[Résolu] Windows 8 infecté par un virus chinois Baidu help!!

[KrissProls]

bonjour, je suis face à un Windows qui commence à parler chinois, j'avoue que c'est pas facile ;)
en lançant un adwcleaner une fenêtre en chinois m'empêche d'aller plus loin, mes connaissances dans cette langue sont très limitées... il y a des icônes en chinois, des programmes très suspects, indéboulonnables via la désinstallation de programmes ; la navigation sur internet est devenue très difficile (publicités très agressives en pop up et autres)
j'ai besoin d'aide. tout ce que je sais c'est que ça s'appelle BAIDU ! par où je commence siouplait??? (Windows 8)

[Malekal_morte]

Salut,


Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
* Tutoriel MBAM version gratuite
* Tutoriel MBAM version payante

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.



puis :


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[KrissProls]

merci
copier coller , je n'y arrive pas, je ne vois pas de champs pour écrire et j'ai donc mis un .txt
voici l'historique de l'analyse MBAM
http://pjjoint.malekal.com/files.php?id ... n14q8c10b6

[KrissProls]

FRST
http://pjjoint.malekal.com/files.php?id ... 412u5q12m6
Addition
http://pjjoint.malekal.com/files.php?id ... z15c715o10
Shortcut
http://pjjoint.malekal.com/files.php?id ... u9x11l5v12

[Malekal_morte]

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

 HKLM-x32\...\Run: [BaiduAnTray] => C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnTray.exe [2251784 2016-02-26] (百度在线网络技术（北京）有限公司)  
 HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe /regrun 
S2 Nunkulhu; C:\Users\kats\AppData\Roaming\GurmOwibxop\Aukuon.exe -cms [X] 
S2 QQRepair13a; C:\WINDOWS\GJFix\QQRepair13a [X] 
 R2 BaiduHips; C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.892\BaiduHips.exe [89096 2016-02-26] (百度在线网络技术（北京）有限公司)  
 R2 BDMRTP; C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnSvc.exe [1096712 2015-05-20] (百度在线网络技术（北京）有限公司)  
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [203280 2016-02-26] (Baidu)  
 R1 bd0001; C:\Windows\SysWOW64\DRIVERS\bd0001.sys [203280 2016-02-26] (Baidu)  
 R1 bd0002; C:\Windows\System32\DRIVERS\bd0002.sys [219144 2016-02-26] (Baidu)  
 R1 bd0002; C:\Windows\SysWOW64\DRIVERS\bd0002.sys [219144 2016-02-26] (Baidu)  
 R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [152392 2015-05-20] (Baidu Technology)  
 R1 BDDefense; C:\Windows\System32\drivers\BDDefense.sys [103752 2016-02-26] (Baidu)  
 R2 BDMNetMon; C:\Windows\System32\DRIVERS\BDMNetMon.sys [241992 2015-05-20] (Baidu)  
 R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [62280 2015-05-20] (Baidu)  
S2 BDPaHlp; \??\C:\Program Files (x86)\Baidu\BrowserProtect\4.2.2.390\drivers\x64\BDPaHlp.sys [X] 
S1 bsdriver; \??\C:\WINDOWS\system32\drivers\bsdriver.sys [X] 
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys [X] 
 2016-02-26 18:37 - 2016-02-26 18:37 - 00219144 _____ (Baidu) C:\WINDOWS\SysWOW64\Drivers\bd0002.sys  
 2016-02-26 18:37 - 2016-02-26 18:37 - 00203280 _____ (Baidu) C:\WINDOWS\SysWOW64\Drivers\bd0001.sys  
 2016-02-26 18:36 - 2016-02-26 18:36 - 00002189 ____H C:\Users\kats\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BDAn.lnk  
 2016-02-26 17:57 - 2016-02-26 17:57 - 01511936 _____ C:\Users\kats\Downloads\adwcleaner_5.036.exe 
 2016-02-26 13:36 - 2016-02-26 13:36 - 00003172 _____ C:\WINDOWS\System32\Tasks\{597AAD52-1369-416C-B16E-1374CC02973F} 
 2016-02-26 09:21 - 2016-02-26 09:21 - 00005120 _____ C:\Users\kats\AppData\Roaming\GiftBag.db 
 2016-02-26 09:21 - 2016-02-26 09:21 - 00000000 ____D C:\Users\kats\AppData\Roaming\talimama 
 2016-02-26 09:21 - 2016-02-26 09:07 - 00128312 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys 
 2016-02-26 09:19 - 2016-02-26 13:21 - 00000000 ____D C:\WINDOWS\GJFix 
 2016-02-26 09:17 - 2016-02-26 09:17 - 00000000 ____D C:\WINDOWS\system32\fhje 
 2016-02-26 09:10 - 2016-02-26 09:10 - 00003084 _____ C:\WINDOWS\System32\Tasks\{EB1858B9-86EE-4DC3-B8B0-33F31D1C5AC8} 
 2016-02-26 09:08 - 2016-02-26 09:07 - 00087864 ____N (电脑管家) C:\WINDOWS\system32\Drivers\TFsFltX64.sys  
 2016-02-26 09:07 - 2016-02-26 09:07 - 00000000 _____ C:\Users\kats\Desktop\$电脑管家-清理垃圾$.qmgc 
 2016-02-26 09:05 - 2016-02-26 13:30 - 00002226 _____ C:\Users\kats\Desktop\chrome.lnk  
 2016-02-26 09:04 - 2016-02-26 09:03 - 00103752 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDDefense.sys  
 2016-02-26 09:04 - 2015-05-20 09:40 - 00062280 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDMWrench_x64.sys  
 2016-02-26 09:03 - 2016-02-27 07:41 - 00002167 _____ C:\Users\Public\Desktop\百度卫士-软件管理.lnk 
 2016-02-26 09:03 - 2016-02-26 18:41 - 00000000 ____D C:\ProgramData\Baidu  
 2016-02-26 09:03 - 2016-02-26 18:37 - 00219144 _____ (Baidu) C:\WINDOWS\system32\Drivers\bd0002.sys  
 2016-02-26 09:03 - 2016-02-26 18:37 - 00203280 _____ (Baidu) C:\WINDOWS\system32\Drivers\bd0001.sys  
 2016-02-26 09:03 - 2016-02-26 09:04 - 00000000 ____D C:\Users\kats\AppData\Roaming\Baidu 
 2016-02-26 09:03 - 2016-02-26 09:03 - 00001268 _____ C:\Users\Public\Desktop\百度卫士.lnk 
 2016-02-26 09:03 - 2016-02-26 09:03 - 00000000 ____D C:\Program Files (x86)\Baidu  
 2016-02-26 09:03 - 2015-05-20 09:40 - 00241992 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDMNetMon.sys  
 2016-02-26 09:03 - 2015-05-20 09:40 - 00152392 _____ (Baidu Technology) C:\WINDOWS\system32\Drivers\BDArKit.sys  
 2016-02-26 08:59 - 2016-02-26 08:59 - 00003336 _____ C:\WINDOWS\System32\Tasks\Bhkityok 
 2016-02-26 08:59 - 2016-02-26 08:59 - 00000000 ____D C:\Users\kats\AppData\Local\Tempfolder 
 2016-02-26 08:53 - 2016-02-27 09:57 - 00000000 ____D C:\Users\kats\AppData\LocalLow\Company 
 2016-02-26 08:53 - 2016-02-26 08:53 - 00003340 _____ C:\WINDOWS\System32\Tasks\Wieag 
Task: {DD08ED50-A479-469F-A914-563FD24AB72C} - System32\Tasks\Bhkityok => C:\PROGRA~1\SHOPPE~2\Wajlir.bat
Task: {3897A376-D65D-43AC-AD7A-6BFC8313DBD6} - System32\Tasks\{597AAD52-1369-416C-B16E-1374CC02973F} => pcalua.exe -a C:\ProgramData\Boxore\7.1\Boxore.exe -c --uninstall --finalize --prompt --self-clear --no-loop

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

[KrissProls]

FRST a cessé de fonctionner vers la fin, un fenêtre en chinois avec FRST et le nom de l'ordi de marqué est apparue! j'ai relancé la correction et c'est bien allé au bout. quelques icônes chinoises ont disparu mais il en reste. j'envoie le fichier dans un instant.

[KrissProls]

fixlog.txt
http://pjjoint.malekal.com/files.php?id ... x8z15n5s11

et j'ai redémarré l'ordi...
ça a l'air coriace ce virus

[Malekal_morte]

oui y a des drivers (les fichiers .sys) donc c'est pénible.
Refais la correction FRST et donne le rapport.

[KrissProls]

correction2fixlog
http://pjjoint.malekal.com/files.php?id ... r8z15s6y15

[KrissProls]

au fait, les icônes en chinois ont disparu et la navigation sur internet est à nouveau plus fluide mais on trouve encore du "Baidu" dans l'analyse FRST... on progresse ^^

[Malekal_morte]

Refais une analyse FRST et donne les rapports, via pjjoint, pour voir ce qu'il reste

[KrissProls]

FRST
http://pjjoint.malekal.com/files.php?id ... u12b5o12x9
Shortcut
http://pjjoint.malekal.com/files.php?id ... y147n15f11
Addition
http://pjjoint.malekal.com/files.php?id ... r9o13c11u7

[Malekal_morte]

Reste plus grand chose.

Spybot, tu peux le désinstaller, pas efficace du tout.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

S2 BaiduHips; C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.892\BaiduHips.exe [X]  
 S2 BDMRTP; C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnSvc.exe -r [X]  
 2016-02-27 14:00 - 2016-02-27 14:00 - 00000000 ____D C:\ProgramData\Baidu  
 HKLM-x32\...\Run: [BaiduAnTray] => C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BaiduAnTray.exe -stmd=3  :

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[KrissProls]

j'ai retiré spybot si tu as d'autres conseil sur les lignes inutiles je suis preneur

fixlog
http://pjjoint.malekal.com/files.php?id ... 3t13z7c8q7

"avec succès" ça sent bon

j'ai lancé une analyse également :
FRST
http://pjjoint.malekal.com/files.php?id ... l9x10o7p11
shortcut
http://pjjoint.malekal.com/files.php?id ... 5j13k11m11
addition
http://pjjoint.malekal.com/files.php?id ... 14s12f13j9

dans addition on retrouve des lignes avec baidu mais je ne sais pas ce que ça veut dire...

[Malekal_morte]

Non c'est bon !

Quelques conseils :

Pour tenter de prévenir les sites malicieux, tu peux installer Blockulicious.

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)