Infection Youndoo

Résolu/Fermé
Kynes - 31 mars 2017 à 21:38
 Kynes - 1 avril 2017 à 16:28
Bonjour,

Malgré un instant de doute, j'ai commis l'erreur d’exécuter un fichier contenant un malware qui a installé Youndoo ainsi que deux ou trois autres crasses. J'ai tenté de m'en débarrasser manuellement mais, même si j'ai trouvé un certain nombre de choses, je dois admettre que ça dépasse mes compétences.

J'ai vu sur une autre discussion qu'il était possible d'obtenir de l'aide en suivant le tutoriel de Malekal sur le FRST (https://www.malekal.com//tutorial-farbar-recovery-scan-tool-frst/) ; ce que je viens de faire.

Voici donc mes trois fichiers texte résultant de l'analyse:
-Addition : http://pjjoint.malekal.com/files.php?id=20170331_g6z12n12r11w14
-FRST : http://pjjoint.malekal.com/files.php?id=FRST_20170331_j11b6q6z8y6
- Shortcut : http://pjjoint.malekal.com/files.php?id=20170331_f14l12l11l7c10


Merci pour l'aide éventuelle que vous pourrez m'apporter,


Bonne soirée,


4 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
31 mars 2017 à 21:55
Salut,

Désinstalle Pokki

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2951041521-115897047-363143652-1002\...\Run: [ContourCameraFinder] => C:\Program Files (x86)\ContourStoryteller\ContourAutoplay.exe [247448 2014-09-18] ()
C:\Program Files (x86)\ContourStoryteller
2017-03-29 18:30 - 2017-03-29 18:31 - 00000000 ____D C:\Users\Kynes\Desktop\Backups
2017-03-29 17:56 - 2017-03-29 17:56 - 00000000 ____D C:\Users\Kynes\AppData\Roaming\BrowserModule
2017-03-29 17:48 - 2017-03-29 17:50 - 00000000 ____D C:\ProgramData\ProductData
2017-03-29 17:48 - 2017-03-29 17:48 - 00027552 _____ (REALiX(tm)) C:\WINDOWS\SysWOW64\Drivers\HWiNFO64A.SYS
2017-03-29 17:48 - 2017-03-29 17:48 - 00002890 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (Kynes)
2017-03-29 17:48 - 2017-03-29 17:48 - 00000000 ____D C:\WINDOWS\IObit
2017-03-29 17:48 - 2017-03-29 17:48 - 00000000 ____D C:\ProgramData\IObit
2017-03-29 17:47 - 2017-03-29 17:47 - 00000000 ____D C:\ProgramData\RegisterObject
2017-03-29 17:46 - 2017-03-29 20:21 - 00000000 ____D C:\Users\Kynes\AppData\Roaming\Guroge
2017-03-29 17:46 - 2017-03-29 17:46 - 00006070 _____ C:\WINDOWS\System32\Tasks\Stivodomhomuch Mapper
2017-03-29 17:45 - 2017-03-29 17:45 - 00005066 _____ C:\WINDOWS\System32\Tasks\Lmeried
2017-03-29 17:33 - 2017-03-29 17:36 - 12951423 _____ (Dennis Meuwissen ) C:\Users\Kynes\Downloads\dvdflick_setup_1.3.0.7.exe
Task: {88535D43-DAC9-4291-BD38-4E03011F8E3D} - System32\Tasks\Driver Booster SkipUAC (Kynes) => C:\Program Files (x86)\IObit\Driver Booster\4.3.0\DriverBooster.exe
Task: {FE98B0D1-B72D-484A-9E9E-787AC530AACC} - System32\Tasks\Microsoft\Windows\Media Center\RegisterObject => C:\\ProgramData\\RegisterObject\\RegisterObject.exe [2017-03-20] () <==== ATTENTION
Task: {BBB8258B-61A9-4F38-B761-A33EE9D526CF} - System32\Tasks\Lmeried => "msiexec" /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel.php?u=TOSHIBAXMQ01ABD100_54JVT2HNTXX54JVT2HNT&v=20170329 /q <==== ATTENTION
Task: {0C7E52B0-94F1-4DAE-B7A8-BFC04DDBFA87} - System32\Tasks\SweetLabs App Platform => C:\Users\Kynes\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe [2015-10-30] (Pokki)
C:\Users\Kynes\AppData\Local\SweetLabs App Platform
HKU\S-1-5-21-2951041521-115897047-363143652-1002\...\RunOnce: [Application Restart #4] => C:\Users\Kynes\AppData\Local\SweetLabs App Platform\Engine\ServiceHostApp.exe [7874048 2015-10-30] (Pokki)
HKU\S-1-5-21-2951041521-115897047-363143652-1002\...\MountPoints2: {0c715103-f8a6-11e4-82d6-28d244a1b0f7} - "F:\SETUP.EXE"
HKLM\...\Providers\ym9luees: C:\Program Files (x86)\Stivodomhomuch Mapper\local64spl.dll
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

3°)
Fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

4°)
Refais un scan FRST et donne les nouveaux rapports via pjjoint


0
Merci beaucoup, ça semble avoir fonctionné.

Je poursuis avec les étapes 3 et 4.
0
Voici les trois nouveaux fichiers obtenus après un scan/nettoyage de Malwarebytes :
- Addition : http://pjjoint.malekal.com/files.php?id=20170401_j10z6p5g14f14
- FRST : http://pjjoint.malekal.com/files.php?id=FRST_20170401_f7e9s12h11v15
- Shortcuts : http://pjjoint.malekal.com/files.php?id=20170401_b7o10t6r15f9

Concernant Pokki, je l'ai désinstallé. Fallait-il le supprimer parce qu'il était corrompu ou parce que Pokki n'est pas fiable d'une manière générale?

J'ai vu ailleurs sur le site de CCM qu'il faisait partie des "Menus démarrer" de substitution. Avez-vous une alternative à me conseiller?

Merci pour votre aide,
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
1 avril 2017 à 12:46
yep c'est bon,

Pokki n'est pas fiable.
Après je ne sais pas que ce CCM dit.

Quelques remarques :

Peut-être désinstaller Quicktime, pas maintenu et possède des vulnérabilités.
A voir si Java est utile, il doit pouvoir être désinstallé.

McAfee aussi, Windows Defender peut suffir.

Pour terminer :

Supprime le dossier C:\FRST


Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite


Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

0
Merci pour tout :-)
0