Sujet Précédent Sujet Suivant

Virus chinois

Fermé
unluks Messages postés 5 Date d'inscription jeudi 1 septembre 2016 Statut Membre Dernière intervention 2 septembre 2016 - Modifié par Malekal_morte- le 1/09/2016 à 16:49
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 2 sept. 2016 à 21:32
Bonjour,
Je vais tout expliquez comment ça c'est déroulé:
Il y a 2 jours de là, des logiciels chinois et autres se sont installés tout seul sur mon ordinateur portable l'après-midi (alors que je l'avais utilisé le matin et il n'y avait rien d'anormal).
Je les ai désinstaller en désactivant mon wifi car les logiciels revenaient à grande vitesse!!
Puis des publicités sont apparues dans mes navigateurs / changement de mes pages d'accueil ect.. (je pense qu'on appelle ça des hijackers)
J'ai regardé dans des forums et j'ai utilisé Adw Cleaner et ZHPDiag pour bien nettoyer.
Puis mes navigateurs ne fonctionnaient plus: Google Chrome et Firefox, j'ai réussi à ouvrir Chrome mais uniquement dans les fichiers du disque dur du PC mais maintenant l'icone n'apparait plus mais je sais l'utiliser, de plus les hijackers sont toujours présent et aussi je ne sais plus utiliser l'application "Photos" de Windows 10 (je ne sais pas si c'est lié à ce problème).

Pouvez-vous m'aider ? J'ai peut-être mal procédé au niveau du nettoyage avec Adw Cleaner mais je ne suis pas sur.
Merci

7 réponses

Réponse 1 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
1 sept. 2016 à 16:49
Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
Réponse 2 / 7
unluks Messages postés 5 Date d'inscription jeudi 1 septembre 2016 Statut Membre Dernière intervention 2 septembre 2016
1 sept. 2016 à 17:17
Voilà j'ai fait l'analyse

FRST: https://pjjoint.malekal.com/files.php?id=FRST_20160901_q8j8b12g7v15
Addition: https://pjjoint.malekal.com/files.php?id=20160901_z9g15q11g6r12
Shortcut: https://pjjoint.malekal.com/files.php?id=20160901_z8z10v7j7c12
0
Réponse 3 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
1 sept. 2016 à 18:17
Je te conseille de désinstaller McAfee Security Scan car c'est avant tout un programme markéting proposé à l'installation d'autres logiciels ( comme Adobe Flash) pour final tenter de te vendre l'antivirus.

Suis ces deux étapes.

1/

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
ShortcutWithArgument: C:\Users\epcs\Desktop\chrome - Raccourci.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\epcs\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info
ShortcutWithArgument: C:\Users\epcs\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info
Task: {AD2DE224-DD67-4EC3-8FE8-0CFB14137432} - System32\Tasks\{705EE300-43E4-4791-9CFD-55DD49085500} => pcalua.exe -a "C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\Uninst.exe"
Task: {C1E32F0C-7092-4665-9791-5E6CE1298F3A} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\RKYMQS.job => C:\Users\epcs\AppData\Roaming\RKYMQS.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
 2016-03-20 11:02 - 2016-03-20 11:02 - 0005120 _____ () C:\Users\epcs\AppData\Roaming\GiftBag.db 
 2016-08-30 17:52 - 2016-08-30 17:51 - 0699904 _____ () C:\Users\epcs\AppData\Roaming\Haydamsing.exe 
 2016-08-30 17:52 - 2016-08-30 17:52 - 1900870 _____ () C:\Users\epcs\AppData\Roaming\Haydamsing.tst 
 2016-03-20 10:51 - 2016-08-30 17:52 - 0018336 _____ () C:\Users\epcs\AppData\Roaming\InstallationConfiguration.xml  
 2016-03-20 10:51 - 2016-08-30 17:51 - 0138240 _____ () C:\Users\epcs\AppData\Roaming\Installer.dat  
 2016-08-30 17:52 - 2016-08-30 17:52 - 0126464 _____ () C:\Users\epcs\AppData\Roaming\lobby.dat  
 2016-08-30 17:52 - 2016-08-30 17:52 - 0018432 _____ () C:\Users\epcs\AppData\Roaming\Main.dat  
 2016-08-30 17:52 - 2016-08-30 17:52 - 0005568 _____ () C:\Users\epcs\AppData\Roaming\md.xml  
 2016-08-30 17:52 - 2016-08-30 17:52 - 0126464 _____ () C:\Users\epcs\AppData\Roaming\noah.dat  
 2016-08-30 17:52 - 2016-08-30 17:52 - 0848565 _____ () C:\Users\epcs\AppData\Roaming\Quadtex.bin  
 2016-03-20 10:52 - 2016-03-20 10:52 - 0848437 _____ () C:\Users\epcs\AppData\Roaming\Qvoit.bin  
 2015-03-10 22:51 - 2015-03-10 22:51 - 0000036 _____ () C:\Users\epcs\AppData\Roaming\SuYZkvrV.tmp 
 2016-08-30 17:53 - 2016-08-30 17:53 - 2279413 _____ () C:\Users\epcs\AppData\Roaming\Tranhold.bin  
 2016-08-30 17:53 - 2016-08-30 17:53 - 0032038 _____ () C:\Users\epcs\AppData\Roaming\uninstall_temp.ico 
 2016-08-30 18:17 - 2016-08-30 18:17 - 00003708 _____ C:\WINDOWS\System32\Tasks\{F0D67008-37B1-4487-AAB6-5DDFC744299F} 
 2016-08-30 18:12 - 2016-08-30 18:13 - 03826240 _____ C:\Users\epcs\Documents\adwcleaner_6.010.exe 
 2016-08-30 17:53 - 2016-08-30 17:53 - 02279413 _____ C:\Users\epcs\AppData\Roaming\Tranhold.bin  
 2016-08-30 17:52 - 2016-08-30 17:52 - 07118336 _____ C:\Users\epcs\AppData\Roaming\agent.dat  
 2016-08-30 17:52 - 2016-08-30 17:52 - 01900870 _____ C:\Users\epcs\AppData\Roaming\Haydamsing.tst 
 2016-08-30 17:52 - 2016-08-30 17:52 - 00848565 _____ C:\Users\epcs\AppData\Roaming\Quadtex.bin  
 2016-08-30 17:52 - 2016-08-30 17:52 - 00126464 _____ C:\Users\epcs\AppData\Roaming\noah.dat  
 2016-08-30 17:52 - 2016-08-30 17:52 - 00126464 _____ C:\Users\epcs\AppData\Roaming\lobby.dat  
 2016-08-30 17:52 - 2016-08-30 17:52 - 00072812 _____ C:\Users\epcs\AppData\Roaming\Contam.tst  
 2016-08-30 17:52 - 2016-08-30 17:52 - 00071232 _____ C:\Users\epcs\AppData\Roaming\Config.xml  
 2016-08-30 17:52 - 2016-08-30 17:52 - 00054272 _____ C:\Users\epcs\AppData\Roaming\ApplicationHosting.dat  
 2016-08-30 17:52 - 2016-08-30 17:52 - 00018432 _____ C:\Users\epcs\AppData\Roaming\Main.dat  
 2016-08-30 17:52 - 2016-08-30 17:52 - 00005568 _____ C:\Users\epcs\AppData\Roaming\md.xml  
 2016-08-30 17:52 - 2016-08-30 17:51 - 00699904 _____ C:\Users\epcs\AppData\Roaming\Haydamsing.exe 
 2016-08-30 17:52 - 2016-08-30 17:51 - 00699904 _____ C:\Users\epcs\AppData\Roaming\Contam.exe  
 2016-08-30 17:46 - 2016-08-30 17:46 - 00250912 _____ C:\WINDOWS\SysWOW64\kz.exe  
 2016-08-30 17:32 - 2016-08-30 17:32 - 00003238 _____ C:\WINDOWS\System32\Tasks\{AF6D7888-9B5A-4DB5-B1A6-2E542967AC87} 
 2016-08-30 17:16 - 2016-09-01 16:42 - 00000458 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job  
 2016-08-30 17:16 - 2016-08-30 17:16 - 00003472 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater 
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2/

Remets/Vérifie que tous les serveurs de noms (DNS) sont automatiques. Suis le paragraphe "manuellement" du tutoriel pour réintialiser les DNS PUIS vide ensuite le cache DNS et internet. Ces 3 étapes sont importantes et à faire sinon les publicités vont continuer.

0
Réponse 4 / 7
unluks Messages postés 5 Date d'inscription jeudi 1 septembre 2016 Statut Membre Dernière intervention 2 septembre 2016
1 sept. 2016 à 21:48
J'ai suivi ce que tu m'as dis, j'ai désinstallé McAfee Security
J'ai copier-coller la note dans le notepad et enregistré dans le bureau en fixlist.txt et ensuite démarrer FRST et "Corriger".

Le problème est que le logiciel FRST est reste bloqué à la correction "Suppression des fichiers temporaires: C:/Users/epcs/AppData/Local/Temp"
Il est resté bloqué depuis plus d'une heure...

J'ai redémarrer mon PC et refait la même chose et le début de la correction des fichiers fonctionne normalement puis quand il arrive à ça, il reste encore bloqué avec la même indication :/
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 1/09/2016 à 22:21
retire EmptyTemp: dans fixlist
et retente.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
unluks Messages postés 5 Date d'inscription jeudi 1 septembre 2016 Statut Membre Dernière intervention 2 septembre 2016
1 sept. 2016 à 22:54
Voilà le logiciel a bien fonctionné et a redémarré le PC.

Ici est le fichier Fixlog.txt: https://pjjoint.malekal.com/files.php?id=20160901_i13f8x9v138

J'ai remis mon DNS automatique et j'ai réussi a le vidé correctement.
Par contre je n'ai pas su vidé le cache internet car le CCleaner du lien au forum n'existe plus.

Le hijackers startgo123 est toujours là, et Firefox ne fonctionne toujours pas et non plus l'icone de Chrome
0
Réponse 6 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
1 sept. 2016 à 23:11
Réinitialise manuellement tes navigateurs (Pas de nettoyage zoek ou ZHPCleaner) :


et refais ton icone de lancement de Chrome.
0
Réponse 7 / 7
unluks Messages postés 5 Date d'inscription jeudi 1 septembre 2016 Statut Membre Dernière intervention 2 septembre 2016
2 sept. 2016 à 20:42
Oui merci, ça fonctionne de nouveau :)

Mais à savoir, j'ai eu un énorme soucis:
J'ai donc suivi le tuto pour Chrome, je l'ai désinstaller et Firefox aussi.
Puis avec Internet Explorer, j'ai essayer de retélécharger ces navigateurs mais il refusait !! Et Microsoft Edge (navigateur de Windows 10) aussi refusait.
J'ai donc du aller sur un ordinateur appart pour télécharger Chrome ( l'application en .exe ) et le transférer par clé USB sur mon PC.

Mais maintenant le navigateur fonctionne bien. (Sauf pour Firefox qui met "Profil manquant: Firefox ne peut etre chargé ... )
Mais peut importe je regarderai ça une autre fois par faute de temps.

merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
2 sept. 2016 à 21:32
ok =)

Mais maintenant le navigateur fonctionne bien. (Sauf pour Firefox qui met "Profil manquant: Firefox ne peut etre chargé ... )

Regarde là :
https://forum.malekal.com/viewtopic.php?t=53331&start=
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Réinitialisation d'un téléphone mobile chinois avec touche
Nadjitam -
Papounet17000 -

1 réponse
deblocage de telephone toute marque
farwi88 -
mpuissance4 -

1 réponse
Problème authentification
Bass -
KiwiFascinant81 -

7 réponses