[Résolu] Windows infecté: adware Hahomedia et navigateurs

[lopy]

Bonjour,

Depuis quelques jours j'avais un problème avec mes navigateurs qui n'arrivaient plus à se connecter sur les sites en https (comme Google, Facebook, ...). J'ai trouvé que dans mon dossier Windows\Temp que j'avais des fichiers "ShellSetup.exe" qui se créaient sans arrêt et qui étaient liés à un service. J'ai fini par trouver qu'à l'origine il y avait un logiciel "WinrarPasswordRemover" que j'avais bêtement installé :o

Suite à la désinstallation de ce logiciel ça allait mieux mais mes problèmes sont vite revenus.

Et j'ai vu qu'à chaque fois cela correspondait à l'installation automatique de Shell&ServicesEngine avec notamment des dossiers dans le répertoire de Windows et un service d'update que j'ai trouvé dans C:\Windows\SysWOW64\updtSer\winService.exe (avec le fichier de config correspondant pointant vers le serveur hahomedia)

Pourriez-vous m'indiquer la démarche à suivre pour me débarrasser définitivement de ce malware ?

FRST.txt http://pjjoint.malekal.com/files.php?id ... 2v6v5b11c9
addition.txt http://pjjoint.malekal.com/files.php?id ... 5v15k6l7s6
Shortcut.txt http://pjjoint.malekal.com/files.php?id ... 9f9m15s8q9

Merci beaucoup

[Malekal_morte]

Salut,


Tu peux envoyer C:\WINDOWS\SysWOW64\updtSer\winService.exe sur http://upload.malekal.com



Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

S5 WinDivert1.1; <===== ATTENTION: Service verrouillé
S2 winService; C:\WINDOWS\SysWOW64\updtSer\winService.exe [23552 2015-10-11] () [Fichier non signé]
C:\WINDOWS\SysWOW64\updtSer

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

[lopy]

Bonjour,

merci pour votre aide, malheureusement j'ai déjà supprimé le fichier winservice.exe manuellement car j'avais besoin d'utiliser mon PC et internet.
J'ai aussi pu après redémarrage supprimer le fichier windivert64.sys qui s'était crée ainsi que tous les dossiers temporaires.

C'est donc logiquement que pour résultat le script a donné :
WinDivert1.1 => service non trouvé(e).
winService => service supprimé(es) avec succès
"C:\WINDOWS\SysWOW64\updtSer" => non trouvé(e).

Je vous remercie encore pour votre aide en espérant que cela aidera d'autres personnes car les seuls informations trouvées sur le net par rapport à mon problème étaient récentes mais en polonais ou en azéri.

[Malekal_morte]

Change tes mots de passe au cas où !


Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html


~~

Le reste de la sécurité pour sécuriser ton PC, voir : Comment sécuriser son ordinateur