Virus albireo

manu29870 Messages postés 24 Statut Membre -  
manu29870 Messages postés 24 Statut Membre -
Bonjour, je galere egalement avec le virus albireo j ai suivi la procedure malekal.

voici le rapport adcleaner :
https://pjjoint.malekal.com/files.php?id=20160420_n11t11t11x1015

rapport frst :
https://pjjoint.malekal.com/files.php?id=FRST_20160420_p5p13m10m6v9

rapport schortcut :
https://pjjoint.malekal.com/files.php?id=20160420_j11r8i10l15i7

rapport addition :
https://pjjoint.malekal.com/files.php?id=20160420_e9v12v13e10j15

J'espere vraiment que vous pourrez me dépanner. merci

(lien corrigé par la modération)

12 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Je regarde cela.
    0
    1. manu29870 Messages postés 24 Statut Membre
       
      génial merci !
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    y a du boulot.

    1°)

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:
    Task: {E95707ED-12D7-4680-A36D-6E153FA5575F} - System32\Tasks\one3025 => C:\Program Files (x86)\QuickSearch\one3025.exe <==== ATTENTION
    Task: {EADCE45D-E09F-4F03-9823-9EDB20ACBB8E} - System32\Tasks\Redywo => C:\PROGRA~1\Ekeh\Uosietta.bat <==== ATTENTION
    Task: {1C7B1539-8A09-488F-B69F-01BDA57CEF02} - System32\Tasks\FYNSSSXRIRWXDJAN => C:\ProgramData\Service1104\Service1104.exe <==== ATTENTION
    Task: {54850765-0C83-4C25-985B-055377B3990B} - System32\Tasks\Clcegh Manager => C:\Program Files (x86)\Clcegh\clcmanagertsk.exe
    Task: {B227F583-D0A1-40E1-8FE0-299A5289D119} - System32\Tasks\Pawov => C:\PROGRA~1\PAAPSU~1\Taiyvf.bat <==== ATTENTION
    Task: {DC0DC2C7-2AC5-42E7-A5D8-2FAA314A7998} - System32\Tasks\Ariqockatidge Agent => Rundll32.exe "C:\Program Files (x86)\Ariqockatidge\AriqockatidgeAgn.dll",w
    HKLM-x32\...\Run: [mbot_en_037050302] => [X]
    HKLM-x32\...\Run: [mpck_en_005030302] => [X]
    HKLM-x32\...\Run: [rec_fr_258] => [X]
    S2 clcmanagersrv; C:\Program Files (x86)\Clcegh\clcmanagersrv.exe {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X]
    S2 Tiuauh; C:\Users\Emmanuel\AppData\Roaming\VypiwGyp\Wivmor.exe -cms [X]
    R2 Fiobfe; C:\Users\Emmanuel\AppData\Roaming\Givpelpa\Givpelpa.exe [174424 2016-04-17] ()
    R2 Kufhuo; C:\Users\Emmanuel\AppData\Roaming\Tueasjey\Tueasjey.exe [174416 2016-04-17] ()
    R2 Oluia; C:\Users\Emmanuel\AppData\Roaming\TeadmeMeapvo\Wypbo.exe [125784 2016-04-17] ()
    R2 zdwfp; C:\Windows\system32\Drivers\zdwfp64.sys [46352 2016-03-04] (zdengine)
    R3 NETJME; C:\Windows\System32\drivers\NETJME.sys [137728 2015-10-30] (JMicron Technology Corp.)
    2016-04-20 14:29 - 2016-04-20 14:29 - 00000000 ____D C:\Windows\system32\aui
    2016-04-20 13:13 - 2016-04-20 13:13 - 00000000 ____D C:\Windows\system32\canu
    2016-04-20 12:44 - 2016-04-20 12:44 - 00000000 ____D C:\Windows\system32\gang
    2016-04-20 11:48 - 2016-04-20 11:48 - 00000000 ____D C:\Windows\system32\sat
    2016-04-20 11:35 - 2016-04-20 11:35 - 01622528 _____ C:\Users\Emmanuel\Downloads\ResetBrowser.exe
    2016-04-20 10:34 - 2016-04-20 10:34 - 00000000 ____D C:\Windows\system32\zibl
    2016-04-20 09:59 - 2016-04-20 09:59 - 00000000 ____D C:\Windows\system32\pokg
    2016-04-20 09:31 - 2016-04-20 09:31 - 00000000 ____D C:\Windows\system32\eef
    2016-04-20 09:17 - 2016-04-20 18:03 - 00000000 ___RD C:\Users\Emmanuel\Creative Cloud Files
    2016-04-20 09:14 - 2016-04-20 09:14 - 00000000 ____D C:\Windows\system32\iwe
    2016-04-20 08:59 - 2016-04-20 17:55 - 00000000 ____D C:\AdwCleaner
    2016-04-20 08:58 - 2016-04-20 08:59 - 03683904 _____ C:\Users\Emmanuel\Downloads\adwcleaner_5.112(1).exe
    2016-04-20 08:58 - 2016-04-20 08:58 - 03683904 _____ C:\Users\Emmanuel\Downloads\adwcleaner_5.112.exe
    2016-04-20 08:41 - 2016-04-20 08:41 - 00000000 ____D C:\Windows\system32\nal
    2016-04-20 08:37 - 2016-04-20 08:37 - 00000000 ____D C:\Users\Emmanuel\AppData\Roaming\MCorp
    2016-04-20 08:36 - 2016-03-04 16:13 - 00046352 _____ (zdengine) C:\Windows\system32\Drivers\zdwfp64.sys
    2016-04-20 08:30 - 2016-04-20 08:30 - 00000000 ____D C:\Windows\system32\mun
    2016-04-20 08:21 - 2016-04-20 08:24 - 00000000 ____D C:\Users\Emmanuel\AppData\Local\app
    2016-04-20 08:20 - 2016-04-20 08:20 - 00003420 _____ C:\Windows\System32\Tasks\Redywo
    2016-04-20 08:20 - 2016-04-20 08:20 - 00002044 _____ C:\Windows\System32\Tasks\one3025
    2016-04-20 08:20 - 2016-04-20 08:20 - 00000000 ____H C:\Windows\system32\BIT4CB3.tmp
    2016-04-20 08:20 - 2016-04-20 08:20 - 00000000 ____D C:\Users\Emmanuel\AppData\Roaming\Tueasjey
    2016-04-20 08:19 - 2016-04-20 18:02 - 00000380 ____H C:\Windows\Tasks\FYNSSSXRIRWXDJAN.job
    2016-04-20 08:19 - 2016-04-20 08:19 - 00003462 _____ C:\Windows\System32\Tasks\FYNSSSXRIRWXDJAN
    2016-04-20 08:19 - 2016-04-20 08:19 - 00000000 ____D C:\ProgramData\19a87fa1ec024bbcbb41931263354405
    2016-04-20 08:18 - 2016-04-20 08:20 - 00000000 ____D C:\Users\Emmanuel\AppData\Local\Tempfolder
    2016-04-20 08:18 - 2016-04-20 08:18 - 00034720 _____ () C:\Windows\system32\Drivers\bsdriver.sys
    2016-04-20 08:18 - 2016-04-20 08:18 - 00003422 _____ C:\Windows\System32\Tasks\Pawov
    2016-04-20 08:18 - 2016-04-20 08:18 - 00000000 ____D C:\Users\Emmanuel\AppData\Roaming\TeadmeMeapvo
    2016-04-20 08:18 - 2016-04-20 08:18 - 00000000 ____D C:\Users\Emmanuel\AppData\Roaming\Givpelpa
    2016-04-20 08:18 - 2016-04-20 08:18 - 00000000 ____D C:\Users\Emmanuel\AppData\LocalLow\Company
    2016-04-20 08:16 - 2016-04-20 08:17 - 00000000 ____D C:\Users\Emmanuel\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
    2016-04-20 08:16 - 2016-04-20 08:16 - 00008908 _____ C:\Windows\System32\Tasks\Clcegh Manager
    2016-04-20 08:16 - 2016-04-20 08:16 - 00008876 _____ C:\Windows\System32\Tasks\Ariqockatidge Agent
    2016-04-20 08:16 - 2016-04-20 08:14 - 00002206 _____ C:\Windows\system32\Drivers\etc\hp.bak
    hosts:
    Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    2°)

    Passe RepairDNS.
    Donne le rapport ici.

    3°)
    MalwareBytes ( durée : environ 40min de scan ):
    ==================================================
    Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :

    Mettre MBAM à jour puis lancer un examen.
    A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
    Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
    Vas chercher le rapport dans l'onglet "Historique".

    A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    0
    1. manu29870 Messages postés 24 Statut Membre
       
      voici le rapport dns :
      ~ RepairDNS v2016.3.24.1 Nicolas Coolman (2016/03/24)
      ~ Run by Emmanuel (Administrator) (2016/04/20 19:52:38)
      ~ Site : https://nicolascoolman.eu
      ~ Windows 10 Home,X64 (Build 10586)

      =======[ Microsoft Windows Defender Service ]
      Le service est arrêté

      =======[ Recherche des ressources dynamiques 32/64bits (DLL) ]
      TROUVÉ: C:\Windows\System32\dnsapi.dll [686976] =>Hijacker.DNS.Hosts
      TROUVÉ: C:\Windows\SysWOW64\dnsapi.dll [535080] =>Hijacker.DNS.Hosts

      =======[ Recherche de copie de ressource dynamique ]
      TROUVÉ: C:\Windows\winsxs\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_0d0987cfb6756063\dnsapi.dll [535080] Microsoft Windows® =>Sain
      TROUVÉ: C:\Windows\winsxs\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_2c65f66b01dd8f12\dnsapi.dll [17780] =>Hijacker.DNS.Hosts
      TROUVÉ: C:\Windows\winsxs\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_02b4dd7d82149e68\dnsapi.dll [686976] Microsoft Windows® =>Sain
      TROUVÉ: C:\Windows\winsxs\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_22114c18cd7ccd17\dnsapi.dll [10782] =>Hijacker.DNS.Hosts

      =======[ Sélection de copie de ressource (Saine ---> Infectée) ]
      EQUIV: [686976] C:\Windows\winsxs\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_02b4dd7d82149e68\dnsapi.dll --> C:\Windows\System32\dnsapi.dll
      EQUIV: [535080] C:\Windows\winsxs\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_0d0987cfb6756063\dnsapi.dll --> C:\Windows\SysWOW64\dnsapi.dll

      =======[ Ressource désenregistrée ]
      DESENREGISTRÉ: C:\Windows\System32\dnsapi.dll
      DESENREGISTRÉ: C:\Windows\SysWOW64\dnsapi.dll

      =======[ Reparation de la ressource dynamique (32/64Bits) ]
      REPARÉ: C:\Windows\System32\dnsapi.dll WITH C:\Windows\winsxs\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_02b4dd7d82149e68\dnsapi.dll

      =======[ Ressource enregistrée ]
      ENREGISTRÉ: C:\Windows\System32\dnsapi.dll
      ENREGISTRÉ: C:\Windows\SysWOW64\dnsapi.dll

      =======[ Vérification de la nouvelle ressource ]
      TROUVÉ: C:\Windows\System32\dnsapi.dll [686976] =>Désintecté
      TROUVÉ: C:\Windows\SysWOW64\dnsapi.dll [535080] =>Hijacker.DNS.Hosts

      =======[ Veuillez redémarrer votre ordinateur ]

      =======[ Fin de traitement ]
      0
  3. manu29870 Messages postés 24 Statut Membre
     
    j ai bien fait " copier dans le presse papier" le rapport malwarebytes ou dois le coller , car tu me demande de joindre un fichier sur ton lien ? c est bien ecrit qu on peut copier dans le champs tout en bars , mais je ne le vois pas ?
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. manu29870 Messages postés 24 Statut Membre
     
    Bon Il y a du progrès déjà. Adblock refonctionne, et Albireo semble avoir disparu; j'attend la suite de la procédure pour finaliser la réparation..; Déjà merci Malekal morte !
    0
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok =)

    refais un scan FRST et donne les rapports pour contrôler les restes =)
    0
  7. manu29870 Messages postés 24 Statut Membre
     
    je ne suis pas certain d'avoir copier les bons rapports dans mon message précédents, ce sont peut être ceux ci :

    https://pjjoint.malekal.com/files.php?id=FRST_20160421_t15s9w10i14h13

    https://pjjoint.malekal.com/files.php?id=20160421_109r9q14b10

    https://pjjoint.malekal.com/files.php?id=20160421_j12l12l5n13q9

    PS: si albireo semble avoir disparu. reste que le problème " searching com" persiste quand j ouvre google chrome ou mozilla...malgré les procédures de paramétrage des navigateurs.
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    oui j'ai vu pour www-searching.
    Fais ceci :

    Réinitialise manuellement tes navigateurs :

    Passe un coup de zoek aussi, ça ne fera pas de mal.

    Télécharge ce fichier :
    http://www.malekal.com/fichiers_systeme/file/dnsapi_win10.dll
    mets le dans C:\Windows\SysWOW64 et pas ailleurs (surtout pas system32).
    Redémarre l'ordinateur, refais un scan FRST et donne les liens.
    0
  9. manu29870 Messages postés 24 Statut Membre
     
    analyse zoek toujours en cours...
    derniere ligne : Firefox Extensions 11:48:27,51

    Ca analyse toujours ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ferme le =)
      0
  10. manu29870 Messages postés 24 Statut Membre
     
    bon ... il me dit en anglais que je suis une tete de mule et qu il faut le laisser travailler et il me dira quoi faire quand ca sera fini.. du coup il a reouvert la fenetre comme précedemment ..
    0
    1. manu29870 Messages postés 24 Statut Membre
       
      zoek n'a toujours pas évolué....
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > manu29870 Messages postés 24 Statut Membre
       
      tue le processus alors.
      (CTRL+ALT+Suppr => gestonnaire de tâches et fin de tâches sur zoek)
      0
    3. manu29870 Messages postés 24 Statut Membre
       
      ok c'est fait
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ok fais la suite avec la DLL.
      Si tu as encore www-searching en page de démarrage, vérifie la configuration de la page de démarrage.
      Normalement la réinitialisation manuellement devrait tout remettre par défaut.
      0