Problème de virus & Adware [Résolu/Fermé]

Signaler
-
Malekal_morte-
Messages postés
174209
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 janvier 2020
-
Bonjour à tous!

J'ai 2 problèmes différents suite a des virus:

- Quand je scan avec Malwarebytes et que je veux redémarrer l'ordinateur pour supprimer le virus l'ordi bloque! Il reste coincé sur redémarrage. Je recommence l'opération et rebelote....

- J'ai un Adware du nom de Yoodou que je n'arrive pas a me débarasser. J'ai déjà tenter Adwcleaner mais rien n'a faire.

Une idée pour m'aider dans mon calvaire?

Merci d'avance!

11 réponses

Messages postés
174209
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 janvier 2020
19 079
Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Addition: http://pjjoint.malekal.com/files.php?id=20170328_z6u12m11e12c6
Shortcut: http://pjjoint.malekal.com/files.php?id=20170328_i8q14c15z7v13
FRST: http://pjjoint.malekal.com/files.php?id=FRST_20170328_o12y13q10d11x13

Merci de ton aide au faite :)
J'ai fais quelque scan de Kaspersky et il m'a trouver un cheval de Troie aussi...

J'ai l'impression d'avoir bien déconner.
Messages postés
174209
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 janvier 2020
19 079
il faut faire cette correction en mode sans échec,
Prépare le fichier fixlist.txt

Redémarre en mode sans échec et lance FRST et la correction dessus.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKLM\...\Providers\vbl8eir6: C:\Program Files (x86)\Qritain Log\local64spl.dll [307712 2017-03-28] ()
ShellExecuteHooks: Pas de nom - {588D1082-0E35-11E7-B63D-64006A5CFC23} - C:\Users\zq-ne\AppData\Roaming\Arijerch\Rersacultfijily.dll -> Pas de fichier
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\¿ìѹ\X64\KZipShell.dll [2017-03-28] ()
S2 YcOlron1BNFu Updater; C:\Program Files (x86)\YcOlron1BNFu Updater\YcOlron1BNFu Updater.exe [X]
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== ATTENTION
2017-03-28 10:11 - 2017-03-28 10:19 - 00000000 ____D C:\Users\zq-ne\AppData\Roaming\KuaiZip
2017-03-28 10:06 - 2017-03-28 10:24 - 00000000 ____D C:\AdwCleaner
2017-03-28 09:59 - 2017-03-28 10:06 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-03-28 09:59 - 2017-03-28 09:59 - 00000000 ____D C:\Users\zq-ne\AppData\Roaming\LDSGameAssistant
2017-03-28 09:59 - 2017-03-28 09:59 - 00000000 ____D C:\Users\zq-ne\AppData\Roaming\360wp
2017-03-28 09:59 - 2017-03-28 09:59 - 00000000 ____D C:\Users\zq-ne\AppData\Local\UCBrowser
2017-03-28 09:59 - 2017-03-28 09:59 - 00000000 ____D C:\Program Files (x86)\360
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
2017-03-28 09:58 - 2017-03-28 10:08 - 00000000 ____D C:\Program Files (x86)\LuDaShi
2017-03-28 09:58 - 2017-03-28 09:58 - 00003656 _____ C:\Windows\System32\Tasks\CreateExplorerShellUnelevatedTask
2017-03-28 09:57 - 2017-03-28 10:31 - 00000000 ____D C:\Program Files (x86)\Werrasyresich
2017-03-28 09:57 - 2017-03-28 10:09 - 00000000 ____D C:\Users\zq-ne\AppData\Roaming\Arijerch
2017-03-28 09:57 - 2017-03-28 09:58 - 00000000 ____D C:\Users\Default\AppData\Local\AdvinstAnalytics
2017-03-28 09:57 - 2017-03-28 09:58 - 00000000 ____D C:\Users\Default User\AppData\Local\AdvinstAnalytics
2017-03-28 09:57 - 2017-03-28 09:57 - 00006106 _____ C:\Windows\System32\Tasks\Qritain Log
2017-03-28 09:57 - 2017-03-28 09:57 - 00000000 ____D C:\Users\zq-ne\AppData\Local\Plejismwersy
2017-03-28 09:57 - 2017-03-28 09:57 - 00000000 ____D C:\Program Files (x86)\Qritain Log
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Fixlog:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-03-2017
Exécuté par zq-ne (28-03-2017 11:08:38) Run:1
Exécuté depuis C:\Users\zq-ne\Desktop
Profils chargés: zq-ne (Profils disponibles: defaultuser0 & zq-ne)
Mode d'amorçage: Safe Mode (minimal)
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Providers\vbl8eir6: C:\Program Files (x86)\Qritain Log\local64spl.dll [307712 2017-03-28] ()
ShellExecuteHooks: Pas de nom - {588D1082-0E35-11E7-B63D-64006A5CFC23} - C:\Users\zq-ne\AppData\Roaming\Arijerch\Rersacultfijily.dll -> Pas de fichier
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\¿ìѹ\X64\KZipShell.dll [2017-03-28] ()
S2 YcOlron1BNFu Updater; C:\Program Files (x86)\YcOlron1BNFu Updater\YcOlron1BNFu Updater.exe [X]
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== ATTENTION
2017-03-28 10:11 - 2017-03-28 10:19 - 00000000 ____D C:\Users\zq-ne\AppData\Roaming\KuaiZip
2017-03-28 10:06 - 2017-03-28 10:24 - 00000000 ____D C:\AdwCleaner
2017-03-28 09:59 - 2017-03-28 10:06 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-03-28 09:59 - 2017-03-28 09:59 - 00000000 ____D C:\Users\zq-ne\AppData\Roaming\LDSGameAssistant
2017-03-28 09:59 - 2017-03-28 09:59 - 00000000 ____D C:\Users\zq-ne\AppData\Roaming\360wp
2017-03-28 09:59 - 2017-03-28 09:59 - 00000000 ____D C:\Users\zq-ne\AppData\Local\UCBrowser
2017-03-28 09:59 - 2017-03-28 09:59 - 00000000 ____D C:\Program Files (x86)\360
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
2017-03-28 09:58 - 2017-03-28 10:08 - 00000000 ____D C:\Program Files (x86)\LuDaShi
2017-03-28 09:58 - 2017-03-28 09:58 - 00003656 _____ C:\Windows\System32\Tasks\CreateExplorerShellUnelevatedTask
2017-03-28 09:57 - 2017-03-28 10:31 - 00000000 ____D C:\Program Files (x86)\Werrasyresich
2017-03-28 09:57 - 2017-03-28 10:09 - 00000000 ____D C:\Users\zq-ne\AppData\Roaming\Arijerch
2017-03-28 09:57 - 2017-03-28 09:58 - 00000000 ____D C:\Users\Default\AppData\Local\AdvinstAnalytics
2017-03-28 09:57 - 2017-03-28 09:58 - 00000000 ____D C:\Users\Default User\AppData\Local\AdvinstAnalytics
2017-03-28 09:57 - 2017-03-28 09:57 - 00006106 _____ C:\Windows\System32\Tasks\Qritain Log
2017-03-28 09:57 - 2017-03-28 09:57 - 00000000 ____D C:\Users\zq-ne\AppData\Local\Plejismwersy
2017-03-28 09:57 - 2017-03-28 09:57 - 00000000 ____D C:\Program Files (x86)\Qritain Log
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Erreur: Un point de restauration ne peut être créé qu'en mode normal.
Processus fermé avec succès.
HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\vbl8eir6 => clé supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\\order vbl8eir6 => supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{588D1082-0E35-11E7-B63D-64006A5CFC23} => valeur supprimé(es) avec succès
HKCR\CLSID\{588D1082-0E35-11E7-B63D-64006A5CFC23} => clé non trouvé(e).
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj => clé supprimé(es) avec succès
HKCR\CLSID\{AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => clé non trouvé(e).
HKLM\System\CurrentControlSet\Services\YcOlron1BNFu Updater => clé supprimé(es) avec succès
YcOlron1BNFu Updater => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\ucdrv => clé supprimé(es) avec succès
ucdrv => service supprimé(es) avec succès
C:\Users\zq-ne\AppData\Roaming\KuaiZip => déplacé(es) avec succès
C:\AdwCleaner => déplacé(es) avec succès
C:\Program Files (x86)\UCBrowser => déplacé(es) avec succès
C:\Users\zq-ne\AppData\Roaming\LDSGameAssistant => déplacé(es) avec succès
C:\Users\zq-ne\AppData\Roaming\360wp => déplacé(es) avec succès
C:\Users\zq-ne\AppData\Local\UCBrowser => déplacé(es) avec succès
C:\Program Files (x86)\360 => déplacé(es) avec succès
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION => non trouvé(e)
C:\Program Files (x86)\LuDaShi => déplacé(es) avec succès
C:\Windows\System32\Tasks\CreateExplorerShellUnelevatedTask => déplacé(es) avec succès
C:\Program Files (x86)\Werrasyresich => déplacé(es) avec succès
C:\Users\zq-ne\AppData\Roaming\Arijerch => déplacé(es) avec succès
C:\Users\Default\AppData\Local\AdvinstAnalytics => déplacé(es) avec succès
"C:\Users\Default User\AppData\Local\AdvinstAnalytics" => non trouvé(e).
C:\Windows\System32\Tasks\Qritain Log => déplacé(es) avec succès
C:\Users\zq-ne\AppData\Local\Plejismwersy => déplacé(es) avec succès
C:\Program Files (x86)\Qritain Log => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-861740978-1210690347-3909028785-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-861740978-1210690347-3909028785-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 181232527 B
Java, Flash, Steam htmlcache => 719108267 B
Windows/system/drivers => 8373244 B
Edge => 98227933 B
Chrome => 0 B
Firefox => 407600695 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 3290 B
NetworkService => 567844 B
defaultuser0 => 587916 B
zq-ne => 748493807 B

RecycleBin => 2311332 B
EmptyTemp: => 2 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 11:09:07

Messages postés
174209
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 janvier 2020
19 079
ok refais un scan FRST et donne les liens pjjoint pour voir.
FRST: http://pjjoint.malekal.com/files.php?id=FRST_20170328_q7h7x810x9
Addition: http://pjjoint.malekal.com/files.php?id=20170328_x13d11w15y9r5
Messages postés
174209
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 janvier 2020
19 079
Ca semble pas mal.
Des problèmes restant ?
J'ai toujours la barre de recherche Yoondou sur Firefox ca me semble étrange..

Je vais repasser un gros scan de Kasper & Malwarebytes voir si il y a encore des truc qui sont rester planqué :x

Merci de ton aide en tout cas, je te tiens au courtant dans 20 minutes :)
Messages postés
174209
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 janvier 2020
19 079
Firefox a été réinitialisé / Réparé ?

si oui :

Ouvre Mon Ordinateur, dans la barre d'adresse, tape %LOCALAPPDATA%
=> http://forum.malekal.com/download/file.php?id=12903
Ouvre le dossier Mozilla puis Firefox et Profiles.
Supprime le dossier qui s'y trouve (de la forme i9o0vjrp.default-1472460798100)
  • Ré-installe complètement Mozilla Firefox
  • Ré-importe tes marques pages / favoris sous Mozilla Firefox


Je vais essayer de réinstaller Firefox comme tu dis.

Entre temps KAspersky n'a rien détecté, Malwarebytes est a 60 menaces identifiées...
Allerluhia mon Malwarebytes bug plus, je rescan encore un coup voir si il reste rien.

Le Yoondou machin est parti aussi.

Merci beaucoup pour ton temps & ton aide!

Bonne journée :)
Messages postés
174209
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 janvier 2020
19 079
ok =)

Supprime le dossier C:\FRST


Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite


Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)