Pb virus infectant mon ordinateur windows 10Résolu/Fermé

Question

Bonjour,

J'ai repéré que mon navigateur a maintenant été infecté par des adwares et certainement des virus.
J'ai en effet des fenêtres qui s'ouvrent automatiquement. 
Mon logiciel malwarebytes m'envoie des notifications comme quoi istat.eshopcomp et tr533 sont bloqués. Mais Firefox que j'utilise est complètement pris d'assaut par des liens qui sont transformés et des fenêtres ouvertes vers des sites frauduleux et dangereux.
J'ai tenté tout un tas de procédures au gré de recherche sur le net, mais rien n'y fait. Après plusieurs lancement de logiciels, tels que YAC, malwarebytes, zemana, avast et j'en passe, le problème n'est toujours pas réglé. 
Le virus semble être vraiment bien installé dans le système et j'ai épuisé toutes mes connaissances  à ce sujet.
Pouvez m'aidé à régler ce soucis ?
Par avance merci

juju666 · Answer

Salut,

YAC et tous les autres que tu as cité sont des leurres. Ce sont les adwares (publiciels) qui t'envoient vers eux ...

Ceci devrait en grande partie résoudre le soucis :

&#9654 Télécharge ici : AdwCleaner (de Xplode)

&#9654 Lance-le.

&#9654 Lis et accepte le contrat d'utilisation.

&#9654 Clique sur Scanner puis Nettoyer, et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans le répertoire AdwCleaner de ton disque dur ( C:\AdwCleaner\AdwCleaner[x].txt) ou son contenu s'il s'ouvre.

A+

kaiiro · Answer

Et voici le rapport,

# AdwCleaner v5.007 - Rapport créé le 13/09/2015 à 19:23:09
# Mis à jour le 08/09/2015 par Xplode
# Base de données : 2015-09-10.1 [Serveur]
# Système d'exploitation : Windows 10 Home  (x64)
# Nom d'utilisateur : Grégory Le Cozic - GRÉGORY
# Exécuté depuis : C:\Users\Grégory Le Cozic\Downloads\AdwCleaner-5.007.exe
# Option : Nettoyer
# Support : http://toolslib.net/forum

 [ Services ] *****

[-] Service Supprimé : iSafeKrnl
[-] Service Supprimé : iSafeKrnlBoot
[-] Service Supprimé : iSafeKrnlKit
[-] Service Supprimé : iSafeKrnlMon
[-] Service Supprimé : iSafeKrnlR3
[-] Service Supprimé : iSafeNetFilter
[-] Service Supprimé : iSafeService

 [ Dossiers ] *****

[#] Dossier Supprimé : C:\Program Files (x86)\Elex-tech
[-] Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC
[#] Dossier Supprimé : C:\Users\Grégory Le Cozic\AppData\Roaming\Elex-tech
[-] Dossier Supprimé : C:\Users\GRGORY~1\AppData\Local\Temp\iSafeRightKeyScan

 [ Fichiers ] *****

[-] Fichier Supprimé : C:\Users\Grégory Le Cozic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\YAC.lnk
[-] Fichier Supprimé : C:\Users\Public\Desktop\YAC.lnk
[-] Fichier Supprimé : C:\WINDOWS\Sysnative\log\iSafeKrnlCall.log
[-] Fichier Supprimé : C:\WINDOWS\Sysnative\drivers\iSafeKrnlBoot.sys
[-] Fichier Supprimé : C:\WINDOWS\Sysnative\drivers\iSafeNetFilter.sys

 [ Raccourcis ] *****
 [ Tâches planifiées ] *****
 [ Registre ] *****

[-] Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\CLSID\{5411D116-5A37-47D4-B154-5F7FCD9062F0}
[-] Clé Supprimée : HKLM\SOFTWARE\Elex-tech
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe

 [ Navigateurs ] *****


:: Paramètres Winsock réinitialisés

########## EOF - C:\AdwCleaner\AdwCleaner[C4].txt - [1847 octets] ##########

juju666 · Answer

Ok, vu.
Tu peux éditer le message afin de supprimer les infos perso contenues sur le rapport .... 

~~

Comment se porte le PC ? 
Au besoin, tu peux réaliser le diagnostic ci-dessous : 

&#9654 Télécharge ici : FRST (de Farbar)
!!! En fonction de ta version de Windows, prends la "32-Bit Version" ou la "64-Bit Version" !!!
Aide : va dans Démarrer > Panneau de configuration > Système pour savoir si tu es sous 32 bits ou 64 bits.

&#9654 Double-clique sur l'icône FRST.exe pour lancer le programme. (Sous Windows Vista, 7 et 8, il faut faire un clic droit dessus, puis exécuter en tant qu'administrateur.) Clique ensuite sur Oui lorsqu'un message d'avertissement (Disclaimer) s'affiche.

&#9654 Sur le menu principal, clique sur le bouton Scan et patiente le temps de l'analyse.

&#9654 A la fin du scan, deux rapports s'affichent, FRST.txt et Addition.txt Poste les rapports dans ta prochaine réponse.

Les rapport se trouvent ici : C:\FRST\Logs

&#9654 Envoie-les sur http://pjjoint.malekal.com et poste les liens obtenus en échange. 
 

Si nécessaire nous établirons une correction avec ce logiciel afin de faire cesser l'activité de cet adware.

A+

kaiiro · Answer

Aie,

Le pc se comporte très mal, je ne peux pas naviguer avec firefox. A chaque fois les page qui ne sont pas en https sont changées. Je vois des transferts de données par l'intermédiaire de la barre des taches. C'est très inquiétant.
Les liens vers les sites que tu m'envoies sont changés pour m'amener sur d'autres sites en plus.

Je ne peux pas lancer FRST, j'ai un écran smartscreen a empêché le démarrage de l'application meme en mode administrateur. (je suis sur windows 10)

kaiiro · Answer

Voici les rapports.

Mais c'est dur de poster avec tous les changements faits par le virus.

http://pjjoint.malekal.com/files.php?id=20150913_o15z11x8l8e12

http://pjjoint.malekal.com/files.php?id=20150913_p11n12e10r10i9

juju666 · Answer

Essaie de surfer avec Microsoft Edge (le remplaçant d'Internet Explorer).

Pour désactiver SmartScreen (en images - clickables pour agrandissement)

juju666 · Answer

Ah, messages croisés :) 

Je regarde tes rapports et reviens vers toi avec la correction à effectuer.

juju666 · Answer

Bien suivre les étapes !!!

1/

Désinstaller SpyHunter (inutile)
Idem pour YAC & Zemana AntiMalware

2/ 
EDIT : un instant ...
 
A+
.::. Contributeur Sécurité .::.

juju666 · Answer

Voici la correction a effectuer avec FRST :

&#9654 Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
&#9654 Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes 

startCloseProcesses:CreateRestorePoint:2015-09-12 12:32 - 2015-09-12 12:45 - 00003542 _____ C:\WINDOWS\System32\Tasks\Nriensecuefr2015-09-12 12:27 - 2015-09-13 19:24 - 00000380 ____H C:\WINDOWS\Tasks\HQNASDMBEMJCLSEN.job 2015-09-12 12:27 - 2015-09-13 19:24 - 00000368 _____ C:\WINDOWS\Tasks\PAWEUTRNU1.job2015-09-12 12:27 - 2015-09-13 17:35 - 00000000 ____D C:\Users\Grégory Le Cozic\AppData\Roaming\ppslog2015-09-12 12:27 - 2015-09-13 15:30 - 00000000 ____D C:\Users\Grégory Le Cozic\AppData\Roaming\ortmp2015-09-12 12:27 - 2015-09-12 14:20 - 00001053 _____ C:\Users\Grégory Le Cozic\AppData\Local\Firefox .lnk2015-09-12 12:27 - 2015-09-12 14:20 - 00000903 _____ C:\Users\Grégory Le Cozic\AppData\Local\Iexplore .lnk2015-09-12 12:27 - 2015-09-12 13:57 - 00000883 _____ C:\Users\Grégory Le Cozic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Iexplore .lnk2015-09-12 12:27 - 2015-09-12 13:57 - 00000104 _____ C:\Users\Grégory Le Cozic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chrome .lnk2015-09-12 12:27 - 2015-09-12 12:40 - 00004664 _____ C:\WINDOWS\SysWOW64\Fomvebuiq.ini2015-09-12 12:27 - 2015-09-12 12:40 - 00002376 _____ C:\WINDOWS\SysWOW64\FomvebuiqOff.ini2015-09-12 12:27 - 2015-09-12 12:40 - 00002376 _____ C:\WINDOWS\system32\FomvebuiqOff.ini2015-09-12 12:27 - 2015-09-12 12:27 - 00003732 _____ C:\WINDOWS\System32\Tasks\Gaupj2015-09-12 12:27 - 2015-09-12 12:27 - 00003478 _____ C:\WINDOWS\System32\Tasks\HQNASDMBEMJCLSEN2015-09-12 12:27 - 2015-09-12 12:27 - 00002938 _____ C:\WINDOWS\System32\Tasks\PAWEUTRNU12015-09-12 12:27 - 2015-09-12 12:27 - 00000258 _____ C:\Users\Grégory Le Cozic\AppData\Local\Chrome .lnk2015-09-12 12:27 - 2015-09-12 12:27 - 00000000 ____D C:\WINDOWS\system32\xicj2015-09-12 12:27 - 2015-09-12 12:27 - 00000000 ____D C:\Users\Grégory Le Cozic\AppData\Local\Tempfolder  2015-09-12 12:25 - 2015-09-13 15:30 - 00000000 ____D C:\Program Files (x86)\baidu C:\ProgramData\Service7609\Service7609.exeC:\Program Files\shopperz120920151216\Boptaqo.batC:\ProgramData\Nriensecuefr\1.0.5.1\lnifreua.exeC:\ProgramData\LolliScan\LolliScan.exeEmptyTemp:end

&#9654 Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
&#9654 Ferme toutes les applications, y compris ton navigateur
&#9654 Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
&#9654 Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
&#9654 L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

&#9654 /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\ 
 
A+

juju666 · Answer

Bien.

Dis moi si tu as encore des soucis de pub.
On essaiera ensuite de virer les programmes qui ne veulent pas se désinstaller.

juju666 · Answer

ouais, j'ai modifié mon message, oublie le passage TDSSKiller :) 

bon, pour désinstaller lesdits programmes.

-> Installe Revo Uninstaller

-> Lancer Revo Uninstaller  
-> Laisser-le charger... (pas plus de 2 min) ...  

-> Sélectionner le logiciel à désinstaller, puis clique droit "Désinstaller"  
-> Une fenêtre s'ouvre, sélectionner le mode "Avancé", puis cliquer sur "Suivant"  
-> Laisser le charger...   
-> Une fenêtre s'ouvre, avec le désinstallateur classique du logiciel sélectionné (exemple: désinstallateur classique de Google Chrome).   
Poursuivez la désinstallation comme une désinstallation classique.

-> Une fois la désinstallation classique terminée, faites "Suivant"  

-> Le logiciel fait un scan pour trouver des restes, laissez le charger...  

-> Si des éléments restant du registre sont trouvés :  
- Cliquer sur "Sélectionner tout", puis "Supprimer".  
- Puis cliquer sur "Suivant".  

-> Si des fichiers et répertoires restant sont trouvés :  
- Cliquer sur "Sélectionner tout", puis sur "Supprimer".  
- Puis cliquer sur "Suivant".  

Si des éléments ne peuvent être supprimés qu'au redémarrage, redémarrez votre machine.

juju666 · Answer

Je ne vois plus trace de YAC ?

Du coup, une correction mais avec ceci dans le fixlist :

startCloseProcesses: (Enigma Software Group USA, LLC.) C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTIONR2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [1026944 2015-09-12] (Enigma Software Group USA, LLC.) S2 ZAMSvc; C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe /service [X]S3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [15920 2015-09-12] (Enigma Software Group USA, LLC.) R1 ZAM_Guard; C:\WINDOWS\System32\drivers\zamguard64.sys [109432 2015-09-13] (Zemana Ltd.)S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X] C:\Users\Grégory Le Cozic\AppData\Local\Zemana C:\Program Files\Enigma Software GroupC:\Program Files (x86)\Zemana AntiMalwareC:\Users\Grégory Le Cozic\AppData\Roaming\Enigma Software GroupC:\sh4ldr reboot:end

juju666 · Answer

Haha la bonne vieille question existentielle :)
Si je te dis X, un autre te dira Y et le troisième te dira Z.
Conserve Avast!, il bosse bien pour un AV gratuit :)
Après aucun n'est infaillible, faut faire gaffe à ce qu'on installe. Dixit Malekal_Morte- les programmes c'est comme les bonbons, on n'accepte pas quand ça vient d'un inconnu.

Bref, revenons à nos moutons.
Surfe pour voir si tu n'as plus de pubs. 
Vérifie que les programmes soient bien disparus.
Et on finalisera.

juju666 · Answer

Perso, j'ai pas d'antivirus, et suis jamais infesté.
Là t'as chopé des PUP, te mets en bas mon petit discours sur ce que c'est mais en tout cas ça vient pas de la clé usb.

Pour le démarrage de Windows assez long, tu as eu le bon réflexe : aller décocher dans ccleaner les éléments de démarrage. ça bouffe des ressources inutiles. Juste tes applications qui démarreront plus lentement quand tu les titillera puisqu'elles ne seront pas déjà en tâche de fond.

Pour SpyHunter, attention à ce que tu dis, leurs avocats sont sur le net :p 
Tu peux lire ceci sur spyhunter et la compagnie : https://www.commentcamarche.net/faq/37026-spyhunter-faux-blog-de-desinfection

~~ 

Concernant les pup : 

Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme S0ft0nic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

Il existe Unchecky (que j'utilise ^^) qui est bien pratique : https://www.commentcamarche.net/telecharger/securite/22667-unchecky/
 
~~

Le final :

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC ! 

Il faut impérativement maintenir tes logiciels à jour.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

~~

Bonne lecture, bonne soirée et n'oublie pas d'indiquer que ton sujet est résolu :) 

Si problème, n'hésite pas à poster, mais je vais pas trainer à aller me coucher donc possible que je ne réponde que demain soir :)

Julien.

Pb virus infectant mon ordinateur windows 10

14 réponses

Fin de Fixlog 21:13:26

Fin de Fixlog 22:05:07

Newsletters