Mystarting123 : un malware tenace

pixmagic Messages postés 99 Statut Membre -  
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   -
bonjour tout le monde
voilà... j'ai téléch. le logiciel SUPER depuis son site.. j'ai pas fait attention en l'installant et j'ai pas vu qu'il a installé une grande quantité de malware.. depuis, je ne parviens pas à m'en débarrasser...
j'avais, alors, AVIRA (gratuit) que j'utilisais depuis 5 ans sans aucun problème..
- j'ai mis à sa place Kaspersky... rien
- f_secure ... rien
=> ces 2 derniers détectent des menaces, ils les neutralisent mais après redémarrage, les problèmes réapparaissent...
comme vous pouvez le voir sur la capture jointe .. je ne parviens pas à me débarrasser du problème..

je ne peux pas supprimer les moteurs de recherches entourés en rouge (y a pas la croix à droite quand je fais passer le curseur de la souris dessus [à droite]).

+ j'ai essayé d'utiliser la solution de Kaspersky (rescue disk) mais je ne sais pas pourquoi ça ne marche pas.. sur USB, ça bloque toujours après démarrage avec clé usb.

j'ai réinitialisé chrome.. et du fait j'ai perdu tout mes favoris..
mais le problème est toujours là.

*
    • adwcleaner_6.047 trouve 7 à 8 menaces qu'il neutralise mais quand je reboote les meme menaces reviennent...
  • heureusement que j'ai Ubuntu (Linux) en dual boot.. autrement j'aurais tout perdu. depuis les dernieres menaces, j'ai tous mes fichiers dans le Cloud... on ne sait jamais... !


Merci de m'aider par vos conseils.

3 réponses

  1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    --> Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

    Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.

    32 ou 64 bits - Comment savoir ?

    --> Ferme toutes les applications en cours.
    --> Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
    --> Coche la case Addition.txt.
    --> Clique sur Analyser.
    --> Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
    --> Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.
    0
  2. pixmagic
     
    Bonsoir
    je crois que j'ai trouvé une solution qui marche...
    j'ai trouvé sur un forum ceci :
    https://www.nicolascoolman.com/fr/download/resetbrowser/
    télécharger l'application.. la lancer en mode Admin
    et elle va réinitialiser tous les navigateurs installés.
    moi j'ai retrouvé tous mes favoris qui avaient disparus et je me trouve avec des navigateurs tout neufs.
    0
  3. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Il y a d'autres infections.

    Vu que tu as utilisé ResetBrowser entre temps, peux-tu me refaire les rapports FRST / Addition ?
    0
    1. pixmagic Messages postés 99 Statut Membre 3
       
      bonjour
      hier soir j'ai fait un scan avec une clé usb rescue key de Panda Security ... ça a pris 2h et quelques de scan ... Panda a trouvé 4 infection (ch. de Troie) qu'il a désinfecté (mais c'est dans des fichiers compressés que j'ai utilisé une seule fois il y a quelques mois deja) ce qui est un peu étonnant quand meme... je sais que c'est le log. Super qui est la source de l'infection !

      bon, voici le fichier Addidion:
      https://pjjoint.malekal.com/files.php?id=20170529_6j11r6w13i8

      https://pjjoint.malekal.com/files.php?id=FRST_20170529_m5q5i10g13i6

      à l'heure actuelle, je n'ai aucun soucis de navigation.
      0
    2. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
       
      "Copernic Desktop Search 4"

      --> Ce logiciel est voulu ?

      Oui, l'installateur de SUPER propose plein de cochonneries :(

      --> Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
      --> Copie-colle le texte en gras ci-dessous dans le Bloc-notes :


      start
      CreateRestorePoint:
      CloseProcesses:
      HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
      C:\Program Files\Common Files\AV\Spybot - Search and Destroy
      HKLM\...\Providers\oqfxjsqv: C:\Program Files\Hetutain Monitor\local32spl.dll
      C:\Program Files\Hetutain Monitor
      ShellExecuteHooks: Pas de nom - {F5AFEDBA-3EB8-11E7-83D1-64006A5CFC23} - -> Pas de fichier
      BootExecute: autocheck autochk * sdnclean.exe
      DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
      DPF: {CAFEEFAC-0017-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab
      DPF: {CAFEEFAC-0018-0000-0045-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
      DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
      FF HKLM\...\Firefox\Extensions: [12x3q4@3244516.com] - C:\Program Files\Better-Surf\ff => non trouvé(e)
      C:\Program Files\Better-Surf
      FF HKLM\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha877.net] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha877\ff => non trouvé(e)
      CHR HKLM\...\Chrome\Extension: [llpnacfkfgbdhapefgejnoabjhlebpgo] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha877\ch\WebexpEnhancedV1alpha877.crx <non trouvé(e)>
      C:\Program Files\WebexpEnhancedV1
      S2 terana; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL non trouvé(e))
      S2 WinSAPSvc; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL non trouvé(e))
      C:\Users\magic\AppData\Local\terana
      C:\Users\magic\AppData\Roaming\WinSAPSvc
      C:\Program Files\{E0B67BD1-E050-49A3-A92E-673B1B2FDF2C}
      C:\Users\Public\Documents\temp.dat
      C:\Program Files\MIO
      C:\ProgramData\Spybot - Search & Destroy
      C:\ProgramData\KZMount
      C:\Program Files\3SLT0QNUDP
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩
      C:\Users\magic\AppData\Roaming\Perbot
      C:\Windows\system32\Drivers\vcdrom.sys
      C:\Users\magic\AppData\Roaming\ServerTest
      C:\Users\magic\AppData\Local\{6E6CCAF2-2D98-4BCE-8961-B60FC14F793A}
      C:\Users\magic\AppData\Local\{C91BC81D-2FFC-4B8A-8BA6-CC0B9FF09CAA}
      Task: {2BA1A751-6BD8-41C1-ADFC-953F4567D02F} - System32\Tasks\Microsoft\Windows\DeviceSettings\Dicuiedghersapy => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=ST3160212ACE_9LS5HZLDXXXX9LS5HZLD&d=20170525 /q <==== ATTENTION
      Task: {7D6148BE-6970-4E80-B7A6-A9ADE81CBF84} - System32\Tasks\Hetutain Monitor => C:\Program Files\Rehakgekity\yaupdcache.exe
      C:\Program Files\Rehakgekity
      Task: {EA6B7D4B-6D2E-46C8-8F8D-250ED8D4D469} - System32\Tasks\Norton Product InstallerIdle => C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
      Task: C:\Windows\Tasks\Norton Product InstallerIdle.job => C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
      C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
      FirewallRules: [{FB35EB6B-CC45-4CC4-8E52-D1EE14A53F78}] => (Allow) C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
      FirewallRules: [{0FE8A1E2-BA72-40D3-B548-FFBC1DCDA29A}] => (Allow) C:\Program Files\Hippig\Application\chrome.exe
      FirewallRules: [{1DBAFFD7-11BF-4A9D-BD0A-7DC7B5AFB32C}] => (Allow) C:\Program Files\Firefox\bin\FirefoxUpdate.exe
      FirewallRules: [{7C3BE4A6-F332-4EF9-9180-FBEFEFE1D072}] => (Allow) C:\Program Files\Firefox\Firefox.exe
      EmptyTemp:
      end



      --> Enregistre le fichier dans le dossier "Téléchargements" (au même endroit que FRST) sous le nom fixlist.txt
      --> Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
      --> Clique sur Corriger. Patiente le temps de la correction.

      Note : si l'outil a besoin d'un redémarrage, accepte pour qu'il termine son travail.

      --> Une fois la correction terminée, un rapport Fixlog.txt remplacera le fichier fixlist.
      --> Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
      0