Pc rempli de virus, besoin d'aide pour nettoyer

Résolu
goncara Messages postés 4 Statut Membre -  
bazfile Messages postés 60854 Statut Modérateur, Contributeur sécurité -
Bonjour à tous,

ça fait bien longtemps que je n'étais pas venu pour demander un peu d'aide mais, et vous allez me trouver mysogyne lol, ma femme (pour une fois que ce n'est pas moi) me signale quelques soucis sur son ordi ... comment dire ...
Il y a des toolbar, du spam navigateur à foison, j'ai essayé de nettoyer vite fait un logiciel qui remplissait son disque dur de façon alarmante, stoppé mais pas enlevé. Il y a quelques jours elle me dit qu'elle a eu une page qui a bloqué son PC, d'après ce que j'ai compris c'est le Jaguar (ou Puma je ne sais plus lol) Bref, mes connaissances sont très limitées dans le domaine et plutôt que de trop tenter n'importe quoi j'ai pensé que m'appuyer sur ceux qui savent ce qu'ils font, donc ici, serait plus judicieux :D

Y'a-t'il quelqu'un pour me venir en aide s'il vous plaît ? ^^

Au cas où, j'ai déjà fait du scan ZHP, disponible ici : https://pjjoint.malekal.com/files.php?id=20200410_m8h12b11m9p8

J'ai pas mal de surlignage et des logiciels identifiés, j'espère que ce sera une base correcte pour commencer une désinfection.

Merci et à très vite ;)
A voir également:

3 réponses

Réponse 1 / 3
bazfile Messages postés 60854 Statut Modérateur, Contributeur sécurité 19 836
 
Bonjour,
Tu as utilisé un crack (Microsoft Toolkit) pour activer un produit Microsoft évite les cracks. 
C:\Program Files (x86)\Microsoft Toolkit Final  
C:\ProgramData\Microsoft Toolkit


Procédure à faire dans l'ordre indiqué :

En premier désinstalle les logiciels qui suivent avec RevoUninstaller en mode Scan avancé lire attentivement CETTE PAGE.

Logiciels à désinstaller:
Adroit System Care
Malware Crusher
McAfee WebAdvisor
One System Care
TACHYON Internet Security
WebDiscover Browser

Puis une fois ces logiciels désinstallés:

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci :

Puis coche la case shortcut comme ceci :

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.

1
goncara Messages postés 4 Statut Membre
 
Bonjour bazfile et merci de m'avoir répondu aussi rapidement.

J'ai installé Revo mais j'ai eu des bugs à la désinstallation (tous sauf McAfee). J'ai suivi le tuto pour le scan avancé et supprimé les fichiers.

Pour FRST voici les liens :
fichier FRST : https://pjjoint.malekal.com/files.php?id=FRST_20200410_x11k7j9s14s12
fichier Addition : https://pjjoint.malekal.com/files.php?id=20200410_v11j12w5z14b8
fichier Shortcut : https://pjjoint.malekal.com/files.php?id=20200410_k11v12j11q7c10
0
bazfile Messages postés 60854 Statut Modérateur, Contributeur sécurité 19 836
 
Ton pc est très infecté, je vois que tu as eu du mal à désinstaller ces bouses, notamment la principale qui s'appelle TACHYON Internet Security, la désinfection va se faire en 2 temps voir 3 temps comme la valse, pour commencer fait ce qui suit:

Procédure à faire dans l'ordre indiqué :
ATTENTION pour que la désinfection fonctionne il faut démarrer ton pc en mode sans échec avec prise en charge du réseau.
Pour le démarrage en mode sans échec il suffit de lire attentivement cette page et faire ce qui est indiqué au paragraphe Démarrer en mode sans échec Windows 7 XP.
Une fois ton pc démarré en mode sans échec.
1- Ouvre FRST
2- Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk [2020-04-10]
ShortcutTarget: $McRebootA5E6DEAA56$.lnk ->  (Pas de fichier)
HKLM-x32\...\Run: [T5] => C:\Program Files (x86)\TACHYON\T5\ixTray.exe [3467096 2019-10-17] (INCA Internet Co.,Ltd. -> INCAInternet)
CHR HKLM\SOFTWARE\Policies\Google: Restriction 
CHR HKU\S-1-5-21-2697372214-3779291021-855180036-1000\SOFTWARE\Policies\Google: Restriction 
Task: {7F3D8EEC-2855-4D7F-B61F-A1ECA6CDDE81} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe [4059136 2019-05-30] () [Fichier non signé] 
Task: {9207D6B7-9D59-429B-97B8-5EC2A8A03A0C} - System32\Tasks\{AEBA44AE-1AE2-49F8-A137-4AB75A64D5D5} => C:\ProgramData\6787002912044486670\watchdog.exe [1214464 2019-11-29] () [Fichier non signé] 
Task: {9A1AE675-42D5-454C-BBF9-602825AD42C9} - System32\Tasks\WebDiscover Browser Update Task => C:\Program Files\WebDiscoverBrowser\4.29.2\browser.exe [4010720 2018-09-06] (web discover -> WebDiscover Media) [Fichier non signé] 
Task: {B2609A50-DA8E-470C-B46E-760CBD0292F6} - System32\Tasks\One System Care Monitor => C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe [1975296 2019-05-27] () [Fichier non signé] 
Task: {D86C6861-A91F-4CC7-A146-F4DF18F7FCC2} - System32\Tasks\One System Care Delayed => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe [4059136 2019-05-30] () [Fichier non signé]
Task: {EF2F987F-A2A3-42AD-9A36-CB12840EA16D} - System32\Tasks\WebDiscover Browser Launch Task => C:\Program Files\WebDiscoverBrowser\4.29.2\browser.exe [4010720 2018-09-06] (web discover -> WebDiscover Media) [Fichier non signé] 
Task: C:\Windows\Tasks\One System CarePeriod.job => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe 
R2 ixEngs; C:\Program Files (x86)\TACHYON\T5\ixEngs.exe [3778704 2019-11-05] (INCA Internet Co.,Ltd. -> INCAInternet) 
S2 ixMgrs; C:\Program Files (x86)\TACHYON\T5\ixMgrs.exe [4257624 2019-12-03] (INCA Internet Co.,Ltd. -> INCAInternet) 
R2 ixRfs; C:\Program Files (x86)\TACHYON\T5\ixRfs.exe [3762736 2019-10-23] (INCA Internet Co.,Ltd. -> INCAInternet) 
S2 ixRns; C:\Program Files (x86)\TACHYON\T5\ixRns.exe [3442912 2019-10-21] (INCA Internet Co.,Ltd. -> INCAInternet) 
R2 NativeDesktopMediaService; C:\ProgramData\6787002912044486670\desktop_media_service.exe [1701888 2019-11-29] () [Fichier non signé] 
R3 TKCtrl; C:\Windows\system32\TKCtrl2k64.sys [147240 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.) 
R3 TKDacEx; C:\Windows\system32\tkdacex2k64.sys [50928 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.) 
R3 TKFsAvM; C:\Windows\system32\TKFsAv64.sys [198808 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.)
R3 TKFsFtM; C:\Windows\system32\TKFsFt64.sys [28824 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.) 
R3 TKPcFt; C:\Windows\system32\TKPcFtCb64.sys [54504 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.)
R3 tkpl; C:\Windows\System32\tkpl2k64.sys [122464 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.) 
R3 TKRgAc; C:\Windows\system32\TKRgAc2k64.sys [115760 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.) 
R3 TKRgFt; C:\Windows\system32\TKRgFtXp64.sys [68968 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.)
S3 TKSP; C:\Windows\system32\TKSPxp64.sys [86392 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.) 
Task: {1A395AD3-868D-4EAA-8161-E636E1277075} - System32\Tasks\SE-ID-S-1-5-21-2697372214-3779291021-855180036-1000 => C:\Users\RACHEL\AppData\Roaming\09a9c7f8b3\Indexer.exe [18432 2020-03-30] () [Fichier non signé]
Task: {018A25D3-083D-44DF-98DA-3163383EB7A0} - System32\Tasks\Malware Crusher => C:\Program Files\Malware Crusher\mcmonitor.exe [479984 2019-06-04] (Malware Crusher Inc -> malwarecrusher.com)
Task: {5E392E6C-5C2F-4E3D-9AD5-9BF1C038D96D} - System32\Tasks\Malware Crusher_Logon => C:\Program Files\Malware Crusher\mcmonitor.exe [479984 2019-06-04] (Malware Crusher Inc -> malwarecrusher.com)
2020-04-09 13:54 - 2019-05-31 15:28 - 000000278 _____ C:\Windows\Tasks\One System CarePeriod.job
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\One System Care\Launch One System Care.lnk -> C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe ()
InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\One System Care\One System Care on the Web.url -> URL: hxxp://www.onesystemcare.com
C:\Program Files (x86)\TACHYON
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- VÉRIFIE ET DIT-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
6- Fait une nouvelle analyse FRST joint les rapports dans ta réponse.


1
goncara
 
Pour Tachyon et Adroit, j'ai pu les virer mais Malware crusher, Onesystem et webdiscover figurent toujours dans la liste de programme (et impossible de les enlever comme ça)

Le fixlog est ici : https://pjjoint.malekal.com/files.php?id=20200410_b14o9o9h7b8

Les fichiers FRST ici :
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20200410_x8w7j15z14o15
Addition : https://pjjoint.malekal.com/files.php?id=20200410_h5r7z8b7c9
Shortcut : https://pjjoint.malekal.com/files.php?id=20200410_x8d14d14z9x5

Dans ce que j'ai pu vérifier, je n'ai pas eu de fenêtre qui s'ouvrait de façon intempestive. J'ai tout de même eu une petite fenêtre au démarrage (en caractères asiatiques)

C'est déjà bien mieux en tout cas :)
0
bazfile Messages postés 60854 Statut Modérateur, Contributeur sécurité 19 836 > goncara
 
.

La fenêtre en chinois qui apparaît c'est un reste Tachyon, le script FRST l'a viré c'était lui le plus coriace, c'est pour cela que je t'ai demandé de démarrer en mode sans échec, car en mode normal il n'aurait pas été supprimé.

Pour Onesystem et webdiscover ils ne sont plus actifs sur le pc, essaie de virer leurs restes avec RevoUninstaller via son mode Scan Avancé.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
CloseProcesses:
Task: {E72137FB-B9DE-45A0-850D-98CC6CD08706} - System32\Tasks\C132B318-2ED0-9EEF-7813-115AE8EC9A3D => C:\Windows\SysWOW64\regsvr32.exe /n /s /i:"/0fa1b2dc1468a03d /q" "C:\PROGRA~3\392CAC~1\{7D2B0~1."
S2 McAfee WebAdvisor; "C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe" [X]
CHR Extension: (McAfee® WebAdvisor) - C:\Users\RACHEL\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho [2020-02-26]
CHR DefaultSearchURL: Default -> hxxps://fr.search.yahoo.com/search?fr=mcafee&type=E210FR91082G0&p={searchTerms}
CHR DefaultSearchKeyword: Default -> mcafee
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\One System Care
C:\Program Files\WebDiscoverBrowser
C:\Program Files (x86)\OneSystemCare
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise Google Chrome et Firefox avec CE LOGICIEL
6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
0
Réponse 2 / 3
goncara Messages postés 4 Statut Membre
 
Bonjour bazfile,

j'ai réussi à enlever Malware crusher, One system et webdiscover grâce à Revo (2 passages), je te remercie.

Le fix donne ça : https://pjjoint.malekal.com/files.php?id=20200411_w5c12v12i15j6

Sinon j'ai réinitialisé IE, réinstallé firefox et chrome pour les purger. J'ai redésinstallé Chrome ensuite avec Revo.

Aucun signe de problème pour le moment.
0
bazfile Messages postés 60854 Statut Modérateur, Contributeur sécurité 19 836
 
.

Tout m'a l'air bon, le problème me semble résolu à toi de me le confirmer.

Tu n'as pas d'antivirus je te conseille Kaspersky Free Cloud (gratuit) il est efficace et gratuit, bien lire la page.

Tu as installé certaines de ces infections via des logiciels gratuits:
À l'avenir fait attention quand tu installes des logiciels gratuits, lors de l'installation il faut bien lire les différents écrans afin de ne pas te faire piéger.
Il faut décocher les cases proposées elle ne sont pas toujours visibles du premier coup, exemple:

0
Réponse 3 / 3
goncara Messages postés 4 Statut Membre
 
Merci pour le lien Kaspersky, et les rappels concernant les installations du genre ;)

Merci beaucoup pour ton aide,

bonne continuation ;)
0
bazfile Messages postés 60854 Statut Modérateur, Contributeur sécurité 19 836
 
Bonne fin de journée et peut-être à bientôt sur CCM.
0