[Virus Multiples+cmdsys32] besoin d'aide [Résolu/Fermé]

Signaler
Messages postés
9
Date d'inscription
dimanche 15 mai 2016
Statut
Membre
Dernière intervention
16 mai 2016
-
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour,

Hier, j'ai essayer de télécharger un logiciel de mise en page et suite à ça, des virus ont attaquer mon ordinateur. J'ai passé plus de trois heures pour tout éliminer les menaces (dont MPCcleaner) en suivant des tutoriels (avec ADWcleaner, ZHPcleaner, Hitmanpro ...) Finalement, j'avais tout enlevé, plus rien n'était détecter par les logiciels d'analyses.
Sauf que aujourd'hui, une commande s'est effectuée (voir image) et de nouveau plein de virus se sont réinstallés. Ex : BrowserAir, Search module

Comment faire ?
Merci pour votre future aide je l'espère.

9 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 638
Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Messages postés
9
Date d'inscription
dimanche 15 mai 2016
Statut
Membre
Dernière intervention
16 mai 2016

Merci je vais le faire, je vous redirais le résultat.
Messages postés
9
Date d'inscription
dimanche 15 mai 2016
Statut
Membre
Dernière intervention
16 mai 2016

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 638
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fixnote explicative avec des captures d'écran].

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
2016-05-14 13:05 - 2016-05-14 13:05 - 02306560 _____ C:\WINDOWS\system32\bi3.exe
2016-05-14 11:44 - 2016-05-14 11:44 - 00000000 ____D C:\WINDOWS\system32\uusa
2016-05-14 11:42 - 2016-05-14 13:46 - 00000000 ____D C:\Users\naroy\AppData\Roaming\Jiqleeoja
2016-05-14 11:42 - 2016-05-14 11:42 - 00000000 ____D C:\Users\naroy\AppData\LocalLow\Company
2016-05-14 11:42 - 2016-05-14 11:42 - 00000000 ____D C:\Users\naroy\AppData\Local\Tempfolder
2016-05-14 11:42 - 2016-05-14 11:42 - 00000000 ____D C:\uninst
2016-05-13 17:39 - 2015-05-27 13:40 - 00000000 ___HD C:\Users\naroy\AppData\Local\WO5sDr2hHJf2
S2 Qukfokje; C:\Users\naroy\AppData\Roaming\RabcYfei\Maclufm.exe -cms [X]
S2 twsHlpSrv; C:\Program Files (x86)\Tawesh\twsHlpSrv.exe {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X]
C:\Program Files (x86)\mobilepcstarterkit
HKLM\...\Run: [WINCOMZQ5] => C:\Program Files (x86)\mobilepcstarterkit\wincom_ZQ5.exe
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.



puis :


2°)
Réinitialise manuellement tes navigateurs :

Messages postés
9
Date d'inscription
dimanche 15 mai 2016
Statut
Membre
Dernière intervention
16 mai 2016

Mon ordinateur a redémarré après l’exécution de la correction par FRST.
Je ne crois pas qu'un message ne soit apparu mais mon document texte fixlist s'est transformée en fixlog. Dois-je vous le transmettre par pjjoint ?
Messages postés
9
Date d'inscription
dimanche 15 mai 2016
Statut
Membre
Dernière intervention
16 mai 2016

Au cas ou, voici le document texte fixlog


Résultats de correction de Farbar Recovery Scan Tool (x64) Version:14-05-2016
Exécuté par naroy (2016-05-15 15:00:55) Run:1
Exécuté depuis C:\Users\naroy\Desktop
Profils chargés: naroy (Profils disponibles: naroy)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
2016-05-14 13:05 - 2016-05-14 13:05 - 02306560 _____ C:\WINDOWS\system32\bi3.exe
2016-05-14 11:44 - 2016-05-14 11:44 - 00000000 ____D C:\WINDOWS\system32\uusa
2016-05-14 11:42 - 2016-05-14 13:46 - 00000000 ____D C:\Users\naroy\AppData\Roaming\Jiqleeoja
2016-05-14 11:42 - 2016-05-14 11:42 - 00000000 ____D C:\Users\naroy\AppData\LocalLow\Company
2016-05-14 11:42 - 2016-05-14 11:42 - 00000000 ____D C:\Users\naroy\AppData\Local\Tempfolder
2016-05-14 11:42 - 2016-05-14 11:42 - 00000000 ____D C:\uninst
2016-05-13 17:39 - 2015-05-27 13:40 - 00000000 ___HD C:\Users\naroy\AppData\Local\WO5sDr2hHJf2
S2 Qukfokje; C:\Users\naroy\AppData\Roaming\RabcYfei\Maclufm.exe -cms [X]
S2 twsHlpSrv; C:\Program Files (x86)\Tawesh\twsHlpSrv.exe {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X]
C:\Program Files (x86)\mobilepcstarterkit
HKLM\...\Run: [WINCOMZQ5] => C:\Program Files (x86)\mobilepcstarterkit\wincom_ZQ5.exe
Reboot:


Le Point de restauration a été créé avec succès.
C:\WINDOWS\system32\bi3.exe => déplacé(es) avec succès
C:\WINDOWS\system32\uusa => déplacé(es) avec succès
C:\Users\naroy\AppData\Roaming\Jiqleeoja => déplacé(es) avec succès
C:\Users\naroy\AppData\LocalLow\Company => déplacé(es) avec succès
C:\Users\naroy\AppData\Local\Tempfolder => déplacé(es) avec succès
C:\uninst => déplacé(es) avec succès
C:\Users\naroy\AppData\Local\WO5sDr2hHJf2 => déplacé(es) avec succès
Qukfokje => service supprimé(es) avec succès
twsHlpSrv => service supprimé(es) avec succès
"C:\Program Files (x86)\mobilepcstarterkit" => non trouvé(e).
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\WINCOMZQ5 => valeur supprimé(es) avec succès


Le système a dû redémarrer.

Fin de Fixlog 15:00:56

Messages postés
9
Date d'inscription
dimanche 15 mai 2016
Statut
Membre
Dernière intervention
16 mai 2016

Voici le résultat de l’analyse exécuté par Zoek :
https://pjjoint.malekal.com/files.php?id=20160515_x9t14j9s10s14
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 638
Je pense que ça doit être bon.
Y avait plus vraiment de trojan, adware actif.
Messages postés
9
Date d'inscription
dimanche 15 mai 2016
Statut
Membre
Dernière intervention
16 mai 2016

Merci beaucoup pour votre aide ! C'est super :D
(J'ai refais deux scannes et rien n'a été détecté.)
Messages postés
9
Date d'inscription
dimanche 15 mai 2016
Statut
Membre
Dernière intervention
16 mai 2016

Je ne peux pas réactiver Windows Defender "cette application est désactivée par la stratégie de groupe".
J'ai désinstallé les logiciels d'analyse. Est-ce du au virus qui avait fait la commande ?
Messages postés
9
Date d'inscription
dimanche 15 mai 2016
Statut
Membre
Dernière intervention
16 mai 2016

C'est bon, j'ai résolut le problème merci encore.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 638
Pas de soucis :)

Pour ceux qui auraient le même message sur Windows Defender, la solution est là : https://forum.malekal.com/viewtopic.php?t=52930&start=