Adware Hao Rising

Résolu/Fermé
Valpopp Messages postés 7 Date d'inscription mercredi 23 septembre 2015 Statut Membre Dernière intervention 23 septembre 2015 - 23 sept. 2015 à 14:57
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 23 sept. 2015 à 18:06
Bonjour,

Novice sur PC, j'ai malencontreusement installé un programme parasite sous Windows 7. Ce programme est chinois (donc je suis incapable de comprendre de quoi il s'agit), ouvre un onglet automatique dès que j'ouvre Chrome (onglet "hao rising", tout écrit en chinois), ouvre régulièrement des pages de pub quand je navigue, et ouvre une petite fenêtre sur mon écran, avec des pourcentages qui s'affichent etc.

J'ai fai quelques recherches et suis tombée sur un topic sur ce forum, expliquant qu'il faut procéder à un scan + nettoyage avec ADWcleaner. J'ai essayé, je scanne, je clique sur "nettoyer", mais avant que le nettoyage soit terminé, mon ordinateur redémarre tout seul, et le nettoyage ne se termine donc jamais.

Je ne sais pas comment contourner ce problème, et enfin supprimer ce programme QUI M'AGACE !!

Merci pour votre aide !



A voir également:

9 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 23/09/2015 à 14:59
Salut,

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
Voici la procédure à suivre pour les supprimer :

Commence par ceci :

Suis le tutorial AdwCleaner( d'Xplode )
Ce programme permet de supprimer les adwares et programmes parasites :
  • Télécharge le sur ton bureau ou dossier de téléchargement.
  • Lance AdwCleaner, clique sur [Scanner].
  • L'analyse peux durer plusieurs minutes, patiente.
  • Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
  • Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.


Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis :



Fais un nettoyage ZHPCleaner.
Donne le rapport via http://pjjoint.malekal.com

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Valpopp Messages postés 7 Date d'inscription mercredi 23 septembre 2015 Statut Membre Dernière intervention 23 septembre 2015
23 sept. 2015 à 15:21
C'est bien la procédure que j'ai tenté de suivre.
Mais l'ordinateur redémarre automatiquement, avant la fin du nettoyage ADWcleaner.
Du coup, le programme parasite est toujours là au redémarrage.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 sept. 2015 à 15:41
passe à ZHPCleaner alors.
0
Valpopp Messages postés 7 Date d'inscription mercredi 23 septembre 2015 Statut Membre Dernière intervention 23 septembre 2015
23 sept. 2015 à 16:00
J'ai fait un scan + nettoyage avec ZHPcleaner.
A la fin du nettoyage, il me prévient que l'ordinateur va redémarrer, je clique sur OK, mais le redémarrage ne se fait pas. Je l'ai donc redémarrer moi-même, et le rapport s'affiche effectivement au redémarrage.
Mais Hao Rising est toujours là.

Voici le rapport :

~ ZHPCleaner v2015.9.22.355 by Nicolas Coolman (2015/09/22)
~ Run by Valentine (Administrator) (23/09/2015 15:50:04)
~ Site : https://nicolascoolman.eu
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Nettoyer
~ Report : C:\Users\Valentine\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\Valentine\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Professional, 64-bit Service Pack 1 (Build 7601)


---\\ Service. (1)
ARRETÉ : QQPCRTP =>PUP.Optional.TencentAddressBar


---\\ Navigateur internet. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\ Fichier hôte. (1)
~ Le fichier hôte est légitime. (27)


---\\ Tâche planifiée. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\ Explorateur ( Dossiers, Fichiers ). (17)
DEPLACÉ fichier^: C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\QMUdisk64.sys [Tencent - QMUdiskKernel] =>PUP.Optional.TencentAddressBar
DEPLACÉ fichier: C:\Windows\system32\Drivers\TAOAccelerator64.sys [Tencent - ????-TAO????????] =>PUP.Optional.TencentAddressBar
DEPLACÉ fichier^: C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\TS888x64.sys [Tencent - Tencent TS888 (??????????)] =>PUP.Optional.TencentAddressBar
DEPLACÉ fichier^: C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\TSDefenseBT64.sys [Tencent - Tencent TSDefense Boot (??????????)] =>PUP.Optional.TencentAddressBar
DEPLACÉ fichier^: C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\QQSysMonX64.sys [???? - ????-????] =>PUP.Optional.TencentAddressBar
DEPLACÉ fichier^: C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\tscpm64.sys [???? - ????-????] =>PUP.Optional.TencentAddressBar
DEPLACÉ fichier^: C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\TSSysKit64.sys [???? - ????-????] =>PUP.Optional.TencentAddressBar
DEPLACÉ fichier^: C:\ProgramData\Tencent\QQPCMgr\Quarantine\QMCommon.dll [Tencent - ????-???] =>PUP.Optional.TencentAddressBar
DEPLACÉ fichier^: C:\ProgramData\Tencent\QQPCMgr\Quarantine\QMQuarantine.exe [Tencent - ????-????] =>PUP.Optional.TencentAddressBar
DEPLACÉ fichier: C:\ProgramData\Tencent\QQ\qmdr\dr.dll [Tencent - QQ????dll] =>PUP.Optional.TencentAddressBar
DEPLACÉ fichier: C:\program files (x86)\common files\Tencent\qqdownload\130\bugreport_xf.exe =>PUP.Optional.TencentAddressBar
DEPLACÉ fichier: C:\program files (x86)\common files\Tencent\qqdownload\130\tencentdl.exe [Tencent - ????????] =>PUP.Optional.TencentAddressBar
DEPLACÉ dossier^: C:\Program Files (x86)\Tencent =>PUP.Optional.TencentAddressBar
DEPLACÉ dossier: C:\Program Files (x86)\Common Files\Tencent =>PUP.Optional.TencentAddressBar
DEPLACÉ dossier^: C:\ProgramData\Tencent =>PUP.Optional.TencentAddressBar
DEPLACÉ dossier^: C:\Users\Valentine\AppData\Roaming\Tencent =>PUP.Optional.TencentAddressBar
DEPLACÉ dossier: C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Tencent =>PUP.Optional.TencentAddressBar


---\\ Base de Registres ( Clés, Valeurs, Données ). (21)
SUPPRIMÉ clé*: HKLM\SYSTEM\CurrentControlSet\Services\QMUdisk [C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\QMUdisk64.sys] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé^: HKLM\SYSTEM\CurrentControlSet\Services\QQPCRTP ["C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\QQPCRTP.exe" -r (Not File)] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé*: HKLM\SYSTEM\CurrentControlSet\Services\TAOAccelerator [C:\Windows\system32\Drivers\TAOAccelerator64.sys (Not File)] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé*: HKLM\SYSTEM\CurrentControlSet\Services\TS888x64 [C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\TS888x64.sys] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé*: HKLM\SYSTEM\CurrentControlSet\Services\TSDefenseBt [C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\TSDefenseBT64.sys] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé: HKLM\SYSTEM\CurrentControlSet\Services\QMUdisk [C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\QMUdisk64.sys] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé^: HKLM\SYSTEM\CurrentControlSet\Services\QQSysMonX64 [C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\QQSysMonX64.sys] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé: HKLM\SYSTEM\CurrentControlSet\Services\TS888x64 [C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\TS888x64.sys] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé*: HKLM\SYSTEM\CurrentControlSet\Services\TSCPM [C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\tscpm64.sys] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé: HKLM\SYSTEM\CurrentControlSet\Services\TSDefenseBt [C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\TSDefenseBT64.sys] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé^: HKLM\SYSTEM\CurrentControlSet\Services\TSSysKit [C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\TSSysKit64.sys] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé*: HKEY_USERS\S-1-5-21-2364577105-1182279161-2685605732-1003\Software\Tencent [] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé*: HKEY_USERS\S-1-5-21-2364577105-1182279161-2685605732-1003\Software\Tutorials [] =>PUP.Optional.AgenceExclusive
SUPPRIMÉ clé: HKCU\Software\Tencent [] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé: HKCU\Software\Tutorials [] =>PUP.Optional.AgenceExclusive
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Wow6432Node\Tencent [] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Classes\CLSID\{7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} [?????????] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ clé: [X64] HKLM\SOFTWARE\Classes\CLSID\{7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B}\InprocServer32 [C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\TSWebMon64.dat] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ valeur: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\GoogleChromeAutoLaunch_9A70462BC645E9DC30534C8276DAE5AD ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-startup-window] =>PUP.Optional.CrossBrowse
SUPPRIMÉ valeur: HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules\\{32F29323-F6C5-4C38-AF05-415A693EE403} [C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe] =>PUP.Optional.TencentAddressBar
SUPPRIMÉ valeur: HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules\\{06ABB436-1C8B-4297-94A9-C7C8AC865134} [C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe] =>PUP.Optional.TencentAddressBar


---\\ Bilan de la réparation
~ Réparation réalisée avec succès.
~ Ce navigateur est absent (Mozilla Firefox)
~ Ce navigateur est absent (Opera Software)
~ Le système a été redémarré.


---\\ Statistiques
~ Items scannés : 257
~ Items trouvés : 0
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 sept. 2015 à 16:39
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Valpopp Messages postés 7 Date d'inscription mercredi 23 septembre 2015 Statut Membre Dernière intervention 23 septembre 2015
23 sept. 2015 à 17:01
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 sept. 2015 à 17:09
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

HKLM-x32\...\Run: [app] => C:\Program Files (x86)\Tencent\app.exe
HKLM-x32\...\Run: [RSDTRAY] => C:\Program Files (x86)\Rising\RSD\popwndexe.exe [126808 2012-09-25] (Beijing Rising Information Technology Co., Ltd.)
HKLM-x32\...\Run: [mbot_fr_014010094] => C:\Program Files (x86)\mbot_fr_014010094\mbot_fr_014010094.exe
HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\QQPCTray.exe [355296 2015-09-22] (Tencent)
HKLM-x32\...\Run: [RavTRAY] => C:\Program Files (x86)\Rising\RAV\rstray.exe [111000 2015-09-22] (Beijing Rising Information Technology Co., Ltd.)
HKLM-x32\...\Run: [RsTurboball] => C:\Program Files (x86)\Rising\RAV\rsturboball.exe [76480 2015-09-22] (Beijing Rising Information Technology Co., Ltd.)
CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=hp&ts=1442925879&z=236beb6726749476e199c3bgfz1z1o9teo1wcb4mbt&from=amt&uid=ST500LM000-1EJ162_W373H9T8XXXXW373H9T8 [Pays US - 184.173.140.164]
CHR StartupUrls: Default -> hxxp://www.oursurfing.com/?type=hp&ts=1442925879&z=236beb6726749476e199c3bgfz1z1o9teo1wcb4mbt&from=amt&uid=ST500LM000-1EJ162_W373H9T8XXXXW373H9T8 [Pays US - 184.173.140.164]
Security Tools) - C:\Users\Valentine\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncffjdbbodifgldkcbhmiiljfcnbgjab [2015-09-14]
CHR Extension: (Paiements via le Chrome Web Store) - C:\Users\Valentine\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-09-14]
CHR Extension: (????????) - C:\Users\Valentine\AppData\Local\Google\Chrome\User Data\Default\Extensions\ooebklgpfnbcnpokahmdidgbmlcdepkm [2015-09-23]
CHR HKLM-x32\...\Chrome\Extension: [ncffjdbbodifgldkcbhmiiljfcnbgjab] - C:\Program Files (x86)\Dell\Dell Data Protection\Security Tools Authentication\Bin\BrowserExt\dpchrome.crx [2014-03-17]
CHR HKLM-x32\...\Chrome\Extension: [ooebklgpfnbcnpokahmdidgbmlcdepkm] - hxxps://clients2.google.com/service/update2/crx
R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\QQPCRtp.exe [297608 2015-09-22] (Tencent)
R1 rsktdi; C:\Windows\system32\drivers\rsktdi.sys [23704 2015-09-22] (Beijing Rising Information Technology Co., Ltd.)
R1 rsutils; C:\Windows\System32\DRIVERS\rsutils.sys [84672 2015-09-23] (Beijing Rising Information Technology Co., Ltd.)
R0 sysmon; C:\Windows\System32\DRIVERS\sysmon.sys [119168 2015-09-22] (Beijing Rising Information Technology Co., Ltd.)
R2 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [88504 2015-09-23] (Tencent)
R2 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernel64.sys [174392 2015-09-22] (Tencent Technology(Shenzhen) Company Limited)
R1 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [87864 2015-09-22] (????)
R3 TS888x64; C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\TS888x64.sys [28984 2015-09-23] (Tencent)
R4 TSCPM; C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\tscpm64.sys [42296 2015-09-22] (????)
R4 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\TSSysKit64.sys [87352 2015-09-22] (????)
R2 QQSysMonX64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\QQSysMonX64.sys [X]
2015-09-23 12:03 - 2015-09-23 15:56 - 00003328 _____ C:\Windows\System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380}
2015-09-23 12:02 - 2015-09-23 15:55 - 00028984 _____ (Tencent) C:\Windows\SysWOW64\Drivers\TS888x64.sys
2015-09-23 12:01 - 2015-09-23 15:55 - 00015692 _____ C:\Windows\PFRO.log
2015-09-23 12:01 - 2015-09-23 15:55 - 00000392 _____ C:\Windows\setupact.log
2015-09-23 12:01 - 2015-09-23 12:01 - 04986448 _____ C:\Windows\system32\FNTCACHE.DAT
2015-09-23 12:01 - 2015-09-23 12:01 - 00000000 _____ C:\Windows\setuperr.log
2015-09-22 17:16 - 2015-09-22 17:16 - 00023704 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsktdi.sys
2015-09-22 17:16 - 2015-09-22 17:16 - 00000134 _____ C:\Windows\SysWOW64\BsMain.ini
2015-09-22 17:16 - 2015-09-22 17:16 - 00000000 ___RD C:\RavBin
2015-09-22 17:16 - 2015-09-22 17:16 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rising Antivirus
2015-09-22 17:16 - 2015-09-22 17:15 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\vpatch.dll
2015-09-22 17:16 - 2015-09-22 17:03 - 00325400 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\ravext64.dll
2015-09-22 17:16 - 2015-09-22 17:03 - 00256280 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\ravext.dll
2015-09-22 17:16 - 2015-09-22 16:41 - 00041784 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\hvm.sys
2015-09-22 17:16 - 2015-09-22 16:40 - 00240472 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\bsmain.exe
2015-09-22 15:28 - 2015-09-22 15:28 - 00174392 _____ (Tencent Technology(Shenzhen) Company Limited) C:\Windows\system32\Drivers\TAOKernel64.sys
2015-09-22 15:28 - 2015-09-22 15:28 - 00038200 _____ (????) C:\Windows\system32\Drivers\TSSKX64.sys
2015-09-22 15:11 - 2015-09-22 15:11 - 00000000 ____D C:\ProgramData\TXQMPC
2015-09-22 15:08 - 2015-09-22 15:08 - 00067496 _____ C:\Users\Valentine\AppData\Local\GDIPFONTCACHEV1.DAT
2015-09-22 14:45 - 2015-09-22 14:45 - 00000000 ____D C:\ProgramData\KingSoft
2015-09-22 14:44 - 2015-09-23 12:04 - 00084672 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsutils.sys
2015-09-22 14:44 - 2015-09-22 17:16 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rising Software Deployment System
2015-09-22 14:44 - 2015-09-22 16:22 - 00119168 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\sysmon.sys
2015-09-22 14:44 - 2015-09-22 15:28 - 00087864 _____ (????) C:\Windows\system32\Drivers\TFsFltX64.sys
2015-09-22 14:44 - 2015-09-22 14:44 - 00000150 __RSH C:\rising.ini
2015-09-22 14:44 - 2015-09-22 14:44 - 00000000 ____D C:\ProgramData\Rising
2015-09-22 14:44 - 2015-09-22 14:44 - 00000000 ____D C:\Program Files\Common Files\Tencent
2015-09-22 14:44 - 2015-09-22 14:44 - 00000000 ____D C:\Program Files (x86)\Rising
2015-09-22 14:44 - 2012-02-29 09:49 - 00011888 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsndisp.sys
2015-09-22 14:43 - 2015-09-23 16:15 - 00000000 ____D C:\Users\Valentine\AppData\Roaming\Tencent
2015-09-22 14:43 - 2015-09-23 16:10 - 00000000 ____D C:\ProgramData\Tencent


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Refais encore la correction FRST.
Car je ne pense pas qu'il va réussir à tout supprimer en un coup.

~~


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

0
Valpopp Messages postés 7 Date d'inscription mercredi 23 septembre 2015 Statut Membre Dernière intervention 23 septembre 2015
23 sept. 2015 à 17:19
J'ai fait une première correction, je copie/colle le fixlog ici. J'en refais une et je réinitialise mes navigateurs.

Fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:23-09-2015
Exécuté par Valentine (2015-09-23 17:13:48) Run:1
Exécuté depuis C:\Users\Valentine\Desktop
Profils chargés: Valentine (Profils disponibles: Ghislaine & Valentine)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

HKLM-x32\...\Run: [app] => C:\Program Files (x86)\Tencent\app.exe
HKLM-x32\...\Run: [RSDTRAY] => C:\Program Files (x86)\Rising\RSD\popwndexe.exe [126808 2012-09-25] (Beijing Rising Information Technology Co., Ltd.)
HKLM-x32\...\Run: [mbot_fr_014010094] => C:\Program Files (x86)\mbot_fr_014010094\mbot_fr_014010094.exe
HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\QQPCTray.exe [355296 2015-09-22] (Tencent)
HKLM-x32\...\Run: [RavTRAY] => C:\Program Files (x86)\Rising\RAV\rstray.exe [111000 2015-09-22] (Beijing Rising Information Technology Co., Ltd.)
HKLM-x32\...\Run: [RsTurboball] => C:\Program Files (x86)\Rising\RAV\rsturboball.exe [76480 2015-09-22] (Beijing Rising Information Technology Co., Ltd.)
CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=hp&ts=1442925879&z=236beb6726749476e199c3bgfz1z1o9teo1wcb4mbt&from=amt&uid=ST500LM000-1EJ162_W373H9T8XXXXW373H9T8 [Pays US - 184.173.140.164]
CHR StartupUrls: Default -> hxxp://www.oursurfing.com/?type=hp&ts=1442925879&z=236beb6726749476e199c3bgfz1z1o9teo1wcb4mbt&from=amt&uid=ST500LM000-1EJ162_W373H9T8XXXXW373H9T8 [Pays US - 184.173.140.164]
Security Tools) - C:\Users\Valentine\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncffjdbbodifgldkcbhmiiljfcnbgjab [2015-09-14]
CHR Extension: (Paiements via le Chrome Web Store) - C:\Users\Valentine\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-09-14]
CHR Extension: (????????) - C:\Users\Valentine\AppData\Local\Google\Chrome\User Data\Default\Extensions\ooebklgpfnbcnpokahmdidgbmlcdepkm [2015-09-23]
CHR HKLM-x32\...\Chrome\Extension: [ncffjdbbodifgldkcbhmiiljfcnbgjab] - C:\Program Files (x86)\Dell\Dell Data Protection\Security Tools Authentication\Bin\BrowserExt\dpchrome.crx [2014-03-17]
CHR HKLM-x32\...\Chrome\Extension: [ooebklgpfnbcnpokahmdidgbmlcdepkm] - hxxps://clients2.google.com/service/update2/crx
R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\QQPCRtp.exe [297608 2015-09-22] (Tencent)
R1 rsktdi; C:\Windows\system32\drivers\rsktdi.sys [23704 2015-09-22] (Beijing Rising Information Technology Co., Ltd.)
R1 rsutils; C:\Windows\System32\DRIVERS\rsutils.sys [84672 2015-09-23] (Beijing Rising Information Technology Co., Ltd.)
R0 sysmon; C:\Windows\System32\DRIVERS\sysmon.sys [119168 2015-09-22] (Beijing Rising Information Technology Co., Ltd.)
R2 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [88504 2015-09-23] (Tencent)
R2 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernel64.sys [174392 2015-09-22] (Tencent Technology(Shenzhen) Company Limited)
R1 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [87864 2015-09-22] (????)
R3 TS888x64; C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\TS888x64.sys [28984 2015-09-23] (Tencent)
R4 TSCPM; C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\tscpm64.sys [42296 2015-09-22] (????)
R4 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\TSSysKit64.sys [87352 2015-09-22] (????)
R2 QQSysMonX64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16443.223\QQSysMonX64.sys [X]
2015-09-23 12:03 - 2015-09-23 15:56 - 00003328 _____ C:\Windows\System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380}
2015-09-23 12:02 - 2015-09-23 15:55 - 00028984 _____ (Tencent) C:\Windows\SysWOW64\Drivers\TS888x64.sys
2015-09-23 12:01 - 2015-09-23 15:55 - 00015692 _____ C:\Windows\PFRO.log
2015-09-23 12:01 - 2015-09-23 15:55 - 00000392 _____ C:\Windows\setupact.log
2015-09-23 12:01 - 2015-09-23 12:01 - 04986448 _____ C:\Windows\system32\FNTCACHE.DAT
2015-09-23 12:01 - 2015-09-23 12:01 - 00000000 _____ C:\Windows\setuperr.log
2015-09-22 17:16 - 2015-09-22 17:16 - 00023704 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsktdi.sys
2015-09-22 17:16 - 2015-09-22 17:16 - 00000134 _____ C:\Windows\SysWOW64\BsMain.ini
2015-09-22 17:16 - 2015-09-22 17:16 - 00000000 ___RD C:\RavBin
2015-09-22 17:16 - 2015-09-22 17:16 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rising Antivirus
2015-09-22 17:16 - 2015-09-22 17:15 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\vpatch.dll
2015-09-22 17:16 - 2015-09-22 17:03 - 00325400 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\ravext64.dll
2015-09-22 17:16 - 2015-09-22 17:03 - 00256280 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\ravext.dll
2015-09-22 17:16 - 2015-09-22 16:41 - 00041784 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\hvm.sys
2015-09-22 17:16 - 2015-09-22 16:40 - 00240472 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\bsmain.exe
2015-09-22 15:28 - 2015-09-22 15:28 - 00174392 _____ (Tencent Technology(Shenzhen) Company Limited) C:\Windows\system32\Drivers\TAOKernel64.sys
2015-09-22 15:28 - 2015-09-22 15:28 - 00038200 _____ (????) C:\Windows\system32\Drivers\TSSKX64.sys
2015-09-22 15:11 - 2015-09-22 15:11 - 00000000 ____D C:\ProgramData\TXQMPC
2015-09-22 15:08 - 2015-09-22 15:08 - 00067496 _____ C:\Users\Valentine\AppData\Local\GDIPFONTCACHEV1.DAT
2015-09-22 14:45 - 2015-09-22 14:45 - 00000000 ____D C:\ProgramData\KingSoft
2015-09-22 14:44 - 2015-09-23 12:04 - 00084672 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsutils.sys
2015-09-22 14:44 - 2015-09-22 17:16 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rising Software Deployment System
2015-09-22 14:44 - 2015-09-22 16:22 - 00119168 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\sysmon.sys
2015-09-22 14:44 - 2015-09-22 15:28 - 00087864 _____ (????) C:\Windows\system32\Drivers\TFsFltX64.sys
2015-09-22 14:44 - 2015-09-22 14:44 - 00000150 __RSH C:\rising.ini
2015-09-22 14:44 - 2015-09-22 14:44 - 00000000 ____D C:\ProgramData\Rising
2015-09-22 14:44 - 2015-09-22 14:44 - 00000000 ____D C:\Program Files\Common Files\Tencent
2015-09-22 14:44 - 2015-09-22 14:44 - 00000000 ____D C:\Program Files (x86)\Rising
2015-09-22 14:44 - 2012-02-29 09:49 - 00011888 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsndisp.sys
2015-09-22 14:43 - 2015-09-23 16:15 - 00000000 ____D C:\Users\Valentine\AppData\Roaming\Tencent
2015-09-22 14:43 - 2015-09-23 16:10 - 00000000 ____D C:\ProgramData\Tencent


HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\app => valeur supprimé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\RSDTRAY => valeur supprimé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\mbot_fr_014010094 => valeur supprimé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ QQPCTray => valeur impossible à supprimer.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\RavTRAY => valeur impossible à supprimer.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\RsTurboball => valeur supprimé(es) avec succès
Chrome HomePage supprimé(es) avec succès
Chrome StartupUrls supprimé(es) avec succès
Security Tools) - C:\Users\Valentine\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncffjdbbodifgldkcbhmiiljfcnbgjab [2015-09-14] => Erreur: Pas de correction automatique trouvée pour cet élément.
C:\Users\Valentine\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda => déplacé(es) avec succès
C:\Users\Valentine\AppData\Local\Google\Chrome\User Data\Default\Extensions\ooebklgpfnbcnpokahmdidgbmlcdepkm => déplacé(es) avec succès
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ncffjdbbodifgldkcbhmiiljfcnbgjab" => clé supprimé(es) avec succès
C:\Program Files (x86)\Dell\Dell Data Protection\Security Tools Authentication\Bin\BrowserExt\dpchrome.crx => déplacé(es) avec succès
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ooebklgpfnbcnpokahmdidgbmlcdepkm" => clé supprimé(es) avec succès
QQPCRTP => Impossible d'arrêter le service.
QQPCRTP => service impossible à supprimer
rsktdi => Impossible d'arrêter le service.
rsktdi => service supprimé(es) avec succès
rsutils => Impossible d'arrêter le service.
rsutils => service supprimé(es) avec succès
sysmon => Impossible d'arrêter le service.
sysmon => service impossible à supprimer
TAOAccelerator => Impossible d'arrêter le service.
TAOAccelerator => service supprimé(es) avec succès
TAOKernelDriver => Impossible d'arrêter le service.
TAOKernelDriver => service supprimé(es) avec succès
TFsFlt => Impossible d'arrêter le service.
TFsFlt => service impossible à supprimer
TS888x64 => Service arrêté avec succès.
TS888x64 => service supprimé(es) avec succès
TSCPM => Impossible d'arrêter le service.
TSCPM => service supprimé(es) avec succès
TSSysKit => Impossible d'arrêter le service.
TSSysKit => service impossible à supprimer
QQSysMonX64 => Impossible d'arrêter le service.
QQSysMonX64 => service impossible à supprimer
C:\Windows\System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} => déplacé(es) avec succès
C:\Windows\SysWOW64\Drivers\TS888x64.sys => déplacé(es) avec succès
C:\Windows\PFRO.log => déplacé(es) avec succès
C:\Windows\setupact.log => déplacé(es) avec succès
C:\Windows\system32\FNTCACHE.DAT => déplacé(es) avec succès
C:\Windows\setuperr.log => déplacé(es) avec succès
C:\Windows\system32\Drivers\rsktdi.sys => déplacé(es) avec succès
C:\Windows\SysWOW64\BsMain.ini => déplacé(es) avec succès

"C:\RavBin" dossier déplacer:

Impossible de déplacer "C:\RavBin" => Planifié pour déplacement au redémarrage.

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rising Antivirus => déplacé(es) avec succès
C:\Windows\SysWOW64\vpatch.dll => déplacé(es) avec succès
C:\Windows\system32\ravext64.dll => déplacé(es) avec succès
C:\Windows\SysWOW64\ravext.dll => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\system32\Drivers\hvm.sys" => Planifié pour déplacement au redémarrage.
C:\Windows\SysWOW64\bsmain.exe => déplacé(es) avec succès
C:\Windows\system32\Drivers\TAOKernel64.sys => déplacé(es) avec succès
C:\Windows\system32\Drivers\TSSKX64.sys => déplacé(es) avec succès
C:\ProgramData\TXQMPC => déplacé(es) avec succès
C:\Users\Valentine\AppData\Local\GDIPFONTCACHEV1.DAT => déplacé(es) avec succès
C:\ProgramData\KingSoft => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\system32\Drivers\rsutils.sys" => Planifié pour déplacement au redémarrage.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rising Software Deployment System => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\system32\Drivers\sysmon.sys" => Planifié pour déplacement au redémarrage.
Impossible de déplacer "C:\Windows\system32\Drivers\TFsFltX64.sys" => Planifié pour déplacement au redémarrage.
C:\rising.ini => déplacé(es) avec succès

"C:\ProgramData\Rising" dossier déplacer:

Impossible de déplacer "C:\ProgramData\Rising" => Planifié pour déplacement au redémarrage.


"C:\Program Files\Common Files\Tencent" dossier déplacer:

Impossible de déplacer "C:\Program Files\Common Files\Tencent" => Planifié pour déplacement au redémarrage.


"C:\Program Files (x86)\Rising" dossier déplacer:

Impossible de déplacer "C:\Program Files (x86)\Rising" => Planifié pour déplacement au redémarrage.

Impossible de déplacer "C:\Windows\system32\Drivers\rsndisp.sys" => Planifié pour déplacement au redémarrage.
C:\Users\Valentine\AppData\Roaming\Tencent => déplacé(es) avec succès

"C:\ProgramData\Tencent" dossier déplacer:

Impossible de déplacer "C:\ProgramData\Tencent" => Planifié pour déplacement au redémarrage.


Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2015-09-23 17:17:57)<=

C:\RavBin => déplacé(es) avec succès
C:\Windows\system32\Drivers\hvm.sys => déplacé(es) avec succès
C:\Windows\system32\Drivers\rsutils.sys => déplacé(es) avec succès
C:\Windows\system32\Drivers\sysmon.sys => déplacé(es) avec succès
C:\Windows\system32\Drivers\TFsFltX64.sys => déplacé(es) avec succès
C:\ProgramData\Rising => a été déplacé(e) avec succès
"C:\Program Files\Common Files\Tencent" => Impossible de déplacer
C:\Program Files (x86)\Rising => a été déplacé(e) avec succès
C:\Windows\system32\Drivers\rsndisp.sys => déplacé(es) avec succès
"C:\ProgramData\Tencent" => Impossible de déplacer

Fin de Fixlog 17:18:02

0
Valpopp Messages postés 7 Date d'inscription mercredi 23 septembre 2015 Statut Membre Dernière intervention 23 septembre 2015
23 sept. 2015 à 17:39
GENIAL ça a marché en deux sessions de correction !

MERCI mille fois pour votre aide !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 sept. 2015 à 18:06
de rien =)


Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

0