[RESOLU] Infection Elex Hijacker (Winsnare 4.2.8)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Jingxi
newbie
newbie
Messages : 5
Inscription : 11 mars 2017 17:48

[RESOLU] Infection Elex Hijacker (Winsnare 4.2.8)

Message par Jingxi » 11 mars 2017 18:03

Bonjour, Bonsoir,


Comme de nombreuses autres personnes, je me suis fait piéger lamentablement en cliquant sur un download à exécuter pensant très sincèrement que celui-ci était "safe".

Mon ordi se retrouve infecté par une m******* et malgré l'ensemble des protections installées, je ne peux m'en sortir sans votre aide.
Ayant suivi votre tutoriel FRST scrupuleusement, je vous communique les rapports FRST, Addition, Shortcut.

FRST --> http://pjjoint.malekal.com/files.php?id ... 7u10e13f11
Addition --> http://pjjoint.malekal.com/files.php?id ... 1p10r6j7e8
Shortcut --> http://pjjoint.malekal.com/files.php?id ... u7i8y14i10

Par avance, je vous remercie sincèrement de votre aide future.

Au plaisir.

Jingxi
Dernière édition par Jingxi le 12 mars 2017 00:43, édité 1 fois.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85103
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection Elex Hijacker (Winsnare 4.2.8)

Message par Malekal_morte » 11 mars 2017 18:49

Salut,

ouaip t'as le couple WinSnare et BikaQRss
Du coup t'as installé plein d'anti truc qui servent à rien.
Désinstalle tout ça :
SpyHunter 4
RegHunter
HitmanPro
UnHackMe
Winja version 2.0.1


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 2017-03-01 00:14 - 2017-03-01 00:14 - 00000000 ____D C:\Users\fabrice\AppData\Roaming\Windows 
 2017-03-01 00:14 - 2017-03-01 00:14 - 00000000 ____D C:\Users\fabrice\AppData\Roaming\Internet 
Task: {02FC10AD-0B11-4B9F-AB5C-2BF495D3BBB4} - System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel => C:\Program Files (x86)\BikaQRss\BikaQ.exe  <==== ATTENTION
C:\Program Files (x86)\BikaQRss
017-03-11 13:59 - 2017-03-11 13:59 - 00000000 ____D C:\Program Files (x86)\WinSnare(4.2.8) 
 2017-03-11 13:07 - 2017-03-11 13:22 - 00000000 ____D C:\WINDOWS\system32\appmgmt  
 2017-03-11 12:54 - 2017-03-11 15:47 - 00000000 ____D C:\Users\fabrice\AppData\Roaming\WinSnare 
 2017-03-11 12:54 - 2017-03-11 15:47 - 00000000 ____D C:\Users\fabrice\AppData\Roaming\WinSAPSvc 
 2017-03-11 12:54 - 2017-03-11 15:39 - 00000000 ____D C:\Users\fabrice\AppData\Roaming\Kyubey 
 2017-03-11 12:54 - 2017-03-11 12:54 - 00000000 ____D C:\Program Files (x86)\{EF71FBB4-99A1-4602-BB10-8F86359ADDDC} 
 2017-03-10 21:09 - 2017-03-10 21:09 - 00000000 ____D C:\Program Files (x86)\{294E1864-99E2-40E3-AA84-CCEB3C52875D} 
 2017-03-10 13:52 - 2017-03-10 13:52 - 00000016 _____ C:\ProgramData\mntemp 
 2017-03-10 09:20 - 2017-03-10 13:59 - 00000000 ____D C:\Program Files (x86)\Arucerycerqsh 
 2017-03-09 23:58 - 2017-03-10 00:00 - 00000000 ____D C:\ProgramData\firebird  
 2017-03-09 19:59 - 2017-03-10 00:31 - 00000000 ___HD C:\ProgramData\8045e4348e5069S2066 
 2017-03-09 19:59 - 2017-03-10 00:21 - 00000000 ____D C:\Users\fabrice\AppData\Local\Qaqisy 
 2017-03-09 19:59 - 2017-03-09 20:31 - 00000000 ____D C:\Users\fabrice\AppData\Roaming\Vuneing 
 2017-03-07 15:24 - 2017-03-07 15:24 - 00000128 ___SH C:\WINDOWS\system32\ronrrpjsxglzxiez.tbl  
 2017-03-07 15:24 - 2017-03-07 15:24 - 00000128 ___SH C:\WINDOWS\system32\fzkynukaoihqgnoh.dat  
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


Fais un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

Refais un scan FRST et donne les nouveaux rapports.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Jingxi
newbie
newbie
Messages : 5
Inscription : 11 mars 2017 17:48

Re: Infection Elex Hijacker (Winsnare 4.2.8)

Message par Jingxi » 11 mars 2017 22:16

Re Malekal,


Merci d'ores et déjà de ta rapidité de réponse .... Je te renommerai MalLucky_Luke perso ;)

Bon trève de plaisanteries ... Voici le copier/coller du fichier fixlog.txt :

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11-03-2017 01
Exécuté par fabrice (11-03-2017 19:48:50) Run:2
Exécuté depuis C:\Users\fabrice\Desktop
Profils chargés: fabrice (Profils disponibles: fabrice & Visiteur & Administrateur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
 2017-03-01 00:14 - 2017-03-01 00:14 - 00000000 ____D C:\Users\fabrice\AppData\Roaming\Windows 
 2017-03-01 00:14 - 2017-03-01 00:14 - 00000000 ____D C:\Users\fabrice\AppData\Roaming\Internet 
Task: {02FC10AD-0B11-4B9F-AB5C-2BF495D3BBB4} - System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel => C:\Program Files (x86)\BikaQRss\BikaQ.exe  <==== ATTENTION
C:\Program Files (x86)\BikaQRss
017-03-11 13:59 - 2017-03-11 13:59 - 00000000 ____D C:\Program Files (x86)\WinSnare(4.2.8) 
 2017-03-11 13:07 - 2017-03-11 13:22 - 00000000 ____D C:\WINDOWS\system32\appmgmt  
 2017-03-11 12:54 - 2017-03-11 15:47 - 00000000 ____D C:\Users\fabrice\AppData\Roaming\WinSnare 
 2017-03-11 12:54 - 2017-03-11 15:47 - 00000000 ____D C:\Users\fabrice\AppData\Roaming\WinSAPSvc 
 2017-03-11 12:54 - 2017-03-11 15:39 - 00000000 ____D C:\Users\fabrice\AppData\Roaming\Kyubey 
 2017-03-11 12:54 - 2017-03-11 12:54 - 00000000 ____D C:\Program Files (x86)\{EF71FBB4-99A1-4602-BB10-8F86359ADDDC} 
 2017-03-10 21:09 - 2017-03-10 21:09 - 00000000 ____D C:\Program Files (x86)\{294E1864-99E2-40E3-AA84-CCEB3C52875D} 
 2017-03-10 13:52 - 2017-03-10 13:52 - 00000016 _____ C:\ProgramData\mntemp 
 2017-03-10 09:20 - 2017-03-10 13:59 - 00000000 ____D C:\Program Files (x86)\Arucerycerqsh 
 2017-03-09 23:58 - 2017-03-10 00:00 - 00000000 ____D C:\ProgramData\firebird  
 2017-03-09 19:59 - 2017-03-10 00:31 - 00000000 ___HD C:\ProgramData\8045e4348e5069S2066 
 2017-03-09 19:59 - 2017-03-10 00:21 - 00000000 ____D C:\Users\fabrice\AppData\Local\Qaqisy 
 2017-03-09 19:59 - 2017-03-09 20:31 - 00000000 ____D C:\Users\fabrice\AppData\Roaming\Vuneing 
 2017-03-07 15:24 - 2017-03-07 15:24 - 00000128 ___SH C:\WINDOWS\system32\ronrrpjsxglzxiez.tbl  
 2017-03-07 15:24 - 2017-03-07 15:24 - 00000128 ___SH C:\WINDOWS\system32\fzkynukaoihqgnoh.dat  
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"C:\Users\fabrice\AppData\Roaming\Windows" => non trouvé(e).
"C:\Users\fabrice\AppData\Roaming\Internet" => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{02FC10AD-0B11-4B9F-AB5C-2BF495D3BBB4} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{02FC10AD-0B11-4B9F-AB5C-2BF495D3BBB4} => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BikaQ_FetchAndUpgrade_CanBeDel => clé supprimé(es) avec succès
"C:\Program Files (x86)\BikaQRss" => non trouvé(e).
017-03-11 13:59 - 2017-03-11 13:59 - 00000000 ____D C:\Program Files (x86)\WinSnare(4.2.8) => Erreur: Pas de correction automatique trouvée pour cet élément.
C:\WINDOWS\system32\appmgmt => déplacé(es) avec succès
C:\Users\fabrice\AppData\Roaming\WinSnare => déplacé(es) avec succès
C:\Users\fabrice\AppData\Roaming\WinSAPSvc => déplacé(es) avec succès
C:\Users\fabrice\AppData\Roaming\Kyubey => déplacé(es) avec succès
C:\Program Files (x86)\{EF71FBB4-99A1-4602-BB10-8F86359ADDDC} => déplacé(es) avec succès
C:\Program Files (x86)\{294E1864-99E2-40E3-AA84-CCEB3C52875D} => déplacé(es) avec succès
C:\ProgramData\mntemp => déplacé(es) avec succès
C:\Program Files (x86)\Arucerycerqsh => déplacé(es) avec succès
C:\ProgramData\firebird => déplacé(es) avec succès
C:\ProgramData\8045e4348e5069S2066 => déplacé(es) avec succès
C:\Users\fabrice\AppData\Local\Qaqisy => déplacé(es) avec succès
C:\Users\fabrice\AppData\Roaming\Vuneing => déplacé(es) avec succès
C:\WINDOWS\system32\ronrrpjsxglzxiez.tbl => déplacé(es) avec succès
C:\WINDOWS\system32\fzkynukaoihqgnoh.dat => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1285515309-2603633232-3694401324-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1285515309-2603633232-3694401324-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 7471296 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 44581234 B
Edge => 395 B
Chrome => 179368084 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 217881 B
LocalService => 171686 B
NetworkService => 0 B
fabrice => 38680424 B
Visiteur => 15078 B
Administrateur => 12129 B

RecycleBin => 23529361 B
EmptyTemp: => 280.4 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 19:50:54 ====
Après l'application de MALWAREBYTES (quarantaine effectuée), je te joins également les nouveaux rapports de FRST :

FRST --> http://pjjoint.malekal.com/files.php?id ... o12d8l11m6
Addition --> http://pjjoint.malekal.com/files.php?id ... 1k8h15n7g8
Shortcut --> http://pjjoint.malekal.com/files.php?id ... 15u8p14g14

Merci encore de ton aide...

Jingxi

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85103
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection Elex Hijacker (Winsnare 4.2.8)

Message par Malekal_morte » 12 mars 2017 00:16

Ca semble correct =)

Des soucis en particulier ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Jingxi
newbie
newbie
Messages : 5
Inscription : 11 mars 2017 17:48

Re: Infection Elex Hijacker (Winsnare 4.2.8)

Message par Jingxi » 12 mars 2017 00:42

Aucun souci .... Juste un message d'erreur d'un dll en redémarrage mais vite corrigé.

Franchement merci de ton aide et de l'outil que tu mets à disposition.
Je le garde bien précieusement. Ne m'en veux pas si je te dis que j'espère ne pas le réutiliser de si tôt =P

Je vois aussi avec les rapports que j'ai quelques décrassages à faire de résidus d'apps que j'avais installés pour tester.

Va falloir que je nettoie cela aussi ... C'est pour cela que j'apprécie plus Linux que Windows ... Cette nécessité de laisser des résidus alors qu'on désinstalle, mais bon !!!

Bien à toi et encore merci.

Jingxi

PS : J'ai changé le titre en appliquant le tags [RESOLU] J'espère que cela ne gênera pas ;)

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85103
Inscription : 10 sept. 2005 13:57
Contact :

Re: [RESOLU] Infection Elex Hijacker (Winsnare 4.2.8)

Message par Malekal_morte » 12 mars 2017 14:38

Super =)


Tu peux supprimer le dossier C:\FRST =)

Termine par un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite


Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Malekal_morte et 6 invités