[Résolu] Windows 10 Pro a été infecté : 9oogle / Yeabest.cc

HinaHo · par **HinaHo** » 26 août 2016 18:58

Bonsoir a tous,

J'ai récemment téléchargé un fichier winrar piégé qui a infecté mon Windows.
Il m'est impossible de supprimer 9oogle / Yeabest.cc lorsque je lance Google Chrome .

J'ai effectué plusieurs analyses avec AdwCleaner , MBAM et l'antivirus.
Au lancement de mon navigateur je reçois le message suivant :

http://puu.sh/qO96U/68d1fe6267.png

J'ai de plus installé FRST et effectué mes analyses
http://pjjoint.malekal.com/files.php?id ... 15f13k7g12
http://pjjoint.malekal.com/files.php?id ... 0h9c9m13z8
http://pjjoint.malekal.com/files.php?id ... h5s10t11e7

Merci de votre aide

par **angelique** » 26 août 2016 20:28

tu télécharges n'importawak ! 2016-08-22 17:43 - 2016-08-22 17:43 - 00186694 _____ C:\Users\utilisateur\Downloads\Crack.rar

voir si c’est mieux après .::

Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
Copie/colle dedans ce qui suit :

Task: {3CFE9420-6C1B-439D-913E-1AE3E5B19794} - System32\Tasks\Ghurcult Controls => C:\Program Files (x86)\Zerlucult\GhrCntqerpertainaterjeck.exe
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
ShortcutWithArgument: C:\Users\utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\UTILIS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\UTILIS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\UTILIS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\UTILIS~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
HKLM-x32\...\RunOnce: [EsgInstallerResumeAction_ff00e6f2fa487fc76629666127044dea] => C:\Users\utilisateur\AppData\Local\Temp\EsgInstallerResumeAction_ff00e6f2fa487fc76629666127044dea.exe [3516080 2016-08-25] (Enigma Software Group USA, LLC.) <===== ATTENTION
Toolbar: HKU\S-1-5-21-1676162286-1761453795-912324817-1000 -> Pas de nom - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Pas de fichier
Toolbar: HKU\S-1-5-21-1676162286-1761453795-912324817-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> Pas de nom - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Pas de fichier
Toolbar: HKU\S-1-5-21-1676162286-1761453795-912324817-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1 -> Pas de nom - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Pas de fichier
CHR DefaultSearchURL: merlotainchzershcanige -> hxxp://www-searching.com/search.aspx?site=shdefault1&prd=smw&pid=s&shr=d&q={searchTerms}&s=G8Mzftpbl0cshmoAU,68378eeb-bbc9-428a-91ab-c1cd982a89ae,
CHR DefaultSuggestURL: merlotainchzershcanige -> hxxp://api.searchpredict.com/api/?rqtype=ffplugin&siteID=8661&dbCode=1&command={searchTerms}
2016-08-25 18:23 - 2016-08-25 18:23 - 03516080 _____ (Enigma Software Group USA, LLC.) C:\Users\utilisateur\Downloads\SpyHunter-Installer.exe
2016-08-22 17:51 - 2016-08-25 16:58 - 00000000 ____D C:\AdwCleaner
2016-08-22 17:51 - 2016-08-22 17:51 - 00000000 ____D C:\Program Files\¿ìÑ¹
2016-08-22 17:50 - 2016-08-22 18:16 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2016-08-22 17:48 - 2016-08-23 19:05 - 00000000 ____D C:\Users\utilisateur\AppData\Local\Apps\2.0
2016-08-22 17:48 - 2016-08-23 18:53 - 00009122 _____ C:\WINDOWS\System32\Tasks\Ghurcult Controls
2016-08-22 17:48 - 2016-08-23 02:39 - 00000000 ____D C:\Program Files (x86)\Zerlucult
2016-08-22 17:48 - 2016-08-22 17:48 - 07118336 _____ C:\Users\utilisateur\AppData\Roaming\agent.dat
2016-08-22 17:48 - 2016-08-22 17:48 - 00138240 _____ C:\Users\utilisateur\AppData\Roaming\Installer.dat
2016-08-22 17:48 - 2016-08-22 17:48 - 00018432 _____ C:\Users\utilisateur\AppData\Roaming\Main.dat
2016-08-22 17:48 - 2016-08-22 17:48 - 00000000 ___HD C:\Program Files (x86)\r47F3E6
2016-08-22 17:44 - 2016-08-23 18:53 - 00009142 _____ C:\WINDOWS\System32\Tasks\Terrercultckirdom Monitor
2016-08-22 17:44 - 2016-08-23 02:39 - 00000000 ____D C:\Program Files (x86)\Sterjotioncajucult
2016-08-22 17:44 - 2016-08-22 17:44 - 00000000 ___HD C:\Program Files (x86)\pduC039
2016-08-22 17:44 - 2016-08-22 17:44 - 00000000 ____D C:\ProgramData\AVAST Software
2016-08-22 17:43 - 2016-08-22 17:43 - 00186694 _____ C:\Users\utilisateur\Downloads\Crack.rar
C:\Program Files (x86)\Zerlucult
EmptyTemp:
Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Ferme toutes les applications, y compris ton navigateur
Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sur le menu principal, clique une seule fois sur Correction/Fix et patiente le temps de la correction

Un redémarrage peut être nécessaire (pas obligatoire).
L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

HinaHo · par **HinaHo** » 26 août 2016 21:22

Bonsoir Angélique ! Le message d'erreur n'apparait plus quand je lance mon navigateur ! bonne nouvelle !
De plus yeabest.cc ne vient pas remplacer ma page google une fois redémarré !

Voici le rapport fixlog ci-joint, merci de votre aide et de votre réponse

par **angelique** » 27 août 2016 09:45

Donc c'est OK.

Tu peux supprimer frst, ses rapports et c:\frst

HinaHo · par **HinaHo** » 27 août 2016 12:15

Super ! Merci beaucoup !

par **Malekal_morte** » 27 août 2016 13:10

Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

Malekal.com forum

[Résolu] Windows 10 Pro a été infecté : 9oogle / Yeabest.cc

[Résolu] Windows 10 Pro a été infecté : 9oogle / Yeabest.cc

Re: Windows 10 Pro a été infecté : 9oogle / Yeabest.cc

Re: Windows 10 Pro a été infecté : 9oogle / Yeabest.cc

Re: Windows 10 Pro a été infecté : 9oogle / Yeabest.cc

Re: Windows 10 Pro a été infecté : 9oogle / Yeabest.cc

Re: Windows 10 Pro a été infecté : 9oogle / Yeabest.cc