Virus Chrome Fermé

Question

Bonjour, 



Bonjour, 



Après avoir installer un logiciel apparemment malfaisant sur mon PC, mon navigateur par défaut ne marche plus

Il y a un "bip" quand je l'ouvre,  par défaut c'est maintenant Yahoo

Par moment des pages de pubs s'ouvrent toutes seules, des demandes pour exécuter un logiciel apparaissent aussi

Bref j'ai vraiment besoin d'aide

billmaxime · Answer

salut

fait ceci et poste les rapports

télécharge FRST de (Fabar) sur ton bureau 

https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ 

PS: prends celui correspondant à ton pc (32 ou 64 bits) 

https://www.commentcamarche.net/informatique/windows/169-32-bits-ou-64-bits-comment-savoir/ 

exécute le en tant qu'administrateur (clic droit) 

à la fin du scan, les rapports FRST et ADDITION s'afficheront sur ton bureau et dans C:\FRST\LOG 

poste les rapports via cjoint 

https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers 

@+

Heizzer77123 · Answer

Dossier FRST  https://www.cjoint.com/c/ILwrQLrLjYC

Dossier Addition  https://www.cjoint.com/c/ILwrSvBnxaC

billmaxime · Answer

re

ok, je lis les rapports et je reviens

@+

Heizzer77123 · Answer

super merci, a+ !

billmaxime · Answer

re

tu es en retard de 3 versions pour W10:

Windows 10 Enterprise Version 1803 17134.1184 (X64), on est à la 1909...

fait ceci dans l'ordre indiqué:

1) active la restauration système, car elle est désactivée

2) analyse ce fichier en gras sur VirusTotal clique ici et poste l'URL de la page après analyse

C:\Users\Maël\AppData\Roaming\Z29316383

en attente de ta réponse (ce n'est pas terminé)

@+

Heizzer77123 · Answer

Merci beaucoup

Tiens, effectivement ça à l'air blinder de virus !

https://www.virustotal.com/gui/file/0f811ca873b5d2b630f40efc163de9e1779fbcac17d275cb5f250a55a108aba3/detection

billmaxime · Answer

re

ok pour l'analyse, mais tu as activé la restauration système?

@+

billmaxime · Answer

re

ne mets pas la charrue avant les boeufs, et lis puis réponds à ma question clique ici

la désinfection n'est pas terminée :)

@+

Heizzer77123 · Answer

Restauration activée sur le disque C, impossible sur mon SSD ;)

billmaxime · Answer

re ok, fait ceci /!\Script uniquement pour cet ordinateur, à ne pas reproduire sur un autre ordinateur/!\ ouvre le bloc-note copie/colle le texte ci-dessous: CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-3517242231-1405562412-4047506948-1001\...\Run: [vinkoo] => C:\Users\Maël\AppData\Local\vinkoo.dll [14848 2019-12-22] () [Fichier non signé] <==== ATTENTION HKU\S-1-5-21-3517242231-1405562412-4047506948-1001\...\Run: [HolyWind] => C:\Windows\rss\csrss.exe [4100608 2019-12-22] () [Fichier non signé] <==== ATTENTION HKU\S-1-5-21-3517242231-1405562412-4047506948-1001\...\Run: [CloudNet] => C:\Users\Maël\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2019-12-22] (EpicNet Inc.) [Fichier non signé] <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {040BA297-7EA8-4E85-9DB2-D206678180A6} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4100608 2019-12-22] () [Fichier non signé] <==== ATTENTION R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] () <==== ATTENTION (zéro octet Fichier/Dossier) R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 0000-00-00] () <==== ATTENTION (zéro octet Fichier/Dossier) R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 0000-00-00] (Windows (R) Win 7 DDK provider) <==== ATTENTION (zéro octet Fichier/Dossier) R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2019-12-22] (WDKTestCert Admin,131666266076831434 -> ) [Fichier non signé] 2019-12-22 16:39 - 2019-12-22 16:39 - 005178864 _____ (TimeManagment Inc) C:\Users\Maël\AppData\LocalLow\r9DnyiYQxk.exe 2019-12-22 16:39 - 2019-12-22 16:39 - 001302146 _____ (PrivacyDrive ) C:\Users\Maël\AppData\LocalLow\ryMkLVSI84.exe 2019-12-22 16:38 - 2019-12-22 16:39 - 029757247 _____ (PC SOFT) C:\Users\Maël\AppData\LocalLow\qKOERTx7QD.exe 2019-12-22 16:38 - 2019-12-22 16:38 - 002287282 _____ ( ) C:\Users\Maël\AppData\LocalLow\qpnSTBJ5XR.exe 2019-12-22 16:37 - 2019-12-22 16:37 - 003061248 _____ C:\Users\Maël\AppData\LocalLow\ixvinQNzly.exe 2019-12-22 16:19 - 2019-12-22 16:19 - 000176666 _____ C:\Users\Maël\AppData\Roaming\6trfdes.exe 2019-12-22 16:16 - 2019-12-22 16:16 - 000014848 _____ C:\Users\Maël\AppData\Local\vinkoo.dll CloudNet (HKU\S-1-5-21-3517242231-1405562412-4047506948-1001\...\CloudNet) (Version: 20170301 - EpicNet Inc.) <==== ATTENTION FirewallRules: [{DE0ECC09-0655-4555-A36F-46D6E3047F60}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe Pas de fichier FirewallRules: [{ABD60CB5-C5BF-4BA8-BBAF-DF1B8037114A}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe Pas de fichier FirewallRules: [{89CE58CB-F5C6-416C-9DCF-1D6629EC9B3E}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Pas de fichier FirewallRules: [{42047E1F-8276-428C-9D28-0F9676DAE4A4}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Pas de fichier FirewallRules: [TCP Query User{5F4B5C77-7C4F-41F0-8454-3929640A4A65}D:\runtime\jre-x64\bin\javaw.exe] => (Allow) D:\runtime\jre-x64\bin\javaw.exe Pas de fichier FirewallRules: [UDP Query User{BE1B1804-E5DE-4F2A-901E-DB38082640D8}D:\runtime\jre-x64\bin\javaw.exe] => (Allow) D:\runtime\jre-x64\bin\javaw.exe Pas de fichier FirewallRules: [{D7699BD7-1E5E-40B0-8317-8D4C829DB1FC}] => (Allow) C:\Windows\rss\csrss.exe () [Fichier non signé] FirewallRules: [{7EEBF6B3-92D3-433F-B43F-AB836CFCFB8F}] => (Allow) C:\Users\Maël\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [Fichier non signé] FirewallRules: [{DECE9CE9-9BDF-402B-ACBD-A29352E9BABE}] => (Allow) C:\ProgramData\winnmgr\svcnetwk.exe Pas de fichier 2019-12-22 16:18 - 2019-12-22 16:18 - 000000000 ____D C:\Users\Maël\AppData\Roaming\Z29316383 EmptyTemp: Hosts: RemoveProxy: Reboot: quand le texte est copié/collé, clique sur "fichier">>"enregistrer sous" et choisi le "bureau" dans la colonne de gauche en bas de page, dans "nom de fichier", tape fixlist.txt et clique sur "enregistrer" exécute FRST et clique sur "corriger" quand la correction sera terminée, un fichier texte apparaîtra sur ton bureau, copie/colle le résultat dans ta prochaine réponse @+

billmaxime · Answer

re

ok, regarde si ce fichier est supprimé >> C:\Users\Maël\AppData\Roaming\Z29316383

s'il n'est pas supprimé, fait le manuellement

dit moi comment va le pc, car il reste encore 2-3 manipulations

@+

billmaxime · Answer

re

Non il ne l'était pas, je viens de le supprimer manuellement  

ok

fait 1 scan avec MBAM (Malwarebytes), et poste le rapport après mise en quarantaine et suppresion des éléments néfastes détectés

@+

billmaxime · Answer

re

ton pc est 1 portable ou 1 fixe (tour)?

@+

billmaxime · Answer

re

ok, et avant que j'oublie, tu n'as plus beaucoup d'espace libre sur la partition C:\

Drive c: () (Fixed) (Total:58.67 GB) (Free:13.32 GB) NTFS
Drive d: () (Fixed) (Total:298.09 GB) (Free:136.93 GB) NTFS

pour MBAM, tu peux tester en mode sans échec avec prise en charge de reseau

dit moi ce que ça donne

si tu as des questions...

@+

billmaxime · Answer

re

Il est écrit nul part de lancer en mode sans échec ?  

non, mais c'est moi qui te demande de tester en MSE avec prise en charge de reseau pour voir si ça fonctionne

si MBAM n'est pas installé sur ton pc, supprime le et regarde cette page pour le téléchargement et l'exécution clique ici

si tu as des questions...

@+

billmaxime · Answer

re

regarde cette page clique ici

quand tu arriveras sur le choix de démarrage, tu choisiras MSE avec prise en charge de reseau

si tu as des questions...

@+

billmaxime · Answer

re

ok, je fait la manipulation en même temps sur 1 autre pc :)

@+

billmaxime · Answer

re

je viens de le faire, je retente donc de lancer le setup et je te dis 

tu as réussi a démarrer en MSE avec prise en charge de reseau?

@+

billmaxime · Answer

re

Oui c'est bon, et nickel MalwareBytes viens de s'installer

ok

 je fais quoi maintenant ?

le scan de ton pc :)


Parce que la la résolution de mon écran est pas très agréable mdr  

c'est normal pour la résolution etc... en MSE, le pc démarre en mode Minimal

si tu as des questions...

@+

billmaxime · Answer

re

tu n'as pas supprimé les éléments détectés, ou tu n'as pas posté le bon rapport:

Aucune action de l'utilisateur sur tous les éléménts...

@+

billmaxime · Answer

re

tu as vu mon dernier message? clique ici

@+

billmaxime · Answer

re

ok, et comment va le pc maintenant?

@+

billmaxime · Answer

re

fais ceci:

télécharge Delfix (d'Xplode) sur ton bureau clique ici

clic droit sur Delfix, et choisi "exécuter le en tant qu'administrateur"

dans Delfix, coche toutes les cases et clique sur "exécuter"  

poste le rapport via 1 copier/coller dans ta réponse

si tu as des questions...

@+

billmaxime · Answer

salut

regarde si le nouveau point de restauration a été créé

@+

billmaxime · Answer

salut

crée 1 point de restauration manuellement

dit moi quand c'est fait

@+

billmaxime · Answer

re

ok, maintenant tu vas créer 1 support de la dernière version de W10 avec MediaCréationTool 

il te faut 1 cle USB de 8 GO

télécharge  MediaCréationTool sur ton bureau clique ici

exécute le en tant qu'administrateur (clic droit) et laisse toi guider pour créer le support 

si tu as des questions...

@+

billmaxime · Answer

re

Je fais "mettre à niveau ce pc maintenant" ou bien "créer un support d'installation (clé USB, DVD ou fichier ISO) pour un autre PC" ?

créer 1 support, car je ne pense pas qu'il te fasse les 3 MAJ pour arriver à la dernière version (1909)

J'ai ma clé de 8 GO de brancher sur ma tour  

nickel, et tu pourras rendre la cle Bootable avec le téléchargement

si tu as des questions...

@+

billmaxime · Answer

re

je finis avec ceci, je fais quoi ?  

tu changes l'ordre de boot dans le bios pour démarrer sur ta cle USB, et tu installes W10 sur la partition C:\

PS: regarde dans la gestion des disques combien de GO font les partition pour ne pas te tromper de partition

pour la gestion des disques, fait ceci:

clique sur l'explorateur dans la barre des tâches

dans la page qui s'ouvre, clique droit sur "ce pc" >> "gérer"

dans la page qui s'ouvre, regarde la partition C:\

PS: dans le rapport "Addition" de FRST, il y a ceci:

Drive c: () (Fixed) (Total:58.67 GB) (Free:13.32 GB) NTFS
Drive d: () (Fixed) (Total:298.09 GB) (Free:136.93 GB) NTFS

donc ta partition C:\ fait 58.67 GB

si tu as des questions...

@+

billmaxime · Answer

re

C'est normal qu'au lancement le pc fasse tant de bruit ?  

quel genre de bruit?

@+

billmaxime · Answer

re

Les ventilos au max  

je ne sais pas, mais regarde si les ventilos se calment...

@+

billmaxime · Answer

re

ok, dit moi ce que ça donne quand c'est fini

@+

billmaxime · Answer

re

C'est normal que cela s'appelle "Windows Entreprise" par contre ?  

non, ça devrait être Windows Familiale ou quelque chose du genre

tu verras ce que ça donne à la fin de l'installation

@+

billmaxime · Answer

re

regarde si tes applications fonctionnent, sinon tu devras les réinstallées

dit moi comment va le pc depuis la réparation sans perte de données
 
@+

billmaxime · Answer

re

tu as cette version depuis le début:

Windows 10 Enterprise Version 1803 17134.1184 (X64) (2019-11-16 17:57:28)

extrait du rapport FRST

@+

billmaxime · Answer

re

C'est depuis que j'ai accéder au BIOS et je sais pas comment régler le soucis la XD  

ok, mais je ne sais pas ce que tu as fait/changer comme paramètres dans le bios

remet les paramètres par défault dans le bios

@+

billmaxime · Answer

re

alors il faut regarder les processus qui consomme la mémoire dans le gestionnaire des tâches

@+

billmaxime · Answer

re

là, je ne vois pas ce qui "cloche"

regarde ce que ça donne si tu n'as rien d'ouvert (page internet/programme)

@+

billmaxime · Answer

re

ouvre 1 nouveau topic dans le forum W10, car ton pc est désinfecté et à jour

PS: garde ce topic dans tes discutions suivies pour éventuellement joindre le lien dans le topic que tu vas ouvrir

@+

Virus Chrome

38 réponses

Discussions similaires

Newsletters