hqghumeaylnlf

[laurentds]

Bonjour.
Ces derniers temps, j'ai été envahi par plusieurs malwares. J'ai réussi à en éradiquer plusieurs, mais il reste des traces (hqghumeaylnlf qui se lance au démarrage).

Voici les rapports FRST :
FRST : http://pjjoint.malekal.com/files.php?id ... 11f11r5t14
Additions : http://pjjoint.malekal.com/files.php?id ... q5v13z5r15
Shortcuts : http://pjjoint.malekal.com/files.php?id ... d10y8m10m8

Merci d'avance à qui pourra m'aider.

[angelique]

1. désinstalle spybot sinon il va mettre la grouille et empécher de supprimer des entrées surtout son Spybot - Search & Destroy\TeaTimer.exe
2. Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
   Copie/colle dedans ce qui suit :
   
   

   R2 mqpy; c:\windows\mqpy.exe [408576 2015-05-09] () [File not signed]
   R2 qpy; c:\windows\qpy.exe [417792 2015-05-09] () [File not signed]
   globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
   Task: {257B602A-3451-4FA9-B776-7C8B3F3F42CE} - System32\Tasks\Bidaily Synchronize Task[74c7] => c:\programdata\{9b2f0ebf-b2e8-5dc7-9b2f-f0ebfb2e3afe}\hqghumeaylnlf.exe <==== ATTENTION
   Task: {47A78BD0-6AC7-4E85-8EDE-087DFF3814AA} - System32\Tasks\SGWQMJ1 => C:\ProgramData\FlashBeat\FlashBeat.exe <==== ATTENTION
   Task: {53A84CA8-937D-4808-BA0A-DA2CE3428DC5} - System32\Tasks\RVPMI => C:\ProgramData\dea58f1d084543928b36bc3ec89966f4\dea58f1d084543928b36bc3ec89966f4.exe <==== ATTENTION
   Task: {8735913D-884F-437A-A749-08742A2B5FA2} - System32\Tasks\FOJNC => C:\ProgramData\b67655f55ed7493696c9cc3c69642eb2\b67655f55ed7493696c9cc3c69642eb2.exe <==== ATTENTION
   Task: {D2FB20A2-63DC-44AB-A257-4020A0BE49C7} - System32\Tasks\MBHZRNZUAX1 => C:\ProgramData\LolliScan\LolliScan.exe <==== ATTENTION
   Task: {E0C5AFAB-305E-4171-A135-FE59DE379AB1} - System32\Tasks\{DDEC09F4-728C-4D52-8D96-5B7FB723A5EE} => pcalua.exe -a C:\Users\Ginette\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=tugs
   Task: C:\Windows\Tasks\Bidaily Synchronize Task[74c7].job => c:\programdata\{9b2f0ebf-b2e8-5dc7-9b2f-f0ebfb2e3afe}\hqghumeaylnlf.exe <==== ATTENTION
   Task: C:\Windows\Tasks\MBHZRNZUAX1.job => C:\ProgramData\LolliScan\LolliScan.exe <==== ATTENTION
   Task: C:\Windows\Tasks\SGWQMJ1.job => C:\ProgramData\FlashBeat\FlashBeat.exe <==== ATTENTION
   c:\programdata\{9b2f0ebf-b2e8-5dc7-9b2f-f0ebfb2e3afe}
   C:\ProgramData\FlashBeat
   C:\ProgramData\dea58f1d084543928b36bc3ec89966f4
   C:\ProgramData\b67655f55ed7493696c9cc3c69642eb2
   C:\ProgramData\LolliScan
   2015-05-09 12:48 - 2015-05-09 12:48 - 00408576 _____ () c:\windows\mqpy.exe
   2015-05-09 12:48 - 2015-05-09 12:48 - 00417792 _____ () c:\windows\qpy.exe
   AppInit_DLLs-x32: c:\programdata\flashbeat\flashbeat32.dll => "c:\programdata\flashbeat\flashbeat32.dll" File not found
   AppInit_DLLs-x32: c:\programdata\lolliscan\lolliscan32.dll => "c:\programdata\lolliscan\lolliscan32.dll" File not found
   GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
   CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
   2015-06-07 15:18 - 2015-06-07 21:18 - 00000344 _____ C:\Windows\Tasks\Bidaily Synchronize Task[74c7].job
   2015-06-07 15:18 - 2015-06-07 15:18 - 00003260 _____ C:\Windows\System32\Tasks\Bidaily Synchronize Task[74c7]
   2015-05-22 11:51 - 2015-06-14 08:09 - 00000334 _____ C:\Windows\Tasks\SGWQMJ1.job
   2015-05-22 11:51 - 2015-05-22 12:58 - 00000000 ____D C:\ProgramData\dea58f1d084543928b36bc3ec89966f4
   2015-05-22 11:51 - 2015-05-22 11:51 - 00003570 _____ C:\Windows\System32\Tasks\RVPMI
   2015-05-22 11:51 - 2015-05-22 11:51 - 00002856 _____ C:\Windows\System32\Tasks\SGWQMJ1
   2015-05-22 11:51 - 2015-05-22 11:51 - 00000000 ____D C:\ProgramData\28341ff220e0446c9fff27c4493d622e
   2015-05-09 13:42 - 2015-05-09 13:42 - 00003166 _____ C:\Windows\System32\Tasks\{DDEC09F4-728C-4D52-8D96-5B7FB723A5EE}
   2015-05-09 13:40 - 2015-05-11 09:22 - 00003183 _____ C:\Windows\SysWOW64\${LOGFILE}
   2015-05-09 12:55 - 2015-06-07 15:20 - 00000000 ___HD C:\ProgramData\qpy
   2015-05-09 12:48 - 2015-06-14 08:09 - 00000334 _____ C:\Windows\Tasks\MBHZRNZUAX1.job
   2015-05-09 12:48 - 2015-05-11 13:06 - 00000000 ____D C:\ProgramData\b67655f55ed7493696c9cc3c69642eb2
   2015-05-09 12:48 - 2015-05-09 12:48 - 00631296 _____ C:\Windows\qpy.dat
   2015-05-09 12:48 - 2015-05-09 12:48 - 00417792 _____ C:\Windows\qpy.exe
   2015-05-09 12:48 - 2015-05-09 12:48 - 00408576 _____ C:\Windows\mqpy.exe
   2015-05-09 12:48 - 2015-05-09 12:48 - 00003570 _____ C:\Windows\System32\Tasks\FOJNC
   2015-05-09 12:48 - 2015-05-09 12:48 - 00002856 _____ C:\Windows\System32\Tasks\MBHZRNZUAX1
   2015-05-09 12:48 - 2015-05-09 12:48 - 00000000 ____D C:\ProgramData\7c0535b143fc4671b6ebd202fbffe066
   2015-05-10 15:48 - 2015-05-10 15:48 - 0628688 _____ (CMI Limited) C:\Users\Ginette\AppData\Local\nsi4A25.tmp
   2015-05-10 15:52 - 2015-05-10 15:52 - 0613255 _____ (CMI Limited) C:\Users\Ginette\AppData\Local\nsp79A4.tmp
   2015-05-10 15:50 - 2015-05-10 15:50 - 0613255 _____ (CMI Limited) C:\Users\Ginette\AppData\Local\nsr8D8E.tmp
   EmptyTemp:
   

3. Menu Fichier / Enregistrer-sous
   Place toi sur le bureau.
   Dans le champs en bas, nom du fichier mets : fixlist.txt
   Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
   
   Relance FRST et clic sur le bouton fix
   Un redémarrage peut être nécessaire (pas obligatoire).
   Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

[laurentds]

Merci pour ce script.

Comme précisé, j'ai d'abord désinstallé Spybot puis lancé le fix et enfin reboot (demandé par le fix).

J'ai relancé FRST pour contrôle. Dans le fichier Additions.txt, section Installed Programs, j'ai toujours cette ligne :

Code : Tout sélectionner

globalupdate Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.3.25.0 - globalupdate Inc.) <==== ATTENTION

Est-ce que le fait de recréer un fichier fixlist.txt avec uniquement cette ligne, puis lancer un nouveau fix va retirer ce programme ?

De plus, dans la section Event log errors / System errors, j'ai cette série :

Code : Tout sélectionner

Error: (06/14/2015 05:29:04 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Le pilote de démarrage système ou d’amorçage suivant n’a pas pu se charger : 
scfd_1_10_0_16

Error: (06/14/2015 10:11:01 AM) (Source: volsnap) (EventID: 36) (User: )
Description: Les clichés instantanés du volume C: ont été annulés car le stockage du cliché instantané n’a pas pu s’agrandir en raison d’une limite utilisateur.

Error: (06/14/2015 08:11:01 AM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Le pilote de démarrage système ou d’amorçage suivant n’a pas pu se charger : 
scfd_1_10_0_16

Error: (06/14/2015 08:03:19 AM) (Source: Service Control Manager) (EventID: 7006) (User: )
Description: L’appel ScRegSetValueExW a échoué pour Start avec l’erreur : 
%%5

Error: (06/14/2015 07:53:55 AM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Le pilote de démarrage système ou d’amorçage suivant n’a pas pu se charger : 
scfd_1_10_0_16

Error: (06/12/2015 06:23:39 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Le pilote de démarrage système ou d’amorçage suivant n’a pas pu se charger : 
scfd_1_10_0_16

Error: (06/07/2015 04:13:52 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Le pilote de démarrage système ou d’amorçage suivant n’a pas pu se charger : 
scfd_1_10_0_16

Quelqu'un sait-il de quoi il retourne ?

Merci encore

[Malekal_morte]

Suis la procédure donnée à angelique.

[laurentds]

C'est ce que j'ai fait mais j'ai toujours un globalupdate Helper.

Contenu de fixlog.txt après un re-fix avec juste lligne correspondante :

Code : Tout sélectionner

fixlist content:
*****************
globalupdate Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.3.25.0 - globalupdate Inc.) <==== ATTENTION
*****************

globalupdate Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.3.25.0 - globalupdate Inc.) <==== ATTENTION => Error: No automatic fix found for this entry.

[Malekal_morte]

Tu n'as pas copié toute la liste donnée par angelique.

[laurentds]

Sissi .

Comme dit dans mon deuxième post, j'ai bien copié toute la liste dans le fichier fixlist.txt, lancé le fix puis rebooté.

Ensuite j'ai relancé un scan FRST pour voir l'évolution, et là il me reste cette ligne. Mais visiblement, d'après le log du deuxième fix que j'ai fait avec juste la ligne correspondante, il n'y a pas de fix automatique pour cette entrée.

Tant pis.

[angelique]

la clef est marquée hidden -- globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION, ce qui veut dire qu'elle est cachée de la liste de programmes et fonctionnalités.
*
Si tu fais le fixlist.txt dont tu n'as pas posté le résultat , ça va faire apparraitre globalupdate Helper de ta liste et c'est rien.

Si windows est intelligent , le fait de cliquer desinstaller sur ce programme te proposera de le supprimer sinon ccleaner le fait , voir > http://forum.malekal.com/supprimer-entr ... 44630.html