[Résolu] Windows 10 a été infecté par "Adware PC Support"

[HoussemMiladi]

Bonjour

Windows 10 a été infecté par plusieurs malware.
Seul le Adware PC Support fait encore de la résistance.

J'ai fait l'analyse ave FRST64.exe et j'ai obtenu les 3 fichiers

http://pjjoint.malekal.com/files.php?id ... 5d6z14v7o7
http://pjjoint.malekal.com/files.php?id ... h8h12s7r12
http://pjjoint.malekal.com/files.php?id ... 3t96x14r12

Pouvez vous m'aider à m'en débarrasser ?

Cordialement
Houssem Miladi

[Malekal_morte]

Salut,

Beaucoup d'adwares oui.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

 AutoConfigURL: [S-1-5-21-3086057341-848280556-714009601-1001] => hxxp://unstops.net/wpad.dat?4d91d081a4bb33e62a6c38fda95951089621058 [Pays US - 50.7.181.18] 
 ManualProxies: 0hxxp://unstops.net/wpad.dat?4d91d081a4bb33e62a6c38fda95951089621058 [Pays US - 50.7.181.18] 
CloseProcesses:
Task: {016C36D4-F68D-40C8-8B2B-9B7EB1B6666D} - System32\Tasks\psv_Touchcom => /c regedit.exe /s "C:\ProgramData\Statdex\Hotlex.reg" & del "C:\ProgramData\Statdex\Hotlex.reg" & SCHTASKS /Delete /TN "psv_Touchcom" /F <==== ATTENTION
Task: {C2AD01D2-14C2-4BB0-A935-673277666275} - System32\Tasks\psv_K-job => /c regedit.exe /s "C:\ProgramData\Statdex\Sailin.reg" & del "C:\ProgramData\Statdex\Sailin.reg" & SCHTASKS /Delete /TN "psv_K-job" /F <==== ATTENTION
 HKLM\...\Run: [WINCOMSJ9] => C:\Program Files (x86)\desktopplay\wincom_SJ9.exe  
 HKLM\...\Run: [WINCOMA9X] => C:\Program Files (x86)\sunnyday\wincom_A9X.exe 
 HKLM\...\Run: [WINCOM6ET] => C:\Program Files (x86)\mobilepcstarterkit\wincom_6ET.exe 
 HKLM\...\Run: [IDSCCOMRPO] => C:\Program Files (x86)\EasyHotspot\idsccom_RPO.exe [3962880 2016-05-01] ()  
 AppInit_DLLs: C:\ProgramData\Statdex\Singlephase.dll => C:\ProgramData\Statdex\Singlephase.dll [361984 2016-05-01] ()  
 AppInit_DLLs-x32: C:\ProgramData\Statdex\Villatex.dll => C:\ProgramData\Statdex\Villatex.dll [257536 2016-05-01] ()  
 R2 Ikuzwewkig; C:\Users\DanielDido\AppData\Roaming\Socjodomab\Socjodomab.exe [174944 2016-05-01] () 
 R2 Gobbysagi Updater; C:\Program Files\Gobbysagi\Ruwuroct.exe [266080 2016-05-01] ()  
 R2 Statdex; C:\ProgramData\\Statdex\\Statdex.exe [934400 2016-05-01] () [Fichier non signé]  
S2 Anuwmae; C:\Users\DanielDido\AppData\Roaming\BhdhPegl\Jynvunn.exe -cms [X] 
 S2 cegushHelpersrv; C:\Program Files (x86)\Cegush\cegushHelpersrv.exe {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X]  
 2016-05-01 18:29 - 2016-05-01 18:29 - 00000000 ____D C:\Windows\system32\goq 
 2016-05-01 18:20 - 2016-05-01 18:20 - 00000000 ____D C:\Users\DanielDido\AppData\Roaming\MCorp 
 2016-05-01 18:20 - 2016-05-01 18:20 - 00000000 ____D C:\Users\DanielDido\AppData\Roaming\Macromedia  
 2016-05-01 18:19 - 2016-05-01 19:32 - 00000000 ____D C:\Program Files\Gobbysagi 
 2016-05-01 18:19 - 2016-05-01 19:12 - 00000000 ____D C:\Program Files\GobbysagiUn 
 2016-05-01 18:19 - 2016-05-01 18:19 - 00000000 ____D C:\Users\DanielDido\AppData\Roaming\Socjodomab 
 2016-05-01 18:19 - 2016-05-01 18:19 - 00000000 ____D C:\Users\DanielDido\AppData\Roaming\AVAST Software  
 2016-05-01 18:19 - 2016-05-01 18:19 - 00000000 ____D C:\Users\DanielDido\AppData\Local\Tempfolder 
 2016-05-01 18:18 - 2016-05-01 19:32 - 00000000 ____D C:\Program Files (x86)\EasyHotspot 
 2016-05-01 18:05 - 2016-05-01 20:50 - 00000000 ____D C:\ProgramData\Statdex 
 2016-05-01 18:05 - 2016-05-01 18:05 - 06494208 _____ C:\Users\DanielDido\AppData\Roaming\agent.dat  
 2016-05-01 18:05 - 2016-05-01 18:05 - 01626777 _____ C:\Users\DanielDido\AppData\Roaming\Ran-Top.tst  
 2016-05-01 18:05 - 2016-05-01 18:05 - 00126464 _____ C:\Users\DanielDido\AppData\Roaming\noah.dat  
 2016-05-01 18:05 - 2016-05-01 18:05 - 00126464 _____ C:\Users\DanielDido\AppData\Roaming\lobby.dat  
 2016-05-01 18:05 - 2016-05-01 18:05 - 00072717 _____ C:\Users\DanielDido\AppData\Roaming\Singleplus.tst 
 2016-05-01 18:05 - 2016-05-01 18:05 - 00065568 _____ C:\Users\DanielDido\AppData\Roaming\Config.xml  
 2016-05-01 18:05 - 2016-05-01 18:05 - 00054272 _____ C:\Users\DanielDido\AppData\Roaming\ApplicationHosting.dat  
 2016-05-01 18:05 - 2016-05-01 18:05 - 00018432 _____ C:\Users\DanielDido\AppData\Roaming\Main.dat  
 2016-05-01 18:05 - 2016-05-01 18:05 - 00005568 _____ C:\Users\DanielDido\AppData\Roaming\md.xml  
 2016-05-01 18:05 - 2016-05-01 18:04 - 00934400 _____ C:\Users\DanielDido\AppData\Roaming\Singleplus.exe 
 2016-05-01 18:05 - 2016-05-01 18:04 - 00934400 _____ C:\Users\DanielDido\AppData\Roaming\Ran-Top.exe  
 2016-05-01 18:04 - 2016-05-01 18:05 - 00015408 _____ C:\Users\DanielDido\AppData\Roaming\InstallationConfiguration.xml  
 2016-05-01 18:04 - 2016-05-01 18:04 - 00127488 _____ C:\Users\DanielDido\AppData\Roaming\Installer.dat  
 2016-05-01 18:03 - 2016-05-01 18:03 - 00000000 ____H C:\Windows\system32\BIT53BA.tmp  
 2016-05-01 18:03 - 2016-05-01 18:03 - 00000000 ____D C:\Users\DanielDido\AppData\LocalLow033526C8 
 2016-05-01 18:02 - 2016-05-01 18:57 - 00000000 ____D C:\Users\DanielDido\AppData\Local\Apps\2.0  
 2016-05-01 18:02 - 2016-05-01 18:04 - 00187904 _____ C:\Windows\rsrcs.dll  
 2016-05-01 18:01 - 2016-05-01 18:07 - 00000000 ____D C:\Program Files\Rhvouaydhibugal 
 2016-05-01 18:01 - 2016-05-01 18:01 - 00000000 ____H C:\Windows\system32\BIT45A7.tmp  
 2016-05-01 18:01 - 2016-05-01 18:01 - 00000000 ____D C:\uninst 
 2016-05-01 18:00 - 2016-05-01 18:00 - 00000000 ____D C:\Windows\system32\SSL 
 2016-05-01 18:00 - 2016-05-01 18:00 - 00000000 ____D C:\Users\DanielDido\AppData\Local\tuto_monetize_120160501 
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


puis :

MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
* Tutoriel MBAM version gratuite
* Tutoriel MBAM version payante

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

[HoussemMiladi]

ça a fonctionné parfaitement !!!

Je suis impressionné par la rapidité et par ce sens du service.

Très reconnaissant ! Merci beaucoup

[Malekal_morte]

De rien


Quelques conseils :

Pour tenter de prévenir les sites malicieux, tu peux installer Blockulicious.

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)