Chercheztout.com/serchbijen.com [Résolu]

smoon 283 Messages postés lundi 3 novembre 2008Date d'inscription 29 décembre 2017 Dernière intervention - 28 déc. 2017 à 18:36 - Dernière réponse : smoon 283 Messages postés lundi 3 novembre 2008Date d'inscription 29 décembre 2017 Dernière intervention
- 29 déc. 2017 à 00:00
Bonjour,

Après avoir testé des logiciels de nettoyage (zhp..., adwcleaner, usbfix, frst), je suis toujours au même point.

Un PC sous windows 10 et deux clé usb infecté par chercheztout.com/serchbijen.com.

En gros ce que moi j'ai vu c'est :
- il y a les raccourcis internet explorer, google chrome, et firefox présent sur le bureau qui revienne après suppression et qui redirige vers chercheztout.com/serchbijen.com
- 2 fichiers qui se lance au démarrage (jacquelinehost.exe) présent sur C: et D:

Un bon gros coup de main ne serait pas de refus.
Afficher la suite 

13 réponses

Répondre au sujet
Malekal_morte- 144058 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 28 décembre 2017 Dernière intervention - 28 déc. 2017 à 19:42
0
Utile
Salut,


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.



Commenter la réponse de Malekal_morte-
smoon 283 Messages postés lundi 3 novembre 2008Date d'inscription 29 décembre 2017 Dernière intervention - 28 déc. 2017 à 20:00
smoon 283 Messages postés lundi 3 novembre 2008Date d'inscription 29 décembre 2017 Dernière intervention - 28 déc. 2017 à 20:04
J'avais oublié de désactiver l'antivirus, je recommence.
smoon 283 Messages postés lundi 3 novembre 2008Date d'inscription 29 décembre 2017 Dernière intervention - 28 déc. 2017 à 20:06
Non c'était bon, par contre mes clés usb doivent être branchées ou pas?
Commenter la réponse de smoon
Malekal_morte- 144058 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 28 décembre 2017 Dernière intervention - 28 déc. 2017 à 20:24
0
Utile
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:()
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Music, Photos and Videos\Photos Snapfish.lnk -> C:\Program Files (x86)\Hewlett-Packard\Shared\WizLink.exe () -> hxxp://www.snapfish.com/hp_notebook_desktopicon_2014_fr
ShortcutWithArgument: C:\Users\Jacqueline\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://chercheztout.com/tram/120
ShortcutWithArgument: C:\Users\Jacqueline\Desktop\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://chercheztout.com/tram/116
ShortcutWithArgument: C:\Users\Jacqueline\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://chercheztout.com/tram/118
ShortcutWithArgument: C:\Users\Jacqueline\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.LNK -> C:\Program Files\internet explorer\iexplore.exe (Microsoft Corporation) -> hxxp://chercheztout.com/tram/116
Startup: C:\Users\Jacqueline\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HelpJacqueline.lnk [2017-12-28]
C:\Jacqueline
Startup: C:\Users\Jacqueline\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ManualJacqueline.lnk [2017-12-28]
2017-12-28 18:03 - 2017-12-28 18:03 - 000000000 ____D C:\Users\Jacqueline\AppData\Local\DBG
2017-12-28 17:55 - 2017-12-28 18:03 - 000000000 ____D C:\Users\Jacqueline\AppData\Local\ZHP
2017-12-28 17:17 - 2017-12-28 17:17 - 000000000 ____D C:\Program Files (x86)\UsbFix
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Pour nettoyer les disques amovibles des virus USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm

Brancher toutes les clefs USB et autres périphériques amovibles.
  • Télécharger Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.


Commenter la réponse de Malekal_morte-
smoon 283 Messages postés lundi 3 novembre 2008Date d'inscription 29 décembre 2017 Dernière intervention - 28 déc. 2017 à 20:46
0
Utile
Tout est fait, et voici le rapport de la désinfection de G: (j'ai désinfecté F: juste avant)


Rem-VBSworm v8.0

=========== - General info:

Running under: Jacqueline on profile: C:\Users\Jacqueline
Computer name: PCBUREAU

Operating System:
Microsoft Windows 10 Famille

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender


Executed on: 28/12/2017 @ 20:40:48,67

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque mont‚ local Windows

D: Disque mont‚ local RECOVERY

E: Disque CD-ROM <MAD_MEN_S07_DVD01>

F: Disque amovible LEXAR 4GB

G: Disque amovible NOIRCHROME




Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume6 NTFS
F: \Device\HarddiskVolume7 FAT
G: \Device\HarddiskVolume8 FAT
E: \Device\CdRom0 UDFS

=========== - Disinfection info:


=========== - USB drive info:

f: selected

USB Device ID:
USBSTOR\DISK&VEN_INTENSO&PROD_BUSINESS_LINE&REV_\001205285HOXGT&0

SCSI\DISK&VEN_HGST&PROD_HTS541010A9E680\4&D49E97A&0&000000

USBSTOR\DISK&VEN_LEXAR&PROD_JUMPDRIVE&REV_1100\AATRWZQ5JCL12R4H&0




Fichier supprim‚ - f:\Jacqueline.lnk
Fichier supprim‚ - f:\Dossier.lnk
Fichier supprim‚ - f:\Nouveau dossier.lnk
Fichier supprim‚ - f:\New Folder.lnk
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of f:
Le volume dans le lecteur F s'appelle LEXAR 4GB
Le num‚ro de s‚rie du volume est 74E6-6F53

R‚pertoire de F:\

19/08/2004 18:10 126ÿ976 07
03/11/2015 13:50 716 Vlc.rar
03/11/2015 13:50 794 Vlce.rar
03/11/2015 14:42 26ÿ135 Skype.rar
4 fichier(s) 154ÿ621 octets
1 R‚p(s) 4ÿ001ÿ120ÿ256 octets libres

USB drive disinfected and files unhidden!!


=========== - USB drive info:

g: selected

USB Device ID:
USBSTOR\DISK&VEN_INTENSO&PROD_BUSINESS_LINE&REV_\001205285HOXGT&0

SCSI\DISK&VEN_HGST&PROD_HTS541010A9E680\4&D49E97A&0&000000

USBSTOR\DISK&VEN_LEXAR&PROD_JUMPDRIVE&REV_1100\AATRWZQ5JCL12R4H&0




Fichier supprim‚ - g:\Jacqueline.lnk
Fichier supprim‚ - g:\Dossier.lnk
Fichier supprim‚ - g:\Nouveau dossier.lnk
Fichier supprim‚ - g:\New Folder.lnk
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of g:
Le volume dans le lecteur G s'appelle NOIRCHROME
Le num‚ro de s‚rie du volume est DCAF-E856

R‚pertoire de G:\

19/08/2004 18:10 126ÿ976 07
03/11/2015 13:50 716 Vlc.rar
03/11/2015 13:50 794 Vlce.rar
03/11/2015 14:42 26ÿ135 Skype.rar
4 fichier(s) 154ÿ621 octets
1 R‚p(s) 16ÿ025ÿ174ÿ016 octets libres

USB drive disinfected and files unhidden!!
Commenter la réponse de smoon
Malekal_morte- 144058 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 28 décembre 2017 Dernière intervention - 28 déc. 2017 à 20:52
0
Utile
1
Du coup, plus de soucis ?
smoon 283 Messages postés lundi 3 novembre 2008Date d'inscription 29 décembre 2017 Dernière intervention - 28 déc. 2017 à 20:58
J'ai formaté les clés usb, ça à l'air bon.
J'ai supprimé manuellement les raccourcis de navigateur internet.
Tout à l'air bon...
Je redémarre pour voir...
Commenter la réponse de Malekal_morte-
smoon 283 Messages postés lundi 3 novembre 2008Date d'inscription 29 décembre 2017 Dernière intervention - 28 déc. 2017 à 21:06
0
Utile
2
Parfait tout est en ordre, merci beaucoup.
Dis-moi comment tu concoctes le "fixlist.txt" pour que je puisse le refaire pour quelqu'un d'autre je soupçonne mon frère d'avoir ramené ça sur ce pc.
Malekal_morte- 144058 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 28 décembre 2017 Dernière intervention - 28 déc. 2017 à 21:56
L'infection reprend le nom d'utilisateur, donc ça doit pas être jacqueline.
Le mieux c'est de refaire un scan FRST et donner les rapports que je te dise.
smoon 283 Messages postés lundi 3 novembre 2008Date d'inscription 29 décembre 2017 Dernière intervention - 28 déc. 2017 à 22:00
Ok merci, à une prochaine!
Bonne soirée.
Commenter la réponse de smoon
Malekal_morte- 144058 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 28 décembre 2017 Dernière intervention - 28 déc. 2017 à 22:05
0
Utile
1
Merci à toi aussi =)

Supprime le dossier C:\FRST


Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.

smoon 283 Messages postés lundi 3 novembre 2008Date d'inscription 29 décembre 2017 Dernière intervention - 29 déc. 2017 à 00:00
Ok je lance ça!
Commenter la réponse de Malekal_morte-