Sujet Précédent Sujet Suivant

Malwares/adwares et OTL

Résolu/Fermé
Lil_Mic - Modifié par Lil_Mic le 19/10/2015 à 20:47
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 23 oct. 2015 à 07:52
Bonjour, après avoir eu un problème de malwares, adwares sur l'ordinateur d'un proche, j'ai lancé adwcleaner, puis OTL pour corriger le problème. Ayant déjà rencontré le problème, adwcleaner a pu rectifier la majorité des problèmes, mais cela ne suffit pas pour nettoyer complètement le système.
J'aurai donc besoin d'un expert pouvant s'il vous plait utiliser le rapport OTL pour générer le code de nettoyage.

J'aurai aimé aussi savoir le site pour uploader le fichier car je l'ai oublié depuis la dernière fois où j'ai demandé de l'aide ici. Merci
A voir également:

9 réponses

Réponse 1 / 9
Lil_Mic
19 oct. 2015 à 20:56
J'ai retrouvé le site en cherchant le tuto de malekal

http://pjjoint.malekal.com/files.php?id=20151019_u6p13p6c13r12
0
Réponse 2 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
19 oct. 2015 à 21:09
Salut,

Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

--
0
Réponse 3 / 9
Lil_Mic
19 oct. 2015 à 21:44
Frst.txt file : http://pjjoint.malekal.com/files.php?id=FRST_20151019_t13q1211v12m13

Shortcut.txt file : http://pjjoint.malekal.com/files.php?id=20151019_q11h5q12t15q8

Addition.txt file : http://pjjoint.malekal.com/files.php?id=20151019_u121414j11o8
0
Réponse 4 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 19/10/2015 à 23:10
y a les merdouilles bsdriver etc.


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


HKLM\...\Run: [SpaceSoundPro] => C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe
R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2015-10-19] ()
2015-10-19 16:17 - 2015-10-19 20:15 - 00000000 ____D C:\Users\ghislaine\Documents\KHAOSOptimizerPro
2015-10-19 16:17 - 2015-10-19 16:17 - 00003346 _____ C:\WINDOWS\System32\Tasks\KHAOSOptimizerPro_Start
2015-10-19 16:17 - 2015-10-19 16:17 - 00000000 ____D C:\Users\ghislaine\AppData\Local\KHAOS_Optimizer_Pro
2015-10-19 03:55 - 2015-10-19 03:55 - 00000000 ____D C:\Users\ghislaine\AppData\Local\2754
2015-10-19 03:50 - 2015-10-19 16:07 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-10-19 03:36 - 2015-10-19 03:36 - 00034720 _____ () C:\WINDOWS\system32\Drivers\bsdriver.sys
2015-10-19 03:33 - 2015-10-19 20:09 - 00004808 _____ C:\WINDOWS\SysWOW64\Sahafavri.ini
2015-10-19 03:33 - 2015-10-19 20:09 - 00002520 _____ C:\WINDOWS\SysWOW64\SahafavriOff.ini
2015-10-19 03:33 - 2015-10-19 20:09 - 00002520 _____ C:\WINDOWS\system32\SahafavriOff.ini
2015-10-19 03:33 - 2015-10-19 03:33 - 00000000 ____D C:\Users\ghislaine\AppData\Local\Tempfolder
2015-10-19 03:32 - 2015-10-19 20:11 - 00000000 ____D C:\Program Files\shopperz191020150426
2015-10-19 03:32 - 2015-10-19 03:32 - 00003720 _____ C:\WINDOWS\System32\Tasks\Goxacif
2015-10-19 03:32 - 2015-10-19 03:32 - 00000045 _____ C:\user.js
2015-10-19 03:32 - 2015-10-19 03:32 - 00000000 ____D C:\Users\ghislaine\AppData\LocalLow\Company
2015-10-19 03:32 - 2015-09-24 11:46 - 00056736 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\cherimoya.sys
2015-10-19 03:16 - 2015-10-19 03:16 - 00000451 _____ C:\WINDOWS\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat
2015-10-19 01:09 - 2015-10-19 03:19 - 00000000 ____D C:\Program Files (x86)\Software
2015-10-19 01:06 - 2012-07-26 07:26 - 00000824 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2015-10-19 01:02 - 2015-10-19 09:27 - 00000000 ___HD C:\ProgramData\sxh
2015-10-19 00:58 - 2015-10-19 00:59 - 00631808 _____ C:\WINDOWS\sxh.dat
2015-10-19 00:07 - 2015-10-19 20:02 - 00000004 _____ C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
HKU\S-1-5-21-640280773-3183331956-2157503563-1002\...\Run: [GoogleChromeAutoLaunch_9CB8C4F0E2661889207710B4610173F2] => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe --no-startup-window
HKU\S-1-5-21-640280773-3183331956-2157503563-1002\...\Run: [GoogleChromeAutoLaunch_7A2F73C750F8F40ABAB2EC68EDC00491] => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe --no-startup-window

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Fais un nettoyage ZHPCleaner.


Refais un scan FRST et donne les rapports via pjjoint.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
Lil_Mic
19 oct. 2015 à 23:04
Frst.txt file : http://pjjoint.malekal.com/files.php?id=FRST_20151019_z15p5h6f9q15

Shortcut.txt file : http://pjjoint.malekal.com/files.php?id=20151019_b11j14n9g8v15

Addition.txt file : http://pjjoint.malekal.com/files.php?id=20151019_v12e14m10i13t12
0
Réponse 6 / 9
Lil_Mic
19 oct. 2015 à 23:05
J'ai essayé de lancer ZHPCleaner, a chaque fois cela me renvoyait sur le site du créateur
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
19 oct. 2015 à 23:12
oui faut faire download ensuite.

Par contre, j'ai pas l'impression que tu as fait la correction FRST.
0
Réponse 7 / 9
Lil_Mic
19 oct. 2015 à 23:24
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:18-10-2015
Exécuté par ghislaine (2015-10-19 23:15:35) Run:2
Exécuté depuis C:\Users\ghislaine\Desktop
Profils chargés: UpdatusUser & ghislaine (Profils disponibles: UpdatusUser & ghislaine)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

HKLM\...\Run: [SpaceSoundPro] => C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe
R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2015-10-19] ()
2015-10-19 16:17 - 2015-10-19 20:15 - 00000000 ____D C:\Users\ghislaine\Documents\KHAOSOptimizerPro
2015-10-19 16:17 - 2015-10-19 16:17 - 00003346 _____ C:\WINDOWS\System32\Tasks\KHAOSOptimizerPro_Start
2015-10-19 16:17 - 2015-10-19 16:17 - 00000000 ____D C:\Users\ghislaine\AppData\Local\KHAOS_Optimizer_Pro
2015-10-19 03:55 - 2015-10-19 03:55 - 00000000 ____D C:\Users\ghislaine\AppData\Local\2754
2015-10-19 03:50 - 2015-10-19 16:07 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-10-19 03:36 - 2015-10-19 03:36 - 00034720 _____ () C:\WINDOWS\system32\Drivers\bsdriver.sys
2015-10-19 03:33 - 2015-10-19 20:09 - 00004808 _____ C:\WINDOWS\SysWOW64\Sahafavri.ini
2015-10-19 03:33 - 2015-10-19 20:09 - 00002520 _____ C:\WINDOWS\SysWOW64\SahafavriOff.ini
2015-10-19 03:33 - 2015-10-19 20:09 - 00002520 _____ C:\WINDOWS\system32\SahafavriOff.ini
2015-10-19 03:33 - 2015-10-19 03:33 - 00000000 ____D C:\Users\ghislaine\AppData\Local\Tempfolder
2015-10-19 03:32 - 2015-10-19 20:11 - 00000000 ____D C:\Program Files\shopperz191020150426
2015-10-19 03:32 - 2015-10-19 03:32 - 00003720 _____ C:\WINDOWS\System32\Tasks\Goxacif
2015-10-19 03:32 - 2015-10-19 03:32 - 00000045 _____ C:\user.js
2015-10-19 03:32 - 2015-10-19 03:32 - 00000000 ____D C:\Users\ghislaine\AppData\LocalLow\Company
2015-10-19 03:32 - 2015-09-24 11:46 - 00056736 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\cherimoya.sys
2015-10-19 03:16 - 2015-10-19 03:16 - 00000451 _____ C:\WINDOWS\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat
2015-10-19 01:09 - 2015-10-19 03:19 - 00000000 ____D C:\Program Files (x86)\Software
2015-10-19 01:06 - 2012-07-26 07:26 - 00000824 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2015-10-19 01:02 - 2015-10-19 09:27 - 00000000 ___HD C:\ProgramData\sxh
2015-10-19 00:58 - 2015-10-19 00:59 - 00631808 _____ C:\WINDOWS\sxh.dat
2015-10-19 00:07 - 2015-10-19 20:02 - 00000004 _____ C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
HKU\S-1-5-21-640280773-3183331956-2157503563-1002\...\Run: [GoogleChromeAutoLaunch_9CB8C4F0E2661889207710B4610173F2] => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe --no-startup-window
HKU\S-1-5-21-640280773-3183331956-2157503563-1002\...\Run: [GoogleChromeAutoLaunch_7A2F73C750F8F40ABAB2EC68EDC00491] => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe --no-startup-window


HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\SpaceSoundPro => valeur non trouvé(e).
bsdriver => Impossible d'arrêter le service.
bsdriver => service impossible à supprimer
"C:\Users\ghislaine\Documents\KHAOSOptimizerPro" => non trouvé(e).
"C:\WINDOWS\System32\Tasks\KHAOSOptimizerPro_Start" => non trouvé(e).
"C:\Users\ghislaine\AppData\Local\KHAOS_Optimizer_Pro" => non trouvé(e).
"C:\Users\ghislaine\AppData\Local\2754" => non trouvé(e).
"C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat" => non trouvé(e).
Impossible de déplacer "C:\WINDOWS\system32\Drivers\bsdriver.sys" => Planifié pour déplacement au redémarrage.
"C:\WINDOWS\SysWOW64\Sahafavri.ini" => non trouvé(e).
"C:\WINDOWS\SysWOW64\SahafavriOff.ini" => non trouvé(e).
"C:\WINDOWS\system32\SahafavriOff.ini" => non trouvé(e).
"C:\Users\ghislaine\AppData\Local\Tempfolder" => non trouvé(e).
"C:\Program Files\shopperz191020150426" => non trouvé(e).
"C:\WINDOWS\System32\Tasks\Goxacif" => non trouvé(e).
"C:\user.js" => non trouvé(e).
"C:\Users\ghislaine\AppData\LocalLow\Company" => non trouvé(e).
Impossible de déplacer "C:\WINDOWS\system32\Drivers\cherimoya.sys" => Planifié pour déplacement au redémarrage.
"C:\WINDOWS\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat" => non trouvé(e).
"C:\Program Files (x86)\Software" => non trouvé(e).
"C:\WINDOWS\system32\Drivers\etc\hp.bak" => non trouvé(e).
"C:\ProgramData\sxh" => non trouvé(e).
"C:\WINDOWS\sxh.dat" => non trouvé(e).
"C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7" => non trouvé(e).
HKU\S-1-5-21-640280773-3183331956-2157503563-1002\Software\Microsoft\Windows\CurrentVersion\Run\\GoogleChromeAutoLaunch_9CB8C4F0E2661889207710B4610173F2 => valeur non trouvé(e).
HKU\S-1-5-21-640280773-3183331956-2157503563-1002\Software\Microsoft\Windows\CurrentVersion\Run\\GoogleChromeAutoLaunch_7A2F73C750F8F40ABAB2EC68EDC00491 => valeur non trouvé(e).

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2015-10-19 23:22:43)

"C:\WINDOWS\system32\Drivers\bsdriver.sys" => Impossible de déplacer
"C:\WINDOWS\system32\Drivers\cherimoya.sys" => Impossible de déplacer

Fin de Fixlog 23:22:43

j'ai relancé la correction, voilà le fixlog
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
20 oct. 2015 à 08:46
Tu as pu faire ZHPCleaner ?
0
Réponse 8 / 9
Lil_Mic
22 oct. 2015 à 18:46
Salut malekal_morte, désolé du silence. J'ai donc pu installer ZHPCleaner, voici le rapport:

http://pjjoint.malekal.com/files.php?id=20151022_r11v9d11i7t9

Je précise que je n'ai du coup pas encore lancé encore le nettoyage avec ZHP.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
22 oct. 2015 à 19:18
Lance le nettoyage et refais un scan FRST.
Donne les rapports via pjjint.
0
Lil_Mic
22 oct. 2015 à 19:47
Frst.txt file : http://pjjoint.malekal.com/files.php?id=FRST_20151022_i7w14r6g14g9

Shortcut.txt file : http://pjjoint.malekal.com/files.php?id=20151022_q13w7f6q15x6

Addition.txt file : http://pjjoint.malekal.com/files.php?id=20151022_z10l15k5f13m8

J'ai l'impression que les problèmes restants ont été résolu par ZHP
0
Réponse 9 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 22/10/2015 à 19:58
Sans surprise, bsdriver.sys est encore là.

Je pense que tu vas être obligé de passer par un CD Live.
Clic sur le lien ci-dessous et boot sur le CD Live Malekal
Supprime : C:\WINDOWS\system32\drivers\bsdriver.sys

Si trop compliqué, il est aussi possible de le faire depuis le DVD de Windows 10, tu as ça ?

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Lil_Mic
22 oct. 2015 à 20:25
Non je n'ai pas le CD Windows 10 mais j'ai survolé la manip depuis votre CD, je pense pouvoir y arriver. Je le ferait ce weekend, merci pour votre aide.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Lil_Mic
23 oct. 2015 à 07:52
ok, le problème c'est le démarrage sur le DVD, des fois, c'est un peu récalcitrant :(
espérons que ça passe sans encombre.
0

Discussions similaires

Problèmes SSL et Malwares?
Lecomen -
Lecomen -

17 réponses
Infection malwares
Vince -
Malekal_morte- -

10 réponses
Supprimer Adwares et publicités indésirables sur Mac OS
baissaoui -
baissaoui -

0 réponse
Malwares sur mac OSX 10.9.5 ?
anic31410 -
anic31410 -

2 réponses
MalwareByte Anti-Malwares Bloque démarrage pc
Loanly -
Loanly -

3 réponses