Logiciel malveillants (logo bleu écrit en chinois) Fermé

Question

Bonjour 
mon mari a téléchargé un logiciel d'essai pour convertir des fichiers vidéo et comme d'habitude il l'a installé sans décocher toutes les appli de m.... offertes avec avec ! Bref jusque là j'ai l'habitude en général ça ce limite à quelques barres de recherche indésirable mais pas ce coup ci !! 
Alors j'avais oursurfing sur toute mes pages internet a priori j'ai réussi à m'en débarrasser en modifiant les paramètres de chrome et mozilla et en supprimant tout les raccourcis pour en remettre des sains. 
Mais je me retrouve avec un logiciel chinois je suppose (je ne le lis pas) c'est un logo triangle bleu qui travaille en tache de fond et m'ouvre une fenêtre au démarrage en bas à droite genre météo ! 
Je ne peux utiliser adwcleaner il est stoppé avant la fin et malwarebytes et spybot ne le supprime pas ! J'ai fait un JRT qui a travaillé pdt prés de 3h mais je ne sais pas lire le rapport. 
Merci de votre aide

Malekal_morte- · Answer

Salut, 

Commence par ceci :

Suis le tutorial AdwCleaner https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= ( d'Xplode ) 
Télécharge le sur ton bureau ou dossier de téléchargement.  
Lance AdwCleaner, clique sur [Scanner].
L'analyse peux durer plusieurs minutes, patiente.
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


puis :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Malekal_morte- · Answer

C'est Tencent l'antivirus qu'il a installé.
En plus y a déjà Rising avec Avast!.


AV: ???????? (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5}
AV: Rising Antivirus (Enabled - Up to date) {DBC966C2-BD90-87CD-5A01-4DFB1D2EC867}
AV: avast! Antivirus (Disabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B} 

avec Spybot par dessus.

Je pense que le mieux c'est de faire une restauration du système à une date antérieure à l'installation de tout ça.
=> https://www.malekal.com/restauration-systeme-windows/


Après désinstalle Rising s'il est encore là.
De même pour Spybot, pas super efficace.

En gros garde qu'Avast!.

Dinethan · Answer

Merci pour ton aide mais la restauration ne fonctionne pas impossible de me débarrasser de Tencent et puis tout est avec des caractères chinois alors même lorsqu'il s'ouvre je ne sais pas sur quoi cliquer pour le 
fermer !

Malekal_morte- · Answer

J'espère qu'on va avoir un ordinateur stable après tout cela.
Rising antivirus, tu dois pouvoir le désinstaller, il doit être présent dans la liste des programmes.
Spybot aussi désinstalle le. 


Fais un nettoyage ZHPCleaner : https://forum.malekal.com/viewtopic.php?t=48954&start=




Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QQPCTray.exe [355296 2015-06-09] (Tencent)
HKLM-x32\...\Run: [RavTRAY] => C:\Program Files (x86)\Rising\RAV\RSTRAY.EXE [111000 2015-06-10] (Beijing Rising Information Technology Co., Ltd.)
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMGCShellExt64.dll [2015-06-09] (Tencent)
HKU\S-1-5-18\Control Panel\Desktop\SCRNSAVE.EXE -> 
AppInit_DLLs: C:\PROGRA~2\Optimizer Pro\OptProCrash_x64.dll => C:\PROGRA~2\Optimizer Pro\OptProCrash_x64.dll File not found
BHO: ????????? -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TSWebMon64.dat [2015-06-09] (Tencent)
 FF Plugin-x32: @qq.com/npAndroidAssistant -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3198
pQQPhoneManagerExt.dll [2014-05-30] (????)  
 FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225
pQMExtensionsMozilla.dll [2015-06-09] (Tencent Technology (Shenzhen) Company Limited)  
 FF Plugin-x32: @rising.com.cn/nprising -> C:\Program Files (x86)\Rising\RAV
prising.dll [2015-06-09] (Beijing Rising Information Technology Co., Ltd.)  
 S3 TAOFrame; C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TAOFrame.exe [293728 2015-06-09] (Tencent)  
 R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QQPCRtp.exe [297608 2015-06-09] (Tencent)  
 R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys [62264 2015-04-17] (Tencent)  
 R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QQSysMonX64.sys [129336 2015-06-09] (????)  
 R1 rsutils; C:\Windows\System32\DRIVERSsutils.sys [71760 2015-06-10] (Beijing Rising Information Technology Co., Ltd.)  
 R3 rt61x64; C:\Windows\System32\DRIVERS\WMP54Gv41x64.sys [446304 2010-04-07] (Ralink Technology, Corp.)  
 R3 spz5000; C:\Windows\System32\DRIVERS\spz5000.sys [3225344 2009-11-05] ()  
 R0 sysmon; C:\Windows\System32\DRIVERS\sysmon.sys [119256 2015-06-10] (Beijing Rising Information Technology Co., Ltd.)  
 R2 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [99640 2015-06-09] (Tencent)  
 R1 TAOKernelDriver; C:\Windows\System32\Drivers\TAOKernel64.sys [174392 2015-06-09] (Tencent Technology(Shenzhen) Company Limited)  
 R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [87864 2015-06-09] (????)  
 R3 TS888x64; C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TS888x64.sys [28984 2015-06-10] (Tencent)  
 R1 TSCPM; C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225	scpm64.sys [42296 2015-06-09] (????)  
 R1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TsDefenseBT64.sys [28472 2015-06-09] (Tencent)  
 S3 TSSKX64; C:\Windows\System32\drivers	sskx64.sys [38200 2015-06-09] (????)  
 R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TSSysKit64.sys [87352 2015-06-09] (????)  
 2015-06-09 20:02 - 2015-06-10 09:36 - 00028984 _____ (Tencent) C:\Windows\SysWOW64\Drivers\TS888x64.sys  
 2015-06-09 17:18 - 2015-06-09 17:18 - 00000000 ____D C:\ProgramData\TXQMPC 
 2015-06-09 17:03 - 2015-06-09 17:03 - 00000000 ____D C:\Program Files\Common Files\Tencent 
 2015-06-09 17:03 - 2015-06-09 17:02 - 00099640 _____ (Tencent) C:\Windows\system32\Drivers\TAOAccelerator64.sys  
 2015-06-09 17:03 - 2015-06-09 17:02 - 00038200 _____ (????) C:\Windows\system32\Drivers\TSSKX64.sys  
 2015-06-09 17:02 - 2015-06-10 06:24 - 00000000 ____D C:\Users\La Case\AppData\Roaming\Tencent  
 2015-06-10 06:59 - 2015-06-10 06:59 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rising Antivirus 
 2015-06-10 06:59 - 2015-06-10 06:57 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\vpatch.dll  
 2015-06-10 06:58 - 2015-06-10 06:58 - 00000134 _____ C:\Windows\SysWOW64\BsMain.ini  
 2015-06-10 06:58 - 2015-06-09 21:41 - 00325400 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32avext64.dll  
 2015-06-10 06:58 - 2015-06-09 21:41 - 00256280 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64avext.dll  
 2015-06-10 06:58 - 2015-06-09 21:38 - 00041784 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\hvm.sys  
 2015-06-10 06:58 - 2015-06-09 21:37 - 00240472 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\bsmain.exe  
 2015-06-10 09:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At34.job 
 2015-06-10 08:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At33.job 
 2015-06-10 07:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At32.job 
 2015-06-10 06:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At31.job 
 2015-06-10 05:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At30.job 
 2015-06-10 04:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At29.job 
 2015-06-10 03:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At28.job 
 2015-06-10 02:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At27.job 
 2015-06-10 01:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At26.job 
 2015-06-10 00:25 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At25.job 
 2015-06-09 23:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At48.job 
 2015-06-09 22:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At47.job 
 2015-06-09 21:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At46.job 
 2015-06-09 19:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At44.job 
 2015-06-09 18:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At43.job 
 2015-06-09 17:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At42.job 
 2015-06-09 16:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At41.job 
 2015-06-09 15:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At40.job 
 2015-06-09 14:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At39.job 
 2015-06-09 13:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At38.job 
 2015-06-09 12:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At37.job 
 2015-06-09 11:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At36.job 
 2015-06-09 10:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At35.job 
 2015-06-08 20:00 - 2012-11-25 04:26 - 00000340 _____ C:\Windows\Tasks\At45.job 
 2012-11-25 04:26 - 2012-11-25 04:26 - 0000001 _____ () C:\ProgramData\0D42NMM5.exe.b 
 2012-11-25 04:26 - 2012-11-25 04:26 - 0000001 _____ () C:\ProgramData\0D42NMM5.exe_.b 


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur



puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

 Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
 Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=
 Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=

 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Dinethan · Answer

De retour via tablette car depuis les dernières manipulations je n'ai plus de connexion wifi sur mon Pc de bureau ! Pourtant ds le système la carte n'est pas désactivée 
Et j'ai toujours ce foutu antivirus Tencent
Je viens de faire une restauration sans succès !

Malekal_morte- · Answer

Si vous avez besoin d'aide, veuillez créer votre propre sujet en allant dans la partie Virus du forum et en cliquant sur le bouton Poser une question.
Remplissez les champs et envoyer votre demande.

Logiciel malveillants (logo bleu écrit en chinois)

6 réponses

Discussions similaires