Comment nettoyer une infection "Groover" sur Windows 7 ?

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Clementine3003

Comment nettoyer une infection "Groover" sur Windows 7 ?

par Clementine3003 »

Bonjour à tous,

Après avoir télécharger un logiciel je me suis retrouvée avec une multitude de virus, je suis parvenue à bout de la plupart mais je viens de m'apercevoir que je suis infectée par Groover. J'ai fait tout ce qu'il y a indiqué sur le site Malekal (soit faire un scan malwarebytes + adwcleaner, j'ai désinstallé tous les programmes suspects, supprimer tous les moteurs de recherche et les pages qui s'affichent au démarrage dans les paramètre google chrome, j'ai fait un reset de google chrome) mais là j'avoue que je suis à court d'idée... Quelqu'un peut m'aider ?

Merci d'avance !

PS : je suis novice en informatique donc si vous pouviez détailler vos réponses ça serait super gentil ^^
Malekal_morte
Messages : 111560
Inscription : 10 sept. 2005 13:57

Re: Infecté par groover, que faire ?

par Malekal_morte »

Salut,

C'est quoi Groover ?
Je veux bien une capture d'écran, si c'est une pub ou autre =)

Commence par ceci :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Clementine3003

Re: Infecté par groover, que faire ?

par Clementine3003 »

Merci pour ta réponse !

shortcut : http://pjjoint.malekal.com/files.php?id ... 7f9c1215z6
frst : http://pjjoint.malekal.com/files.php?id ... v14u6j12z9
addition : http://pjjoint.malekal.com/files.php?id ... 7b14y11f12

Et ca se traduit par des banières de pubs qui prennent la moitié de l'écran et j'ai aussi des pop-ups intempestifs, dès que je clique sur un lien ou des fois même pas ça m'envoie vers des sites X... j'espère que c'est aussi groover et que j'ai pas encore un autre virus à me débarrasser...

Je t'ai fait un lien pour le screenshot parce que je sais pas comment mettre une image ici :
http://pjjoint.malekal.com/files.php?id ... 15g5i14g14
Ce sont les grosses bandes publicitaires à droite et en haut...

merci de ton aide !

EDIT : je voulais aussi dire que j'ai trouver un dossier "groover..." dans mes programmes mais impossible à supprimer car "il est ouvert dans un autre programme" si ça peut aider..
Malekal_morte
Messages : 111560
Inscription : 10 sept. 2005 13:57

Re: Infecté par groover, que faire ?

par Malekal_morte »

Merci pour la capture.

Bon ça pue, c'est la nouvelle variante de Shopperz.
Du coup tu as bsdriver.sys et cherimoya.


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => Pas de fichier
SearchScopes: HKU\S-1-5-21-660916072-2237653766-2396665435-1001 -> {D356C83E-E2E3-4617-9BD0-C56B1C9BBF4E} URL = hxxp://www.trovi.com/Results.aspx?q={searchTer ... ce=56&UM=2 [Pays NL - 195.78.120.88]
BHO: groover081120151117 -> {0633061A-E9AC-4EC8-88E2-DB8B6F8FBF32} -> C:\Program Files\groover081120151117\Jotsatg64.dll [2015-11-08] ()
BHO-x32: groover081120151117 -> {0633061A-E9AC-4EC8-88E2-DB8B6F8FBF32} -> C:\Program Files\groover081120151117\Jotsatg.dll [2015-11-08] ()
R3 316A5129-5BCD-4EC5-8FC3-5F92F752B475; C:\Program Files\groover081120151117\Siccaonp.exe [250192 2015-11-08] ()
R3 csrcc; C:\Program Files\groover081120151117\csrcc.exe [1513808 2015-11-08] ()
R2 groover081120151117 Updater; C:\Program Files\groover081120151117\Qyvcuf.exe [150864 2015-11-08] ()
CHR Extension: (Top Chrono (par Google)) - C:\Users\Clémentine\AppData\Local\Google\Chrome\User Data\Default\Extensions\aidgmjkfmbhldhnhkopojimkhhhcpenl [2011-12-21]
R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [34720 2015-11-08] ()
R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [61344 2015-11-08] (Cherimoya Ltd)
2015-11-08 19:02 - 2015-11-08 19:02 - 00000000 _____ C:\Windows\SysWOW64\sho80C6.tmp
2015-11-08 11:20 - 2015-11-08 11:20 - 00034720 _____ () C:\Windows\system32\Drivers\bsdriver.sys
2015-11-08 11:20 - 2015-11-08 11:20 - 00003352 _____ C:\Windows\System32\Tasks\Fuhzuvj
2015-11-08 11:19 - 2015-11-08 19:51 - 00000000 ____D C:\Program Files\groover081120151117
2015-11-08 11:18 - 2015-11-08 11:18 - 00000000 ____D C:\Program Files (x86)\RayDld
2015-11-08 11:17 - 2015-11-08 14:42 - 00000000 ____D C:\Program Files (x86)\0025A3A6-1446977839-E011-BA87-1C7508799201
2015-11-08 11:14 - 2015-11-08 15:05 - 00010200 _____ C:\Windows\SysWOW64\BoxoreServiceOff.ini
2015-11-08 11:14 - 2015-11-08 15:05 - 00010200 _____ C:\Windows\system32\BoxoreServiceOff.ini
2015-11-08 11:14 - 2015-10-18 20:46 - 00304040 _____ (Boxore OU) C:\Windows\SysWOW64\BoxoreService.dll
2015-11-08 11:12 - 2015-11-08 11:12 - 00000000 ____D C:\Users\Public\Documents\Guid
2015-11-08 11:12 - 2015-11-08 11:12 - 00000000 ____D C:\Users\Public\Documents\Baidu
2015-11-08 11:12 - 2015-11-08 11:12 - 00000000 ____D C:\Users\Clémentine\AppData\Local\Software
2015-11-08 11:10 - 2015-11-08 11:10 - 00921740 _____ C:\Users\Clémentine\Downloads\LabVIEW 2014__15155_il7402.ace
2015-11-08 11:06 - 2015-11-08 11:06 - 01201475 _____ C:\Users\Clémentine\Downloads\Tp.rar
2015-11-08 10:20 - 2015-11-08 11:20 - 00061344 _____ (Cherimoya Ltd) C:\Windows\system32\Drivers\cherimoya.sys
2015-10-28 22:49 - 2015-02-25 19:29 - 00000000 ____D C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7


Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Clementine3003

Re: Comment nettoyer une infection "Groover" sur Windows 7 ?

par Clementine3003 »

Voilà le résultat :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-11-2015
Exécuté par Clémentine (2015-11-08 20:53:36) Run:1
Exécuté depuis C:\Users\Clémentine\Desktop
Profils chargés: Clémentine (Profils disponibles: Clémentine)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => Pas de fichier
SearchScopes: HKU\S-1-5-21-660916072-2237653766-2396665435-1001 -> {D356C83E-E2E3-4617-9BD0-C56B1C9BBF4E} URL = hxxp://www.trovi.com/Results.aspx?q={searchTer ... ce=56&UM=2 [Pays NL - 195.78.120.88]
BHO: groover081120151117 -> {0633061A-E9AC-4EC8-88E2-DB8B6F8FBF32} -> C:\Program Files\groover081120151117\Jotsatg64.dll [2015-11-08] ()
BHO-x32: groover081120151117 -> {0633061A-E9AC-4EC8-88E2-DB8B6F8FBF32} -> C:\Program Files\groover081120151117\Jotsatg.dll [2015-11-08] ()
R3 316A5129-5BCD-4EC5-8FC3-5F92F752B475; C:\Program Files\groover081120151117\Siccaonp.exe [250192 2015-11-08] ()
R3 csrcc; C:\Program Files\groover081120151117\csrcc.exe [1513808 2015-11-08] ()
R2 groover081120151117 Updater; C:\Program Files\groover081120151117\Qyvcuf.exe [150864 2015-11-08] ()
CHR Extension: (Top Chrono (par Google)) - C:\Users\Clémentine\AppData\Local\Google\Chrome\User Data\Default\Extensions\aidgmjkfmbhldhnhkopojimkhhhcpenl [2011-12-21]
R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [34720 2015-11-08] ()
R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [61344 2015-11-08] (Cherimoya Ltd)
2015-11-08 19:02 - 2015-11-08 19:02 - 00000000 _____ C:\Windows\SysWOW64\sho80C6.tmp
2015-11-08 11:20 - 2015-11-08 11:20 - 00034720 _____ () C:\Windows\system32\Drivers\bsdriver.sys
2015-11-08 11:20 - 2015-11-08 11:20 - 00003352 _____ C:\Windows\System32\Tasks\Fuhzuvj
2015-11-08 11:19 - 2015-11-08 19:51 - 00000000 ____D C:\Program Files\groover081120151117
2015-11-08 11:18 - 2015-11-08 11:18 - 00000000 ____D C:\Program Files (x86)\RayDld
2015-11-08 11:17 - 2015-11-08 14:42 - 00000000 ____D C:\Program Files (x86)\0025A3A6-1446977839-E011-BA87-1C7508799201
2015-11-08 11:14 - 2015-11-08 15:05 - 00010200 _____ C:\Windows\SysWOW64\BoxoreServiceOff.ini
2015-11-08 11:14 - 2015-11-08 15:05 - 00010200 _____ C:\Windows\system32\BoxoreServiceOff.ini
2015-11-08 11:14 - 2015-10-18 20:46 - 00304040 _____ (Boxore OU) C:\Windows\SysWOW64\BoxoreService.dll
2015-11-08 11:12 - 2015-11-08 11:12 - 00000000 ____D C:\Users\Public\Documents\Guid
2015-11-08 11:12 - 2015-11-08 11:12 - 00000000 ____D C:\Users\Public\Documents\Baidu
2015-11-08 11:12 - 2015-11-08 11:12 - 00000000 ____D C:\Users\Clémentine\AppData\Local\Software
2015-11-08 11:10 - 2015-11-08 11:10 - 00921740 _____ C:\Users\Clémentine\Downloads\LabVIEW 2014__15155_il7402.ace
2015-11-08 11:06 - 2015-11-08 11:06 - 01201475 _____ C:\Users\Clémentine\Downloads\Tp.rar
2015-11-08 10:20 - 2015-11-08 11:20 - 00061344 _____ (Cherimoya Ltd) C:\Windows\system32\Drivers\cherimoya.sys
2015-10-28 22:49 - 2015-02-25 19:29 - 00000000 ____D C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7
*****************

"C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll" => Données de la valeur supprimé(es) avec succès.
"HKU\S-1-5-21-660916072-2237653766-2396665435-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{D356C83E-E2E3-4617-9BD0-C56B1C9BBF4E}" => clé supprimé(es) avec succès
HKCR\CLSID\{D356C83E-E2E3-4617-9BD0-C56B1C9BBF4E} => clé non trouvé(e).
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0633061A-E9AC-4EC8-88E2-DB8B6F8FBF32}" => clé supprimé(es) avec succès
"HKCR\CLSID\{0633061A-E9AC-4EC8-88E2-DB8B6F8FBF32}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0633061A-E9AC-4EC8-88E2-DB8B6F8FBF32}" => clé supprimé(es) avec succès
"HKCR\Wow6432Node\CLSID\{0633061A-E9AC-4EC8-88E2-DB8B6F8FBF32}" => clé supprimé(es) avec succès
316A5129-5BCD-4EC5-8FC3-5F92F752B475 => Service arrêté avec succès.
316A5129-5BCD-4EC5-8FC3-5F92F752B475 => service supprimé(es) avec succès
csrcc => Service arrêté avec succès.
csrcc => service supprimé(es) avec succès
groover081120151117 Updater => Service arrêté avec succès.
groover081120151117 Updater => service supprimé(es) avec succès
C:\Users\Clémentine\AppData\Local\Google\Chrome\User Data\Default\Extensions\aidgmjkfmbhldhnhkopojimkhhhcpenl => déplacé(es) avec succès
bsdriver => Impossible d'arrêter le service.
bsdriver => service impossible à supprimer
cherimoya => Impossible d'arrêter le service.
cherimoya => service supprimé(es) avec succès
C:\Windows\SysWOW64\sho80C6.tmp => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\system32\Drivers\bsdriver.sys" => Planifié pour déplacement au redémarrage.
C:\Windows\System32\Tasks\Fuhzuvj => déplacé(es) avec succès

"C:\Program Files\groover081120151117" dossier déplacer:

Impossible de déplacer "C:\Program Files\groover081120151117" => Planifié pour déplacement au redémarrage.

C:\Program Files (x86)\RayDld => déplacé(es) avec succès
C:\Program Files (x86)\0025A3A6-1446977839-E011-BA87-1C7508799201 => déplacé(es) avec succès
C:\Windows\SysWOW64\BoxoreServiceOff.ini => déplacé(es) avec succès
C:\Windows\system32\BoxoreServiceOff.ini => déplacé(es) avec succès
C:\Windows\SysWOW64\BoxoreService.dll => déplacé(es) avec succès
C:\Users\Public\Documents\Guid => déplacé(es) avec succès
C:\Users\Public\Documents\Baidu => déplacé(es) avec succès
C:\Users\Clémentine\AppData\Local\Software => déplacé(es) avec succès
C:\Users\Clémentine\Downloads\LabVIEW 2014__15155_il7402.ace => déplacé(es) avec succès
C:\Users\Clémentine\Downloads\Tp.rar => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\system32\Drivers\cherimoya.sys" => Planifié pour déplacement au redémarrage.
C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7 => déplacé(es) avec succès

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2015-11-08 20:56:26)

"C:\Windows\system32\Drivers\bsdriver.sys" => Impossible de déplacer
C:\Program Files\groover081120151117 => a été déplacé(e) avec succès
"C:\Windows\system32\Drivers\cherimoya.sys" => Impossible de déplacer

==== Fin de Fixlog 20:56:26 ====
Malekal_morte
Messages : 111560
Inscription : 10 sept. 2005 13:57

Re: Comment nettoyer une infection "Groover" sur Windows 7 ?

par Malekal_morte »

Après la réinitialisation des navigateurs WEB.
Télécharge PCHunter.
Vas dans l'onglet Files.
Navigue dans les dossiers pour supprimer :
"C:\Windows\system32\Drivers\bsdriver.sys"
"C:\Windows\system32\Drivers\cherimoya.sys"
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Clementine3003

Re: Comment nettoyer une infection "Groover" sur Windows 7 ?

par Clementine3003 »

Je viens de télécharger PChunter, je suis arrivée au dossier "C:\Windows\system32\Drivers" mais je trouve pas les deux fichiers dont tu parles !

Mais ça a l'air d'avoir marché, le dossier dont je parlais tout à l'heure "groove..." a disparu du dossier program files et les pop ups et bannière ont l'air d'avoir disparu... J'espère ne pas parler trop vite mais j'ai l'impression que tu as résolu mon problème !

Donc c'est moi qui ai mal regardé ou il est possible que les deux fichiers à trouver dans PChunter n'y soient plus parce que le problème est résolu ?

Si c'est le cas merci infiniment pour ton aide, je devenais folle avec ces trucs !
Malekal_morte
Messages : 111560
Inscription : 10 sept. 2005 13:57

Re: Comment nettoyer une infection "Groover" sur Windows 7 ?

par Malekal_morte »

Peut-être que FRST a pu les virer.
Fais un scan avec FRST et donne les rapports.
Histoire de vérifier qu'ils ne sont plus là =)

Donc plus de pubs Groover ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Clementine3003

Re: Comment nettoyer une infection "Groover" sur Windows 7 ?

par Clementine3003 »

J'ai essayé de relancer un scan mais il bloque à un moment et affiche "Analyse de : Erreurs Application : 156713" mais il avance plus...

Et non je n'ai plus aucune pubs ! Fin j'ai pas passé trop de temps sur internet là mais ça a l'air d'avoir disparu !
Malekal_morte
Messages : 111560
Inscription : 10 sept. 2005 13:57

Re: Comment nettoyer une infection "Groover" sur Windows 7 ?

par Malekal_morte »

ok =)

Termine par un nettoyage Malwarebyte's Anti-Malware :
* Tutorial Malwarebytes version gratuite
* Tutorial Malwarebytes version payante


Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Clementine3003

Re: Comment nettoyer une infection "Groover" sur Windows 7 ?

par Clementine3003 »

Merci beaucoup pour ton aide ! Tu as mon éternelle gratitude :p Je vais faire/lire tout ça ! Et je vais arrêter de télécharger sur des sites bizarres !
Malekal_morte
Messages : 111560
Inscription : 10 sept. 2005 13:57

Re: Comment nettoyer une infection "Groover" sur Windows 7 ?

par Malekal_morte »

:cheers2:
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »