.lfl 
2013-04-26 01:15 - 2012-09-07 13:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd 
2013-04-26 01:15 - 2009-07-22 12:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe 
2013-04-26 01:15 - 2012-09-07 13:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS 
C:\Program Files (x86)\SuperClick_1.10.0.16 



HKU\S-1-5-21-1028377232-2113000493-156779762-1005\Software\Microsoft\Windows\CurrentVersion\Run\GoogleChromeAutoLaunch_96D1B21707DD67165A620D682D388DF9 => value Removed successfully
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\3D BubbleSound => value Removed successfully
"C:\Program Files\BubbleSound" => File/Folder not found.
"C:\Program Files (x86)\Crossbrowse" => File/Folder not found.
C:\WINDOWS\Tasks\Periodic Synchronize Task.job => Moved successfully.
C:\WINDOWS\Tasks\6Y9rYPSloAmRfqw7Cal4PhUe.job => Moved successfully.
insvc_1.10.0.14 => Service Removed successfully
mihyfyzi => Service Removed successfully
scsvc_1.10.0.16 => Service Removed successfully
Update Wooden Seal => Service Removed successfully
pyxycero => Unable to stop service.
pyxycero => Service Removed successfully
rycimizu => Unable to stop service.
rycimizu => Service Removed successfully
scfd_1_10_0_16 => Unable to stop service.
scfd_1_10_0_16 => Service Removed successfully
C:\Users\Marie_2\Documents\Optimizer Pro => Moved successfully.
C:\Users\Marie_2\AppData\Roaming\Optimizer Pro => Moved successfully.
C:\WINDOWS\System32\Tasks\Periodic Synchronize Task => Moved successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2 => Moved successfully.
C:\Users\Marie_2\AppData\Roaming\4E435451-1432067968-4131-4233-D850E6EE2505 => Moved successfully.
C:\Users\Marie_2\AppData\Roaming\6Y9rYPSloAmRfqw7Cal4PhUe => Moved successfully.
C:\Users\Marie_2\AppData\Roaming\sp_data.sys => Moved successfully.
C:\ProgramData\DP45977C.lfl => Moved successfully.
C:\ProgramData\SetStretch.cmd => Moved successfully.
C:\ProgramData\SetStretch.exe => Moved successfully.
C:\ProgramData\SetStretch.VBS => Moved successfully.
"C:\Program Files (x86)\SuperClick_1.10.0.16" => File/Folder not found.


The system needed a reboot. 
 End of Fixlog 20:00:37 
Je vais tout de suite réinitialiser mes navigateurs.

Marvyx · Answer

Voilà, j'ai donc réinitialiser mes navigateurs, puis redémarré mon pc. Alors ça y est ? 

Mon pc est désinfecté ? Est-ce que je devrais faire quelque chose pour vérifier ?

Malekal_morte- · Answer

oui,
Fais un nettoyage Malwarebyte, histoire de supprimer ce qui reste : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

Voila, c'est terminé, tu peux supprimer les programmes utilisés. 

Quelques conseils : 


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start= 


Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/ 
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Marvyx · Answer

Bonsoir Malekal_morte-

J'ai donc fait un scan avec MalwareByte comme tu me l'as conseillé, mais ça a de nouveau trouvé des fichiers. Après suppression et redémarrage de mon ordinateur, j'en ai effectué un nouveau. Il a de nouveau localisé des PUPs, que j'ai à nouveau effacé.
Penses-tu que c'est bon malgré tout ? 
Je suis en train d'étudier de près les articles que tu m'as envoyé. Merci beaucoup pour ton aide ! Vraiment ! ça m'a été très précieux !

Infection de mon pc par 3 virus : Win32:Evo-gen + 2 adwares

8 réponses

End of Fixlog 20:00:37

Votre réponse

Discussions similaires

Newsletters