[Winservice86] Virus infecté, impossible à supprimer

[marcito35]

Bonjour à tous,

Je suis, comme d'autres d'ailleurs, tombé sous une infection de Winservice86 (et d'autres logiciel parasites PC cleaner, etc...)

Après plusieurs Scan et correction d'AdwCleaner, ces programmes reviennent. Je fais donc appel à votre aide, vous les pros de ces logiciels parasites.

J'ai également fait des scans via OTL. Je peux fournir ces rapports si besoin.

Rapport OTL : http://pjjoint.malekal.com/files.php?id ... x5b14z13p9
Rapport Extras : http://pjjoint.malekal.com/files.php?id ... 8y5b10d7w7

Voici le rapport AdwCleaner après OTL, mais où les logiciels reviennent... : http://pjjoint.malekal.com/files.php?id ... v15h12l9b6

Merci de votre aide,

[angelique]

➫ relançe OTL , Copies et colles le contenue de cette citation ci dessous (en commençant bien à :OTL , les : inclus devant OTL jusqu'à [emptytemp] inclus) dans la partie inférieure d'OTL sous "Personalisation"
et cette fois ci clic CORRECTION

:OTL
SRV - [2015/02/24 20:41:34 | 000,068,608 | ---- | M] (globalUpdate) [On_Demand | Stopped] -- C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe -- (globalUpdatem)
SRV - [2015/02/24 20:41:34 | 000,068,608 | ---- | M] (globalUpdate) [Auto | Stopped] -- C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe -- (globalUpdate)
SRV - [2015/02/24 20:41:03 | 000,487,056 | ---- | M] (SysTool PasSame LIMITED) [Auto | Running] -- C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -- (WindowsMangerProtect)
SRV - [2015/01/16 09:45:12 | 000,158,896 | ---- | M] (XTab system) [Auto | Running] -- C:\Program Files (x86)\XTab\ProtectService.exe -- (IHProtect Service)
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www. version="1.0" encoding="UTF-8"?>
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds& ... earchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds& ... earchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www. version="1.0" encoding="UTF-8"?>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www. version="1.0" encoding="UTF-8"?>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds& ... earchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds& ... earchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www. version="1.0" encoding="UTF-8"?>
IE - HKU\S-1-5-21-2250048281-2454445999-3978869475-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www. version="1.0" encoding="UTF-8"?>
IE - HKU\S-1-5-21-2250048281-2454445999-3978869475-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www. version="1.0" encoding="UTF-8"?>
IE - HKU\S-1-5-21-2250048281-2454445999-3978869475-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www. version="1.0" encoding="UTF-8"?>
IE - HKU\S-1-5-21-2250048281-2454445999-3978869475-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www. version="1.0" encoding="UTF-8"?>
IE - HKU\S-1-5-21-2250048281-2454445999-3978869475-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.istartsurf.com/web/?utm_sour ... earchTerms}
IE - HKU\S-1-5-21-2250048281-2454445999-3978869475-1000\..\SearchScopes\{2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0}: "URL" = http://www.istartsurf.com/web/?utm_sour ... earchTerms}
IE - HKU\S-1-5-21-2250048281-2454445999-3978869475-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://www. version="1.0" encoding="UTF-8"?>
IE - HKU\S-1-5-21-2250048281-2454445999-3978869475-1000\..\SearchScopes\{E733165D-CBCF-4FDA-883E-ADEF965B476C}: "URL" = http://www.istartsurf.com/web/?utm_sour ... earchTerms}
FF - prefs.js..browser.search.defaultenginename: "<?xml version=\"1"
FF - prefs.js..browser.search.searchengine.alias: "<?xml version=\"1"
FF - prefs.js..browser.search.searchengine.desc: "this is my first firefox searchEngine"
FF - prefs.js..browser.search.searchengine.iconURL: "http://www.<favicon.ico"
FF - prefs.js..browser.search.searchengine.name: "<?xml version=\"1"
FF - prefs.js..browser.search.searchengine.ptid: ""
FF - prefs.js..browser.search.searchengine.uid: ""
FF - prefs.js..browser.search.searchengine.url: "http://www.<?xml version=\"1.0\" encoding=\"UTF-8\"?>"
FF - prefs.js..browser.search.selectedEngine: "<?xml version=\"1"
FF - prefs.js..browser.startup.homepage: "http://www.<?xml version=\"1.0\" encoding=\"UTF-8\"?>"
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:35.0.1
[2015/02/24 20:51:28 | 000,002,077 | ---- | M] () -- C:\Users\Marc\AppData\Roaming\mozilla\firefox\profiles\gzmu6g4k.default\searchplugins\istartsurf.xml
[2015/02/25 16:54:27 | 000,000,406 | ---- | M] () -- C:\Users\Marc\AppData\Roaming\mozilla\firefox\profiles\gzmu6g4k.default\searchplugins\xml-version1.xml
O2 - BHO: (IETabPage Class) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited)
O4 - HKLM..\Run: [fst_fr_242] File not found
O4 - HKU\S-1-5-21-2250048281-2454445999-3978869475-1000..\Run: [AdobeBridge] File not found
O4 - HKU\S-1-5-21-2250048281-2454445999-3978869475-1000..\Run: [ca6ff4fc9d6b2752fedce063008c697a] C:\Users\Marc\AppData\Local\Temp\explore.exe ()
O4 - Startup: C:\Users\Marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ca6ff4fc9d6b2752fedce063008c697a.exe ()
[2015/02/24 20:41:35 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Local\globalUpdate
[2015/02/24 20:41:35 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\globalUpdate
[2015/02/24 20:41:28 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\winservice86
[2015/02/24 20:41:28 | 000,000,000 | ---D | C] -- C:\ProgramData\IHProtectUpDate
[2015/02/24 20:41:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\XTab
[2015/02/24 20:41:03 | 000,000,000 | ---D | C] -- C:\ProgramData\WindowsMangerProtect
[2015/02/24 20:40:30 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Roaming\istartsurf
[2015/02/24 19:27:31 | 000,000,000 | ---D | C] -- C:\ProgramData\atjs
[2015/01/27 10:06:05 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Roaming\UI7qYPe
[2015/01/27 10:06:03 | 000,000,000 | ---D | C] -- C:\Users\Marc\AppData\Roaming\AkdMe8j
[2015/02/25 16:53:53 | 000,004,138 | ---- | M] () -- C:\Windows\tasks\8b5b3f65-3f7a-4b60-8ad1-a20cecb53ee7-4.job
[2015/02/25 16:53:36 | 000,002,426 | ---- | M] () -- C:\Windows\tasks\8b5b3f65-3f7a-4b60-8ad1-a20cecb53ee7-5_user.job
[2015/02/25 16:53:36 | 000,002,426 | ---- | M] () -- C:\Windows\tasks\8b5b3f65-3f7a-4b60-8ad1-a20cecb53ee7-5.job
[2015/02/25 16:53:31 | 000,000,944 | ---- | M] () -- C:\Windows\tasks\globalUpdateUpdateTaskMachineCore.job
[2015/02/25 16:53:30 | 000,003,454 | ---- | M] () -- C:\Windows\tasks\8b5b3f65-3f7a-4b60-8ad1-a20cecb53ee7-1-7.job
[2015/02/25 16:53:30 | 000,002,092 | ---- | M] () -- C:\Windows\tasks\8b5b3f65-3f7a-4b60-8ad1-a20cecb53ee7-10_user.job
[2015/02/25 16:53:27 | 000,004,078 | ---- | M] () -- C:\Windows\tasks\8b5b3f65-3f7a-4b60-8ad1-a20cecb53ee7-12.job
[2015/02/25 16:53:27 | 000,003,118 | ---- | M] () -- C:\Windows\tasks\8b5b3f65-3f7a-4b60-8ad1-a20cecb53ee7-1-6.job
:commands
[emptytemp]

» Un rapport texte apparrait au redemarrage du pc, poste le


puis

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
  Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
  (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[marcito35]

Merci beaucoup de l'aide et de la réactivité.

Alors voici le rapport OTL après redémarrage : http://pjjoint.malekal.com/files.php?id ... 5u15x6u7i6

Voici également les rapport après la manip sous FRST :
FRST : http://pjjoint.malekal.com/files.php?id ... 3f11p15r10
Addition : http://pjjoint.malekal.com/files.php?id ... 1y15u14x13

Merci encore !

[angelique]

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  R2 petonuve; C:\Users\Marc\AppData\Roaming\1E8D0040-1424884190-11DD-B3CA-D850E64036BF\jnsb8BCA.tmp [168960 2015-02-25] () [File not signed]
  R2 pysucode; C:\Users\Marc\AppData\Local\1E8D0040-1424884241-11DD-B3CA-D850E64036BF\snsr14E9.tmp [179712 2015-02-25] () [File not signed]
  2015-02-25 17:10 - 2015-02-25 17:40 - 00000000 ____D () C:\Users\Marc\AppData\Local\1E8D0040-1424884241-11DD-B3CA-D850E64036BF
  2015-02-25 17:09 - 2015-02-25 17:10 - 00000000 ____D () C:\Users\Marc\AppData\Roaming\1E8D0040-1424884190-11DD-B3CA-D850E64036BF
  2015-01-27 10:06 - 2015-01-27 10:06 - 00003278 _____ () C:\Windows\System32\Tasks\9AKdtKUn8hjbizI
  2015-01-27 10:06 - 2015-01-27 10:06 - 00003238 _____ () C:\Windows\System32\Tasks\yxomvf30J0Yg0rq
  2015-01-27 10:06 - 2014-11-22 16:49 - 00000000 ____D () C:\Users\Marc\AppData\Roaming\NtjxroF
  Task: {E00C7DA7-E1B5-4ED8-BCFF-E4B4264DA33E} - System32\Tasks\WIN-GGfIfEGCfEGbGffIfCfEGC => C:\Users\Marc\AppData\Roaming\~dvbmntr.exe
  C:\Users\Marc\AppData\Roaming\~dvbmntr.exe
  C:\Users\Marc\AppData\Local\Microsoft\WinU\~qxknmas.exe
  Task: {18AC6B68-0ABB-4D51-9843-1E319915C2D0} - System32\Tasks\WIN-statsSystem => C:\Users\Marc\AppData\Local\Microsoft\WinU\~qxknmas.exe
  Task: {307E95A0-EA2C-4F54-BDCE-082E95AC8180} - System32\Tasks\WIN-fdfEfEfAfC => C:\Users\Marc\AppData\Roaming\~htrhuhj.exe
  C:\Users\Marc\AppData\Roaming\~htrhuhj.exe
  Task: {75F15F4C-945B-4002-A0D3-3A48AEA725DC} - System32\Tasks\WIN-statsAdmin => C:\Users\Marc\AppData\Local\Microsoft\WinU\~yvanvcm.exe <==== ATTENTION
  C:\Users\Marc\AppData\Local\Microsoft\WinU
  Task: {8141E939-B862-47F3-B77E-015AFAFBC8F6} - System32\Tasks\{2F0B26C5-A0DA-4F18-8A89-55F17F0A4EF0} => pcalua.exe -a C:\Users\Marc\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=amt -simple=0 <==== ATTENTION
  C:\Users\Marc\AppData\Roaming\webssearches
  EmptyTemp:

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

[marcito35]

Merci pour la marche à suivre.

Voici le rapport Fixlog : http://pjjoint.malekal.com/files.php?id ... x11x9s1012

[angelique]

Je pense que c'est bon là ?

[marcito35]

Je pense qu'on est pas mal !

Merci de l'aide !! Je savais que la solidarité de la Breizh serait là !

[angelique]

➫ supprime frst.exe, ses rapports et C:\FRST



➫ relance OTL et clic Purge Outils



➫ Quelques conseils :


Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/