adware : rising/Tencent, Shoppeez, bsdrivers.sys Résolu/Fermé

Question

Bonjour, 

Il y a deux semaines j'ai été infecté par une série d'adware et de malware (dont le soi-disant antivirus Rising, un truc appelé Shopperz et bien d'autre). J'ai réussi il y a peu à me débarrasser de la majorité de mes problèmes, mais il y a des résidus que je ne sais pas comment me débarrasser (notamment l'adware qui fait poper des pubs pendant l'utilisation de Steam).

En parcourant ce forum et d'autres, je me suis aperçu que pour finaliser la désinfection il fallait un fichier personnalisé à mon problème. Comme je n'ai pas les connaissances pour le constituer moi même, je viens ici dans l'espoir que quelqu'un m'aide à finaliser le nettoyage de mon PC.

adwcleaner ne trouve pas grand chose et semble tout nettoyer (voici le dernier rapport en date : http://www.cjoint.com/c/EIoqml1Qz8N ) bien que ce bsdriver qu'il à supprimé revienne à chaque fois.

Voici les deux rapport généralement demandé via FRST :
-Addition.txt : http://www.cjoint.com/c/EIoqpHvm8vN
-FRST.txt : http://www.cjoint.com/c/EIoqqlR2VpN

Enfin, voici le rapport de ZHPDiag : http://www.cjoint.com/c/EIoqriCb4DN

Un peu avant mon infestation je suis passé sous windows 10, ce qui explique pourquoi les rapports indiquent autant de nouveaux logiciels installés (tous en fait).

Merci pour l'aide que vous pourrez m'apporter!

PS : J'ai configurer cjoint pour qu'il ne garde les fichiers que 4 jours, ça devrait être suffisant je pense ^^

Malekal_morte- · Answer

Salut

je regarde cela

--

Malekal_morte- · Answer

https://pjjoint.malekal.com/files.php?id=FRST_20150914_y9h6r12z13o8
https://pjjoint.malekal.com/files.php?read=20150914_i10y9v8u14f7

Malekal_morte- · Answer

ouaip ça pue ton PC.

Tencent, les drivers bsdrivers.sys qui est mis par shopperz.
et le patch dnsapi.dll

Créé un point de restauration système

fais un nettoyage : ZHPCleaner
Lance l'analyse puis fais Nettoyer.
Donne le rapport ici.

Si après le nettoyage ZHPCleaner internet ne fonctionne plus, fais une restauration du système au point de restauration qui a été créé.
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Malekal_morte- · Answer

refais un scan FRST et donne les rapports via http://pjjoint.malekal.com
et ps par cjoint stp.

Malekal_morte- · Answer

Je te conseille de désinstaller Spybot, pas super efficace, selon moi.
Voir ce sujet : Adwares : Antispyware comment ne pas désinfecter son PC


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

 R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2015-08-28] ()  
 R1 rsutils; C:\Windows\System32\DRIVERS\rsutils.sys [69336 2014-08-15] (Beijing Rising Information Technology Co., Ltd.)  
 R3 RZSURROUNDVADService; C:\Windows\system32\drivers\RzSurroundVAD.sys [40640 2015-07-29] (Windows (R) Win 7 DDK provider)  
 R0 sysmon; C:\Windows\System32\DRIVERS\sysmon.sys [119344 2014-09-10] (Beijing Rising Information Technology Co., Ltd.)  
 2015-08-28 19:20 - 2015-08-28 19:20 - 00034720 _____ () C:\WINDOWS\system32\Drivers\bsdriver.sys  
 2015-08-28 19:18 - 2015-08-29 10:52 - 00000000 ____D C:\Program Files (x86)\baidu  
 2015-08-28 19:18 - 2015-08-28 19:18 - 00000000 _____ C:\dummy.htm  
 2015-08-28 19:17 - 2015-08-28 19:17 - 00000000 ____D C:\WINDOWS\system32\abis 
 2015-08-28 19:17 - 2015-08-20 11:46 - 00056736 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\cherimoya.sys  
 2015-08-28 18:42 - 2013-08-22 15:25 - 00000824 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak  
 2015-08-28 18:41 - 2015-08-28 18:48 - 00000000 ___HD C:\ProgramData\rjb 
 2015-08-28 18:39 - 2015-09-11 20:10 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 
 2015-08-28 18:39 - 2015-09-11 18:28 - 00000000 ____D C:\ProgramData\update  


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur

Malekal_morte- · Answer

ok =)

pour ces fichiers :

"C:\WINDOWS\system32\Drivers\bsdriver.sys" => Impossible de déplacer
"C:\WINDOWS\system32\Drivers\cherimoya.sys" => Impossible de déplacer 

Faut les supprimer depuis un CD Live :
CD Live Malekal
CD Live Ubuntu (Linux).

 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Hyazinta · Answer

Je viens de faire une analyse avec malwarebytes suite à quelques problèmes récurrent de redirection de pages web. Il à trouver quelques résidus (il indique un rapport mais je ne l'ai pas trouver, les rapports afficher par le programme ne correspondent pas à ce qu'il m'a dit) et semble avoir corriger ce problème.

Hyazinta · Answer

Merci pour Autoruns, j'ai pu supprimer les résidus laissé par Rising (une dll dans syswow64).

Je n'ai plus de problèmes de pubs intempestives, mais deux autres soucis ont fait leurs apparitions:

- Certaines fenêtres, les jeux en mode fenêtré principalement mais ça me l'a fait avec autorun, se "réinitialise" constamment (je sais pas trop comment dire ça) ce qui provoque un clignotement incessant de la fenêtre.

- Au démarrage de mon pc aujourd'hui j'ai eu un message disant que le pc ne trouvait pas le disque dur. Après des recherches infructueuses pour voir si j'avais mal reconfigurer le boot dans le bios suite à l'utilisation du liveCD (et apparemment ce n'est pas le cas, mais j'ai encore un test à faire, je ferai un reboot rapide après ce message) j'ai réinsérer le cd dans le pc pour refaire un scan depuis celui-ci mais au lieu de booter sur le cd, mon pc a booter normalement. Je suis un peu perdu ^^

je reboot et je redonne des nouvelles.

Malekal_morte- · Answer

Refais un scan FRST pour voir ce qu'il reste, donne les rapports via pjjoint.

Par contre pour ton prob de fenêtre, je ne pense pas que ce soit un malware actif qui fasse cela.

Malekal_morte- · Answer

Je te conseille de désinstaller McAfee Security Scan, c'est avant tout un programme marketting proposé à l'installation d'Adobe Flash pour tenter de te proposer l'antivirus.


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

 2015-09-14 05:09 - 2015-09-14 05:09 - 00000000 ____D C:\ProgramData\Rising  
 2015-08-28 20:08 - 2015-08-28 20:08 - 00000150 __RSH C:\rising.ini  
 2015-08-28 20:08 - 2015-08-28 20:08 - 00000000 ___RD C:\RAVBIN 
 2015-08-28 20:08 - 2014-09-10 08:11 - 00119344 ____N (Beijing Rising Information Technology Co., Ltd.) C:\WINDOWS\system32\Drivers\sysmon.sys  
 2015-08-28 20:08 - 2014-08-15 03:22 - 00069336 ____N (Beijing Rising Information Technology Co., Ltd.) C:\WINDOWS\system32\Drivers\rsutils.sys  
 2015-08-28 20:08 - 2014-07-30 04:44 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\WINDOWS\SysWOW64\vpatch.dll  
 2015-08-28 20:08 - 2014-01-02 09:37 - 00325400 ____N (Beijing Rising Information Technology Co., Ltd.) C:\WINDOWS\system32\ravext64.dll  
 2015-08-28 20:08 - 2012-09-06 02:30 - 00240472 ____N (Beijing Rising Information Technology Co., Ltd.) C:\WINDOWS\SysWOW64\bsmain.exe  
 2015-08-28 20:08 - 2012-02-29 09:49 - 00011888 ____N (Beijing Rising Information Technology Co., Ltd.) C:\WINDOWS\system32\Drivers\rsndisp.sys  


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur

Malekal_morte- · Answer

Pour les fenêtres qui sautent, essaye :
- de changer de thème
- de recharger les pilotes
- de désactiver les services nvidia (via msconfig)

voir déjà si ça change quelque chose.
Beaucoup de personnes ont ces problèmes après des infections.

Malekal_morte- · Answer

ok =)

Termine par un nettoyage Malwarebyte's Anti-Malware :

 Tutorial Malwarebytes version gratuite
 Tutorial Malwarebytes version payante



Voila, c'est terminé, tu peux supprimer les programmes utilisés. 

Quelques conseils : 

Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start= 

Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/ 
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Malekal_morte- · Answer

Pour les fenêtres qui clignotent etc, tente ça : https://forum.malekal.com/viewtopic.php?t=46635&start=30#p405731

Adware : rising/Tencent, Shoppeez, bsdrivers.sys

13 réponses

Fin de Fixlog 00:16:37

Discussions similaires