Tencent : Super virusRésolu/Fermé

Question

Bonjour,
Une partition (windows XP) de mon disque dur est contaminée par un super virus très envahissant. Je l'ai attrapé en téléchargeant le manuel d'utilisateur d'une Suzuki.
 
Une icone et un menu semblable au menu démaré sont apparu en bas à droite. 
Deux icones sont maintenant dans mon menu démarré, mais c'est impossible de lire le nom car c'est en écriture asiatique (je ne sais pas laquelle). Aussi, dans le panneau de configuration, dans la sécurité, c'est indiqué que ce virus est maintenant mon anti-virus et qu'il est à jour. (wouah!! merci!!)

Dans mon gestionnaire de tâche, je vois que le virus est actif dès l'ouverture de l'ordi, mais rien ne se passe lorsque je mets fin à l'application.

Dans le logiciel Uruninstaller, je n'ai pas vu de logiciel nouvellement installé, ni dans le panneau de configuration à «désinstaller un programme».

J'ai fait un scan avec antimalewarebytes, il a trouvé des virus, mais ce n'était pas les bons. J'ai fait un scan avec Microsoft security essential aussi sans résultat. J'ai fait un scan à partir de mon autre partition de disque sans résultat aussi.

Je suis à court de stratégie et je ne connais pas le nom du virus que je combats. J'aimerais avoir vos avis.

Merci beaucoup.

Malekal_morte- · Answer

Salut,

Tencent ?


Suis le tutorial AdwCleaner( d'Xplode ) 
Ce programme permet de supprimer les adwares et programmes parasites :

 Télécharge le sur ton bureau ou dossier de téléchargement.  
 Lance AdwCleaner, clique sur [Scanner].
 L'analyse peux durer plusieurs minutes, patiente.
 Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
 Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.

Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


puis :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Malekal_morte- · Answer

ok c'est bien Tencent.

 

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

 HKLM\...\Run: [ QQPCTray] => C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\QQPCTray.exe [355296 2015-07-08] (Tencent)
 HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] fastprox.dll ATTENTION! ====> ZeroAccess?
 HKU\S-1-5-21-1123561945-1935655697-1801674531-1003\...409d6c4515e9\InprocServer32: [Default-shell32] C:\RECYCLER\S-1-5-21-1123561945-1935655697-1801674531-1003\$dca677c6c38ca33abff6bb90414ad488
. ATTENTION! ====> ZeroAccess?
 R2 QQPCRTP; C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\QQPCRTP.exe [297608 2015-07-08] (Tencent)
 R1 QMIEProtect; C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\QMIEProtect.sys [49464 2015-07-08] ()
R1 QMUdisk; C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\QMUdisk.sys [62392 2015-07-08] (Tencent)
S1 QQPCHelper; C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\QQPCHelper.sys [22880 2015-07-08] (Tencent)
R2 QQSysMon; C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\QQSysMon.sys [108472 2015-07-08] (????)
R1 TFsFlt; C:\WINDOWS\System32\Drivers\TFsFlt.sys [150072 2015-07-08] (????)
R1 TSCPM; C:\Program Files\Tencent\QQPCMgr\10.10.16443.223	scpm.sys [43448 2015-07-08] (????)
R1 TSDefenseBt; C:\WINDOWS\System32\DRIVERS\TSDefenseBt.sys [14008 2015-07-08] (Tencent)
R0 TsFltMgr; C:\WINDOWS\System32\drivers\TsFltMgr.sys [124792 2015-07-08] (????)
R1 TSKSP; C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\TSKsp.sys [204920 2015-07-08] (????)
R1 TSSysKit; C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\TSSysKit.sys [101560 2015-07-08] (????)
 2015-07-22 16:45 - 2015-07-22 16:45 - 00000000 ____D C:\Program Files\Fichiers communs\Tencent
2015-07-22 16:40 - 2015-07-08 11:04 - 00139064 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelXP.sys
2015-07-22 16:40 - 2015-07-08 11:04 - 00077016 _____ (Tencent) C:\WINDOWS\system32\Drivers\TAOAccelerator.sys
2015-07-22 16:36 - 2015-07-22 17:01 - 00000000 ____D C:\Documents and Settings\Jean-Simon Voghel\Application Data\Tencent
2015-07-08 15:19 - 2015-07-08 15:19 - 00000000 ____D C:\Documents and Settings\All Users\Menu Démarrer\Programmes\????
2015-07-08 15:11 - 2015-07-08 15:11 - 00000000 ____D C:\Documents and Settings\Jean-Simon Voghel\Menu Démarrer\Programmes\????
2015-07-08 11:24 - 2015-07-08 11:24 - 00000000 ____D C:\Documents and Settings\All Users\TXQMPC
2015-07-08 11:17 - 2015-07-08 11:17 - 00000783 _____ C:\Documents and Settings\Jean-Simon Voghel\Bureau\Raccourci vers chrome.lnk
2015-07-08 11:06 - 2015-07-08 11:04 - 00014008 ____N (Tencent) C:\WINDOWS\system32\Drivers\TSDefenseBt.sys
2015-07-08 11:04 - 2015-07-08 11:04 - 00150072 ____N (????) C:\WINDOWS\system32\Drivers\TFsFlt.sys
2015-07-08 11:04 - 2015-07-08 11:04 - 00124792 ____N (????) C:\WINDOWS\system32\Drivers\TsFltMgr.sys
2015-07-08 11:04 - 2015-07-08 11:04 - 00067896 ____N (????) C:\WINDOWS\system32\TSSK.sys
2015-07-08 11:04 - 2015-07-08 11:04 - 00000842 _____ C:\Documents and Settings\All Users\Menu Démarrer\?????????? .lnk
2015-07-08 11:04 - 2015-07-08 11:04 - 00000000 ____D C:\Documents and Settings\NetworkService\Application Data\Tencent
2015-07-08 11:02 - 2015-07-22 16:56 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Tencent
2015-07-08 11:02 - 2015-07-08 11:02 - 00000000 ____D C:\Program Files\Tencent
2015-06-29 20:52 - 2015-04-12 12:24 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\17341479522514246639
C:\RECYCLER\S-1-5-18\$dca677c6c38ca33abff6bb90414ad488
C:\RECYCLER\S-1-5-21-1123561945-1935655697-1801674531-1003\$dca677c6c38ca33abff6bb90414ad488

 Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.F
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur

Malekal_morte- · Answer

Refais un scan FRST et donne les rapports via pjjoint.

treebu · Answer

Il suffisait que je redémarre mon ordi pour que le fix soit complété. Voici le lien vers le fichier, mot de passe bingo

http://pjjoint.malekal.com/files.php?id=20150723_n8f15m5q5g13

Malekal_morte- · Answer

Apparemment, il n'a pas pu déplacer les drivers.
Il doit rester des trucs.

Refais un scan FRST et donne le rapport pour voir.

treebu · Answer

mot de passe  bingo

FRST:     http://pjjoint.malekal.com/files.php?id=20150723_e14m14s7s12s7
SHORTCUT http://pjjoint.malekal.com/files.php?id=20150723_v10d11r10r15n15
ADDITION  Il n'y avait pas de document texte ADDITION.

Malekal_morte- · Answer

La vache, ça n'a rien supprimé.

Je pense que tu devrais tenter une restauration à cette date :
12-07-2015 17:53:07 Software Distribution Service 3.0

=> https://www.malekal.com/restauration-systeme-windows/

treebu · Answer

J'ai essayé la restauration, mais ça n'a pas fonctionné, au redémarrage de l'ordi, il y avait une fenêtre d'erreur qui disait que rien n'a été changé. J'ai réessayé à d'autres points de restauration avec le même résultat. 

J'ai aussi fait une restauration avec le logiciel restorwin, cette fois-ci, il n'y avait pas de fenêtre d'erreur, mais rien n'a changé sur mon ordi...

Malekal_morte- · Answer

Faudrait tenter de supprimer tous les fichiers de Tecent donné dans la correction FRST : https://forums.commentcamarche.net/forum/affich-32280557-tencent-super-virus#4 

via un CD Live, par exemple :  : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/

treebu · Answer

J'ai supprimé les fichiers, mais ça ne fonctionnait pas à partir de ma partition infectée, j'ai dû allé sur mon autre partition pour les supprimer. En revenant sur la partition infectée, il n'y a plus de trace de tencent à l'exception d'un raccourcis QQPCsoftmgr dans mon menu démarré. Je l'ai enlevé manuellement.


J'ai refait un scan avec adwcleaner, voici le rapport: http://pjjoint.malekal.com/files.php?id=20150726_5j9w9s8w15

J'ai refait un scan avec Farbar, voici les rapports:
ADDITION: http://pjjoint.malekal.com/files.php?id=20150726_h10z10y12r10z6
SHORTCUT: http://pjjoint.malekal.com/files.php?id=20150726_z5u10g11p11t7
FRST: http://pjjoint.malekal.com/files.php?id=20150726_f13o7h10n6b11

Je crois que tout est parti, mais j'aimerais m'en assurer.
Merci.

Malekal_morte- · Answer

En effet, c'est mieux.

Quelques restes d'adwares :



Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 


 Startup: C:\Documents and Settings\Jean-Simon Voghel\Menu Démarrer\Programmes\Démarrage\blair witch project.lnk [2015-03-07] 
 ShortcutTarget: blair witch project.lnk -> C:\Documents and Settings\All Users\Application Data\{9e813169-f484-4efe-9e81-13169f48c5a7}\blair witch project.exe (No File) 
2015-06-29 20:49 - 2015-06-29 20:51 - 00000000 ____D C:\Program Files\AutooDeaalsApp 

 Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur

Malekal_morte- · Answer

voilou, plus de soucis ?

treebu · Answer

Plus aucune trace de Tencent...
Merci énormément Malekal_morte pour ton temps et tes messages clairs, tu as été d'une aide précieuse.

Malekal_morte- · Answer

super =)

Voila, c'est terminé, tu peux supprimer les programmes utilisés. 

Quelques conseils : 


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start= 


Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/ 
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Tencent : Super virus

14 réponses

End of Fixlog 16:08:02

Discussions similaires

Newsletters