Mystarting123 : un malware tenace
Fermé
pixmagic
Messages postés
83
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
24 mai 2023
-
Modifié le 28 mai 2017 à 15:30
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 30 mai 2017 à 00:41
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 30 mai 2017 à 00:41
3 réponses
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
28 mai 2017 à 02:27
28 mai 2017 à 02:27
Bonjour,
--> Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.
32 ou 64 bits - Comment savoir ?
--> Ferme toutes les applications en cours.
--> Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Coche la case Addition.txt.
--> Clique sur Analyser.
--> Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
--> Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.
--> Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.
32 ou 64 bits - Comment savoir ?
--> Ferme toutes les applications en cours.
--> Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Coche la case Addition.txt.
--> Clique sur Analyser.
--> Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
--> Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.
Bonsoir
je crois que j'ai trouvé une solution qui marche...
j'ai trouvé sur un forum ceci :
https://www.nicolascoolman.com/fr/download/resetbrowser/
télécharger l'application.. la lancer en mode Admin
et elle va réinitialiser tous les navigateurs installés.
moi j'ai retrouvé tous mes favoris qui avaient disparus et je me trouve avec des navigateurs tout neufs.
je crois que j'ai trouvé une solution qui marche...
j'ai trouvé sur un forum ceci :
https://www.nicolascoolman.com/fr/download/resetbrowser/
télécharger l'application.. la lancer en mode Admin
et elle va réinitialiser tous les navigateurs installés.
moi j'ai retrouvé tous mes favoris qui avaient disparus et je me trouve avec des navigateurs tout neufs.
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
29 mai 2017 à 02:43
29 mai 2017 à 02:43
Il y a d'autres infections.
Vu que tu as utilisé ResetBrowser entre temps, peux-tu me refaire les rapports FRST / Addition ?
Vu que tu as utilisé ResetBrowser entre temps, peux-tu me refaire les rapports FRST / Addition ?
pixmagic
Messages postés
83
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
24 mai 2023
3
29 mai 2017 à 19:53
29 mai 2017 à 19:53
bonjour
hier soir j'ai fait un scan avec une clé usb rescue key de Panda Security ... ça a pris 2h et quelques de scan ... Panda a trouvé 4 infection (ch. de Troie) qu'il a désinfecté (mais c'est dans des fichiers compressés que j'ai utilisé une seule fois il y a quelques mois deja) ce qui est un peu étonnant quand meme... je sais que c'est le log. Super qui est la source de l'infection !
bon, voici le fichier Addidion:
https://pjjoint.malekal.com/files.php?id=20170529_6j11r6w13i8
https://pjjoint.malekal.com/files.php?id=FRST_20170529_m5q5i10g13i6
à l'heure actuelle, je n'ai aucun soucis de navigation.
hier soir j'ai fait un scan avec une clé usb rescue key de Panda Security ... ça a pris 2h et quelques de scan ... Panda a trouvé 4 infection (ch. de Troie) qu'il a désinfecté (mais c'est dans des fichiers compressés que j'ai utilisé une seule fois il y a quelques mois deja) ce qui est un peu étonnant quand meme... je sais que c'est le log. Super qui est la source de l'infection !
bon, voici le fichier Addidion:
https://pjjoint.malekal.com/files.php?id=20170529_6j11r6w13i8
https://pjjoint.malekal.com/files.php?id=FRST_20170529_m5q5i10g13i6
à l'heure actuelle, je n'ai aucun soucis de navigation.
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
30 mai 2017 à 00:41
30 mai 2017 à 00:41
"Copernic Desktop Search 4"
--> Ce logiciel est voulu ?
Oui, l'installateur de SUPER propose plein de cochonneries :(
--> Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
--> Copie-colle le texte en gras ci-dessous dans le Bloc-notes :
start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
C:\Program Files\Common Files\AV\Spybot - Search and Destroy
HKLM\...\Providers\oqfxjsqv: C:\Program Files\Hetutain Monitor\local32spl.dll
C:\Program Files\Hetutain Monitor
ShellExecuteHooks: Pas de nom - {F5AFEDBA-3EB8-11E7-83D1-64006A5CFC23} - -> Pas de fichier
BootExecute: autocheck autochk * sdnclean.exe
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab
DPF: {CAFEEFAC-0018-0000-0045-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
FF HKLM\...\Firefox\Extensions: [12x3q4@3244516.com] - C:\Program Files\Better-Surf\ff => non trouvé(e)
C:\Program Files\Better-Surf
FF HKLM\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha877.net] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha877\ff => non trouvé(e)
CHR HKLM\...\Chrome\Extension: [llpnacfkfgbdhapefgejnoabjhlebpgo] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha877\ch\WebexpEnhancedV1alpha877.crx <non trouvé(e)>
C:\Program Files\WebexpEnhancedV1
S2 terana; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL non trouvé(e))
S2 WinSAPSvc; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL non trouvé(e))
C:\Users\magic\AppData\Local\terana
C:\Users\magic\AppData\Roaming\WinSAPSvc
C:\Program Files\{E0B67BD1-E050-49A3-A92E-673B1B2FDF2C}
C:\Users\Public\Documents\temp.dat
C:\Program Files\MIO
C:\ProgramData\Spybot - Search & Destroy
C:\ProgramData\KZMount
C:\Program Files\3SLT0QNUDP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩
C:\Users\magic\AppData\Roaming\Perbot
C:\Windows\system32\Drivers\vcdrom.sys
C:\Users\magic\AppData\Roaming\ServerTest
C:\Users\magic\AppData\Local\{6E6CCAF2-2D98-4BCE-8961-B60FC14F793A}
C:\Users\magic\AppData\Local\{C91BC81D-2FFC-4B8A-8BA6-CC0B9FF09CAA}
Task: {2BA1A751-6BD8-41C1-ADFC-953F4567D02F} - System32\Tasks\Microsoft\Windows\DeviceSettings\Dicuiedghersapy => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=ST3160212ACE_9LS5HZLDXXXX9LS5HZLD&d=20170525 /q <==== ATTENTION
Task: {7D6148BE-6970-4E80-B7A6-A9ADE81CBF84} - System32\Tasks\Hetutain Monitor => C:\Program Files\Rehakgekity\yaupdcache.exe
C:\Program Files\Rehakgekity
Task: {EA6B7D4B-6D2E-46C8-8F8D-250ED8D4D469} - System32\Tasks\Norton Product InstallerIdle => C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
Task: C:\Windows\Tasks\Norton Product InstallerIdle.job => C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
FirewallRules: [{FB35EB6B-CC45-4CC4-8E52-D1EE14A53F78}] => (Allow) C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
FirewallRules: [{0FE8A1E2-BA72-40D3-B548-FFBC1DCDA29A}] => (Allow) C:\Program Files\Hippig\Application\chrome.exe
FirewallRules: [{1DBAFFD7-11BF-4A9D-BD0A-7DC7B5AFB32C}] => (Allow) C:\Program Files\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{7C3BE4A6-F332-4EF9-9180-FBEFEFE1D072}] => (Allow) C:\Program Files\Firefox\Firefox.exe
EmptyTemp:
end
--> Enregistre le fichier dans le dossier "Téléchargements" (au même endroit que FRST) sous le nom fixlist.txt
--> Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Clique sur Corriger. Patiente le temps de la correction.
Note : si l'outil a besoin d'un redémarrage, accepte pour qu'il termine son travail.
--> Une fois la correction terminée, un rapport Fixlog.txt remplacera le fichier fixlist.
--> Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
--> Ce logiciel est voulu ?
Oui, l'installateur de SUPER propose plein de cochonneries :(
--> Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
--> Copie-colle le texte en gras ci-dessous dans le Bloc-notes :
start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
C:\Program Files\Common Files\AV\Spybot - Search and Destroy
HKLM\...\Providers\oqfxjsqv: C:\Program Files\Hetutain Monitor\local32spl.dll
C:\Program Files\Hetutain Monitor
ShellExecuteHooks: Pas de nom - {F5AFEDBA-3EB8-11E7-83D1-64006A5CFC23} - -> Pas de fichier
BootExecute: autocheck autochk * sdnclean.exe
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab
DPF: {CAFEEFAC-0018-0000-0045-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
FF HKLM\...\Firefox\Extensions: [12x3q4@3244516.com] - C:\Program Files\Better-Surf\ff => non trouvé(e)
C:\Program Files\Better-Surf
FF HKLM\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha877.net] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha877\ff => non trouvé(e)
CHR HKLM\...\Chrome\Extension: [llpnacfkfgbdhapefgejnoabjhlebpgo] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha877\ch\WebexpEnhancedV1alpha877.crx <non trouvé(e)>
C:\Program Files\WebexpEnhancedV1
S2 terana; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL non trouvé(e))
S2 WinSAPSvc; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL non trouvé(e))
C:\Users\magic\AppData\Local\terana
C:\Users\magic\AppData\Roaming\WinSAPSvc
C:\Program Files\{E0B67BD1-E050-49A3-A92E-673B1B2FDF2C}
C:\Users\Public\Documents\temp.dat
C:\Program Files\MIO
C:\ProgramData\Spybot - Search & Destroy
C:\ProgramData\KZMount
C:\Program Files\3SLT0QNUDP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩
C:\Users\magic\AppData\Roaming\Perbot
C:\Windows\system32\Drivers\vcdrom.sys
C:\Users\magic\AppData\Roaming\ServerTest
C:\Users\magic\AppData\Local\{6E6CCAF2-2D98-4BCE-8961-B60FC14F793A}
C:\Users\magic\AppData\Local\{C91BC81D-2FFC-4B8A-8BA6-CC0B9FF09CAA}
Task: {2BA1A751-6BD8-41C1-ADFC-953F4567D02F} - System32\Tasks\Microsoft\Windows\DeviceSettings\Dicuiedghersapy => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=ST3160212ACE_9LS5HZLDXXXX9LS5HZLD&d=20170525 /q <==== ATTENTION
Task: {7D6148BE-6970-4E80-B7A6-A9ADE81CBF84} - System32\Tasks\Hetutain Monitor => C:\Program Files\Rehakgekity\yaupdcache.exe
C:\Program Files\Rehakgekity
Task: {EA6B7D4B-6D2E-46C8-8F8D-250ED8D4D469} - System32\Tasks\Norton Product InstallerIdle => C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
Task: C:\Windows\Tasks\Norton Product InstallerIdle.job => C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
FirewallRules: [{FB35EB6B-CC45-4CC4-8E52-D1EE14A53F78}] => (Allow) C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
FirewallRules: [{0FE8A1E2-BA72-40D3-B548-FFBC1DCDA29A}] => (Allow) C:\Program Files\Hippig\Application\chrome.exe
FirewallRules: [{1DBAFFD7-11BF-4A9D-BD0A-7DC7B5AFB32C}] => (Allow) C:\Program Files\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{7C3BE4A6-F332-4EF9-9180-FBEFEFE1D072}] => (Allow) C:\Program Files\Firefox\Firefox.exe
EmptyTemp:
end
--> Enregistre le fichier dans le dossier "Téléchargements" (au même endroit que FRST) sous le nom fixlist.txt
--> Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Clique sur Corriger. Patiente le temps de la correction.
Note : si l'outil a besoin d'un redémarrage, accepte pour qu'il termine son travail.
--> Une fois la correction terminée, un rapport Fixlog.txt remplacera le fichier fixlist.
--> Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
29 mai 2017 à 01:00
j'ai fait comme t'as indiqué et voici les 2 fichiers :
Addition.txt =>
https://pjjoint.malekal.com/files.php?id=20170529_p15r8n13d6g10
FRST.txt =>
https://pjjoint.malekal.com/files.php?id=FRST_20170529_q10h8z15w15k10