Pc rempli de virus, besoin d'aide pour nettoyer [Résolu]

Signaler
Messages postés
4
Date d'inscription
vendredi 10 avril 2020
Statut
Membre
Dernière intervention
12 avril 2020
-
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
-
Bonjour à tous,

ça fait bien longtemps que je n'étais pas venu pour demander un peu d'aide mais, et vous allez me trouver mysogyne lol, ma femme (pour une fois que ce n'est pas moi) me signale quelques soucis sur son ordi ... comment dire ...
Il y a des toolbar, du spam navigateur à foison, j'ai essayé de nettoyer vite fait un logiciel qui remplissait son disque dur de façon alarmante, stoppé mais pas enlevé. Il y a quelques jours elle me dit qu'elle a eu une page qui a bloqué son PC, d'après ce que j'ai compris c'est le Jaguar (ou Puma je ne sais plus lol) Bref, mes connaissances sont très limitées dans le domaine et plutôt que de trop tenter n'importe quoi j'ai pensé que m'appuyer sur ceux qui savent ce qu'ils font, donc ici, serait plus judicieux :D

Y'a-t'il quelqu'un pour me venir en aide s'il vous plaît ? ^^

Au cas où, j'ai déjà fait du scan ZHP, disponible ici : https://pjjoint.malekal.com/files.php?id=20200410_m8h12b11m9p8

J'ai pas mal de surlignage et des logiciels identifiés, j'espère que ce sera une base correcte pour commencer une désinfection.

Merci et à très vite ;)

3 réponses

Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
10 695
Bonjour,
Tu as utilisé un crack (Microsoft Toolkit) pour activer un produit Microsoft évite les cracks.
C:\Program Files (x86)\Microsoft Toolkit Final  
C:\ProgramData\Microsoft Toolkit


Procédure à faire dans l'ordre indiqué :

En premier désinstalle les logiciels qui suivent avec RevoUninstaller en mode Scan avancé lire attentivement CETTE PAGE.

Logiciels à désinstaller:
Adroit System Care
Malware Crusher
McAfee WebAdvisor
One System Care
TACHYON Internet Security
WebDiscover Browser


Puis une fois ces logiciels désinstallés:

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci :

Puis coche la case shortcut comme ceci :

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.

bazfile..
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.
Messages postés
4
Date d'inscription
vendredi 10 avril 2020
Statut
Membre
Dernière intervention
12 avril 2020

Bonjour bazfile et merci de m'avoir répondu aussi rapidement.

J'ai installé Revo mais j'ai eu des bugs à la désinstallation (tous sauf McAfee). J'ai suivi le tuto pour le scan avancé et supprimé les fichiers.

Pour FRST voici les liens :
fichier FRST : https://pjjoint.malekal.com/files.php?id=FRST_20200410_x11k7j9s14s12
fichier Addition : https://pjjoint.malekal.com/files.php?id=20200410_v11j12w5z14b8
fichier Shortcut : https://pjjoint.malekal.com/files.php?id=20200410_k11v12j11q7c10
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
10 695
Ton pc est très infecté, je vois que tu as eu du mal à désinstaller ces bouses, notamment la principale qui s'appelle TACHYON Internet Security, la désinfection va se faire en 2 temps voir 3 temps comme la valse, pour commencer fait ce qui suit:

Procédure à faire dans l'ordre indiqué :
ATTENTION pour que la désinfection fonctionne il faut démarrer ton pc en mode sans échec avec prise en charge du réseau.
Pour le démarrage en mode sans échec il suffit de lire attentivement cette page et faire ce qui est indiqué au paragraphe Démarrer en mode sans échec Windows 7 XP.
Une fois ton pc démarré en mode sans échec.
1- Ouvre FRST
2- Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk [2020-04-10]
ShortcutTarget: $McRebootA5E6DEAA56$.lnk -> (Pas de fichier)
HKLM-x32\...\Run: [T5] => C:\Program Files (x86)\TACHYON\T5\ixTray.exe [3467096 2019-10-17] (INCA Internet Co.,Ltd. -> INCAInternet)
CHR HKLM\SOFTWARE\Policies\Google: Restriction
CHR HKU\S-1-5-21-2697372214-3779291021-855180036-1000\SOFTWARE\Policies\Google: Restriction
Task: {7F3D8EEC-2855-4D7F-B61F-A1ECA6CDDE81} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe [4059136 2019-05-30] () [Fichier non signé]
Task: {9207D6B7-9D59-429B-97B8-5EC2A8A03A0C} - System32\Tasks\{AEBA44AE-1AE2-49F8-A137-4AB75A64D5D5} => C:\ProgramData\6787002912044486670\watchdog.exe [1214464 2019-11-29] () [Fichier non signé]
Task: {9A1AE675-42D5-454C-BBF9-602825AD42C9} - System32\Tasks\WebDiscover Browser Update Task => C:\Program Files\WebDiscoverBrowser\4.29.2\browser.exe [4010720 2018-09-06] (web discover -> WebDiscover Media) [Fichier non signé]
Task: {B2609A50-DA8E-470C-B46E-760CBD0292F6} - System32\Tasks\One System Care Monitor => C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe [1975296 2019-05-27] () [Fichier non signé]
Task: {D86C6861-A91F-4CC7-A146-F4DF18F7FCC2} - System32\Tasks\One System Care Delayed => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe [4059136 2019-05-30] () [Fichier non signé]
Task: {EF2F987F-A2A3-42AD-9A36-CB12840EA16D} - System32\Tasks\WebDiscover Browser Launch Task => C:\Program Files\WebDiscoverBrowser\4.29.2\browser.exe [4010720 2018-09-06] (web discover -> WebDiscover Media) [Fichier non signé]
Task: C:\Windows\Tasks\One System CarePeriod.job => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe
R2 ixEngs; C:\Program Files (x86)\TACHYON\T5\ixEngs.exe [3778704 2019-11-05] (INCA Internet Co.,Ltd. -> INCAInternet)
S2 ixMgrs; C:\Program Files (x86)\TACHYON\T5\ixMgrs.exe [4257624 2019-12-03] (INCA Internet Co.,Ltd. -> INCAInternet)
R2 ixRfs; C:\Program Files (x86)\TACHYON\T5\ixRfs.exe [3762736 2019-10-23] (INCA Internet Co.,Ltd. -> INCAInternet)
S2 ixRns; C:\Program Files (x86)\TACHYON\T5\ixRns.exe [3442912 2019-10-21] (INCA Internet Co.,Ltd. -> INCAInternet)
R2 NativeDesktopMediaService; C:\ProgramData\6787002912044486670\desktop_media_service.exe [1701888 2019-11-29] () [Fichier non signé]
R3 TKCtrl; C:\Windows\system32\TKCtrl2k64.sys [147240 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.)
R3 TKDacEx; C:\Windows\system32\tkdacex2k64.sys [50928 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.)
R3 TKFsAvM; C:\Windows\system32\TKFsAv64.sys [198808 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.)
R3 TKFsFtM; C:\Windows\system32\TKFsFt64.sys [28824 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.)
R3 TKPcFt; C:\Windows\system32\TKPcFtCb64.sys [54504 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.)
R3 tkpl; C:\Windows\System32\tkpl2k64.sys [122464 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.)
R3 TKRgAc; C:\Windows\system32\TKRgAc2k64.sys [115760 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.)
R3 TKRgFt; C:\Windows\system32\TKRgFtXp64.sys [68968 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.)
S3 TKSP; C:\Windows\system32\TKSPxp64.sys [86392 2019-04-02] (INCA Internet Co.,Ltd. -> INCA Internet Co., Ltd.)
Task: {1A395AD3-868D-4EAA-8161-E636E1277075} - System32\Tasks\SE-ID-S-1-5-21-2697372214-3779291021-855180036-1000 => C:\Users\RACHEL\AppData\Roaming\09a9c7f8b3\Indexer.exe [18432 2020-03-30] () [Fichier non signé]
Task: {018A25D3-083D-44DF-98DA-3163383EB7A0} - System32\Tasks\Malware Crusher => C:\Program Files\Malware Crusher\mcmonitor.exe [479984 2019-06-04] (Malware Crusher Inc -> malwarecrusher.com)
Task: {5E392E6C-5C2F-4E3D-9AD5-9BF1C038D96D} - System32\Tasks\Malware Crusher_Logon => C:\Program Files\Malware Crusher\mcmonitor.exe [479984 2019-06-04] (Malware Crusher Inc -> malwarecrusher.com)
2020-04-09 13:54 - 2019-05-31 15:28 - 000000278 _____ C:\Windows\Tasks\One System CarePeriod.job
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\One System Care\Launch One System Care.lnk -> C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe ()
InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\One System Care\One System Care on the Web.url -> URL: hxxp://www.onesystemcare.com
C:\Program Files (x86)\TACHYON
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- VÉRIFIE ET DIT-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
6- Fait une nouvelle analyse FRST joint les rapports dans ta réponse.


bazfile..
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.
Pour Tachyon et Adroit, j'ai pu les virer mais Malware crusher, Onesystem et webdiscover figurent toujours dans la liste de programme (et impossible de les enlever comme ça)

Le fixlog est ici : https://pjjoint.malekal.com/files.php?id=20200410_b14o9o9h7b8

Les fichiers FRST ici :
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20200410_x8w7j15z14o15
Addition : https://pjjoint.malekal.com/files.php?id=20200410_h5r7z8b7c9
Shortcut : https://pjjoint.malekal.com/files.php?id=20200410_x8d14d14z9x5

Dans ce que j'ai pu vérifier, je n'ai pas eu de fenêtre qui s'ouvrait de façon intempestive. J'ai tout de même eu une petite fenêtre au démarrage (en caractères asiatiques)

C'est déjà bien mieux en tout cas :)
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
10 695 > goncara
.

La fenêtre en chinois qui apparaît c'est un reste Tachyon, le script FRST l'a viré c'était lui le plus coriace, c'est pour cela que je t'ai demandé de démarrer en mode sans échec, car en mode normal il n'aurait pas été supprimé.

Pour Onesystem et webdiscover ils ne sont plus actifs sur le pc, essaie de virer leurs restes avec RevoUninstaller via son mode Scan Avancé.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
Task: {E72137FB-B9DE-45A0-850D-98CC6CD08706} - System32\Tasks\C132B318-2ED0-9EEF-7813-115AE8EC9A3D => C:\Windows\SysWOW64\regsvr32.exe /n /s /i:"/0fa1b2dc1468a03d /q" "C:\PROGRA~3\392CAC~1\{7D2B0~1."
S2 McAfee WebAdvisor; "C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe" [X]
CHR Extension: (McAfee® WebAdvisor) - C:\Users\RACHEL\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho [2020-02-26]
CHR DefaultSearchURL: Default -> hxxps://fr.search.yahoo.com/search?fr=mcafee&type=E210FR91082G0&p={searchTerms}
CHR DefaultSearchKeyword: Default -> mcafee
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\One System Care
C:\Program Files\WebDiscoverBrowser
C:\Program Files (x86)\OneSystemCare
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise Google Chrome et Firefox avec CE LOGICIEL
6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
Messages postés
4
Date d'inscription
vendredi 10 avril 2020
Statut
Membre
Dernière intervention
12 avril 2020

Bonjour bazfile,

j'ai réussi à enlever Malware crusher, One system et webdiscover grâce à Revo (2 passages), je te remercie.

Le fix donne ça : https://pjjoint.malekal.com/files.php?id=20200411_w5c12v12i15j6

Sinon j'ai réinitialisé IE, réinstallé firefox et chrome pour les purger. J'ai redésinstallé Chrome ensuite avec Revo.

Aucun signe de problème pour le moment.
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
10 695
.

Tout m'a l'air bon, le problème me semble résolu à toi de me le confirmer.

Tu n'as pas d'antivirus je te conseille Kaspersky Free Cloud (gratuit) il est efficace et gratuit, bien lire la page.

Tu as installé certaines de ces infections via des logiciels gratuits:
À l'avenir fait attention quand tu installes des logiciels gratuits, lors de l'installation il faut bien lire les différents écrans afin de ne pas te faire piéger.
Il faut décocher les cases proposées elle ne sont pas toujours visibles du premier coup, exemple:

Messages postés
4
Date d'inscription
vendredi 10 avril 2020
Statut
Membre
Dernière intervention
12 avril 2020

Merci pour le lien Kaspersky, et les rappels concernant les installations du genre ;)

Merci beaucoup pour ton aide,

bonne continuation ;)
Messages postés
28228
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 octobre 2020
10 695
Bonne fin de journée et peut-être à bientôt sur CCM.