Page 1 sur 1

facebook like autonome et site antivirus bloqué

Publié : 14 juin 2019 12:55
par florent.lamothe
Bonjour,

Comme l'indique le titre mon facebook se met a aimer des pages et s'en désabonner tout seul ( pages asiatiques ou festival européens au hasard ).
Voulant faire une désinfection j'ai suivit les guides que vous proposez, arrive le moment ou je dois me rendre sur un scan antivirus en ligne ( ou telecharger ) sauf que tous les sites anti-virus me sont bloqués ( chrome ou edge ). Pour https://fr.malwarebytes.com/
" Ce site est inaccessible Impossible de trouver l'adresse IP du serveur de fr.malwarebytes.com.
Essayez d'exécuter les diagnostics réseau de Windows.
DNS_PROBE_FINISHED_NXDOMAIN"


voici les liens pjjoint
https://pjjoint.malekal.com/files.php?i ... 4j14u107x9
https://pjjoint.malekal.com/files.php?i ... 47x14b15h6
https://pjjoint.malekal.com/files.php?i ... 9v5d11h7l8

Rapport roguekiller

Code : Tout sélectionner

RogueKiller Anti-Malware V13.2.2.0 (x64) [Jun 10 2019] (Gratuit) par Adlice Software
email : https://adlice.com/contact/
Site web : https://adlice.com/download/roguekiller/
Système d'exploitation : Windows 10 (10.0.17763) 64 bits
Démarré en  : Mode normal
Utilisateur : florent [Administrateur]
Démarré depuis : C:\Program Files\RogueKiller\RogueKiller64.exe
Signatures : 20190613_130735, Driver : Chargé
Mode : Scan Standard, Scan -- Date : 2019/06/14 03:30:04 (Durée : 00:02:44)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Modules de Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Tâches ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
>>>>>> XX - Software
  [PUP.MailRU|PUP.Gen1 (Potentiellement Malicieux)] (X86) HKEY_LOCAL_MACHINE\Software\Mail.Ru -- N/A -> Trouvé(e)
  [PUP.MailRU|PUP.Gen1 (Potentiellement Malicieux)] (X64) HKEY_USERS\S-1-5-21-1482220325-2450408061-3158429552-1001\Software\Mail.Ru -- N/A -> Trouvé(e)
  [PUP.MailRU|PUP.Gen1 (Potentiellement Malicieux)] (X64) HKEY_USERS\S-1-5-21-1482220325-2450408061-3158429552-1001\Software\AppDataLow\Software\Mail.Ru -- N/A -> Trouvé(e)
>>>>>> O87 - Firewall
  [Suspicious.Path (Potentiellement Malicieux)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{6086E2C4-812A-413D-8AA3-A9BC0A20307A}C:\users\florent\appdata\roaming\utorrent web\utweb.exe -- v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\users\florent\appdata\roaming\utorrent web\utweb.exe|Name=utweb.exe|Desc=utweb.exe|Edge=TRUE|Defer=App| (C:\users\florent\appdata\roaming\utorrent web\utweb.exe) -> Trouvé(e)
  [Suspicious.Path (Potentiellement Malicieux)] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{4B9BE9CD-5D28-4A66-A8F1-632C38CC1531}C:\users\florent\appdata\roaming\utorrent web\utweb.exe -- v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\users\florent\appdata\roaming\utorrent web\utweb.exe|Name=utweb.exe|Desc=utweb.exe|Edge=TRUE|Defer=App| (C:\users\florent\appdata\roaming\utorrent web\utweb.exe) -> Trouvé(e)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ WMI ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Fichier Hosts ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Fichiers ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[PUP.MailRU (Potentiellement Malicieux)] (folder) Mail.Ru -- C:\ProgramData\Mail.Ru -> Trouvé(e)
[BitMiner.Gen0 (Malicieux)] (folder) Optimizer -- C:\ProgramData\Optimizer -> Trouvé(e)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Navigateurs web ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Re: facebook like autonome et site antivirus bloqué

Publié : 14 juin 2019 14:24
par florent.lamothe
j'ai téléchargé opéra naviteur web et utilisé la fonction vpn de celui-ci. Je peux accéder aux différents sites des antivirus de cette manière

Re: facebook like autonome et site antivirus bloqué

Publié : 14 juin 2019 14:29
par Malekal_morte
Salut,

Tu peux supprimer RogueKiller, pas besoin de le garder.

Tes serveurs DNS ont été hijack : DNS Servers: 185.4.65.4 - 185.130.104.222
Ca pointe vers des serveurs russes.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {0BEEEF8F-939D-44BF-B183-81DEBB72D6D4} - System32\Tasks\iGCYEUMXJwKesSj => rundll32 "C:\Program Files (x86)\ucUYDxMaU\jRQlRt.dll",#1
2019-06-14 10:15 - 2019-06-14 10:15 - 000002068 _____ C:\WINDOWS\System32\Tasks\iGCYEUMXJwKesSj
C:\Program Files (x86)\ucUYDxMaU
2019-06-13 11:57 - 2019-06-14 02:48 - 000000324 _____ C:\WINDOWS\Tasks\iGCYEUMXJwKesSj.job
2019-06-13 11:57 - 2019-06-13 12:02 - 000000000 ____D C:\Users\florent\AppData\Local\prunld1735
2019-06-13 11:57 - 2019-06-13 11:57 - 000000000 ____D C:\Users\florent\AppData\Roaming\Python
2019-06-13 11:57 - 2019-06-13 11:57 - 000000000 ____D C:\ProgramData\Pader
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Internet Explorer
(Ne pas utiliser Zeok)

3)

Remets/Vérifie que tous les serveurs de noms (DNS) sont automatiques.
Suivre le paragraphe "Comment modifier les serveurs DNS sur Windows" de la page suivante : https://www.malekal.com/comment-changer-les-dns/
ou encore suivre le paragraphe "manuellement" PUIS vide ensuite le cache DNS et internet. Ces 3 étapes sont importantes et à faire sinon les publicités vont continuer.

4) enfin refais un scan FRST et donne à nouveau les rapports.

Re: facebook like autonome et site antivirus bloqué

Publié : 14 juin 2019 17:27
par florent.lamothe
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 12-06-2019 01
Exécuté par florent (14-06-2019 17:04:09) Run:1
Exécuté depuis D:\Téléchargements
Profils chargés: florent (Profils disponibles: florent)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
Task: {0BEEEF8F-939D-44BF-B183-81DEBB72D6D4} - System32\Tasks\iGCYEUMXJwKesSj => rundll32 "C:\Program Files (x86)\ucUYDxMaU\jRQlRt.dll",#1
2019-06-14 10:15 - 2019-06-14 10:15 - 000002068 _____ C:\WINDOWS\System32\Tasks\iGCYEUMXJwKesSj
C:\Program Files (x86)\ucUYDxMaU
2019-06-13 11:57 - 2019-06-14 02:48 - 000000324 _____ C:\WINDOWS\Tasks\iGCYEUMXJwKesSj.job
2019-06-13 11:57 - 2019-06-13 12:02 - 000000000 ____D C:\Users\florent\AppData\Local\prunld1735
2019-06-13 11:57 - 2019-06-13 11:57 - 000000000 ____D C:\Users\florent\AppData\Roaming\Python
2019-06-13 11:57 - 2019-06-13 11:57 - 000000000 ____D C:\ProgramData\Pader
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Start: => Erreur: Pas de correction automatique trouvée pour cet élément.
Processus fermé avec succès.
Erreur: (0) Impossible de créer un point de restauration.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0BEEEF8F-939D-44BF-B183-81DEBB72D6D4}" => non trouvé(e)
C:\WINDOWS\System32\Tasks\iGCYEUMXJwKesSj => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\iGCYEUMXJwKesSj" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\iGCYEUMXJwKesSj" => non trouvé(e)
"C:\Program Files (x86)\ucUYDxMaU" => non trouvé(e)
C:\WINDOWS\Tasks\iGCYEUMXJwKesSj.job => déplacé(es) avec succès
C:\Users\florent\AppData\Local\prunld1735 => déplacé(es) avec succès
C:\Users\florent\AppData\Roaming\Python => déplacé(es) avec succès
C:\ProgramData\Pader => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\S-1-5-21-1482220325-2450408061-3158429552-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1482220325-2450408061-3158429552-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

End: => Erreur: Pas de correction automatique trouvée pour cet élément.

=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 29666899 B
Java, Flash, Steam htmlcache => 18627721 B
Windows/system/drivers => 104082 B
Edge => 10241623 B
Chrome => 264508565 B
Firefox => 0 B
Opera => 217497165 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 4134 B
LocalService => 0 B
NetworkService => 3000 B
NetworkService => 0 B
florent => 60193213 B

RecycleBin => 3216221629 B
EmptyTemp: => 3.6 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 17:04:45 ====

Re: facebook like autonome et site antivirus bloqué

Publié : 14 juin 2019 17:36
par florent.lamothe

Re: facebook like autonome et site antivirus bloqué

Publié : 14 juin 2019 17:38
par florent.lamothe
j'ai tout fait , dans mon historique personnel facebook je n'ai pas l'air d 'avoir encore eu de nouvelles pages "liké" mais par contre j'ai pu installer la version d'essai de malwarebytes ( qui m'a supprimé 144 éléments ) qui me bloque encore un adware.

Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'événement de protection: 14/06/2019
Heure de l'événement de protection: 17:06
Fichier journal: 083335e6-8eb6-11e9-9411-00d86135e65b.json

-Informations du logiciel-
Version: 3.7.1.2839
Version de composants: 1.0.586
Version de pack de mise à jour: 1.0.11052
Licence: Essai

-Informations système-
Système d'exploitation: Windows 10 (Build 18362.175)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: System

-Détails du site Web bloqué-
Site Web malveillant: 1
, , Bloqué, [-1], [-1],0.0.0

-Données du site Web-
Catégorie: Adware
Domaine: saltjs.01bd.ru
Adresse IP: 104.27.138.14
Port: [49831]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe



(end)

Re: facebook like autonome et site antivirus bloqué

Publié : 14 juin 2019 18:03
par angelique
Bonjour/Bonsoir

  • Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

    Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
    Un redémarrage peut être nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

    /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

Re: facebook like autonome et site antivirus bloqué

Publié : 14 juin 2019 18:11
par florent.lamothe
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 12-06-2019 01
Exécuté par florent (14-06-2019 18:01:44) Run:2
Exécuté depuis D:\Téléchargements
Profils chargés: florent (Profils disponibles: florent)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR StartupUrls: Default -> "hxxps://mail.ru/cnt/10445?gp=811570"
Hosts:
EmptyTemp:

*****************

Erreur: (0) Impossible de créer un point de restauration.
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => supprimé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\User => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
HKLM\SOFTWARE\Policies\Google => supprimé(es) avec succès
"Chrome StartupUrls" => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 10565134 B
Java, Flash, Steam htmlcache => 4942308 B
Windows/system/drivers => -14803 B
Edge => 2133472 B
Chrome => 146608655 B
Firefox => 0 B
Opera => 21755431 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 44866 B
LocalService => 0 B
NetworkService => 0 B
NetworkService => 0 B
florent => 6390666 B

RecycleBin => 2893 B
EmptyTemp: => 191 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 18:01:53 ====

Re: facebook like autonome et site antivirus bloqué

Publié : 14 juin 2019 18:17
par angelique
Vide la quarantaine de mbam

ça doit être OK

Supprime frst, ses rapports et C:\FRST

Re: facebook like autonome et site antivirus bloqué

Publié : 14 juin 2019 18:22
par florent.lamothe
j'ai toujours 1 menace détectée , malgré redémarrage, suppression quarantaine etc . ( en tout cas merci beaucoup pour votre aide :) )

Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 14/06/2019
Heure de l'analyse: 18:12
Fichier journal: 2fa12698-8ebf-11e9-926c-00d86135e65b.json

-Informations du logiciel-
Version: 3.7.1.2839
Version de composants: 1.0.586
Version de pack de mise à jour: 1.0.11054
Licence: Essai

-Informations système-
Système d'exploitation: Windows 10 (Build 18362.175)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-U7MHH8S\florent

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 278453
Menaces détectées: 1
Menaces mises en quarantaine: 0
Temps écoulé: 0 min, 28 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Détection
PUM: Détection

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 0
(Aucun élément malveillant détecté)

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 1
Adware.MailRu.BatBitRst, C:\USERS\FLORENT\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Aucune action de l'utilisateur, [332], [481467],1.0.11054

Secteur physique: 0
(Aucun élément malveillant détecté)

WMI: 0
(Aucun élément malveillant détecté)


(end)


Si je supprime totalement chrome et le ré-installe ? ou reste sur opéra ?

Re: facebook like autonome et site antivirus bloqué

Publié : 14 juin 2019 18:41
par angelique
Aucune action de l'utilisateur, [332], [481467],1.0.11054

met en quarantaine

sinon désinstalle chrome via programmes et fonctionnalités , supprime C:\USERS\FLORENT\APPDATA\LOCAL\GOOGLE

exécuter➯ %appdata%

pour accéder au dossier à supprimer et réinstalle chrome

Re: facebook like autonome et site antivirus bloqué

Publié : 14 juin 2019 18:47
par florent.lamothe
j'ai mit en quarantaine après l'affichage du rapport, redémarré, analyse , quarantaine etc . je le laisse en quarantaine sans le supprimer du coup.
Je vais tester la désinstallation alors.

Re: facebook like autonome et site antivirus bloqué

Publié : 14 juin 2019 20:42
par florent.lamothe
le Problème semble être résolu, je vous remercie grandement pour votre aide :)