Virus albireo

manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention   -  
manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour, je galere egalement avec le virus albireo j ai suivi la procedure malekal.

voici le rapport adcleaner :
https://pjjoint.malekal.com/files.php?id=20160420_n11t11t11x1015

rapport frst :
https://pjjoint.malekal.com/files.php?id=FRST_20160420_p5p13m10m6v9

rapport schortcut :
https://pjjoint.malekal.com/files.php?id=20160420_j11r8i10l15i7

rapport addition :
https://pjjoint.malekal.com/files.php?id=20160420_e9v12v13e10j15

J'espere vraiment que vous pourrez me dépanner. merci

(lien corrigé par la modération)
A voir également:

12 réponses

Réponse 1 / 12
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Je regarde cela.
0
manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention  
 
génial merci !
0
Réponse 2 / 12
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
y a du boulot.


1°)

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
 Task: {E95707ED-12D7-4680-A36D-6E153FA5575F} - System32\Tasks\one3025 => C:\Program Files (x86)\QuickSearch\one3025.exe <==== ATTENTION
Task: {EADCE45D-E09F-4F03-9823-9EDB20ACBB8E} - System32\Tasks\Redywo => C:\PROGRA~1\Ekeh\Uosietta.bat <==== ATTENTION
Task: {1C7B1539-8A09-488F-B69F-01BDA57CEF02} - System32\Tasks\FYNSSSXRIRWXDJAN => C:\ProgramData\Service1104\Service1104.exe <==== ATTENTION
Task: {54850765-0C83-4C25-985B-055377B3990B} - System32\Tasks\Clcegh Manager => C:\Program Files (x86)\Clcegh\clcmanagertsk.exe
Task: {B227F583-D0A1-40E1-8FE0-299A5289D119} - System32\Tasks\Pawov => C:\PROGRA~1\PAAPSU~1\Taiyvf.bat <==== ATTENTION
Task: {DC0DC2C7-2AC5-42E7-A5D8-2FAA314A7998} - System32\Tasks\Ariqockatidge Agent => Rundll32.exe "C:\Program Files (x86)\Ariqockatidge\AriqockatidgeAgn.dll",w
HKLM-x32\...\Run: [mbot_en_037050302] => [X] 
HKLM-x32\...\Run: [mpck_en_005030302] => [X] 
HKLM-x32\...\Run: [rec_fr_258] => [X] 
 S2 clcmanagersrv; C:\Program Files (x86)\Clcegh\clcmanagersrv.exe {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X] 
 S2 Tiuauh; C:\Users\Emmanuel\AppData\Roaming\VypiwGyp\Wivmor.exe -cms [X] 
 R2 Fiobfe; C:\Users\Emmanuel\AppData\Roaming\Givpelpa\Givpelpa.exe [174424 2016-04-17] () 
 R2 Kufhuo; C:\Users\Emmanuel\AppData\Roaming\Tueasjey\Tueasjey.exe [174416 2016-04-17] () 
 R2 Oluia; C:\Users\Emmanuel\AppData\Roaming\TeadmeMeapvo\Wypbo.exe [125784 2016-04-17] () 
  R2 zdwfp; C:\Windows\system32\Drivers\zdwfp64.sys [46352 2016-03-04] (zdengine)  
   R3 NETJME; C:\Windows\System32\drivers\NETJME.sys [137728 2015-10-30] (JMicron Technology Corp.)  
    2016-04-20 14:29 - 2016-04-20 14:29 - 00000000 ____D C:\Windows\system32\aui 
 2016-04-20 13:13 - 2016-04-20 13:13 - 00000000 ____D C:\Windows\system32\canu 
 2016-04-20 12:44 - 2016-04-20 12:44 - 00000000 ____D C:\Windows\system32\gang 
 2016-04-20 11:48 - 2016-04-20 11:48 - 00000000 ____D C:\Windows\system32\sat 
 2016-04-20 11:35 - 2016-04-20 11:35 - 01622528 _____ C:\Users\Emmanuel\Downloads\ResetBrowser.exe  
 2016-04-20 10:34 - 2016-04-20 10:34 - 00000000 ____D C:\Windows\system32\zibl 
 2016-04-20 09:59 - 2016-04-20 09:59 - 00000000 ____D C:\Windows\system32\pokg 
 2016-04-20 09:31 - 2016-04-20 09:31 - 00000000 ____D C:\Windows\system32\eef 
 2016-04-20 09:17 - 2016-04-20 18:03 - 00000000 ___RD C:\Users\Emmanuel\Creative Cloud Files 
 2016-04-20 09:14 - 2016-04-20 09:14 - 00000000 ____D C:\Windows\system32\iwe 
 2016-04-20 08:59 - 2016-04-20 17:55 - 00000000 ____D C:\AdwCleaner  
 2016-04-20 08:58 - 2016-04-20 08:59 - 03683904 _____ C:\Users\Emmanuel\Downloads\adwcleaner_5.112(1).exe 
 2016-04-20 08:58 - 2016-04-20 08:58 - 03683904 _____ C:\Users\Emmanuel\Downloads\adwcleaner_5.112.exe 
 2016-04-20 08:41 - 2016-04-20 08:41 - 00000000 ____D C:\Windows\system32\nal 
 2016-04-20 08:37 - 2016-04-20 08:37 - 00000000 ____D C:\Users\Emmanuel\AppData\Roaming\MCorp 
 2016-04-20 08:36 - 2016-03-04 16:13 - 00046352 _____ (zdengine) C:\Windows\system32\Drivers\zdwfp64.sys  
 2016-04-20 08:30 - 2016-04-20 08:30 - 00000000 ____D C:\Windows\system32\mun 
 2016-04-20 08:21 - 2016-04-20 08:24 - 00000000 ____D C:\Users\Emmanuel\AppData\Local\app 
 2016-04-20 08:20 - 2016-04-20 08:20 - 00003420 _____ C:\Windows\System32\Tasks\Redywo 
 2016-04-20 08:20 - 2016-04-20 08:20 - 00002044 _____ C:\Windows\System32\Tasks\one3025 
 2016-04-20 08:20 - 2016-04-20 08:20 - 00000000 ____H C:\Windows\system32\BIT4CB3.tmp  
 2016-04-20 08:20 - 2016-04-20 08:20 - 00000000 ____D C:\Users\Emmanuel\AppData\Roaming\Tueasjey 
 2016-04-20 08:19 - 2016-04-20 18:02 - 00000380 ____H C:\Windows\Tasks\FYNSSSXRIRWXDJAN.job 
 2016-04-20 08:19 - 2016-04-20 08:19 - 00003462 _____ C:\Windows\System32\Tasks\FYNSSSXRIRWXDJAN 
 2016-04-20 08:19 - 2016-04-20 08:19 - 00000000 ____D C:\ProgramData\19a87fa1ec024bbcbb41931263354405  
 2016-04-20 08:18 - 2016-04-20 08:20 - 00000000 ____D C:\Users\Emmanuel\AppData\Local\Tempfolder 
 2016-04-20 08:18 - 2016-04-20 08:18 - 00034720 _____ () C:\Windows\system32\Drivers\bsdriver.sys  
 2016-04-20 08:18 - 2016-04-20 08:18 - 00003422 _____ C:\Windows\System32\Tasks\Pawov 
 2016-04-20 08:18 - 2016-04-20 08:18 - 00000000 ____D C:\Users\Emmanuel\AppData\Roaming\TeadmeMeapvo 
 2016-04-20 08:18 - 2016-04-20 08:18 - 00000000 ____D C:\Users\Emmanuel\AppData\Roaming\Givpelpa 
 2016-04-20 08:18 - 2016-04-20 08:18 - 00000000 ____D C:\Users\Emmanuel\AppData\LocalLow\Company 
 2016-04-20 08:16 - 2016-04-20 08:17 - 00000000 ____D C:\Users\Emmanuel\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 
 2016-04-20 08:16 - 2016-04-20 08:16 - 00008908 _____ C:\Windows\System32\Tasks\Clcegh Manager 
 2016-04-20 08:16 - 2016-04-20 08:16 - 00008876 _____ C:\Windows\System32\Tasks\Ariqockatidge Agent 
 2016-04-20 08:16 - 2016-04-20 08:14 - 00002206 _____ C:\Windows\system32\Drivers\etc\hp.bak  
hosts:
 Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2°)

Passe RepairDNS.
Donne le rapport ici.


3°)
MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.




Veuillez appuyer sur une touche pour continuer la désinfection...
0
manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention  
 
voici le rapport dns :
~ RepairDNS v2016.3.24.1 Nicolas Coolman (2016/03/24)
~ Run by Emmanuel (Administrator) (2016/04/20 19:52:38)
~ Site : https://nicolascoolman.eu
~ Windows 10 Home,X64 (Build 10586)

=======[ Microsoft Windows Defender Service ]
Le service est arrêté

=======[ Recherche des ressources dynamiques 32/64bits (DLL) ]
TROUVÉ: C:\Windows\System32\dnsapi.dll [686976] =>Hijacker.DNS.Hosts
TROUVÉ: C:\Windows\SysWOW64\dnsapi.dll [535080] =>Hijacker.DNS.Hosts

=======[ Recherche de copie de ressource dynamique ]
TROUVÉ: C:\Windows\winsxs\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_0d0987cfb6756063\dnsapi.dll [535080] Microsoft Windows® =>Sain
TROUVÉ: C:\Windows\winsxs\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_2c65f66b01dd8f12\dnsapi.dll [17780] =>Hijacker.DNS.Hosts
TROUVÉ: C:\Windows\winsxs\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_02b4dd7d82149e68\dnsapi.dll [686976] Microsoft Windows® =>Sain
TROUVÉ: C:\Windows\winsxs\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_22114c18cd7ccd17\dnsapi.dll [10782] =>Hijacker.DNS.Hosts

=======[ Sélection de copie de ressource (Saine ---> Infectée) ]
EQUIV: [686976] C:\Windows\winsxs\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_02b4dd7d82149e68\dnsapi.dll --> C:\Windows\System32\dnsapi.dll
EQUIV: [535080] C:\Windows\winsxs\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_0d0987cfb6756063\dnsapi.dll --> C:\Windows\SysWOW64\dnsapi.dll

=======[ Ressource désenregistrée ]
DESENREGISTRÉ: C:\Windows\System32\dnsapi.dll
DESENREGISTRÉ: C:\Windows\SysWOW64\dnsapi.dll

=======[ Reparation de la ressource dynamique (32/64Bits) ]
REPARÉ: C:\Windows\System32\dnsapi.dll WITH C:\Windows\winsxs\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_02b4dd7d82149e68\dnsapi.dll

=======[ Ressource enregistrée ]
ENREGISTRÉ: C:\Windows\System32\dnsapi.dll
ENREGISTRÉ: C:\Windows\SysWOW64\dnsapi.dll

=======[ Vérification de la nouvelle ressource ]
TROUVÉ: C:\Windows\System32\dnsapi.dll [686976] =>Désintecté
TROUVÉ: C:\Windows\SysWOW64\dnsapi.dll [535080] =>Hijacker.DNS.Hosts

=======[ Veuillez redémarrer votre ordinateur ]

=======[ Fin de traitement ]
0
Réponse 3 / 12
manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention  
 
j ai bien fait " copier dans le presse papier" le rapport malwarebytes ou dois le coller , car tu me demande de joindre un fichier sur ton lien ? c est bien ecrit qu on peut copier dans le champs tout en bars , mais je ne le vois pas ?
0
Réponse 4 / 12
manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention  
 
bon j ai reussi copier le rapport malware et voici le lien. j'espere que c est bon :

https://pjjoint.malekal.com/files.php?id=20160420_y13n8o13r15c14
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention  
 
Bon Il y a du progrès déjà. Adblock refonctionne, et Albireo semble avoir disparu; j'attend la suite de la procédure pour finaliser la réparation..; Déjà merci Malekal morte !
0
Réponse 6 / 12
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ok =)

refais un scan FRST et donne les rapports pour contrôler les restes =)
0
Réponse 7 / 12
manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention  
 
https://pjjoint.malekal.com/files.php?id=FRST_20160421_l14e6m10i7q11

https://pjjoint.malekal.com/files.php?id=20160421_y6o5y9j10j11
0
Réponse 8 / 12
manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention  
 
je ne suis pas certain d'avoir copier les bons rapports dans mon message précédents, ce sont peut être ceux ci :

https://pjjoint.malekal.com/files.php?id=FRST_20160421_t15s9w10i14h13

https://pjjoint.malekal.com/files.php?id=20160421_109r9q14b10

https://pjjoint.malekal.com/files.php?id=20160421_j12l12l5n13q9

PS: si albireo semble avoir disparu. reste que le problème " searching com" persiste quand j ouvre google chrome ou mozilla...malgré les procédures de paramétrage des navigateurs.
0
Réponse 9 / 12
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
oui j'ai vu pour www-searching.
Fais ceci :

Réinitialise manuellement tes navigateurs :

Passe un coup de zoek aussi, ça ne fera pas de mal.

Télécharge ce fichier :
http://www.malekal.com/fichiers_systeme/file/dnsapi_win10.dll
mets le dans C:\Windows\SysWOW64 et pas ailleurs (surtout pas system32).
Redémarre l'ordinateur, refais un scan FRST et donne les liens.
0
Réponse 10 / 12
manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention  
 
analyse zoek toujours en cours...
derniere ligne : Firefox Extensions 11:48:27,51

Ca analyse toujours ?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ferme le =)
0
Réponse 11 / 12
manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention  
 
ok
0
Réponse 12 / 12
manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention  
 
bon ... il me dit en anglais que je suis une tete de mule et qu il faut le laisser travailler et il me dira quoi faire quand ca sera fini.. du coup il a reouvert la fenetre comme précedemment ..
0
manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention  
 
zoek n'a toujours pas évolué....
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention  
 
tue le processus alors.
(CTRL+ALT+Suppr => gestonnaire de tâches et fin de tâches sur zoek)
0
manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention  
 
ok c'est fait
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ok fais la suite avec la DLL.
Si tu as encore www-searching en page de démarrage, vérifie la configuration de la page de démarrage.
Normalement la réinitialisation manuellement devrait tout remettre par défaut.
0
manu29870 Messages postés 24 Date d'inscription   Statut Membre Dernière intervention  
 
nouveaux rapports :

https://pjjoint.malekal.com/files.php?id=FRST_20160421_r14j7x11h8i7

https://pjjoint.malekal.com/files.php?id=20160421_u13u10t8i15o13

https://pjjoint.malekal.com/files.php?id=20160421_h14n7z15q11n11

PS : searching com toujours actif quand j ouvre une nouvelle page web
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
message de postmaster incessant !
wasap -
wasap -

9 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses