Programme chinois malveillant
Résolu/Fermé
A voir également:
- Programme chinois malveillant
- Programme demarrage windows 10 - Guide
- Facebook en chinois ✓ - Forum Facebook
- Code universel téléphone chinois ✓ - Forum Free mobile
- Programme (x86) ✓ - Forum Windows
13 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
1 nov. 2016 à 13:09
1 nov. 2016 à 13:09
Salut,
Je regarde cela.
Je regarde cela.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
1 nov. 2016 à 13:11
1 nov. 2016 à 13:11
Ne fais pas de nettoyage Malwarebytes.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
Modifié par Malekal_morte- le 1/11/2016 à 13:14
Modifié par Malekal_morte- le 1/11/2016 à 13:14
Voici les deux étapes à réaliser :
Ne fais pas de nettoyage Malwarebytes pour le moment.
1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Remets/Vérifie que tous les serveurs de noms (DNS) sont automatiques. Suis le paragraphe "manuellement" du tutoriel pour réintialiser les DNS PUIS vide ensuite le cache DNS et internet. Ces 3 étapes sont importantes et à faire sinon les publicités vont continuer.
Veuillez appuyer sur une touche pour continuer la désinfection...
Ne fais pas de nettoyage Malwarebytes pour le moment.
1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
Task: {7C85CE7B-D434-46F4-B24F-00FFCB75DF62} - System32\Tasks\KuaiZip_Update => C:\PROGRA~1\F85A~1\X86\Update.exe <==== ATTENTION
HKLM\...\Run: [listes_stages (5)] => wscript.exe //B "C:\Users\bassam\AppData\Local\Temp\listes_stages (5).vbs" <===== ATTENTION
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\...\Run: [listes_stages (5)] => wscript.exe //B "C:\Users\bassam\AppData\Local\Temp\listes_stages (5).vbs" <===== ATTENTION
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\...\Run: [Installer] => C:\Users\bassam\AppData\Local\Temp\is-94VU9.tmp\51490.exe [1839616 2016-09-08] () <===== ATTENTION
HKLM-x32\...\Run: [AdAnti] => C:\Users\bassam\AppData\Local\Temp\00000984\AdAnti11.exe [19164608 2016-09-11] () <===== ATTENTION
Startup: C:\Users\bassam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\listes_stages (5).vbs [2014-10-06] ()
AppInit_DLLs: C:\ProgramData\Utatity\Faseovetip.dll => Pas de fichier
AppInit_DLLs-x32: C:\ProgramData\Utatity\TampNamlab.dll => Pas de fichier
ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => C:\Program Files\ZipTool\JZipExt.dll [2015-11-30] ()
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\¿ìѹ\X64\KZipShell.dll [2016-09-11] ()
S2 Utatity; pas de ImagePath <==== ATTENTION
S2 ziphost; c:\program files\ziptool\ziphost.dll [X] <==== ATTENTION
R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [931504 2016-08-29] ()
S3 MyWiFiDHCPDNS; C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe [273136 2013-07-17] ()
R2 KuaizipUpdateChecker; C:\Program Files\¿ìѹ\X86\kuaizipUpdateChecker.dll [219072 2016-09-11] ()
R2 CfHelper33; C:\Users\MSUser.Default\Help_3\CfHelp33.exe [190980 2016-09-10] () [Fichier non signé]
R2 CfHelper44; C:\Users\MSUser.Default\Help_4\CfHelp44.exe [190980 2016-09-10] () [Fichier non signé]
R2 CfHelper55; C:\Users\MSUser.Default\Help_5\CfHelp55.exe [190980 2016-09-10] () [Fichier non signé]
R2 CfHelper66; C:\Users\MSUser.Default\Help_6\CfHelp66.exe [190980 2016-09-10] () [Fichier non signé]
R2 ComputerZLock; C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [44264 2016-05-19] (www.ludashi.com) <==== ATTENTION
R3 ComputerZ_x64; C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [49152 2016-06-27] (ludashi.com) <==== ATTENTION
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== ATTENTION
2016-09-11 13:23 - 2016-09-11 13:23 - 00003434 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
2016-09-11 13:23 - 2016-09-11 13:23 - 00002560 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
2016-09-11 13:23 - 2016-09-11 13:23 - 00001510 _____ C:\Users\Public\Desktop\UC浏览器.lnk
2016-09-11 13:23 - 2016-09-11 13:23 - 00000458 _____ C:\Windows\Tasks\UCBrowserUpdater.job
2016-09-11 13:23 - 2016-09-11 13:23 - 00000294 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
2016-09-11 13:18 - 2016-09-11 13:23 - 00000000 ____D C:\Program Files (x86)\AdAnti
2016-09-11 13:18 - 2016-09-11 13:18 - 00000000 ____D C:\Users\bassam\AppData\Roaming\Tencent
2016-09-11 13:00 - 2016-09-11 13:00 - 00000000 ____D C:\Users\bassam\AppData\Roaming\Microsoft\Windows\Start Menu\净广大师
2016-09-11 12:55 - 2016-09-11 13:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaohaWiFi
2016-09-11 12:55 - 2016-09-11 12:55 - 00000000 ____D C:\Program Files (x86)\GreatMaker
2016-09-11 12:46 - 2016-09-11 12:46 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress
2016-09-11 12:44 - 2016-09-11 12:45 - 00000000 ____D C:\Users\bassam\AppData\Roaming\lockhomepage
2016-09-11 12:27 - 2016-09-11 13:23 - 00001522 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
2016-09-11 12:27 - 2016-09-11 13:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
2016-09-11 03:15 - 2016-09-11 13:20 - 00000000 ____D C:\Program Files\ZipTool
2016-09-11 02:40 - 2016-09-11 02:40 - 00003918 _____ C:\Windows\System32\Tasks\SafeZone scheduled Autoupdate 1473558030
2016-09-11 02:31 - 2016-09-11 02:31 - 00992960 _____ (Microsoft Corporation) C:\Windows\system32\ucrtbase.dll
2016-09-11 02:31 - 2016-09-11 02:31 - 00921280 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ucrtbase.dll
2016-09-11 01:18 - 2016-09-11 01:18 - 00000000 ____D C:\Program Files\¿ìѹ
2016-09-10 20:49 - 2016-09-11 12:45 - 00000000 ____D C:\Users\bassam\AppData\Roaming\Ludashi
2016-09-10 20:49 - 2016-09-10 21:07 - 00000000 ____D C:\Program Files (x86)\LuDaShi
2016-09-10 20:49 - 2016-09-10 20:49 - 00000000 ____D C:\Program Files (x86)\LDSGameCenter
2016-09-10 20:42 - 2016-09-11 01:18 - 00003378 _____ C:\Windows\System32\Tasks\KuaiZip_Update
2016-09-10 20:42 - 2016-09-10 20:57 - 00000000 ____D C:\Users\bassam\AppData\Roaming\Kuaizip
2016-09-10 20:42 - 2016-09-10 20:42 - 00092872 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys
2016-09-10 19:05 - 2016-09-11 13:23 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2016-09-10 19:05 - 2016-09-10 19:05 - 00000000 ____D C:\Users\bassam\AppData\Local\UCBrowser
2016-09-10 19:05 - 2016-08-29 11:50 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\Windows\system32\Drivers\ucguard.sys
2016-09-10 19:04 - 2016-09-10 19:05 - 00000000 ____D C:\Users\Public\Thunder Network
2016-09-10 19:04 - 2016-09-10 19:04 - 00000000 ____D C:\ProgramData\Thunder Network
2016-09-10 18:59 - 2016-09-11 13:12 - 00000000 ____D C:\Users\bassam\AppData\Local\app
2016-09-10 18:58 - 2016-09-11 13:13 - 00000046 _____ C:\Windows\Joberphlusisp
2016-09-10 18:58 - 2016-09-10 19:14 - 00000000 ____D C:\Program Files (x86)\Rerwadomeboch
2016-09-10 18:58 - 2016-09-10 19:13 - 00000000 ____D C:\Users\bassam\AppData\Local\Nonuward
2016-09-10 18:58 - 2016-09-10 18:58 - 00008890 _____ C:\Windows\System32\Tasks\Muroghfibch Cloud
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default\Help_6
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default\Help_5
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default\Help_4
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default\Help_3
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ____D C:\ProgramData\Avira
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ____D C:\ProgramData\Avg
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
ShortcutWithArgument: C:\Users\bassam\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\Desktop\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.LNK -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
Hosts:
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Remets/Vérifie que tous les serveurs de noms (DNS) sont automatiques. Suis le paragraphe "manuellement" du tutoriel pour réintialiser les DNS PUIS vide ensuite le cache DNS et internet. Ces 3 étapes sont importantes et à faire sinon les publicités vont continuer.
Veuillez appuyer sur une touche pour continuer la désinfection...
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 30-10-2016
Exécuté par bassam (01-11-2016 13:35:56) Run:2
Exécuté depuis C:\Users\bassam\Desktop
Profils chargés: bassam (Profils disponibles: bassam)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
Task: {7C85CE7B-D434-46F4-B24F-00FFCB75DF62} - System32\Tasks\KuaiZip_Update => C:\PROGRA~1\F85A~1\X86\Update.exe <==== ATTENTION
HKLM\...\Run: [listes_stages (5)] => wscript.exe //B "C:\Users\bassam\AppData\Local\Temp\listes_stages (5).vbs" <===== ATTENTION
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\...\Run: [listes_stages (5)] => wscript.exe //B "C:\Users\bassam\AppData\Local\Temp\listes_stages (5).vbs" <===== ATTENTION
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\...\Run: [Installer] => C:\Users\bassam\AppData\Local\Temp\is-94VU9.tmp\51490.exe [1839616 2016-09-08] () <===== ATTENTION
HKLM-x32\...\Run: [AdAnti] => C:\Users\bassam\AppData\Local\Temp\00000984\AdAnti11.exe [19164608 2016-09-11] () <===== ATTENTION
Startup: C:\Users\bassam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\listes_stages (5).vbs [2014-10-06] ()
AppInit_DLLs: C:\ProgramData\Utatity\Faseovetip.dll => Pas de fichier
AppInit_DLLs-x32: C:\ProgramData\Utatity\TampNamlab.dll => Pas de fichier
ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => C:\Program Files\ZipTool\JZipExt.dll [2015-11-30] ()
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\¿ìѹ\X64\KZipShell.dll [2016-09-11] ()
S2 Utatity; pas de ImagePath <==== ATTENTION
S2 ziphost; c:\program files\ziptool\ziphost.dll [X] <==== ATTENTION
R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [931504 2016-08-29] ()
S3 MyWiFiDHCPDNS; C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe [273136 2013-07-17] ()
R2 KuaizipUpdateChecker; C:\Program Files\¿ìѹ\X86\kuaizipUpdateChecker.dll [219072 2016-09-11] ()
R2 CfHelper33; C:\Users\MSUser.Default\Help_3\CfHelp33.exe [190980 2016-09-10] () [Fichier non signé]
R2 CfHelper44; C:\Users\MSUser.Default\Help_4\CfHelp44.exe [190980 2016-09-10] () [Fichier non signé]
R2 CfHelper55; C:\Users\MSUser.Default\Help_5\CfHelp55.exe [190980 2016-09-10] () [Fichier non signé]
R2 CfHelper66; C:\Users\MSUser.Default\Help_6\CfHelp66.exe [190980 2016-09-10] () [Fichier non signé]
R2 ComputerZLock; C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [44264 2016-05-19] (www.ludashi.com) <==== ATTENTION
R3 ComputerZ_x64; C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [49152 2016-06-27] (ludashi.com) <==== ATTENTION
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== ATTENTION
2016-09-11 13:23 - 2016-09-11 13:23 - 00003434 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
2016-09-11 13:23 - 2016-09-11 13:23 - 00002560 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
2016-09-11 13:23 - 2016-09-11 13:23 - 00001510 _____ C:\Users\Public\Desktop\UC???.lnk
2016-09-11 13:23 - 2016-09-11 13:23 - 00000458 _____ C:\Windows\Tasks\UCBrowserUpdater.job
2016-09-11 13:23 - 2016-09-11 13:23 - 00000294 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
2016-09-11 13:18 - 2016-09-11 13:23 - 00000000 ____D C:\Program Files (x86)\AdAnti
2016-09-11 13:18 - 2016-09-11 13:18 - 00000000 ____D C:\Users\bassam\AppData\Roaming\Tencent
2016-09-11 13:00 - 2016-09-11 13:00 - 00000000 ____D C:\Users\bassam\AppData\Roaming\Microsoft\Windows\Start Menu\????
2016-09-11 12:55 - 2016-09-11 13:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaohaWiFi
2016-09-11 12:55 - 2016-09-11 12:55 - 00000000 ____D C:\Program Files (x86)\GreatMaker
2016-09-11 12:46 - 2016-09-11 12:46 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress
2016-09-11 12:44 - 2016-09-11 12:45 - 00000000 ____D C:\Users\bassam\AppData\Roaming\lockhomepage
2016-09-11 12:27 - 2016-09-11 13:23 - 00001522 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC???.lnk
2016-09-11 12:27 - 2016-09-11 13:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC???
2016-09-11 03:15 - 2016-09-11 13:20 - 00000000 ____D C:\Program Files\ZipTool
2016-09-11 02:40 - 2016-09-11 02:40 - 00003918 _____ C:\Windows\System32\Tasks\SafeZone scheduled Autoupdate 1473558030
2016-09-11 02:31 - 2016-09-11 02:31 - 00992960 _____ (Microsoft Corporation) C:\Windows\system32\ucrtbase.dll
2016-09-11 02:31 - 2016-09-11 02:31 - 00921280 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ucrtbase.dll
2016-09-11 01:18 - 2016-09-11 01:18 - 00000000 ____D C:\Program Files\¿ìѹ
2016-09-10 20:49 - 2016-09-11 12:45 - 00000000 ____D C:\Users\bassam\AppData\Roaming\Ludashi
2016-09-10 20:49 - 2016-09-10 21:07 - 00000000 ____D C:\Program Files (x86)\LuDaShi
2016-09-10 20:49 - 2016-09-10 20:49 - 00000000 ____D C:\Program Files (x86)\LDSGameCenter
2016-09-10 20:42 - 2016-09-11 01:18 - 00003378 _____ C:\Windows\System32\Tasks\KuaiZip_Update
2016-09-10 20:42 - 2016-09-10 20:57 - 00000000 ____D C:\Users\bassam\AppData\Roaming\Kuaizip
2016-09-10 20:42 - 2016-09-10 20:42 - 00092872 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys
2016-09-10 19:05 - 2016-09-11 13:23 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2016-09-10 19:05 - 2016-09-10 19:05 - 00000000 ____D C:\Users\bassam\AppData\Local\UCBrowser
2016-09-10 19:05 - 2016-08-29 11:50 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\Windows\system32\Drivers\ucguard.sys
2016-09-10 19:04 - 2016-09-10 19:05 - 00000000 ____D C:\Users\Public\Thunder Network
2016-09-10 19:04 - 2016-09-10 19:04 - 00000000 ____D C:\ProgramData\Thunder Network
2016-09-10 18:59 - 2016-09-11 13:12 - 00000000 ____D C:\Users\bassam\AppData\Local\app
2016-09-10 18:58 - 2016-09-11 13:13 - 00000046 _____ C:\Windows\Joberphlusisp
2016-09-10 18:58 - 2016-09-10 19:14 - 00000000 ____D C:\Program Files (x86)\Rerwadomeboch
2016-09-10 18:58 - 2016-09-10 19:13 - 00000000 ____D C:\Users\bassam\AppData\Local\Nonuward
2016-09-10 18:58 - 2016-09-10 18:58 - 00008890 _____ C:\Windows\System32\Tasks\Muroghfibch Cloud
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default\Help_6
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default\Help_5
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default\Help_4
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default\Help_3
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ____D C:\ProgramData\Avira
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ____D C:\ProgramData\Avg
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
ShortcutWithArgument: C:\Users\bassam\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\Desktop\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.LNK -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
Hosts:
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Windows\Tasks\UCBrowserUpdater.job => non trouvé(e).
C:\Windows\Tasks\UCBrowserUpdaterCore.job => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7C85CE7B-D434-46F4-B24F-00FFCB75DF62} => clé non trouvé(e).
C:\Windows\System32\Tasks\KuaiZip_Update => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\KuaiZip_Update => clé non trouvé(e).
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\listes_stages (5) => valeur non trouvé(e).
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\Software\Microsoft\Windows\CurrentVersion\Run\\listes_stages (5) => valeur non trouvé(e).
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Installer => valeur non trouvé(e).
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\AdAnti => valeur non trouvé(e).
C:\Users\bassam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\listes_stages (5).vbs => non trouvé(e).
"C:\ProgramData\Utatity\Faseovetip.dll" => Données de la valeur non trouvé(e).
"C:\ProgramData\Utatity\TampNamlab.dll" => Données de la valeur non trouvé(e).
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\JzShlobj => clé non trouvé(e).
HKCR\CLSID\{7B286609-DA97-47E1-AC6B-33B8B4732C95} => clé non trouvé(e).
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj" => clé supprimé(es) avec succès
HKCR\CLSID\{AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => clé non trouvé(e).
Utatity => service non trouvé(e).
ziphost => service non trouvé(e).
UCBrowserSvc => service non trouvé(e).
MyWiFiDHCPDNS => service non trouvé(e).
KuaizipUpdateChecker => service non trouvé(e).
CfHelper33 => service non trouvé(e).
CfHelper44 => service non trouvé(e).
CfHelper55 => service non trouvé(e).
CfHelper66 => service non trouvé(e).
ComputerZLock => Service arrêté avec succès.
ComputerZLock => service supprimé(es) avec succès
ComputerZ_x64 => Service arrêté avec succès.
ComputerZ_x64 => service supprimé(es) avec succès
Exécuté par bassam (01-11-2016 13:35:56) Run:2
Exécuté depuis C:\Users\bassam\Desktop
Profils chargés: bassam (Profils disponibles: bassam)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
Task: {7C85CE7B-D434-46F4-B24F-00FFCB75DF62} - System32\Tasks\KuaiZip_Update => C:\PROGRA~1\F85A~1\X86\Update.exe <==== ATTENTION
HKLM\...\Run: [listes_stages (5)] => wscript.exe //B "C:\Users\bassam\AppData\Local\Temp\listes_stages (5).vbs" <===== ATTENTION
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\...\Run: [listes_stages (5)] => wscript.exe //B "C:\Users\bassam\AppData\Local\Temp\listes_stages (5).vbs" <===== ATTENTION
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\...\Run: [Installer] => C:\Users\bassam\AppData\Local\Temp\is-94VU9.tmp\51490.exe [1839616 2016-09-08] () <===== ATTENTION
HKLM-x32\...\Run: [AdAnti] => C:\Users\bassam\AppData\Local\Temp\00000984\AdAnti11.exe [19164608 2016-09-11] () <===== ATTENTION
Startup: C:\Users\bassam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\listes_stages (5).vbs [2014-10-06] ()
AppInit_DLLs: C:\ProgramData\Utatity\Faseovetip.dll => Pas de fichier
AppInit_DLLs-x32: C:\ProgramData\Utatity\TampNamlab.dll => Pas de fichier
ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => C:\Program Files\ZipTool\JZipExt.dll [2015-11-30] ()
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\¿ìѹ\X64\KZipShell.dll [2016-09-11] ()
S2 Utatity; pas de ImagePath <==== ATTENTION
S2 ziphost; c:\program files\ziptool\ziphost.dll [X] <==== ATTENTION
R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [931504 2016-08-29] ()
S3 MyWiFiDHCPDNS; C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe [273136 2013-07-17] ()
R2 KuaizipUpdateChecker; C:\Program Files\¿ìѹ\X86\kuaizipUpdateChecker.dll [219072 2016-09-11] ()
R2 CfHelper33; C:\Users\MSUser.Default\Help_3\CfHelp33.exe [190980 2016-09-10] () [Fichier non signé]
R2 CfHelper44; C:\Users\MSUser.Default\Help_4\CfHelp44.exe [190980 2016-09-10] () [Fichier non signé]
R2 CfHelper55; C:\Users\MSUser.Default\Help_5\CfHelp55.exe [190980 2016-09-10] () [Fichier non signé]
R2 CfHelper66; C:\Users\MSUser.Default\Help_6\CfHelp66.exe [190980 2016-09-10] () [Fichier non signé]
R2 ComputerZLock; C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [44264 2016-05-19] (www.ludashi.com) <==== ATTENTION
R3 ComputerZ_x64; C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [49152 2016-06-27] (ludashi.com) <==== ATTENTION
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== ATTENTION
2016-09-11 13:23 - 2016-09-11 13:23 - 00003434 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
2016-09-11 13:23 - 2016-09-11 13:23 - 00002560 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
2016-09-11 13:23 - 2016-09-11 13:23 - 00001510 _____ C:\Users\Public\Desktop\UC???.lnk
2016-09-11 13:23 - 2016-09-11 13:23 - 00000458 _____ C:\Windows\Tasks\UCBrowserUpdater.job
2016-09-11 13:23 - 2016-09-11 13:23 - 00000294 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
2016-09-11 13:18 - 2016-09-11 13:23 - 00000000 ____D C:\Program Files (x86)\AdAnti
2016-09-11 13:18 - 2016-09-11 13:18 - 00000000 ____D C:\Users\bassam\AppData\Roaming\Tencent
2016-09-11 13:00 - 2016-09-11 13:00 - 00000000 ____D C:\Users\bassam\AppData\Roaming\Microsoft\Windows\Start Menu\????
2016-09-11 12:55 - 2016-09-11 13:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaohaWiFi
2016-09-11 12:55 - 2016-09-11 12:55 - 00000000 ____D C:\Program Files (x86)\GreatMaker
2016-09-11 12:46 - 2016-09-11 12:46 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress
2016-09-11 12:44 - 2016-09-11 12:45 - 00000000 ____D C:\Users\bassam\AppData\Roaming\lockhomepage
2016-09-11 12:27 - 2016-09-11 13:23 - 00001522 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC???.lnk
2016-09-11 12:27 - 2016-09-11 13:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC???
2016-09-11 03:15 - 2016-09-11 13:20 - 00000000 ____D C:\Program Files\ZipTool
2016-09-11 02:40 - 2016-09-11 02:40 - 00003918 _____ C:\Windows\System32\Tasks\SafeZone scheduled Autoupdate 1473558030
2016-09-11 02:31 - 2016-09-11 02:31 - 00992960 _____ (Microsoft Corporation) C:\Windows\system32\ucrtbase.dll
2016-09-11 02:31 - 2016-09-11 02:31 - 00921280 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ucrtbase.dll
2016-09-11 01:18 - 2016-09-11 01:18 - 00000000 ____D C:\Program Files\¿ìѹ
2016-09-10 20:49 - 2016-09-11 12:45 - 00000000 ____D C:\Users\bassam\AppData\Roaming\Ludashi
2016-09-10 20:49 - 2016-09-10 21:07 - 00000000 ____D C:\Program Files (x86)\LuDaShi
2016-09-10 20:49 - 2016-09-10 20:49 - 00000000 ____D C:\Program Files (x86)\LDSGameCenter
2016-09-10 20:42 - 2016-09-11 01:18 - 00003378 _____ C:\Windows\System32\Tasks\KuaiZip_Update
2016-09-10 20:42 - 2016-09-10 20:57 - 00000000 ____D C:\Users\bassam\AppData\Roaming\Kuaizip
2016-09-10 20:42 - 2016-09-10 20:42 - 00092872 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys
2016-09-10 19:05 - 2016-09-11 13:23 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2016-09-10 19:05 - 2016-09-10 19:05 - 00000000 ____D C:\Users\bassam\AppData\Local\UCBrowser
2016-09-10 19:05 - 2016-08-29 11:50 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\Windows\system32\Drivers\ucguard.sys
2016-09-10 19:04 - 2016-09-10 19:05 - 00000000 ____D C:\Users\Public\Thunder Network
2016-09-10 19:04 - 2016-09-10 19:04 - 00000000 ____D C:\ProgramData\Thunder Network
2016-09-10 18:59 - 2016-09-11 13:12 - 00000000 ____D C:\Users\bassam\AppData\Local\app
2016-09-10 18:58 - 2016-09-11 13:13 - 00000046 _____ C:\Windows\Joberphlusisp
2016-09-10 18:58 - 2016-09-10 19:14 - 00000000 ____D C:\Program Files (x86)\Rerwadomeboch
2016-09-10 18:58 - 2016-09-10 19:13 - 00000000 ____D C:\Users\bassam\AppData\Local\Nonuward
2016-09-10 18:58 - 2016-09-10 18:58 - 00008890 _____ C:\Windows\System32\Tasks\Muroghfibch Cloud
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default\Help_6
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default\Help_5
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default\Help_4
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default\Help_3
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ___HD C:\Users\MSUser.Default
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ____D C:\ProgramData\Avira
2016-09-10 18:58 - 2016-09-10 18:58 - 00000000 ____D C:\ProgramData\Avg
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
ShortcutWithArgument: C:\Users\bassam\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\Desktop\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.LNK -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
Hosts:
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Windows\Tasks\UCBrowserUpdater.job => non trouvé(e).
C:\Windows\Tasks\UCBrowserUpdaterCore.job => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7C85CE7B-D434-46F4-B24F-00FFCB75DF62} => clé non trouvé(e).
C:\Windows\System32\Tasks\KuaiZip_Update => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\KuaiZip_Update => clé non trouvé(e).
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\listes_stages (5) => valeur non trouvé(e).
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\Software\Microsoft\Windows\CurrentVersion\Run\\listes_stages (5) => valeur non trouvé(e).
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Installer => valeur non trouvé(e).
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\AdAnti => valeur non trouvé(e).
C:\Users\bassam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\listes_stages (5).vbs => non trouvé(e).
"C:\ProgramData\Utatity\Faseovetip.dll" => Données de la valeur non trouvé(e).
"C:\ProgramData\Utatity\TampNamlab.dll" => Données de la valeur non trouvé(e).
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\JzShlobj => clé non trouvé(e).
HKCR\CLSID\{7B286609-DA97-47E1-AC6B-33B8B4732C95} => clé non trouvé(e).
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj" => clé supprimé(es) avec succès
HKCR\CLSID\{AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => clé non trouvé(e).
Utatity => service non trouvé(e).
ziphost => service non trouvé(e).
UCBrowserSvc => service non trouvé(e).
MyWiFiDHCPDNS => service non trouvé(e).
KuaizipUpdateChecker => service non trouvé(e).
CfHelper33 => service non trouvé(e).
CfHelper44 => service non trouvé(e).
CfHelper55 => service non trouvé(e).
CfHelper66 => service non trouvé(e).
ComputerZLock => Service arrêté avec succès.
ComputerZLock => service supprimé(es) avec succès
ComputerZ_x64 => Service arrêté avec succès.
ComputerZ_x64 => service supprimé(es) avec succès
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
1 nov. 2016 à 14:58
1 nov. 2016 à 14:58
ok fais le 2/
puis un nouveau scan FRST avec les nouveaux rapports via pjjoint.
et ne fais pas de scan Malwarebytes.
puis un nouveau scan FRST avec les nouveaux rapports via pjjoint.
et ne fais pas de scan Malwarebytes.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
Modifié par Malekal_morte- le 1/11/2016 à 20:09
Modifié par Malekal_morte- le 1/11/2016 à 20:09
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
puis :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
et à nouveau un scan FRST avec les nouveaux rapports.
Veuillez appuyer sur une touche pour continuer la désinfection...
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
puis :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
S2 MuroghfibchCloud; C:\Program Files (x86)\Rerwadomeboch\IrrCnf.dll [X]
R2 ComputerZLock; C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [44264 2016-05-19] (www.ludashi.com) <==== ATTENTION
R3 ComputerZ_x64; C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [49152 2016-06-27] (ludashi.com) <==== ATTENTION
R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-09-10] (WinMount International Inc)
R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x64.sys [80850 ] (UC Web Inc.) <==== ATTENTION
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== ATTENTION
2016-10-21 00:19 - 2016-11-01 17:37 - 00000326 _____ C:\Windows\Tasks\DandelionStarter.job
2016-10-21 00:19 - 2016-10-22 12:55 - 00003242 _____ C:\Windows\System32\Tasks\DandelionStarter
2016-10-21 00:19 - 2016-10-21 12:01 - 00000000 ____D C:\Users\bassam\AppData\Local\Dandelion
2016-10-21 00:19 - 2016-10-21 00:19 - 00000000 ____D C:\Users\bassam\AppData\Roaming\MiniUpgrade
2016-10-21 00:19 - 2016-10-21 00:19 - 00000000 ____D C:\Users\bassam\AppData\Roaming\dandelion
2016-10-13 00:50 - 2016-11-01 14:27 - 00004444 _____ C:\Windows\System32\Tasks\SecureUpdater
2016-10-21 11:20 - 2016-09-22 12:13 - 00000000 ____D C:\Users\bassam\AppData\Roaming\AdAnti
2016-10-20 18:06 - 2016-09-10 18:05 - 00000000 ____D C:\Program Files (x86)\UCBrowser
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
Task: {B829EDDD-976E-48CC-8B10-CC8506DAB35D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-10-19] (UCWeb Inc) <==== ATTENTION
Task: {C5CD6760-5FB7-40FB-B321-A0C0CDDCE10F} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe [2016-10-13] (UC Web Inc.) <==== ATTENTION
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
Hosts:
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
et à nouveau un scan FRST avec les nouveaux rapports.
Veuillez appuyer sur une touche pour continuer la désinfection...
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 30-10-2016
Exécuté par bassam (01-11-2016 18:48:50) Run:3
Exécuté depuis C:\Users\bassam\Desktop
Profils chargés: bassam (Profils disponibles: bassam)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
S2 MuroghfibchCloud; C:\Program Files (x86)\Rerwadomeboch\IrrCnf.dll [X]
R2 ComputerZLock; C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [44264 2016-05-19] (www.ludashi.com) <==== ATTENTION
R3 ComputerZ_x64; C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [49152 2016-06-27] (ludashi.com) <==== ATTENTION
R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-09-10] (WinMount International Inc)
R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x64.sys [80850 ] (UC Web Inc.) <==== ATTENTION
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== ATTENTION
2016-10-23 02:24 - 2016-10-23 02:24 - 00018968 _____ C:\Users\bassam\Downloads\westworld-season-1-episode-2-english-25228.zip
2016-10-21 00:19 - 2016-11-01 17:37 - 00000326 _____ C:\Windows\Tasks\DandelionStarter.job
2016-10-21 00:19 - 2016-10-22 12:55 - 00003242 _____ C:\Windows\System32\Tasks\DandelionStarter
2016-10-21 00:19 - 2016-10-21 12:01 - 00000000 ____D C:\Users\bassam\AppData\Local\Dandelion
2016-10-21 00:19 - 2016-10-21 00:19 - 00000000 ____D C:\Users\bassam\AppData\Roaming\MiniUpgrade
2016-10-21 00:19 - 2016-10-21 00:19 - 00000000 ____D C:\Users\bassam\AppData\Roaming\dandelion
2016-10-19 17:03 - 2016-10-19 17:03 - 00021572 _____ C:\Users\bassam\Downloads\westworld-season-1-episode-1-english-25041.zip
2016-10-13 00:50 - 2016-11-01 14:27 - 00004444 _____ C:\Windows\System32\Tasks\SecureUpdater
2016-10-21 11:20 - 2016-09-22 12:13 - 00000000 ____D C:\Users\bassam\AppData\Roaming\AdAnti
2016-10-20 18:06 - 2016-09-10 18:05 - 00000000 ____D C:\Program Files (x86)\UCBrowser
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
Task: {B829EDDD-976E-48CC-8B10-CC8506DAB35D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-10-19] (UCWeb Inc) <==== ATTENTION
Task: {C5CD6760-5FB7-40FB-B321-A0C0CDDCE10F} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe [2016-10-13] (UC Web Inc.) <==== ATTENTION
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
Hosts:
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
MuroghfibchCloud => service supprimé(es) avec succès
ComputerZLock => Service arrêté avec succès.
ComputerZLock => service supprimé(es) avec succès
ComputerZ_x64 => Service arrêté avec succès.
ComputerZ_x64 => service supprimé(es) avec succès
KuaiZipDrive => Impossible d'arrêter le service.
KuaiZipDrive => service supprimé(es) avec succès
ucdrv => Service arrêté avec succès.
ucdrv => service supprimé(es) avec succès
Exécuté par bassam (01-11-2016 18:48:50) Run:3
Exécuté depuis C:\Users\bassam\Desktop
Profils chargés: bassam (Profils disponibles: bassam)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
S2 MuroghfibchCloud; C:\Program Files (x86)\Rerwadomeboch\IrrCnf.dll [X]
R2 ComputerZLock; C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [44264 2016-05-19] (www.ludashi.com) <==== ATTENTION
R3 ComputerZ_x64; C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [49152 2016-06-27] (ludashi.com) <==== ATTENTION
R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-09-10] (WinMount International Inc)
R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x64.sys [80850 ] (UC Web Inc.) <==== ATTENTION
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== ATTENTION
2016-10-23 02:24 - 2016-10-23 02:24 - 00018968 _____ C:\Users\bassam\Downloads\westworld-season-1-episode-2-english-25228.zip
2016-10-21 00:19 - 2016-11-01 17:37 - 00000326 _____ C:\Windows\Tasks\DandelionStarter.job
2016-10-21 00:19 - 2016-10-22 12:55 - 00003242 _____ C:\Windows\System32\Tasks\DandelionStarter
2016-10-21 00:19 - 2016-10-21 12:01 - 00000000 ____D C:\Users\bassam\AppData\Local\Dandelion
2016-10-21 00:19 - 2016-10-21 00:19 - 00000000 ____D C:\Users\bassam\AppData\Roaming\MiniUpgrade
2016-10-21 00:19 - 2016-10-21 00:19 - 00000000 ____D C:\Users\bassam\AppData\Roaming\dandelion
2016-10-19 17:03 - 2016-10-19 17:03 - 00021572 _____ C:\Users\bassam\Downloads\westworld-season-1-episode-1-english-25041.zip
2016-10-13 00:50 - 2016-11-01 14:27 - 00004444 _____ C:\Windows\System32\Tasks\SecureUpdater
2016-10-21 11:20 - 2016-09-22 12:13 - 00000000 ____D C:\Users\bassam\AppData\Roaming\AdAnti
2016-10-20 18:06 - 2016-09-10 18:05 - 00000000 ____D C:\Program Files (x86)\UCBrowser
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
Task: {B829EDDD-976E-48CC-8B10-CC8506DAB35D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-10-19] (UCWeb Inc) <==== ATTENTION
Task: {C5CD6760-5FB7-40FB-B321-A0C0CDDCE10F} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe [2016-10-13] (UC Web Inc.) <==== ATTENTION
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
Hosts:
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
MuroghfibchCloud => service supprimé(es) avec succès
ComputerZLock => Service arrêté avec succès.
ComputerZLock => service supprimé(es) avec succès
ComputerZ_x64 => Service arrêté avec succès.
ComputerZ_x64 => service supprimé(es) avec succès
KuaiZipDrive => Impossible d'arrêter le service.
KuaiZipDrive => service supprimé(es) avec succès
ucdrv => Service arrêté avec succès.
ucdrv => service supprimé(es) avec succès
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
1 nov. 2016 à 20:13
1 nov. 2016 à 20:13
y a un souci, ça fait deux fois que la suppression n'est que partielle.
Essaye avec celui la pour voir.
et refais un scan FRST ensuite.
Essaye avec celui la pour voir.
et refais un scan FRST ensuite.
CreateRestorePoint:
CloseProcesses:
2016-10-21 00:19 - 2016-11-01 17:37 - 00000326 _____ C:\Windows\Tasks\DandelionStarter.job
2016-10-21 00:19 - 2016-10-22 12:55 - 00003242 _____ C:\Windows\System32\Tasks\DandelionStarter
2016-10-21 00:19 - 2016-10-21 12:01 - 00000000 ____D C:\Users\bassam\AppData\Local\Dandelion
2016-10-21 00:19 - 2016-10-21 00:19 - 00000000 ____D C:\Users\bassam\AppData\Roaming\MiniUpgrade
2016-10-21 00:19 - 2016-10-21 00:19 - 00000000 ____D C:\Users\bassam\AppData\Roaming\dandelion
2016-10-13 00:50 - 2016-11-01 14:27 - 00004444 _____ C:\Windows\System32\Tasks\SecureUpdater
2016-10-21 11:20 - 2016-09-22 12:13 - 00000000 ____D C:\Users\bassam\AppData\Roaming\AdAnti
2016-10-20 18:06 - 2016-09-10 18:05 - 00000000 ____D C:\Program Files (x86)\UCBrowser
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
Task: {B829EDDD-976E-48CC-8B10-CC8506DAB35D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-10-19] (UCWeb Inc) <==== ATTENTION
Task: {C5CD6760-5FB7-40FB-B321-A0C0CDDCE10F} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe [2016-10-13] (UC Web Inc.) <==== ATTENTION
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
Hosts:
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 30-10-2016
Exécuté par bassam (01-11-2016 21:49:59) Run:4
Exécuté depuis C:\Users\bassam\Desktop
Profils chargés: bassam (Profils disponibles: bassam)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
2016-10-21 00:19 - 2016-11-01 17:37 - 00000326 _____ C:\Windows\Tasks\DandelionStarter.job
2016-10-21 00:19 - 2016-10-22 12:55 - 00003242 _____ C:\Windows\System32\Tasks\DandelionStarter
2016-10-21 00:19 - 2016-10-21 12:01 - 00000000 ____D C:\Users\bassam\AppData\Local\Dandelion
2016-10-21 00:19 - 2016-10-21 00:19 - 00000000 ____D C:\Users\bassam\AppData\Roaming\MiniUpgrade
2016-10-21 00:19 - 2016-10-21 00:19 - 00000000 ____D C:\Users\bassam\AppData\Roaming\dandelion
2016-10-13 00:50 - 2016-11-01 14:27 - 00004444 _____ C:\Windows\System32\Tasks\SecureUpdater
2016-10-21 11:20 - 2016-09-22 12:13 - 00000000 ____D C:\Users\bassam\AppData\Roaming\AdAnti
2016-10-20 18:06 - 2016-09-10 18:05 - 00000000 ____D C:\Program Files (x86)\UCBrowser
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
Task: {B829EDDD-976E-48CC-8B10-CC8506DAB35D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-10-19] (UCWeb Inc) <==== ATTENTION
Task: {C5CD6760-5FB7-40FB-B321-A0C0CDDCE10F} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe [2016-10-13] (UC Web Inc.) <==== ATTENTION
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
Hosts:
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Windows\Tasks\DandelionStarter.job => déplacé(es) avec succès
C:\Windows\System32\Tasks\DandelionStarter => déplacé(es) avec succès
C:\Users\bassam\AppData\Local\Dandelion => déplacé(es) avec succès
C:\Users\bassam\AppData\Roaming\MiniUpgrade => déplacé(es) avec succès
C:\Users\bassam\AppData\Roaming\dandelion => déplacé(es) avec succès
C:\Windows\System32\Tasks\SecureUpdater => déplacé(es) avec succès
C:\Users\bassam\AppData\Roaming\AdAnti => déplacé(es) avec succès
C:\Program Files (x86)\UCBrowser => déplacé(es) avec succès
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\Software\Microsoft\Windows\CurrentVersion\Run\\SysinfY2X => valeur supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B829EDDD-976E-48CC-8B10-CC8506DAB35D}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B829EDDD-976E-48CC-8B10-CC8506DAB35D}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\UCBrowserUpdaterCore => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\UCBrowserUpdaterCore" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{C5CD6760-5FB7-40FB-B321-A0C0CDDCE10F}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C5CD6760-5FB7-40FB-B321-A0C0CDDCE10F}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\SecureUpdater => non trouvé(e).
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SecureUpdater" => clé supprimé(es) avec succès
C:\Windows\Tasks\UCBrowserUpdaterCore.job => déplacé(es) avec succès
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION => supprimé(es) avec succès
C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
C:\Users\Public\Desktop\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
Le Point de restauration a été créé avec succès.
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 5861254 B
Java, Flash, Steam htmlcache => 794 B
Windows/system/drivers => 8127 B
Edge => 0 B
Chrome => 6462897 B
Firefox => 12905054 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 58715529 B
systemprofile32 => 54152516 B
LocalService => 66228 B
NetworkService => 0 B
bassam => 5934398 B
RecycleBin => 237010 B
EmptyTemp: => 145.7 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Exécuté par bassam (01-11-2016 21:49:59) Run:4
Exécuté depuis C:\Users\bassam\Desktop
Profils chargés: bassam (Profils disponibles: bassam)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
2016-10-21 00:19 - 2016-11-01 17:37 - 00000326 _____ C:\Windows\Tasks\DandelionStarter.job
2016-10-21 00:19 - 2016-10-22 12:55 - 00003242 _____ C:\Windows\System32\Tasks\DandelionStarter
2016-10-21 00:19 - 2016-10-21 12:01 - 00000000 ____D C:\Users\bassam\AppData\Local\Dandelion
2016-10-21 00:19 - 2016-10-21 00:19 - 00000000 ____D C:\Users\bassam\AppData\Roaming\MiniUpgrade
2016-10-21 00:19 - 2016-10-21 00:19 - 00000000 ____D C:\Users\bassam\AppData\Roaming\dandelion
2016-10-13 00:50 - 2016-11-01 14:27 - 00004444 _____ C:\Windows\System32\Tasks\SecureUpdater
2016-10-21 11:20 - 2016-09-22 12:13 - 00000000 ____D C:\Users\bassam\AppData\Roaming\AdAnti
2016-10-20 18:06 - 2016-09-10 18:05 - 00000000 ____D C:\Program Files (x86)\UCBrowser
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
Task: {B829EDDD-976E-48CC-8B10-CC8506DAB35D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-10-19] (UCWeb Inc) <==== ATTENTION
Task: {C5CD6760-5FB7-40FB-B321-A0C0CDDCE10F} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe [2016-10-13] (UC Web Inc.) <==== ATTENTION
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\bassam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
Hosts:
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Windows\Tasks\DandelionStarter.job => déplacé(es) avec succès
C:\Windows\System32\Tasks\DandelionStarter => déplacé(es) avec succès
C:\Users\bassam\AppData\Local\Dandelion => déplacé(es) avec succès
C:\Users\bassam\AppData\Roaming\MiniUpgrade => déplacé(es) avec succès
C:\Users\bassam\AppData\Roaming\dandelion => déplacé(es) avec succès
C:\Windows\System32\Tasks\SecureUpdater => déplacé(es) avec succès
C:\Users\bassam\AppData\Roaming\AdAnti => déplacé(es) avec succès
C:\Program Files (x86)\UCBrowser => déplacé(es) avec succès
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\Software\Microsoft\Windows\CurrentVersion\Run\\SysinfY2X => valeur supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B829EDDD-976E-48CC-8B10-CC8506DAB35D}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B829EDDD-976E-48CC-8B10-CC8506DAB35D}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\UCBrowserUpdaterCore => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\UCBrowserUpdaterCore" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{C5CD6760-5FB7-40FB-B321-A0C0CDDCE10F}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C5CD6760-5FB7-40FB-B321-A0C0CDDCE10F}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\SecureUpdater => non trouvé(e).
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SecureUpdater" => clé supprimé(es) avec succès
C:\Windows\Tasks\UCBrowserUpdaterCore.job => déplacé(es) avec succès
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION => supprimé(es) avec succès
C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
C:\Users\bassam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
C:\Users\Public\Desktop\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1458764687-489425992-1902656381-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
Le Point de restauration a été créé avec succès.
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 5861254 B
Java, Flash, Steam htmlcache => 794 B
Windows/system/drivers => 8127 B
Edge => 0 B
Chrome => 6462897 B
Firefox => 12905054 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 58715529 B
systemprofile32 => 54152516 B
LocalService => 66228 B
NetworkService => 0 B
bassam => 5934398 B
RecycleBin => 237010 B
EmptyTemp: => 145.7 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 21:50:18
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
1 nov. 2016 à 23:02
1 nov. 2016 à 23:02
ok,
Ca a fonctionné là.
Maintenant Télécharge GMER : http://www.gmer.net
Onglet Files
Télécharge et lance le.
Une fois ouvert, tu vas dans l'onglet Files
tu pourras naviguer dans tes dossiers.
Navigue vers C:\Windows\System32\DRIVERS\ucguard.sys
tu le sélectionnes et tu fais kill à droite.
Pareil pour; sélectionne et kill à droite : C:\Windows\system32\drivers\KuaiZipDrive.sys
Si tu vois celui-là aussi C:\Windows\System32\drivers:ucdrv-x64.sys
et :
C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys
C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys
Redémarre l'ordinateur
refais la correction du message #7.
Celui avec l'intégralité du script.
et un nouveau scan FRST pour voir ce qu'il reste.
Ca a fonctionné là.
Maintenant Télécharge GMER : http://www.gmer.net
Onglet Files
Télécharge et lance le.
Une fois ouvert, tu vas dans l'onglet Files
tu pourras naviguer dans tes dossiers.
Navigue vers C:\Windows\System32\DRIVERS\ucguard.sys
tu le sélectionnes et tu fais kill à droite.
Pareil pour; sélectionne et kill à droite : C:\Windows\system32\drivers\KuaiZipDrive.sys
Si tu vois celui-là aussi C:\Windows\System32\drivers:ucdrv-x64.sys
et :
C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys
C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys
Redémarre l'ordinateur
refais la correction du message #7.
Celui avec l'intégralité du script.
et un nouveau scan FRST pour voir ce qu'il reste.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
Modifié par Malekal_morte- le 2/11/2016 à 16:20
Modifié par Malekal_morte- le 2/11/2016 à 16:20
OK,
tu devrais.
Voici 3 solutions à tenter.
solution 1 :
- réinitialiser Windows 10.
Les données utilisateurs ne sont pas touchées.
Il te faudra par contre réinstaller toutes tes applications.
Ca devrait permettre de tout supprimer et repartir sur de bonnes bases.
solution 2 :
Cette solution est à éviter pour le moment, compte tenu des problèmes Malwarebytes : https://forums.commentcamarche.net/forum/affich-34016190-central-menu-demarrer-cortana-et-barre-des-taches-bloques#19 et Windows 10.
MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".
A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
solution 3 :
Démarre sur les options avancés de récupération par cette méthode : https://www.malekal.com/windows10-options-recuperation-systeme/#Methode_1
Tu vas dans le dépannage
Options avancées.
et invite de commandes
et dedans pour tenter de supprimer ces drivers malicieux.
Passe ces commandes :
Pour les deux derniers, mets bien les " au début et à la fin.
ou utilise le CD Live Malekal.
Tu as une interface graphique pour surfer.
puis à nouveau le nettoyage FRST :
refais la correction du message #7.
Celui avec l'intégralité du script.
Veuillez appuyer sur une touche pour continuer la désinfection...
tu devrais.
Voici 3 solutions à tenter.
solution 1 :
- réinitialiser Windows 10.
Les données utilisateurs ne sont pas touchées.
Il te faudra par contre réinstaller toutes tes applications.
Ca devrait permettre de tout supprimer et repartir sur de bonnes bases.
solution 2 :
Cette solution est à éviter pour le moment, compte tenu des problèmes Malwarebytes : https://forums.commentcamarche.net/forum/affich-34016190-central-menu-demarrer-cortana-et-barre-des-taches-bloques#19 et Windows 10.
MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
- Tutoriel Malwarebytes Anti-Malware version gratuite
- Tutoriel MBAM version payante
Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".
A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
solution 3 :
Démarre sur les options avancés de récupération par cette méthode : https://www.malekal.com/windows10-options-recuperation-systeme/#Methode_1
Tu vas dans le dépannage
Options avancées.
et invite de commandes
et dedans pour tenter de supprimer ces drivers malicieux.
Passe ces commandes :
Del /F /Q C:\Windows\System32\DRIVERS\ucguard.sys
Del /F /Q c:\Windows\system32\drivers\KuaiZipDrive.sys
Del /F /Q "C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys"
Del /F /Q "C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys"
Pour les deux derniers, mets bien les " au début et à la fin.
ou utilise le CD Live Malekal.
Tu as une interface graphique pour surfer.
puis à nouveau le nettoyage FRST :
refais la correction du message #7.
Celui avec l'intégralité du script.
Veuillez appuyer sur une touche pour continuer la désinfection...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
>
bassam
2 nov. 2016 à 23:28
2 nov. 2016 à 23:28
ha désolé, je pensais que tu étais en Windows 10.
Bha tente le nettoyage Malwarebytes dans ce cas.
Bha tente le nettoyage Malwarebytes dans ce cas.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
>
bassam
3 nov. 2016 à 20:27
3 nov. 2016 à 20:27
c'est le journal de l'application, pas d'une analyse /scan
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
4 nov. 2016 à 08:50
4 nov. 2016 à 08:50
Base de données de programmes malveillants: v2016.11.03.14
La mise à jour des définitions virales ne se fait pas ?
La mise à jour des définitions virales ne se fait pas ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
>
bassam
4 nov. 2016 à 13:23
4 nov. 2016 à 13:23
J'ai mal lu, elle est à jour.
Refais un scan FRST et donne les liens pjjoint.
Refais un scan FRST et donne les liens pjjoint.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
Modifié par Malekal_morte- le 4/11/2016 à 19:17
Modifié par Malekal_morte- le 4/11/2016 à 19:17
Il ne reste que ces foutus pilotes UCGuard.
On va essayer de le virer avec Combofix.
Télécharge Combofix sUBs sur ton Bureau et pas ailleurs!
Ensuite :
Clique-droit sur le Bureau, dans le menu sélectionner "Nouveau", "Document Texte"
Ouvrir ce document vierge puis copier les lignes suivantes :
Enregistrer maintenant ce fichier sous le nom CFScript
[*] Faire un glisser/déposer de CFScript sur le fichier ComboFix.exe
[*] Combofix va alors se lancer, laisse toi guider..
[*] Patienter le temps du scan. Le Bureau va disparaître à plusieurs reprises: c'est normal!
( Ne toucher à rien tant que le scan n'est pas terminé. )
[*] Une fois le scan achevé, un rapport va s'afficher
[*] Envoyer sur le rapport sur http://pjjoint.malekal.com/
[*] Donner le lien ici dans un nouveau message.
Veuillez appuyer sur une touche pour continuer la désinfection...
On va essayer de le virer avec Combofix.
Télécharge Combofix sUBs sur ton Bureau et pas ailleurs!
Ensuite :
Clique-droit sur le Bureau, dans le menu sélectionner "Nouveau", "Document Texte"
Ouvrir ce document vierge puis copier les lignes suivantes :
driver::
UCGuard
ucdrv
rootkit::
C:\Windows\System32\DRIVERS\ucguard.sys
C:\Windows\System32\drivers:ucdrv-x64.sys
folder::
C:\Windows\System32\Tasks\UCBrowserUpdater
C:\Users\bassam\AppData\Roaming\AdAnti
Enregistrer maintenant ce fichier sous le nom CFScript
[*] Faire un glisser/déposer de CFScript sur le fichier ComboFix.exe
[*] Combofix va alors se lancer, laisse toi guider..
[*] Patienter le temps du scan. Le Bureau va disparaître à plusieurs reprises: c'est normal!
( Ne toucher à rien tant que le scan n'est pas terminé. )
[*] Une fois le scan achevé, un rapport va s'afficher
[*] Envoyer sur le rapport sur http://pjjoint.malekal.com/
[*] Donner le lien ici dans un nouveau message.
Veuillez appuyer sur une touche pour continuer la désinfection...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
>
bassam
4 nov. 2016 à 19:19
4 nov. 2016 à 19:19
J'ai édité la procédure, elle n'était pas tout à fait bonne.
Il faut en fait créer le CFScript.txt avec le contenu donné
et le faire glisser sur l'icône Combofix.
Normalement ça va le lancer et il va exécuter le contenu du CFScript.
Il faut en fait créer le CFScript.txt avec le contenu donné
et le faire glisser sur l'icône Combofix.
Normalement ça va le lancer et il va exécuter le contenu du CFScript.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
5 nov. 2016 à 00:03
5 nov. 2016 à 00:03
il a l'air d'avoir été viré.
Un coup de FRST pour vérifier avec les liens pjjoint.
Un coup de FRST pour vérifier avec les liens pjjoint.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
5 nov. 2016 à 14:02
5 nov. 2016 à 14:02
bon, on lui a bien pété la tête à ce UCGuard =)
Faudrait supprimer ce dossier : C:\Windows\System32\Tasks\UCBrowserUpdater
Tu as des problèmes particuliers ?
Tu as quelle page qui s'ouvre au lancement de Chrome ?
Faudrait supprimer ce dossier : C:\Windows\System32\Tasks\UCBrowserUpdater
Tu as des problèmes particuliers ?
Tu as quelle page qui s'ouvre au lancement de Chrome ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
>
bassam
6 nov. 2016 à 09:32
6 nov. 2016 à 09:32
donc plus de problème ? =)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
6 nov. 2016 à 15:29
6 nov. 2016 à 15:29
de rien :)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
Quelques conseils :
Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
Quelques conseils :
Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)