WinSnare, WinSAPSvc et jhdbca
Résolu/Fermé
elpacha47
Messages postés
14
Date d'inscription
vendredi 3 mars 2017
Statut
Membre
Dernière intervention
10 mars 2017
-
3 mars 2017 à 18:10
elpacha47 Messages postés 14 Date d'inscription vendredi 3 mars 2017 Statut Membre Dernière intervention 10 mars 2017 - 10 mars 2017 à 15:28
elpacha47 Messages postés 14 Date d'inscription vendredi 3 mars 2017 Statut Membre Dernière intervention 10 mars 2017 - 10 mars 2017 à 15:28
20 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 3/03/2017 à 18:37
Modifié par Malekal_morte- le 3/03/2017 à 18:37
Salut,
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
3/
Refais un scan FRST et donne les rapports via pjjoint.
Veuillez appuyer sur une touche pour continuer la désinfection...
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
2017-02-24 12:59 - 2017-02-24 12:59 - 00000000 ____D C:\Windows\system32\{5B26ECAD-DCDB-49A7-9684-E5A3904117F0}
2017-02-24 12:57 - 2017-03-03 17:18 - 00000000 ____D C:\Program Files\BikaQRss
2017-02-24 12:57 - 2017-02-24 14:51 - 00000000 ____D C:\Windows\system32\{F9E76539-A8A2-4ADC-A465-7C8DE9852AB8}
2017-02-15 12:46 - 2017-02-15 12:46 - 00003120 _____ C:\Windows\LC9GCN9J.ocx
2017-02-14 14:04 - 2017-02-14 14:04 - 00000000 ____D C:\Program Files\Stancine
2017-02-14 14:02 - 2017-02-14 14:02 - 00000000 ____D C:\Program Files\Explorer
2017-02-14 12:01 - 2017-03-03 13:29 - 00000000 ____D C:\Program Files\zj5vwb3m
2017-02-14 12:01 - 2017-02-14 12:01 - 00000000 ____D C:\Program Files\bilibili
R2 bilibili; C:\Program Files\bilibili\bilibili.dll [122880 2017-02-14] () [Fichier non signé]
R2 iedvutils; C:\Program Files\Explorer\iedvutils.exe [64184 2017-01-22] ()
HKU\S-1-5-21-338012369-2913779271-3404537873-1000\...\Run: [1TN9W7937Z] => C:\Program Files\6NO83011XP\6NO83011X.exe
HKU\S-1-5-21-338012369-2913779271-3404537873-1000\...\Run: [comrepl] => C:\Users\Maint-siniat2\AppData\Roaming\com\comrepl.exe [7293280 2013-02-19] (TeamViewer GmbH)
C:\Users\Maint-siniat2\AppData\Roaming\com
HKU\S-1-5-21-338012369-2913779271-3404537873-1000\...\Run: [OWE8Y9MQOC] => C:\Program Files\FHO2PIWMMG\FHO2PIWMM.exe
HKU\S-1-5-21-338012369-2913779271-3404537873-1000\...\Run: [13WWSH1JKX] => C:\Program Files\BestCleaner\ZWIW7AS71R.exe <===== ATTENTION
HKLM\...\Providers\zj5vwb3m: C:\Program Files\Shoterkeerck Reports\local32spl.dll [278016 2017-01-27] ()
ShellExecuteHooks: Pas de nom - {B6DE7B40-DE3F-11E6-BEE0-64006A5CFC23} - C:\Users\Maint-siniat2\AppData\Roaming\Ckahsgrtle\Shacigh.dll -> Pas de fichier
Task: {77D8C521-C729-42A9-954F-8947409B1989} - System32\Tasks\Shoterkeerck Reports => C:\Program Files\Thumly\prerwther.exe [2017-01-27] (Glarysoft Ltd)
R2 bilibili; C:\Program Files\bilibili\bilibili.dll [122880 2017-02-14] () [Fichier non signé]
C:\Program Files\Explorer
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
3/
Refais un scan FRST et donne les rapports via pjjoint.
Veuillez appuyer sur une touche pour continuer la désinfection...
elpacha47
Messages postés
14
Date d'inscription
vendredi 3 mars 2017
Statut
Membre
Dernière intervention
10 mars 2017
6 mars 2017 à 08:03
6 mars 2017 à 08:03
Bonjour et merci de votre aide,
Voici le fixlog suite à la correction :
Voici le fixlog suite à la correction :
Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 05-03-2017
Exécuté par Maint-siniat2 (06-03-2017 07:55:09) Run:1
Exécuté depuis C:\Users\Maint-siniat2\Desktop
Profils chargés: Maint-siniat2 (Profils disponibles: Maint-siniat2)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
2017-02-24 12:59 - 2017-02-24 12:59 - 00000000 ____D C:\Windows\system32\{5B26ECAD-DCDB-49A7-9684-E5A3904117F0}
2017-02-24 12:57 - 2017-03-03 17:18 - 00000000 ____D C:\Program Files\BikaQRss
2017-02-24 12:57 - 2017-02-24 14:51 - 00000000 ____D C:\Windows\system32\{F9E76539-A8A2-4ADC-A465-7C8DE9852AB8}
2017-02-15 12:46 - 2017-02-15 12:46 - 00003120 _____ C:\Windows\LC9GCN9J.ocx
2017-02-14 14:04 - 2017-02-14 14:04 - 00000000 ____D C:\Program Files\Stancine
2017-02-14 14:02 - 2017-02-14 14:02 - 00000000 ____D C:\Program Files\Explorer
2017-02-14 12:01 - 2017-03-03 13:29 - 00000000 ____D C:\Program Files\zj5vwb3m
2017-02-14 12:01 - 2017-02-14 12:01 - 00000000 ____D C:\Program Files\bilibili
R2 bilibili; C:\Program Files\bilibili\bilibili.dll [122880 2017-02-14] () [Fichier non signé]
R2 iedvutils; C:\Program Files\Explorer\iedvutils.exe [64184 2017-01-22] ()
HKU\S-1-5-21-338012369-2913779271-3404537873-1000\...\Run: [1TN9W7937Z] => C:\Program Files\6NO83011XP\6NO83011X.exe
HKU\S-1-5-21-338012369-2913779271-3404537873-1000\...\Run: [comrepl] => C:\Users\Maint-siniat2\AppData\Roaming\com\comrepl.exe [7293280 2013-02-19] (TeamViewer GmbH)
C:\Users\Maint-siniat2\AppData\Roaming\com
HKU\S-1-5-21-338012369-2913779271-3404537873-1000\...\Run: [OWE8Y9MQOC] => C:\Program Files\FHO2PIWMMG\FHO2PIWMM.exe
HKU\S-1-5-21-338012369-2913779271-3404537873-1000\...\Run: [13WWSH1JKX] => C:\Program Files\BestCleaner\ZWIW7AS71R.exe <===== ATTENTION
HKLM\...\Providers\zj5vwb3m: C:\Program Files\Shoterkeerck Reports\local32spl.dll [278016 2017-01-27] ()
ShellExecuteHooks: Pas de nom - {B6DE7B40-DE3F-11E6-BEE0-64006A5CFC23} - C:\Users\Maint-siniat2\AppData\Roaming\Ckahsgrtle\Shacigh.dll -> Pas de fichier
Task: {77D8C521-C729-42A9-954F-8947409B1989} - System32\Tasks\Shoterkeerck Reports => C:\Program Files\Thumly\prerwther.exe [2017-01-27] (Glarysoft Ltd)
R2 bilibili; C:\Program Files\bilibili\bilibili.dll [122880 2017-02-14] () [Fichier non signé]
C:\Program Files\Explorer
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Windows\system32\{5B26ECAD-DCDB-49A7-9684-E5A3904117F0} => déplacé(es) avec succès
C:\Program Files\BikaQRss => déplacé(es) avec succès
C:\Windows\system32\{F9E76539-A8A2-4ADC-A465-7C8DE9852AB8} => déplacé(es) avec succès
C:\Windows\LC9GCN9J.ocx => déplacé(es) avec succès
C:\Program Files\Stancine => déplacé(es) avec succès
C:\Program Files\Explorer => déplacé(es) avec succès
C:\Program Files\zj5vwb3m => déplacé(es) avec succès
C:\Program Files\bilibili => déplacé(es) avec succès
bilibili => Service arrêté avec succès.
HKLM\System\CurrentControlSet\Services\bilibili => clé supprimé(es) avec succès
bilibili => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\iedvutils => clé supprimé(es) avec succès
iedvutils => service supprimé(es) avec succès
HKU\S-1-5-21-338012369-2913779271-3404537873-1000\Software\Microsoft\Windows\CurrentVersion\Run\\1TN9W7937Z => valeur supprimé(es) avec succès
HKU\S-1-5-21-338012369-2913779271-3404537873-1000\Software\Microsoft\Windows\CurrentVersion\Run\\comrepl => valeur supprimé(es) avec succès
C:\Users\Maint-siniat2\AppData\Roaming\com => déplacé(es) avec succès
HKU\S-1-5-21-338012369-2913779271-3404537873-1000\Software\Microsoft\Windows\CurrentVersion\Run\\OWE8Y9MQOC => valeur supprimé(es) avec succès
HKU\S-1-5-21-338012369-2913779271-3404537873-1000\Software\Microsoft\Windows\CurrentVersion\Run\\13WWSH1JKX => valeur supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\zj5vwb3m => clé supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\\order zj5vwb3m => supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{B6DE7B40-DE3F-11E6-BEE0-64006A5CFC23} => valeur supprimé(es) avec succès
HKCR\CLSID\{B6DE7B40-DE3F-11E6-BEE0-64006A5CFC23} => clé non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{77D8C521-C729-42A9-954F-8947409B1989} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{77D8C521-C729-42A9-954F-8947409B1989} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\Shoterkeerck Reports => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Shoterkeerck Reports => clé supprimé(es) avec succès
bilibili => service non trouvé(e).
"C:\Program Files\Explorer" => non trouvé(e).
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-338012369-2913779271-3404537873-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-338012369-2913779271-3404537873-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 56017775 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 5560490 B
Edge => 0 B
Chrome => 0 B
Firefox => 375182969 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 24053875 B
LocalService => 66228 B
NetworkService => 160936 B
Maint-siniat2 => 393588391 B
RecycleBin => 94862 B
EmptyTemp: => 815.1 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
==== Fin de Fixlog 07:56:15 ====
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
6 mars 2017 à 09:09
6 mars 2017 à 09:09
ok fais la suite pour voir :)
elpacha47
Messages postés
14
Date d'inscription
vendredi 3 mars 2017
Statut
Membre
Dernière intervention
10 mars 2017
6 mars 2017 à 10:10
6 mars 2017 à 10:10
Je suis en train de faire l'analyse malwarebyte, je vous dit des que c'est bon
Encore merci
Encore merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
elpacha47
Messages postés
14
Date d'inscription
vendredi 3 mars 2017
Statut
Membre
Dernière intervention
10 mars 2017
6 mars 2017 à 12:17
6 mars 2017 à 12:17
L'analyse s'est terminé sans rien trouvé
voici les rapport d'analyse de FRST:
addition : https://pjjoint.malekal.com/files.php?id=20170306_t15z12u14k7k12
shortcut : https://pjjoint.malekal.com/files.php?id=20170306_k15o11l10g7m6
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20170306_z14z14i11l127
voici les rapport d'analyse de FRST:
addition : https://pjjoint.malekal.com/files.php?id=20170306_t15z12u14k7k12
shortcut : https://pjjoint.malekal.com/files.php?id=20170306_k15o11l10g7m6
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20170306_z14z14i11l127
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
6 mars 2017 à 12:39
6 mars 2017 à 12:39
Ca doit aller mieux.
Ces dossiers doivent pouvoir être supprimés :
C:\Users\Maint-siniat2\AppData\Roaming\Kyubey
C:\Users\Maint-siniat2\AppData\Roaming\Help
C:\Users\Maint-siniat2\AppData\Local\Help
C:\Windows\system32\{B086809A-C4A0-4B6A-9131-514F7C104A6B}
Ces dossiers doivent pouvoir être supprimés :
C:\Users\Maint-siniat2\AppData\Roaming\Kyubey
C:\Users\Maint-siniat2\AppData\Roaming\Help
C:\Users\Maint-siniat2\AppData\Local\Help
C:\Windows\system32\{B086809A-C4A0-4B6A-9131-514F7C104A6B}
elpacha47
Messages postés
14
Date d'inscription
vendredi 3 mars 2017
Statut
Membre
Dernière intervention
10 mars 2017
7 mars 2017 à 07:31
7 mars 2017 à 07:31
Le seul dossier non supprimable est :
C:\Users\Maint-siniat2\AppData\Roaming\Kyubey
C:\Users\Maint-siniat2\AppData\Roaming\Kyubey
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 7/03/2017 à 09:58
Modifié par Malekal_morte- le 7/03/2017 à 09:58
ok par FRST alors :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
R2 Gherfwardervtain; C:\Program Files\Thumly\mpwhost.dll [150016 2017-01-27] () [Fichier non signé]
C:\Program Files\Thumly
C:\Users\Maint-siniat2\AppData\Roaming\Kyubey
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
elpacha47
Messages postés
14
Date d'inscription
vendredi 3 mars 2017
Statut
Membre
Dernière intervention
10 mars 2017
Modifié par elpacha47 le 7/03/2017 à 09:52
Modifié par elpacha47 le 7/03/2017 à 09:52
Merci pour ton aide une fois de plus et desolé de répondre en decousus,
Adwcleaner à reussi à supprimer Kyubey, il n'apparait plus dans les dossier meme apres un redemarrage.
Par contre maintenance j'ai un dossier infecter dans programme files, le dossier thumly
Sa n'était pas la avant les manip et c'est apparu après que adwcleaner ai supprimé kyubey et sa réapparait après chaque nettoyage adwcleaner.
Veut tu que je refasse une analyse FRST pour que tu te fasse une idée?
Adwcleaner à reussi à supprimer Kyubey, il n'apparait plus dans les dossier meme apres un redemarrage.
Par contre maintenance j'ai un dossier infecter dans programme files, le dossier thumly
Sa n'était pas la avant les manip et c'est apparu après que adwcleaner ai supprimé kyubey et sa réapparait après chaque nettoyage adwcleaner.
Veut tu que je refasse une analyse FRST pour que tu te fasse une idée?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
7 mars 2017 à 09:58
7 mars 2017 à 09:58
J'ai modifié le fix FRST au dessus.
elpacha47
Messages postés
14
Date d'inscription
vendredi 3 mars 2017
Statut
Membre
Dernière intervention
10 mars 2017
7 mars 2017 à 10:07
7 mars 2017 à 10:07
J'ai effectué le fixlist, apres 2 redemarrage je n'ai plus rien de détecter, je reprendrai le poste si sa reviens dans la journé ou demain sinon je le passerais en résolus, Encore un grand merci car j'avais pas envie de réinstallé tout le pc suite à une erreur bête de ma part.
Merci beaucoup
Merci beaucoup
elpacha47
Messages postés
14
Date d'inscription
vendredi 3 mars 2017
Statut
Membre
Dernière intervention
10 mars 2017
9 mars 2017 à 13:18
9 mars 2017 à 13:18
Bonjour,
Me revoila car j'ai toujours des problèmes, je m'explique :
Suite au manipulation précedente, l'ordinateur tournait bien, plus de logiciel malveillant etc....
Hélas ce matin je télécharge GIMP 2 sur le site officiel et la le drame recommence :
- Firefox s'éteint et se rallume sur un moteur de recherche que je ne desire pas, le tout en automatique au démarrage
- adblock plus detecte 37 menace alors qu'il n'y en avait pas au démarrage du PC
- parmis c'est menace kyubey et revenu et winsnare aussi.
Je nettoie, je supprime les raccourci infecté, je reinit tout les navigateur et DNS, 5 min apres tout est anouveau présent.
Pouvez vous m'aider? Encore....
SVP
Merci beaucoup
Me revoila car j'ai toujours des problèmes, je m'explique :
Suite au manipulation précedente, l'ordinateur tournait bien, plus de logiciel malveillant etc....
Hélas ce matin je télécharge GIMP 2 sur le site officiel et la le drame recommence :
- Firefox s'éteint et se rallume sur un moteur de recherche que je ne desire pas, le tout en automatique au démarrage
- adblock plus detecte 37 menace alors qu'il n'y en avait pas au démarrage du PC
- parmis c'est menace kyubey et revenu et winsnare aussi.
Je nettoie, je supprime les raccourci infecté, je reinit tout les navigateur et DNS, 5 min apres tout est anouveau présent.
Pouvez vous m'aider? Encore....
SVP
Merci beaucoup
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
9 mars 2017 à 13:20
9 mars 2017 à 13:20
bha t'as pas dû le prendre sur le site officiel....
T'as plus qu'à recommencer
Malwarebytes puis ensuite FRST.
T'as plus qu'à recommencer
Malwarebytes puis ensuite FRST.
elpacha47
Messages postés
14
Date d'inscription
vendredi 3 mars 2017
Statut
Membre
Dernière intervention
10 mars 2017
9 mars 2017 à 13:59
9 mars 2017 à 13:59
voici le site du téléchargement : https://www.gimp.org/
et sans méchanceté ni arrogance, je pense m'y connaitre suffisamment pour savoir ce qui craint de ce qui est normal.
Voici les liens :
addition : https://pjjoint.malekal.com/files.php?id=20170309_x14c15n12b7b14
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20170309_v14r8i13g10t9
shortcut : https://pjjoint.malekal.com/files.php?id=20170309_r8k12x9f5h15
et sans méchanceté ni arrogance, je pense m'y connaitre suffisamment pour savoir ce qui craint de ce qui est normal.
Voici les liens :
addition : https://pjjoint.malekal.com/files.php?id=20170309_x14c15n12b7b14
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20170309_v14r8i13g10t9
shortcut : https://pjjoint.malekal.com/files.php?id=20170309_r8k12x9f5h15
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 9/03/2017 à 14:10
Modifié par Malekal_morte- le 9/03/2017 à 14:10
ouaip c'est bien Gimp :
2017-03-09 12:44 - 2017-03-09 12:44 - 00000000 ____D C:\Windows\system32\{59506CA6-2987-4E4E-92D3-1D76EFE0C555}
2017-03-09 12:42 - 2017-03-09 12:47 - 77568952 _____ (The GIMP Team ) C:\Users\Maint-siniat2\Downloads\gimp-2.8.20-setup.exe
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :
Veuillez appuyer sur une touche pour continuer la désinfection...
2017-03-09 12:44 - 2017-03-09 12:44 - 00000000 ____D C:\Windows\system32\{59506CA6-2987-4E4E-92D3-1D76EFE0C555}
2017-03-09 12:42 - 2017-03-09 12:47 - 77568952 _____ (The GIMP Team ) C:\Users\Maint-siniat2\Downloads\gimp-2.8.20-setup.exe
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
2017-03-09 12:44 - 2017-03-09 12:44 - 00000000 ____D C:\Windows\system32\{59506CA6-2987-4E4E-92D3-1D76EFE0C555}
2017-03-09 12:42 - 2017-03-09 12:47 - 77568952 _____ (The GIMP Team ) C:\Users\Maint-siniat2\Downloads\gimp-2.8.20-setup.exe
R2 WinSAPSvc; C:\Users\Maint-siniat2\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-03-09] (Windows) [Fichier non signé]
R2 WinSnare; C:\Users\Maint-siniat2\AppData\Roaming\WinSnare\WinSnare.dll [647168 2017-03-09] (InterSect Alliance Pty Ltd) [Fichier non signé] <==== ATTENTION
2017-03-09 13:04 - 2017-03-09 13:04 - 00000000 ____D C:\Users\Maint-siniat2\AppData\Roaming\WinSnare
2017-03-09 13:04 - 2017-03-09 13:04 - 00000000 ____D C:\Users\Maint-siniat2\AppData\Roaming\WinSAPSvc
2017-03-09 13:04 - 2017-03-09 13:04 - 00000000 ____D C:\Users\Maint-siniat2\AppData\Roaming\Kyubey
2017-03-09 13:04 - 2017-03-09 13:04 - 00000000 ____D C:\Program Files\WinSnare(4.2.7)
2017-03-09 12:52 - 2017-03-09 12:52 - 00000000 ____D C:\Windows\system32\{1011B9E6-23BD-4A2A-B6F4-882640AE3360}
2017-03-09 12:44 - 2017-03-09 13:04 - 00000000 _____ C:\Windows\system32\4
2017-03-09 12:44 - 2017-03-09 13:04 - 00000000 _____ C:\Windows\system32\3
2017-03-09 12:44 - 2017-03-09 12:44 - 00000000 ____D C:\Windows\system32\{59506CA6-2987-4E4E-92D3-1D76EFE0C555}
Hosts:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :
- Réparer Mozilla Firefox (premier paragraphe)
- Réparer Google Chrome (seulement le premier paragraphe).
- Réinitialiser et réparer Internet Explorer
Veuillez appuyer sur une touche pour continuer la désinfection...
elpacha47
Messages postés
14
Date d'inscription
vendredi 3 mars 2017
Statut
Membre
Dernière intervention
10 mars 2017
9 mars 2017 à 14:22
9 mars 2017 à 14:22
c'est fait, voila le retour :
https://pjjoint.malekal.com/files.php?id=20170309_q8l5e9d7i8
https://pjjoint.malekal.com/files.php?id=20170309_q8l5e9d7i8
elpacha47
Messages postés
14
Date d'inscription
vendredi 3 mars 2017
Statut
Membre
Dernière intervention
10 mars 2017
Modifié par elpacha47 le 10/03/2017 à 08:30
Modifié par elpacha47 le 10/03/2017 à 08:30
Bonjour,
Les manipulation de la veille ont bien marché mais 5min après redemarrage ce matin, les programme indesirable sont réapparut sans meme navigation web.
Je présume qu'il y a un programme qui est introuvable par FRST ou autre.
Je fait une derniere tentative et apres je formate et je reinstalle tout
Voici les rapport FRST :https://pjjoint.malekal.com/files.php?id=FRST_20170310_o7b8r6k8r7
Addittion : https://pjjoint.malekal.com/files.php?id=20170310_e11c5v14s12r5
Modif : Apres annalyse de mon ordinateur, dans msconfig : kyubey, winsnare, et winsasp sont actif, je réessaye un nettoyage après suppression des élement indésirale
Les manipulation de la veille ont bien marché mais 5min après redemarrage ce matin, les programme indesirable sont réapparut sans meme navigation web.
Je présume qu'il y a un programme qui est introuvable par FRST ou autre.
Je fait une derniere tentative et apres je formate et je reinstalle tout
Voici les rapport FRST :https://pjjoint.malekal.com/files.php?id=FRST_20170310_o7b8r6k8r7
Addittion : https://pjjoint.malekal.com/files.php?id=20170310_e11c5v14s12r5
Modif : Apres annalyse de mon ordinateur, dans msconfig : kyubey, winsnare, et winsasp sont actif, je réessaye un nettoyage après suppression des élement indésirale
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
10 mars 2017 à 08:53
10 mars 2017 à 08:53
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
C:\Users\Maint-siniat2\AppData\Roaming\Kyubey
2017-03-10 08:13 - 2017-03-10 08:13 - 00000000 ____D C:\Windows\system32\{46A44D5D-BBC2-419F-9447-25B4F7209F3B}
2017-03-10 08:13 - 2017-03-10 08:13 - 00000000 ____D C:\Users\Maint-siniat2\AppData\Roaming\WinSnare
2017-03-10 08:13 - 2017-03-10 08:13 - 00000000 ____D C:\Users\Maint-siniat2\AppData\Roaming\WinSAPSvc
2017-03-10 08:13 - 2017-03-10 08:13 - 00000000 ____D C:\Users\Maint-siniat2\AppData\Roaming\Kyubey
2017-03-10 08:13 - 2017-03-10 08:13 - 00000000 ____D C:\Program Files\WinSnare(4.2.7)
2017-03-10 08:13 - 2017-03-10 08:13 - 00000000 ____D C:\Program Files\MIO
2017-03-10 08:13 - 2017-03-10 08:13 - 00000000 _____ C:\Windows\system32\4
2017-03-10 08:13 - 2017-03-10 08:13 - 00000000 _____ C:\Windows\system32\3
R2 WinSAPSvc; C:\Users\Maint-siniat2\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-03-09] (Windows) [Fichier non signé]
R2 WinSnare; C:\Users\Maint-siniat2\AppData\Roaming\WinSnare\WinSnare.dll [647168 2017-03-09] (InterSect Alliance Pty Ltd) [Fichier non signé] <==== ATTENTION
R2 Kyubey; C:\Users\Maint-siniat2\AppData\Roaming\Kyubey\Kyubey.exe [116224 2017-03-09] () [Fichier non signé]
ShortcutWithArgument: C:\Users\Maint-siniat2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1489129999&z=6a7d49f0ae61ac50d3df4c1g9zbb7tdg2o7t9t7tfq&from=pr0302&uid=WDCXWD2500BEKT-60PVMT0_WD-WXA1AA0K6560K6560
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1489129999&z=6a7d49f0ae61ac50d3df4c1g9zbb7tdg2o7t9t7tfq&from=pr0302&uid=WDCXWD2500BEKT-60PVMT0_WD-WXA1AA0K6560K6560
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
elpacha47
Messages postés
14
Date d'inscription
vendredi 3 mars 2017
Statut
Membre
Dernière intervention
10 mars 2017
Modifié par elpacha47 le 10/03/2017 à 11:32
Modifié par elpacha47 le 10/03/2017 à 11:32
Voici le resultat de mes tentative poussé :
- Mise en oeuvre du fixlist OK
- Suppression des service kyubey, winsnare... via msconfig manuellement car toujour présent apres le fix
-Suppression des relica avec adwCleaner
- Boot sur ubuntu et lancement d'analyse ClamAV => 2 trojan dans le system windows
- Suppression depuis la console ubuntu des executable indésirable
- Redémarrage de windows avec analyse adwcleaner apres le demarrage
- Recherche d'anomalie quelconque RAS, pas de nouveau service
- Reinit des navigateur
- Téléchargement de VLC pour tester si rien ne passe lors d'un Download => Rien de suspect
Cela fait 15min que windows tourne pour le moment et sans apparition de programme ou de pae web non désirable.
Je passerai le post en résolut si cette etat est définitif
PS : Le trojan trouvé (en double exemplaire) portait le même nom q'un service windows (sdclt.exe)
- Mise en oeuvre du fixlist OK
- Suppression des service kyubey, winsnare... via msconfig manuellement car toujour présent apres le fix
-Suppression des relica avec adwCleaner
- Boot sur ubuntu et lancement d'analyse ClamAV => 2 trojan dans le system windows
- Suppression depuis la console ubuntu des executable indésirable
- Redémarrage de windows avec analyse adwcleaner apres le demarrage
- Recherche d'anomalie quelconque RAS, pas de nouveau service
- Reinit des navigateur
- Téléchargement de VLC pour tester si rien ne passe lors d'un Download => Rien de suspect
Cela fait 15min que windows tourne pour le moment et sans apparition de programme ou de pae web non désirable.
Je passerai le post en résolut si cette etat est définitif
PS : Le trojan trouvé (en double exemplaire) portait le même nom q'un service windows (sdclt.exe)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
10 mars 2017 à 11:40
10 mars 2017 à 11:40
Les analyses Clamav sont totalement inutiles.
Clamav est trop faible.
Clamav est trop faible.
elpacha47
Messages postés
14
Date d'inscription
vendredi 3 mars 2017
Statut
Membre
Dernière intervention
10 mars 2017
10 mars 2017 à 12:06
10 mars 2017 à 12:06
je connait pas car je n'utilisa jamais windows d'hab, c'est le pc du boulot.
Une chose de sur c'est que mon pc n'est toujours pas infester depuis clamAV, et en plus l'analyse depuis ubuntu permet d'acceder à la totalité du disque vu qu'il n'est pas en cours d'utilisation.
Juste apres le fix, tout est revenu au redemarrage donc y a bien un service windows infesté.
Je te donnerai le retour lundi au plus tard
Une chose de sur c'est que mon pc n'est toujours pas infester depuis clamAV, et en plus l'analyse depuis ubuntu permet d'acceder à la totalité du disque vu qu'il n'est pas en cours d'utilisation.
Juste apres le fix, tout est revenu au redemarrage donc y a bien un service windows infesté.
Je te donnerai le retour lundi au plus tard
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 10/03/2017 à 12:13
Modifié par Malekal_morte- le 10/03/2017 à 12:13
Les définitions ClamAV sont trop faibles par rapport à toutes les menaces existantes sur Windows.
ClamAV est juste "bon" pour être en passerelle SMTP pour chopper les trojan downloader qui passent sur les mails véroles et protéger les clients mails.
Toute façon, c'est pas un prob de détection, tu peux faire tourner Avast! sur ton Windows, puisqu'il démarre, c'est dans le cas où il ne parvient pas à supprimer .sys récalcitrant.
Tu peux le supprimer manuellement depuis ton Ubuntu.
A la limite, installe Avast ou Antivir sur Ubuntu pour scanner ton Windows.
Sinon il reste l'antivirus par CD Live : https://www.malekal.com/meilleurs-live-usb-de-secours-pour-depanner-son-pc/#CD_Live_Antivirus quand Windows est mort.
Mais bon dans ton cas, ce n'est pas nécessaire.
Ca va toujours bien là ?
ClamAV est juste "bon" pour être en passerelle SMTP pour chopper les trojan downloader qui passent sur les mails véroles et protéger les clients mails.
Toute façon, c'est pas un prob de détection, tu peux faire tourner Avast! sur ton Windows, puisqu'il démarre, c'est dans le cas où il ne parvient pas à supprimer .sys récalcitrant.
Tu peux le supprimer manuellement depuis ton Ubuntu.
A la limite, installe Avast ou Antivir sur Ubuntu pour scanner ton Windows.
Sinon il reste l'antivirus par CD Live : https://www.malekal.com/meilleurs-live-usb-de-secours-pour-depanner-son-pc/#CD_Live_Antivirus quand Windows est mort.
Mais bon dans ton cas, ce n'est pas nécessaire.
Ca va toujours bien là ?
elpacha47
Messages postés
14
Date d'inscription
vendredi 3 mars 2017
Statut
Membre
Dernière intervention
10 mars 2017
10 mars 2017 à 15:28
10 mars 2017 à 15:28
Alors resultat de divers test :
- Pas de soucie depuis suppression Trojan
- Remise en place du trojan
- Suite à redemarrage, tout réapparait
- Impossible de regler quoique se soit sa reapparait apres chaque redemarrage
- Suppression du trojan a nouveau
- AwdCleaner arrive a supprimer definivement les malwares sans intervention de FRST
- J'ai reinitialisé mon navigateur et tout roule a merveille a nouveau.
Verdicte => J'ai installé un faut pilote qui à pris la place du programme SDCTL.exe present dans le system32 et dans Winsxs qui avait pour but d'installer des malwares et de les maintenir en place.
Solution qui a marché pour moi :
- Faire une analyse en mode externe (facile dans mon cas car dualboot) et supprimé les fichier detecter (remplacer l'extension par autre chose comme OLD afin de pouvoir le restituer au cas ou)
- Redémarrer et desinfecter puis redemarrer
Merci pour ton aide et bon courage pour la suite
PS : Malwarebyte, avast, kapersky et antivir non pas reussi à trouver un virus même depuis ubuntu => les resultats était toujour les mêmes, pas de menace sur cette ordi.
ClamAV a fait l'analyse en x2 moins de temps et à trouvé 2 trojans sur implanté parmis les services de windows.
Chacun en tire les conclusions qu'il veut mais dans tout les cas ce qui ce voit n'est pas toujours ce qu'il faut traité.
- Pas de soucie depuis suppression Trojan
- Remise en place du trojan
- Suite à redemarrage, tout réapparait
- Impossible de regler quoique se soit sa reapparait apres chaque redemarrage
- Suppression du trojan a nouveau
- AwdCleaner arrive a supprimer definivement les malwares sans intervention de FRST
- J'ai reinitialisé mon navigateur et tout roule a merveille a nouveau.
Verdicte => J'ai installé un faut pilote qui à pris la place du programme SDCTL.exe present dans le system32 et dans Winsxs qui avait pour but d'installer des malwares et de les maintenir en place.
Solution qui a marché pour moi :
- Faire une analyse en mode externe (facile dans mon cas car dualboot) et supprimé les fichier detecter (remplacer l'extension par autre chose comme OLD afin de pouvoir le restituer au cas ou)
- Redémarrer et desinfecter puis redemarrer
Merci pour ton aide et bon courage pour la suite
PS : Malwarebyte, avast, kapersky et antivir non pas reussi à trouver un virus même depuis ubuntu => les resultats était toujour les mêmes, pas de menace sur cette ordi.
ClamAV a fait l'analyse en x2 moins de temps et à trouvé 2 trojans sur implanté parmis les services de windows.
Chacun en tire les conclusions qu'il veut mais dans tout les cas ce qui ce voit n'est pas toujours ce qu'il faut traité.
