Malware Russe indétectable

Résolu
Chrysix -  
Chrysix Messages postés 40 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
J'ai un gros problème de pub Russe qui apparraissent partout (Tout mes navigateur internet, Steam....) J'ai utilisé Adwcleaner, Malwarebytes, Spybot, des scan antivirus (Window defender, Kaspersky) mais rien a été trouver et c'est toujours présent. Je l'ai eu (enfin j'en suis cas-y sûr) en faisait une mauvaise manip sur un site que je croyais être sécurisé.

Aidez-moi s'il vous plait.

Merci d'avance.
A voir également:

7 réponses

Réponse 1 / 7
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
Chrysix
 
Merci beaucoup je vais essayer cela de suite et j'y mettrais ici
0
Réponse 2 / 7
Chrysix
 
Donc voici les 3 rapport :

FRST.txt
http://pjjoint.malekal.com/files.php?id=FRST_20160831_x10h5v5i9n13

Addition.txt
http://pjjoint.malekal.com/files.php?id=20160831_b10g12e8g8b12

Shortcut.txt
http://pjjoint.malekal.com/files.php?id=20160831_q14l8n10b14i14
0
Réponse 3 / 7
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )
En plus il se charge au démarrage, ce qui peut ralentir le démarrage.

Suis ces deux étapes :

1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
 2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Chrysix\AppData\Roaming\2YkMolQik2QW17xh7 
 2015-04-14 18:28 - 2015-04-14 18:28 - 0001171 _____ () C:\Users\Chrysix\AppData\Roaming\B76gOl24B4GfDEjbDnE 
 2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Chrysix\AppData\Roaming\dYa6VKr0QX 
 2015-04-14 18:28 - 2015-04-14 18:28 - 0001171 _____ () C:\Users\Chrysix\AppData\Roaming\UF3nkeYcMUpUweZybm5q1 
ShortcutWithArgument: C:\Users\Chrysix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epc&s=g8uztutbl101au,d54df303-28fd-4489-b6b1-e9e84409f3a0,
ShortcutWithArgument: C:\Users\Chrysix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epc&s=g8uztutbl101au,d54df303-28fd-4489-b6b1-e9e84409f3a0,
ShortcutWithArgument: C:\Users\Chrysix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\a1eaec57adc681af\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epc&s=g8uztutbl101au,d54df303-28fd-4489-b6b1-e9e84409f3a0,
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epc&s=g8uztutbl101au,d54df303-28fd-4489-b6b1-e9e84409f3a0,
 HKLM-x32\...\Run: [YoukuMediaCenter] => C:\Users\Chrysix\AppData\Roaming\ytmediacenter\YoukuMediaCenter.exe iku:// 
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2/
Remets/Vérifie que tous les serveurs de noms (DNS) sont automatiques. Suis le paragraphe "manuellement" du tutoriel pour réintialiser les DNS PUIS vide ensuite le cache DNS et internet. Ces 3 étapes sont importantes et à faire sinon les publicités vont continuer.
0
Chrysix
 
D'accord merci et j'ai donc suivis à la lettre ces deux étapes, mais en voulant redémarré, je pense que je n'ai pas eu le temps d'obtenir le fichier texte, donc ce fichier texte est le Fixlog.txt (car j'ai vu qu'il avait été modifié) ou alors la moitié de son contenu ?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > Chrysix
 
fais l'étape 2 et redonne un rapport FRST pour contrôler.
0
Réponse 4 / 7
Chrysix Messages postés 40 Date d'inscription   Statut Membre Dernière intervention  
 
L'étape 2 à déjà été effectué et voici donc, (enfin ce que je pense être) le rapport FRST


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 31-08-2016
Exécuté par Chrysix (01-09-2016 16:12:03) Run:2
Exécuté depuis C:\Users\Chrysix\Desktop
Profils chargés: Chrysix (Profils disponibles: Chrysix & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Chrysix\AppData\Roaming\2YkMolQik2QW17xh7
2015-04-14 18:28 - 2015-04-14 18:28 - 0001171 _____ () C:\Users\Chrysix\AppData\Roaming\B76gOl24B4GfDEjbDnE
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Chrysix\AppData\Roaming\dYa6VKr0QX
2015-04-14 18:28 - 2015-04-14 18:28 - 0001171 _____ () C:\Users\Chrysix\AppData\Roaming\UF3nkeYcMUpUweZybm5q1
ShortcutWithArgument: C:\Users\Chrysix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epc&s=g8uztutbl101au,d54df303-28fd-4489-b6b1-e9e84409f3a0,
ShortcutWithArgument: C:\Users\Chrysix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epc&s=g8uztutbl101au,d54df303-28fd-4489-b6b1-e9e84409f3a0,
ShortcutWithArgument: C:\Users\Chrysix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\a1eaec57adc681af\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epc&s=g8uztutbl101au,d54df303-28fd-4489-b6b1-e9e84409f3a0,
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epc&s=g8uztutbl101au,d54df303-28fd-4489-b6b1-e9e84409f3a0,
HKLM-x32\...\Run: [YoukuMediaCenter] => C:\Users\Chrysix\AppData\Roaming\ytmediacenter\YoukuMediaCenter.exe iku://
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"C:\Users\Chrysix\AppData\Roaming\2YkMolQik2QW17xh7" => non trouvé(e).
"C:\Users\Chrysix\AppData\Roaming\B76gOl24B4GfDEjbDnE" => non trouvé(e).
"C:\Users\Chrysix\AppData\Roaming\dYa6VKr0QX" => non trouvé(e).
"C:\Users\Chrysix\AppData\Roaming\UF3nkeYcMUpUweZybm5q1" => non trouvé(e).
C:\Users\Chrysix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
C:\Users\Chrysix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
C:\Users\Chrysix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\a1eaec57adc681af\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\YoukuMediaCenter => valeur non trouvé(e).

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2895031634-2423722563-305727489-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2895031634-2423722563-305727489-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 32768 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 14859903 B
Java, Flash, Steam htmlcache => 41173238 B
Windows/system/drivers => 7805624 B
Edge => 46121421 B
Chrome => 488927714 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 4242 B
Chrysix => 109793060 B
DefaultAppPool => 0 B

RecycleBin => 407 B
EmptyTemp: => 675.9 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 16:12:58

0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ok, redonne un rapport FRST pour contrôler.
0
Chrysix Messages postés 40 Date d'inscription   Statut Membre Dernière intervention  
 
Quand vous dite rapport FRST, c'est a dire le contenu du fichier FRST.txt ?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > Chrysix Messages postés 40 Date d'inscription   Statut Membre Dernière intervention  
 
C'est de relancer, un scan et donner les rapports FRST.txt et Addition.txt
comme tu as fait la première fois.
0
Chrysix Messages postés 40 Date d'inscription   Statut Membre Dernière intervention  
 
Ah d'accord ok donc je met les liens ci-dessous :

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20160901_t10l15o14m9o5

Addition : https://pjjoint.malekal.com/files.php?id=20160901_j6n13k9i9s6
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > Chrysix Messages postés 40 Date d'inscription   Statut Membre Dernière intervention  
 
Exécuté par Chrysix (administrateur) sur CHRYSIX-PC (31-08-2016 17:38:31)

Ce sont les rapports du premier scans et non un nouveau scan.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Pas bon :
DNS Servers: 188.120.239.115 - 8.8.8.8

Fais bien ceci et sur toutes les cartes :

Remets/Vérifie que tous les serveurs de noms (DNS) sont automatiques. Suis le paragraphe "manuellement" du tutoriel pour réintialiser les DNS PUIS vide ensuite le cache DNS et internet. Ces 3 étapes sont importantes et à faire sinon les publicités vont continuer.

Quand tu as remis en automatique, retourne vérifie dans 2h, si c'est resté en automatique ou si ça s'est remis sur 188.120.239.115
0
Chrysix Messages postés 40 Date d'inscription   Statut Membre Dernière intervention  
 
D'accord donc j'ai réglé le problème et normalement c'est bon :

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20160902_r6w10s8i5b7

Addition : https://pjjoint.malekal.com/files.php?id=20160902_l14v6u9m8g9
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > Chrysix Messages postés 40 Date d'inscription   Statut Membre Dernière intervention  
 
oui, c'est bon là ;
regarde si ça reste bon =)
0
Chrysix Messages postés 40 Date d'inscription   Statut Membre Dernière intervention   > Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
Et bien pour commencer je tiens a énormément vous remercier car en effet les pubs son partie des navigateurs que j'utilise le plus, ainsi que les moteurs de recherches bizarre qui c'étais mis (Bon a l'exception de Microsoft Edge mais je crois que ça le faisait déjà avant et c'est sur des page de base pas très nette) donc ça c'est bon en tout cas je n'espère pas que ça reviendra. Mais néanmoins comme je l'avais précisé avant depuis cette accident je n'entend plus, avec mon casque-micro a port Usb, certain logiciels ou jeu sauf si je les exécute en tant qu'administrateur et ça fais cela depuis ce problème et ce n'est pas la faute du casque car il marche très bien sur un autre pc, j'ai beau regardé de partout et suivie plein d'astuce sur internet je ne trouve pas la raison de pourquoi il ne marche plus normalement comme avant.
0
Réponse 6 / 7
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
hummmm ok,

Pour tes problèmes USB, je ne pense pas que cela ait un rapport avec les infections.
Toujours ok, côté pubs ?
0
Chrysix Messages postés 40 Date d'inscription   Statut Membre Dernière intervention  
 
Ah d'accord ok merci de l'info et du coup je vais encore chercher sur le net pour voir ou est le problème, je trouverai bien un jour on verra et Oui niveau pubs je pense que c'est tout bon merci beaucoup encore ! (En tout cas j'ai bien l'impression que c'est revenue a la normal sur ce côté la)
0
Réponse 7 / 7
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
good =)


Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite


Quelques conseils :


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

0
Chrysix Messages postés 40 Date d'inscription   Statut Membre Dernière intervention  
 
D'accord et bien merci beaucoup pour tout en tout cas ! ^^ et merci pour ces lien qui pourrait évité que cela ce reproduit une nouvelle fois

(Ps : désolé de cette réponse tardive j'étais pas mal occupé ^^')
0

Discussions similaires

supprimer tor.jack android
sabinelouisonbruno -
akaloupile -

4 réponses
Tor.Jack.Malware
Camille -
bazfile -

1 réponse
Win64:Malware-gen
ptb35 -
MisteryBean -

3 réponses
Win64 malware gen
jules555 -
bazfile -

1 réponse
Pc infecté ? Analyse de Gridinsoft
slimocb -
bazfile -

7 réponses