Virus startpageing123.com et Chinois

Résolu/Fermé
Matthieu - Modifié par Malekal_morte- le 22/02/2017 à 19:43
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 23 févr. 2017 à 20:36
Bonjour à tous,

J'ai suivi un tuto pour obtenir ce lien et avoir le fichier de correction car j'ai attraper un virus dit "virus chinois"
Voici le lien : https://pjjoint.malekal.com/files.php?id=FRST_20170222_d7x5d5n8j7

Merci à tous de votre aide

Cordialement


6 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
22 févr. 2017 à 19:05
Salut,

Il faudrait aussi donner le rapport Addition.txt
0
Salut,

merci pour ta réponse :)

le voici :

http://pjjoint.malekal.com/files.php?id=20170222_m6q7k512l6

Le fichier est situé dans C:\Users\Public\Documents et c'est un fichier nommé temp.dat. Détecté par adwcleaner_6.043
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 22/02/2017 à 19:43
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


CloseProcesses:
CreateRestorePoint:
HKLM\...\Providers\2lfq7cnq: C:\Program Files (x86)\Artatyvonas Server\local64spl.dll
ShellExecuteHooks: Pas de nom - {E7869040-ECD1-11E6-AD72-64006A5CFC23} - C:\Users\Bureau Johann\AppData\Roaming\Vupeculttusely\Nivghphget.dll -> Pas de fichier
2017-02-21 19:56 - 2017-02-21 22:20 - 00000604 _____ C:\Program Files (x86)\metadata
2017-02-21 19:55 - 2017-02-21 20:05 - 00000000 ____D C:\ProgramData\{BB6F7E0C-312D-F4CA-B7EB-6A882DA9E146}
2017-02-21 19:38 - 2017-02-21 19:38 - 00000000 ____D C:\Program Files\Reason
2017-02-21 19:15 - 2017-02-21 19:15 - 00000384 _____ C:\Windows\SysWOW64\data.bin
2017-02-21 19:15 - 2017-02-21 19:15 - 00000000 ____D C:\Windows\SysWOW64\{8091BF45-791D-4897-AC93-2EC05989C278}
2017-02-20 23:46 - 2017-02-20 23:46 - 00000000 ____D C:\Program Files\2lfq7cnq
2017-02-20 19:17 - 2017-02-21 21:49 - 00000471 _____ C:\RecorderProtectionError.txt
2017-02-11 00:47 - 2017-02-21 22:58 - 00000000 ____D C:\Program Files (x86)\Artatyvonas Server
2017-02-11 00:47 - 2017-02-20 19:17 - 00000000 ____D C:\Users\Bureau Johann\AppData\Roaming\Vupeculttusely
2017-02-11 00:47 - 2017-02-11 00:47 - 00006090 _____ C:\Windows\System32\Tasks\Artatyvonas Server
2017-02-11 00:47 - 2017-02-11 00:47 - 00003786 _____ C:\Windows\System32\Tasks\Tahophwovesp
2017-02-11 00:47 - 2017-02-11 00:47 - 00000000 ____D C:\Users\Bureau Johann\AppData\Local\Cevtherlepit
2017-02-11 00:46 - 2017-02-21 19:42 - 00000000 ____D C:\Program Files\17a1a2a195d069619a7f1cabf4d99d7b
2017-02-10 16:16 - 2017-02-10 16:16 - 03287737 _____ C:\Windows\d2503960606b046a5ce6f3d24be69e20.exe
ShortcutWithArgument: C:\Users\Bureau Johann\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1487700945&z=deda9b1548418721128f1adgdzebdmdm7e8ectfz4q&from=ggg0221&uid=CorsairXForceX3XSSD_11436520000012114178
ShortcutWithArgument: C:\Users\Bureau Johann\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Standuck\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1487700945&z=deda9b1548418721128f1adgdzebdmdm7e8ectfz4q&from=ggg0221&uid=CorsairXForceX3XSSD_114365200000121141784
Task: {248E3E15-2E4E-4BE9-93D0-22CE6A3489AD} - System32\Tasks\Tahophwovesp => msiexec /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel.php?u=CorsairXForceX3XSSD_11436520000012114178&%3Bv=2017211 /q
Task: {35337C46-93CE-49BE-AA76-B1A809AFB4BF} - System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel => C:\Program Files (x86)\BikaQRssReader\BikaQ.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",

A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

2°)
Réinitialise/Répare les navigateurs WEB :

Veuillez appuyer sur une touche pour continuer la désinfection...
0
Un grand merci !

http://pjjoint.malekal.com/files.php?id=20170222_w15y8g15w9z13

Voici le lien.

Le traitement était assez long.

Je n'ai cependant pas fait les navigateurs internet et le fichier est toujours la et quand j'ouvre mon navigateur, j'ai un site qui s'ouvre : startpageing123.com
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
22 févr. 2017 à 20:25
il faut nettoyer tes icônes de lancement.
Clic droit puis propriétés
dans la partie Cible, si tu as une adresse HTTP à la fin
supprime la.

Pour le fichier encore là, c'est lequel ?
0
Matthieu > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
22 févr. 2017 à 21:03
"temp.dat" dans C:\Users\Public\Documents et c'est un fichier nommé temp.dat. Détecté par adwcleaner_6.043
0
Re nouveau scan

Fichier Addition : http://pjjoint.malekal.com/files.php?id=20170222_k9x15b10k10g14
Fichier FRST : http://pjjoint.malekal.com/files.php?id=FRST_20170222_p12h14j7z9s11
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
22 févr. 2017 à 21:37
Les détections AdwCleaner n'ont pas d'importance.

As-tu réinitialisé les navigateurs WEB comme indiqué à la fin de cette page https://forums.commentcamarche.net/forum/affich-34386739-virus-startpageing123-com-et-chinois#3 ?

As-tu vérifié les propriétés de l'icône de lancement comme indiqué là https://forums.commentcamarche.net/forum/affich-34386739-virus-startpageing123-com-et-chinois#5 ?
0
oui je l'ai effectué sauf Microsoft explorer car je ne trouve pas sous Microsoft edge "rétablir les paramètres avancés". Mais sinon tous les autres navigateurs ont étés réinitialisés.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Matthieu
Modifié par Malekal_morte- le 22/02/2017 à 22:01
ok et ton icône pour lancer ton navigateur WEB, y a une adresse dans cible ?

Dans FRST, ça aurait été bien de coché raccouci/shortcut
et de donner le rapport shortcut.txt
0
oui
sous Firefox il y avait un lien dans la cible
sous Microsoft et chrome page de démarrage par défaut.
Mais je ne comprends pas pourquoi j'ai toujours ce fichier temp.dat qui est la et détecté.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Matthieu
23 févr. 2017 à 12:31
On s'en fiche de ce temp.dat
Ca donne quoi sur les navigateurs WEB ?
Si tu as encore startpageing123.com, indique sur quel navigateur WEB
Si le champs cible est ok
et quelle page de démarrage tu as en paramètre.
0
Ok je laisse ce fichier alors !
Tous les navigateurs ok plus de startpageing123.com au démarrage !
Un grand merci ! C'est super cool de ta part :)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 févr. 2017 à 20:36
Super :)



Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite


Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

0