Trotux et virus

Résolu
Dadadadou Messages postés 138 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Voilà d'habitude je fais super attention quand je télécharge, mais pour la première fois je me suis fait avoir, j'ai cliqué sur un faux lien "télécharger" sur un site, et j'ai ouvert le fichier téléchargé (je devais être vraiment fatigué pour avoir fait ça). Après ça, remplacement de google par un moteur appelé trotux, avast qui pour la première fois depuis des années détecte 56 virus. J'ai testé adwcleaner, spybot, avast et ccleaner, ça n'a rien fait. J'ai suivi ce que vous avez marqué a plusieurs gens ici sur ce forum, j'ai dl MBAM et fait tout ce qui faut et redémarré. Ça semble marcher, j'ai plus rien mais je vous donne mon rapport au cas ou, j'espère que quelqu'un peut bien me confirmer que j'ai plus rien.

https://pjjoint.malekal.com/files.php?id=20160806_u8p6c11v9u9

Merci beaucoup pour votre aide.

8 réponses

  1. jeanbern Messages postés 13740 Date d'inscription   Statut Contributeur Dernière intervention   5 136
     
    Salut,
    Bon déjà Tu peu totalement désinstaller Spybot(depuis déjà bien longtemps obsolète)

    1
    1. Dadadadou Messages postés 138 Statut Membre
       
      La dernière fois que j'ai eu virus, spybot était un must have, c'est dire si ça fait longtemps, j'ai gardé le réflexe de le lancer au cas ou.
      0
  2. jeanbern Messages postés 13740 Date d'inscription   Statut Contributeur Dernière intervention   5 136
     
    Ca semble plutôt pas mal!
    As tu récupéré ta barre de recherche Google ?

    Sinon fais : Recovery Scan Tool (FRST)
    https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/

    Merci à toutes et à tous
    1
    1. Dadadadou Messages postés 138 Statut Membre
       
      Oui j'ai complètement oublié la partie avec FRST pourtant marqué partout sur les autres messages, j'allais éditer mon message pour ajouter ce scan, j'avais zappé cette partie, je te l'envoie dès que c'est fait. Merci pour la réponse aussi rapide.
      0
    2. Dadadadou Messages postés 138 Statut Membre
       
      J'avais pas bien lu ta question sur la barre de recherche google, en effet tu as raison, c'est toujours une barre de recherche Trotux ! C'est bien planqué, mais c'est toujours là ! Rhaaaa
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Je te conseille de désinstaller Spybot, pas super efficace. ( Adwares : Antispyware comment ne pas désinfecter son Windows )
    En plus il se charge au démarrage, ce qui peut ralentir le démarrage.

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:
    C:\Users\Moi\AppData\Local\Microsoft\Windows\INetCookies
    2016-08-05 22:55 - 2016-08-06 05:25 - 00000000 ____D C:\Program Files (x86)\Atovaseaneraent
    2016-08-05 20:15 - 2016-08-05 20:15 - 00002706 _____ C:\WINDOWS\System32\Tasks\UbtFrameworkService
    2016-08-05 20:15 - 2016-08-05 20:15 - 00002702 _____ C:\WINDOWS\System32\Tasks\49ddd95f19216edd7a10fd29ee354c5d
    2016-08-05 19:58 - 2016-08-06 05:26 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
    2016-08-05 19:58 - 2016-08-05 19:58 - 00000200 _____ C:\WINDOWS\system32\{EC94D02F-D200-4428-9531-05AF7F9799CB}.bat
    2016-08-05 17:42 - 2016-08-05 17:42 - 00218680 _____ C:\f2a3a343-edc1-42db-8444-33a3bc02366f.dmp
    2016-08-05 17:38 - 2016-08-05 22:55 - 00000000 ____D C:\Users\Moi\AppData\Local\jlghtqedersyzerzich
    2016-08-05 17:38 - 2016-08-05 22:54 - 00000000 ____D C:\ProgramData\RenewalService
    2016-08-05 17:38 - 2016-08-05 20:09 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldOfBooks
    2016-08-05 17:38 - 2016-08-05 18:06 - 00000000 ____D C:\WINDOWS\system32\SSL
    2016-08-05 17:38 - 2016-08-05 17:38 - 00031443 _____ C:\WINDOWS\49ddd95f19216edd7a10fd29ee354c5d.ps1
    2016-08-05 17:38 - 2016-08-05 17:38 - 00000000 ___HD C:\Program Files (x86)\nrj1849
    Task: {8FCD3876-8B47-4D2F-9DA0-162A40C97FF9} - System32\Tasks\49ddd95f19216edd7a10fd29ee354c5d => powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File C:\WINDOWS\49ddd95f19216edd7a10fd29ee354c5d.ps1 <==== ATTENTION
    EmptyTemp:
    hosts:
    RemoveProxy:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",

    A gauche, place toi sur le Bureau,

    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    2°)
    Réinitialise manuellement tes navigateurs :

    1
  4. jeanbern Messages postés 13740 Date d'inscription   Statut Contributeur Dernière intervention   5 136
     
    Bon tu es sous quel navigateur ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Dadadadou Messages postés 138 Statut Membre
     
    Merci a vous pour vos réponses (désole du retard) j'ai fait ce que Malekal_morte- m'a marqué, voci le fixlog :

    Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 03-08-2016
    Exécuté par Moi (2016-08-06 12:16:01) Run:1
    Exécuté depuis C:\Users\Moi\Desktop
    Profils chargés: Moi (Profils disponibles: Moi)
    Mode d'amorçage: Normal
    ==============================================

    fixlist contenu:
    CreateRestorePoint:
    CloseProcesses:
    C:\Users\Moi\AppData\Local\Microsoft\Windows\INetCookies
    2016-08-05 22:55 - 2016-08-06 05:25 - 00000000 ____D C:\Program Files (x86)\Atovaseaneraent
    2016-08-05 20:15 - 2016-08-05 20:15 - 00002706 _____ C:\WINDOWS\System32\Tasks\UbtFrameworkService
    2016-08-05 20:15 - 2016-08-05 20:15 - 00002702 _____ C:\WINDOWS\System32\Tasks\49ddd95f19216edd7a10fd29ee354c5d
    2016-08-05 19:58 - 2016-08-06 05:26 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
    2016-08-05 19:58 - 2016-08-05 19:58 - 00000200 _____ C:\WINDOWS\system32\{EC94D02F-D200-4428-9531-05AF7F9799CB}.bat
    2016-08-05 17:42 - 2016-08-05 17:42 - 00218680 _____ C:\f2a3a343-edc1-42db-8444-33a3bc02366f.dmp
    2016-08-05 17:38 - 2016-08-05 22:55 - 00000000 ____D C:\Users\Moi\AppData\Local\jlghtqedersyzerzich
    2016-08-05 17:38 - 2016-08-05 22:54 - 00000000 ____D C:\ProgramData\RenewalService
    2016-08-05 17:38 - 2016-08-05 20:09 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldOfBooks
    2016-08-05 17:38 - 2016-08-05 18:06 - 00000000 ____D C:\WINDOWS\system32\SSL
    2016-08-05 17:38 - 2016-08-05 17:38 - 00031443 _____ C:\WINDOWS\49ddd95f19216edd7a10fd29ee354c5d.ps1
    2016-08-05 17:38 - 2016-08-05 17:38 - 00000000 ___HD C:\Program Files (x86)\nrj1849
    Task: {8FCD3876-8B47-4D2F-9DA0-162A40C97FF9} - System32\Tasks\49ddd95f19216edd7a10fd29ee354c5d => powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File C:\WINDOWS\49ddd95f19216edd7a10fd29ee354c5d.ps1 <==== ATTENTION
    EmptyTemp:
    hosts:
    RemoveProxy:

    Le Point de restauration a été créé avec succès.
    Processus fermé avec succès.
    C:\Users\Moi\AppData\Local\Microsoft\Windows\INetCookies => déplacé(es) avec succès
    C:\Program Files (x86)\Atovaseaneraent => déplacé(es) avec succès
    C:\WINDOWS\System32\Tasks\UbtFrameworkService => déplacé(es) avec succès
    C:\WINDOWS\System32\Tasks\49ddd95f19216edd7a10fd29ee354c5d => déplacé(es) avec succès
    C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat => déplacé(es) avec succès
    C:\WINDOWS\system32\{EC94D02F-D200-4428-9531-05AF7F9799CB}.bat => déplacé(es) avec succès
    C:\f2a3a343-edc1-42db-8444-33a3bc02366f.dmp => déplacé(es) avec succès
    C:\Users\Moi\AppData\Local\jlghtqedersyzerzich => déplacé(es) avec succès
    C:\ProgramData\RenewalService => déplacé(es) avec succès
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldOfBooks => déplacé(es) avec succès
    C:\WINDOWS\system32\SSL => déplacé(es) avec succès
    C:\WINDOWS\49ddd95f19216edd7a10fd29ee354c5d.ps1 => déplacé(es) avec succès
    C:\Program Files (x86)\nrj1849 => déplacé(es) avec succès
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{8FCD3876-8B47-4D2F-9DA0-162A40C97FF9}" => clé supprimé(es) avec succès
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8FCD3876-8B47-4D2F-9DA0-162A40C97FF9}" => clé supprimé(es) avec succès
    C:\WINDOWS\System32\Tasks\49ddd95f19216edd7a10fd29ee354c5d => non trouvé(e).
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\49ddd95f19216edd7a10fd29ee354c5d" => clé supprimé(es) avec succès
    C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
    Hosts restauré(es) avec succès.

    ========= RemoveProxy: =========

    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
    HKU\S-1-5-21-2224909338-1060081207-3592531419-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
    HKU\S-1-5-21-2224909338-1060081207-3592531419-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès

    ========= Fin de RemoveProxy: =========

    =========== EmptyTemp: ==========

    BITS transfer queue => 0 B
    DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 16149872 B
    Java, Flash, Steam htmlcache => 22792389 B
    Windows/system/drivers => 33424714 B
    Edge => 183105544 B
    Chrome => 268579 B
    Firefox => 386730345 B
    Opera => 0 B

    Temp, IE cache, history, cookies, recent:
    Default => 0 B
    ProgramData => 0 B
    Public => 0 B
    systemprofile => 0 B
    systemprofile32 => 0 B
    LocalService => 23702464 B
    NetworkService => 6154 B
    Moi => 66268096 B

    RecycleBin => 0 B
    EmptyTemp: => 698.5 MB données temporaires supprimées.

    ================================

    Le système a dû redémarrer.

    Fin de Fixlog 12:19:05

    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ok fais le reste.
      0
  7. Dadadadou Messages postés 138 Statut Membre
     
    J'ai réinitialisé les navigateurs, pour IE j'ai dû passer par ZHP cleaner, j'ai lancé un scan, il m'a encore trouvé pas mal de éléments marqué comme virus. J'ai fait "nettoyer", il trouve plus rien donc j'imagine que c'est bon, mais on dirait que y'avait encore pas mal de trucs, voilà le rapport du nettoyage :

    ~ ZHPCleaner v2016.8.5.98 by Nicolas Coolman (2016/08/05)
    ~ Run by Moi (Administrator) (06/08/2016 12:41:36)
    ~ Site : https://nicolascoolman.eu
    ~ Facebook : https://www.facebook.com/nicolascoolman1
    ~ State version : Version OK
    ~ Type : Nettoyer
    ~ Report : C:\Users\Moi\Desktop\ZHPCleaner.txt
    ~ Quarantine : C:\Users\Moi\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
    ~ UAC : Activate
    ~ Boot Mode : Normal (Normal boot)
    Windows 10 Home, 64-bit (Build 14393)

    ---\\ Service. (0)
    ~ Aucun élément malicieux ou superflu trouvé.

    ---\\ Navigateur internet. (6)
    SUPPRIMÉ Firefox: [h4saocvt.default] URL HomePage : https://www.google.com/[...] =>.Superfluous.Trotux
    SUPPRIMÉ: [h4saocvt.default] - user_pref("browser.search.defaultenginename", "trotux"); =>.Superfluous.Trotux
    SUPPRIMÉ: [h4saocvt.default] - user_pref("browser.search.searchengine.hp", "https://www.google.com/[...] =>.Superfluous.Trotux
    SUPPRIMÉ: [h4saocvt.default] - user_pref("browser.search.searchengine.sp", "https://www.google.com/webhp{searchTerms}&[...] =>.Superfluous.Trotux
    SUPPRIMÉ: [h4saocvt.default] - user_pref("browser.search.searchengine.url", "https://www.google.com/webhp{searchTerms}[...] =>.Superfluous.Trotux
    SUPPRIMÉ: [h4saocvt.default] - user_pref("browser.search.selectedEngine", "trotux"); =>.Superfluous.Trotux

    ---\\ Fichier hôte. (1)
    ~ Le fichier hôte est légitime. (1)

    ---\\ Tâche planifiée. (0)
    ~ Aucun élément malicieux ou superflu trouvé.

    ---\\ Explorateur ( Dossiers, Fichiers ). (32)
    DEPLACÉ fichier: C:\Windows\Prefetch\ASPACKAGE.EXE-15794493.pf =>PUP.Optional.ASPackage
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI275B.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI2C7B.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI461F.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI471C.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI47B6.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI4A47.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI4DF.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI5565.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI56BD.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI5816.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI6D05.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI70C0.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI8FD0.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI90A.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI9148.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI91F2.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI95FD.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI9841.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI99C9.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSI9CF8.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSIAF5A.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSIB407.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSIB475.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSIB4D4.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSIBA06.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSIBD5D.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSIC0D1.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSIC1F5.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSIC825.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSIEAE.tmp- =>Empty
    DEPLACÉ dossier: C:\WINDOWS\Installer\MSIEF6A.tmp- =>Empty

    ---\\ Base de Registres ( Clés, Valeurs, Données ). (4)
    SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} [Google Inc.] =>Heuristic.Suspect
    SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\DashlaneDownloader_RASAPI32 [] =>PUP.Optional.SoftwareEngine
    SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\DashlaneDownloader_RASMANCS [] =>PUP.Optional.SoftwareEngine
    SUPPRIMÉ clé*: HKCU\SOFTWARE\98D5EA228913304BB879ADF794A878D4 [] =>Hijacker.Browser

    ---\\ Récapitulatif des éléments trouvés sur votre station. (5)
    https://nicolascoolman.eu =>.Superfluous.Trotux
    https://nicolascoolman.eu =>PUP.Optional.ASPackage
    https://www.anti-malware.top/2016/04/22/heuristic-suspect/ =>Heuristic.Suspect
    https://nicolascoolman.eu =>PUP.Optional.SoftwareEngine
    https://nicolascoolman.eu =>Hijacker.Browser

    ---\\ Nettoyage Additionnel. (8)
    ~ Suppression des Clés de registre Tracing. (8)
    ~ Suppression des anciens rapports ZHPCleaner. (0)

    ---\\ Bilan de la réparation
    ~ Réparation réalisée avec succès.
    ~ Ce navigateur est absent (Google Chrome)
    ~ Ce navigateur est absent (Opera Software)

    ---\\ Statistiques
    ~ Items scannés : 925
    ~ Items trouvés : 0
    ~ Items annulés : 0
    ~ Items réparés : 42

    ~ End of clean in 00h00mn14s
    ~====================
    ZHPCleaner-[R]-06082016-12_41_50.txt
    ZHPCleaner-[S]-06082016-12_40_18.txt
    0
    1. Dadadadou Messages postés 138 Statut Membre
       
      Je sais pas encore si le problème est résolu à 100% mais en tout cas j'aimerais vous remercier vraiment chaleureusement. Je me souviens avoir eu besoin de vous il y a quelques années pour le PC de mes grands parents et vous l'aviez réparé aussi efficacement. Vous faites vraiment un excellent travail, merci encore.
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Dadadadou Messages postés 138 Statut Membre
         
        Pas de soucis :)

        Du coup il reste quel problème et sur quel navigateur WEB ?
        0
    2. Dadadadou Messages postés 138 Statut Membre
       
      zhpcleaner detecte plus rien, mais comme je l'ai dit, après avoir utilisé le fixlist, reinitialisé firefox et chrome, j'ai lancé zhpcleaner pour réinitialiser IE et il en avait trouvé encore, donc je sais pas si c'était normal ou pas. Tout fonctionne là a priori, j'ai retrouvé ma barre de recherche google etc.
      0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Les détections ZHPCleaner et ZHPDiag ne sont pas pertinentes....
    faut pas trop s'y fier.

    Si tu n'as plus Trotux et compte tenu des rapports FRST, c'est good.

    Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

    Quelques conseils :

    Pour tenter de prévenir les sites malicieux, tu peux installer Blockulicious.

    Pour ne plus te faire avoir.
    A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
    (Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

    0
    1. Dadadadou Messages postés 138 Statut Membre
       
      MBAM trouve toujours des malwares.
      0