Windows a été infecté par "Yeabests", un malware chinois

[schlag]

Bonjour,

Après avoir tenté de télécharger un driver pour MP4, j'ai été infesté par un virus chinois qui envahissait mon Windows ! J'ai alors fouillé sur le net et ai téléchargé adwcleaner, JRT, Malwaresbytes et ZHPCleaner et même SpyHunter que j'avais cru être efficace :( J'ai pas mal ramé car mon Windows plantait régulièrement pendant les différentes analyses... Bref, je me suis enfin débarrassé de ce foutu logiciel chinois mais il me reste trois problèmes et pas des moindres!

1. Ce p** de Yeabests reste sur mon disque, même les programmes ci-dessus ne le détectent pas (sauf spyhunter mais impossible d'enlever quoi que ce soit sans payer... l'arnaque quoi et cela sans être sûr du résultat final.

2. je ne suis pas sûr qu'il n'y a pas d'autres malwares qui trainent et qui ne sont pas détectés par les logiciels ci-dessus.

3. Depuis l'une des analyses effectuées, quand j'essaye de me connecter sous Windows, j'obtiens un écran noir. Je dois alors passer par CTRL+DEL, gestionnaire des tâches, fichier, nouvelle tâche et taper "explorer.exe" avant de pouvoir l'utiliser...

Bref, après avoir passé deux jours à tenter de faire ce que je pouvais (et p-ê à faire pire que mieux :( ), et avoir bousillé mon w-e je fais appel à vous en espérant que vous pourrez m'aider!

Merci beaucoup d'avance!

[Malekal_morte]

Salut,

Suis ce tutoriel en image puis Shortcut Cleaner.

Supprimer-yeatbests.png

Supprimer-yeatbests-1.png

Supprimer-yeatbests-2.png

Supprimer-yeatbests-3.png

Supprimer-yeatbests-4.png

puis :

fais un nettoyage Shortcut Cleaner.

[schlag]

Salut,

j'ai suivi la procédure ci-dessus et en toute fin de manip, j'obtiens un message d'erreur:
Numéro : 0x80041010
Environnement : WMI
Description : Classe non valide :(
J'avais exécuté sc-cleaner juste avant et j'obtenais ça:

Code : Tout sélectionner

~ ZHPCleaner v2016.4.22.57 by Nicolas Coolman (2016/04/22)
~ Run by Pierre (Administrator)  (24/04/2016 17:49:07)
~ Site : http://www.nicolascoolman.com
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Nettoyer
~ Report : C:\Users\Pierre\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\Pierre\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home, 64-bit  (Build 10586)


---\\  Service. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Navigateur internet. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Fichier hôte. (2)
REMPLACÉ: 0.0.0.1	mssplus.mcafee.com
~ Nombre de redirections trouvées 1/40


---\\  Tâche planifiée. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  Explorateur  ( Dossiers, Fichiers ). (44)
DEPLACÉ fichier: C:\Windows\Prefetch\CHECKEDLIST_SETUP.EXE-A2A8F2C0.pf    =>PUP.Optional.CheckedList
DEPLACÉ fichier: C:\WINDOWS\System32\Drivers\TAOKernelEx64.sys [Tencent Technology(Shenzhen) Company Limited - TAOKernel]  =>.Superfluous.Tencent
DEPLACÉ fichier: C:\Users\Pierre\AppData\Local\Temp\qqpcmgr_v10.11.16588.235_72623_Silence.exe [Copyright 2013 - SendStat Module]  =>.Superfluous.Tencent
DEPLACÉ fichier: C:\Users\Pierre\AppData\Local\Temp\qqpcmgr_v11.4.17339.217_45373_Silence.exe [Copyright 2013 - SendStat Module]  =>.Superfluous.Tencent
DEPLACÉ fichier^: C:\Users\Pierre\AppData\Local\app    =>PUP.Optional.CrossRider
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI13F5.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI23C5.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI2A7.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI301A.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI33B5.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI378E.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI3D8B.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI4C9F.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI5E4.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI5F2E.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI624C.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI654B.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI6C50.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI7133.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI774F.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI7CCE.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI7FFC.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI830A.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSI9BD4.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIAE8.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIB0C1.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIBE4F.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIC121.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIC17C.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIC48D.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIC650.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIC808.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSID46A.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIDA4B.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIDE73.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIE2AA.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIE44A.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIE616.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIEAA5.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIEDF1.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIF209.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIF566.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIFB33.tmp-  =>Empty
DEPLACÉ dossier: C:\WINDOWS\Installer\MSIFF7A.tmp-  =>Empty


---\\  Base de Registres ( Clés, Valeurs, Données ). (28)
SUPPRIMÉ clé*: HKEY_USERS\S-1-5-21-1577275202-546194520-1271563289-1001\SOFTWARE\Tencent []  =>.Superfluous.Tencent
SUPPRIMÉ clé*: HKEY_USERS\.DEFAULT\Software\Tencent []  =>.Superfluous.Tencent
SUPPRIMÉ clé: HKCU\Software\Tencent []  =>.Superfluous.Tencent
SUPPRIMÉ clé*: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\kingtopdeals.com []  =>PUP.Optional.Multiplug
SUPPRIMÉ clé*: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\pricemoon.co []  =>PUP.Optional.PriceMoon
SUPPRIMÉ clé*: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\pstatic.kingtopdeals.com []  =>PUP.Optional.Multiplug
SUPPRIMÉ clé*: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\pstatic.pricemoon.co []  =>PUP.Optional.PriceMoon
SUPPRIMÉ clé*: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\kingtopdeals.com []  =>PUP.Optional.Multiplug
SUPPRIMÉ clé*: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\pricemoon.co []  =>PUP.Optional.PriceMoon
SUPPRIMÉ clé*: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\pstatic.kingtopdeals.com [126]  =>PUP.Optional.Multiplug
SUPPRIMÉ clé*: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\pstatic.pricemoon.co [10]  =>PUP.Optional.PriceMoon
SUPPRIMÉ clé*: [X64] HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Advanced System~Protector []  =>PUP.Optional.AdvancedSystemProtector
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Wow6432Node\Tencent []  =>.Superfluous.Tencent
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Wow6432Node\TUTORIALS []  =>PUP.Optional.AgenceExclusive
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{16EE6530-8649-4F42-A9E4-F6A3295AF975} [C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\ (Not File)]  =>.Superfluous.Tencent
SUPPRIMÉ clé*: HKCU\SOFTWARE\8BCF9CE971137B8290B757731A624F0A []  =>Hijacker.Browser
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Classes\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} [QMContextScanMenu Class]  =>.Superfluous.Tencent
SUPPRIMÉ clé: [X64] HKLM\SOFTWARE\Classes\CLSID\{63332668-8CE1-445D-A5EE-25929176714E}\InprocServer32 [C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMContextScan64.dll (Not File)]  =>.Superfluous.Tencent
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Classes\CLSID\{7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} [电脑管家网页防火墙]  =>.Superfluous.Tencent
SUPPRIMÉ clé: [X64] HKLM\SOFTWARE\Classes\CLSID\{7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B}\InprocServer32 [C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TSWebMon64.dat (Not File)]  =>.Superfluous.Tencent
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Classes\CLSID\{B7667919-3765-4815-A66D-98A09BE662D6} [PCMgr Garbage Cleaner ShellExtension]  =>.Superfluous.Tencent
SUPPRIMÉ clé: [X64] HKLM\SOFTWARE\Classes\CLSID\{B7667919-3765-4815-A66D-98A09BE662D6}\InprocServer32 [C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMGCShellExt64.dll (Not File)]  =>.Superfluous.Tencent
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Classes\CLSID\{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} [QMContextUninstallMenu Class]  =>.Superfluous.Tencent
SUPPRIMÉ clé: [X64] HKLM\SOFTWARE\Classes\CLSID\{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}\InprocServer32 [C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMContextUninstall64.dll (Not File)]  =>.Superfluous.Tencent
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Classes\CLSID\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} [PSFactoryBuffer]  =>.Superfluous.Tencent
SUPPRIMÉ clé: [X64] HKLM\SOFTWARE\Classes\CLSID\{D4801E96-E7A1-45F6-B124-7A36DFB40B81}\InprocServer32 [C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMContextUninstall64.dll (Not File)]  =>.Superfluous.Tencent
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} [PSFactoryBuffer]  =>.Superfluous.Tencent
SUPPRIMÉ clé: [X64] HKLM\SOFTWARE\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1}\InprocServer32 [C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMContextScan64.dll (Not File)]  =>.Superfluous.Tencent


---\\  Récapitulatif des éléments trouvés sur votre station. (8)
http://www.nicolascoolman.fr/pup-optional-checkedlist/  =>PUP.Optional.CheckedList
http://www.nicolascoolman.fr/?p=368  =>.Superfluous.Tencent
http://www.nicolascoolman.fr/?p=180  =>PUP.Optional.CrossRider
http://www.nicolascoolman.fr/?p=1402  =>PUP.Optional.Multiplug
http://www.nicolascoolman.fr/?p=4664  =>PUP.Optional.PriceMoon
http://www.nicolascoolman.fr/?p=336  =>PUP.Optional.AdvancedSystemProtector
http://www.nicolascoolman.fr/?p=122  =>PUP.Optional.AgenceExclusive
http://www.nicolascoolman.fr/hijacker-browser/  =>Hijacker.Browser


---\\  Nettoyage Additionnel. (14)
~ Suppression des Clés de registre Tracing. (14)
~ Suppression des anciens rapports ZHPCleaner. (0)


---\\ Bilan de la réparation
~ Réparation réalisée avec succès.
~ Ce navigateur est absent  (Google Chrome)
~ Ce navigateur est absent  (Opera Software)
~ Le système a été redémarré.


---\\ Statistiques
~ Items scannés : 281
~ Items trouvés : 1
~ Items annulés : 0
~ Items réparés : 72


~ End of clean in 00h00mn34s
~====================
ZHPCleaner-[R]-24042016-17_49_41.txt
ZHPCleaner-[S]-24042016-17_47_57.txt

Shortcut Cleaner

Code : Tout sélectionner

Shortcut Cleaner 1.4.0 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2016 BleepingComputer.com
More Information about Shortcut Cleaner can be found at this link:
 http://www.bleepingcomputer.com/download/shortcut-cleaner/

Windows Version: Windows 10 Home 
Program started at: 04/27/2016 04:22:49 PM.

Scanning for registry hijacks:

 * No issues found in the Registry.

Searching for Hijacked Shortcuts:

Searching C:\Users\Pierre\AppData\Roaming\Microsoft\Windows\Start Menu\

Searching C:\ProgramData\Microsoft\Windows\Start Menu\

  * Shortcut Cleaned: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://yeabests.cc

Searching C:\Users\Pierre\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

  * Shortcut Cleaned: C:\Users\Pierre\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://yeabests.cc

  * Shortcut Cleaned: C:\Users\Pierre\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk => C:\Program Files\Internet Explorer\iexplore.exe http://yeabests.cc

  * Shortcut Cleaned: C:\Users\Pierre\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk => C:\Program Files (x86)\Internet Explorer\iexplore.exe http://yeabests.cc

Searching C:\Users\Public\Desktop\

  * Shortcut Cleaned: C:\Users\Public\Desktop\Google Chrome.lnk => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://yeabests.cc

Searching C:\Users\Pierre\Desktop\

Searching C:\Users\Public\Desktop\


5 bad shortcuts found.

Program finished at: 04/27/2016 04:23:03 PM
Execution time: 0 hours(s), 0 minute(s), and 13 seconds(s)

[Malekal_morte]

Tant que la classe WMI ne sera pas supprimée, les liens yeabests vont se remettre d'eux même dans les raccourcis.
Sur la capture d'écran, il y a une erreur c'est ActiveScriptEventConsumer qu'il faut saisir et pas ActiveScriptEvenConsumer, il manque le t.

Une fois la classe WMI supprimée, il faut refaire un nettoyage ShortCut Cleaner pour nettoyer les raccourcis.

[schlag]

J'obtiens ça... Est-ce que mon problème semble réglé?

Shortcut Cleaner 1.4.0 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2016 BleepingComputer.com
More Information about Shortcut Cleaner can be found at this link:
http://www.bleepingcomputer.com/downloa ... t-cleaner/

Windows Version: Windows 10 Home
Program started at: 04/27/2016 05:03:50 PM.

Scanning for registry hijacks:

* No issues found in the Registry.

Searching for Hijacked Shortcuts:

Searching C:\Users\Pierre\AppData\Roaming\Microsoft\Windows\Start Menu\

Searching C:\ProgramData\Microsoft\Windows\Start Menu\

* Shortcut Cleaned: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://yeabests.cc

* Shortcut Cleaned: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk => C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://yeabests.cc

Searching C:\Users\Pierre\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

* Shortcut Cleaned: C:\Users\Pierre\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://yeabests.cc

* Shortcut Cleaned: C:\Users\Pierre\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk => C:\Program Files\Internet Explorer\iexplore.exe http://yeabests.cc

* Shortcut Cleaned: C:\Users\Pierre\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk => C:\Program Files\Internet Explorer\iexplore.exe http://yeabests.cc

Searching C:\Users\Public\Desktop\

* Shortcut Cleaned: C:\Users\Public\Desktop\Google Chrome.lnk => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://yeabests.cc

* Shortcut Cleaned: C:\Users\Public\Desktop\Mozilla Firefox.lnk => C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://yeabests.cc

Searching C:\Users\Pierre\Desktop\

Searching C:\Users\Public\Desktop\


7 bad shortcuts found.

Program finished at: 04/27/2016 05:03:59 PM
Execution time: 0 hours(s), 0 minute(s), and 9 seconds(s)

[schlag]

Bon ben... il aura pas fallu longtemps pour que yeabests revienne...
J'y ai cru pendant au moins ... 15 minutes! :(

J'ai suivi la procédure donnée mais dois-je faire autre chose pour supprimer la classe WMI?

[Malekal_morte]

Tu l'avais trouvé la classe et supprimée ?
Vérifie si elle est revenue.

[Malekal_morte]

AdwCleaner a été mis à jour en v5.114 et est censé s'en charger.
A tenter.

[schlag]

Salut,

Je ne vais pas crier victoire trop vite mais Yeabests semble avoir disparu grâce à AdwCleaner...

Par contre, il me reste un problème au démarrage de Windows... toujours en blackout : écran noir.

Je suis obligé d'ouvrir le gestionnaire des tâches et d'exécuter à chaque fois "explorer.exe"

J'aurais vraiment besoins d'une solution à ce problème, merci d'avance.

[Malekal_morte]

Fais ceci :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[schlag]

Voici les 3 rapports que j'obtiens:

http://pjjoint.malekal.com/files.php?id ... h9f13c12l8

http://pjjoint.malekal.com/files.php?id ... 4n13b10l11

http://pjjoint.malekal.com/files.php?id ... 10o10z10y6

[Malekal_morte]

ok ça devrait être bon après cela.

Je te conseille de désinstaller McAfee Security Scan car c'est avant tout un programme markéting proposé à l'installation d'autres logiciels ( comme Adobe Flash) pour final tenter de te vendre l'antivirus.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

HKLM\...\Winlogon: [Userinit] wscript, 
 S2 Drvcoresrv; C:\Program Files (x86)\Dravsynlether\Drvcoresrv.exe {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X] 
 R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-13] (Huorong Borui (Beijing) Technology Co., Ltd.)  
 2016-04-23 20:51 - 2016-04-23 20:51 - 00000000 ____D C:\Users\Pierre\AppData\Roaming\MCorp 
 2016-04-23 19:26 - 2016-04-23 19:46 - 00000000 ____D C:\Users\Pierre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 
 2016-04-23 19:12 - 2016-04-19 12:39 - 00114176 _____ C:\ProgramData\hp.exe  
 2016-04-23 18:58 - 2016-04-13 18:37 - 00080768 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\WINDOWS\system32\Drivers\ucguard.sys  
 2016-04-23 18:57 - 2016-04-23 18:57 - 00005120 _____ C:\Users\Pierre\AppData\Roaming\GiftBag.db 
 2016-04-23 18:44 - 2016-04-23 18:44 - 00000000 ____D C:\Users\Public\Thunder Network 
 2016-04-23 18:44 - 2016-04-23 18:44 - 00000000 ____D C:\ProgramData\Thunder Network 
 2016-04-23 18:41 - 2016-04-24 17:49 - 00000000 ____D C:\Users\Pierre\AppData\Local\app 
 2016-04-23 18:37 - 2016-04-23 18:38 - 00000000 ____D C:\Users\Pierre\AppData\Roaming\gplyra 
 2016-04-23 18:36 - 2016-04-23 18:36 - 00000000 ____D C:\Program Files (x86)\badu 
 2016-04-23 18:33 - 2016-04-23 18:31 - 00001047 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak  
 2016-04-23 18:30 - 2016-04-23 18:31 - 00000000 ____D C:\Users\Public\Documents\dmp 

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[zebulon1290]

bonjour j ai désinfecte le pc de ma femme par cette méthode, puis un coup de rogue killer et adwcleaner (en mode sans échec) puis plus de soucis , sauf si elle continue a prendre n importe quoi !!!!!!!!!!

[Malekal_morte]

Super

[joffrey97]

Bonjour, voici les analyses après avoir été infecté par Yeabests et 9o0gle.com. J'ai déjà essayé toute les autre techniques avec Adwcleaner, ZHT Cleaner, Malwarebytes etc ...

FRST : http://pjjoint.malekal.com/files.php?id ... q14p5p9c12
Addition : http://pjjoint.malekal.com/files.php?id ... c7b10k15r8
Shortcut : http://pjjoint.malekal.com/files.php?id ... d9n10n10s6

Vous êtes mon dernier espoir avant la réinstallation de windows :(

Merci de votre aide.

Joffrey.