[Résolu] Windows 10 Pro a été infecté : 9oogle / Yeabest.cc

[gessesc94]

Bonjour,

Mon Windows 10 a été infecté par 9oogle, le moteur de recherche par défaut, qui est inséré dans Google Chrome ou Mozilla Frefox. Après l'analyse AdwCleaner, le nettoyage reste bloqué, je suis obligé d’éteindre brutalement en appuyant sur le bouton poussoir. CCleaner et MABM ne sont pas efficaces pour éradiquer cette infection.

Pourriez-vous svp m'aider ?

Merci

[Malekal_morte]

Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[gessesc94]

Bonjour,


merci de votre réponse voici les 3 liens demandés :

FRST : http://pjjoint.malekal.com/files.php?id ... y9m9p15m10
Addition : http://pjjoint.malekal.com/files.php?id ... p5l6y14j15
Shortcut : http://pjjoint.malekal.com/files.php?id ... 4l12g14x12

[Malekal_morte]

Beaucoup de trucs \o




Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 HKLM-x32\...\Run: [app] => C:\Program Files (x86)\sbqh\uc.exe 
 R2 MuroghfibchCloud; C:\Program Files (x86)\Rerwadomeboch\IrrCnf.dll [303104 2016-09-11] () [Fichier non signé] 
 S2 Bokvunnu; C:\Users\Manchula\AppData\Roaming\GowvePitpagf\Lurzem.exe -cms [X] 
 S2 Tashiguf; C:\Users\Manchula\AppData\Roaming\CihuuChfakg\Deysj.exe -cms [X] 
 R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [521496 2016-09-09] ()  
 2016-09-13 10:53 - 2016-09-13 10:53 - 00000000 ____D C:\Users\Manchula\AppData\Roaming\eCyber  
 2016-09-12 22:21 - 2016-09-12 22:21 - 00000000 ____D C:\WINDOWS\system32\cule 
 2016-09-11 22:52 - 2016-09-12 21:56 - 00004792 _____ C:\WINDOWS\System32\Tasks\Norton PC Checkup Setup 
 2016-09-11 18:57 - 2016-09-11 18:57 - 00000000 ____D C:\WINDOWS\system32\keer 
 2016-09-11 18:25 - 2016-09-11 18:25 - 00000000 ____D C:\WINDOWS\system32\loxi 
 2016-09-11 18:24 - 2016-09-11 18:24 - 00003252 _____ C:\WINDOWS\System32\Tasks\{616E72C6-FBCE-44B0-A706-729AE4585938} 
 2016-09-11 18:13 - 2016-09-11 18:13 - 00000000 ____D C:\WINDOWS\system32\hiu 
 2016-09-11 17:56 - 2016-09-11 17:56 - 00002869 _____ C:\WINDOWS\SysWOW64\servers.def.vpx 
 2016-09-11 17:56 - 2016-09-11 17:56 - 00000446 _____ C:\WINDOWS\SysWOW64\prod-pgm.vpx  
 2016-09-11 17:46 - 2016-09-11 17:46 - 00000000 _____ C:\WINDOWS\SysWOW64\last.dump 
 2016-09-13 10:53 - 2016-09-13 10:53 - 00000000 ____D C:\Program Files (x86)\q5legz4d 
 2016-09-13 08:23 - 2016-09-13 08:23 - 00000000 ____D C:\Users\Manchula\AppData\Roaming\Kuaizip 
 R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== ATTENTION  
 R1 NetUtils2016; C:\WINDOWS\system32\drivers\NetUtils2016.sys [883320 2016-09-11] () <==== ATTENTION  
2016-09-11 17:01 - 2016-09-11 17:01 - 00000000 ____D C:\WINDOWS\system32\vil 
 2016-09-11 16:11 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow000001820930BAA8 
 2016-09-11 16:11 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00000182092DBAA8 
 2016-09-11 16:11 - 2016-09-11 16:11 - 00000000 ____D C:\WINDOWS\system32\zhoa 
 2016-09-11 16:11 - 2016-09-11 16:11 - 00000000 ____D C:\WINDOWS\system32\idum 
 2016-09-11 15:21 - 2016-09-11 15:23 - 00000000 ____D C:\ProgramData\cosun 
 2016-09-11 15:04 - 2016-09-11 15:04 - 00003740 _____ C:\WINDOWS\System32\Tasks\{885F08EC-A993-4C3C-8650-3AC0FEE8BDE6} 
 2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00E8F748 
 2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00E8F6B8 
 2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00E69178 
 2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00000248083B8F48 
 2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00000248083B8DA8 
 2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00000248083B8CD8 
 2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00000248083B8658 
 2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00000248083612C8 
 2016-09-11 14:16 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow0000017443A48668 
 2016-09-11 14:16 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow0000017443A48188 
 2016-09-11 14:16 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow0000017443A47CA8 
 2016-09-11 14:16 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow0000017443A47A38 
 2016-09-11 14:16 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow0000017443A1FE08 
 2016-09-11 14:16 - 2016-09-11 14:16 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow016D3D20 
 2016-09-11 14:16 - 2016-09-11 14:16 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow0169B8A8 
 2016-09-11 13:57 - 2016-09-11 13:57 - 00003510 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater 
 2016-09-11 13:57 - 2016-09-11 13:57 - 00000486 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job  
 2016-09-11 13:50 - 2016-09-13 08:23 - 00000000 ____D C:\Program Files (x86)\KuaiZip 
 2016-09-11 13:50 - 2016-09-13 00:39 - 00000000 ____D C:\ProgramData\Doubleing 
 2016-09-11 13:50 - 2016-09-11 13:50 - 00093072 _____ (WinMount International Inc) C:\WINDOWS\system32\Drivers\KuaiZipDrive2.sys  
 2016-09-11 13:49 - 2016-09-11 13:51 - 07090176 _____ C:\Users\Manchula\AppData\Roaming\agent.dat  
 2016-09-11 13:49 - 2016-09-11 13:51 - 00018432 _____ C:\Users\Manchula\AppData\Roaming\Main.dat  
 2016-09-11 13:41 - 2016-09-11 14:04 - 00001615 _____ C:\Users\Manchula\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk 
 2016-09-11 13:41 - 2016-09-11 14:04 - 00000000 ____D C:\Users\Manchula\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 
 2016-09-11 13:41 - 2016-09-11 13:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 
 2016-09-11 13:38 - 2016-09-11 13:38 - 00000000 ____D C:\Users\Manchula\AppData\Local\UCBrowser 
 2016-09-11 13:37 - 2016-08-02 15:42 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\WINDOWS\system32\Drivers\ucguard.sys  
 2016-09-11 13:36 - 2016-09-13 00:07 - 00000000 ____D C:\Users\Manchula\AppData\Roaming\Gajedefsim 
 2016-09-11 13:36 - 2016-09-11 13:37 - 00000290 __RSH C:\ProgramData\ntuser.pol  
 2016-09-11 13:35 - 2016-09-11 15:01 - 00000000 ____D C:\Users\Manchula\AppData\Local\DailyBee 
 2016-09-11 13:35 - 2016-09-11 13:50 - 00000000 ____D C:\Program Files (x86)\UCBrowser 
 2016-09-11 13:35 - 2016-09-11 13:35 - 00138240 _____ C:\Users\Manchula\AppData\Roaming\Installer.dat  
 2016-09-11 13:35 - 2016-09-11 13:35 - 00000000 ____D C:\Users\Manchula\AppData\Roaming\Microsoft\Windows\Start Menu\净广大师 
 2016-09-11 13:35 - 2016-09-11 13:35 - 00000000 ____D C:\Program Files\¿ìѹ 
 2016-09-11 13:34 - 2016-09-12 21:38 - 00187904 _____ C:\WINDOWS\rsrcs.dll  
 2016-09-11 13:32 - 2016-09-13 00:07 - 00000000 ____D C:\Users\Manchula\AppData\Roaming\Geunfy 
 2016-09-11 13:32 - 2016-09-13 00:07 - 00000000 ____D C:\Program Files\Yhid 
 2016-09-11 13:32 - 2016-09-11 13:36 - 00000000 ____D C:\Users\Manchula\AppData\Local\Tempfolder 
 2016-09-11 13:32 - 2016-09-11 13:32 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow\Company 
 2016-09-11 13:31 - 2016-09-15 09:40 - 00612848 _____ C:\WINDOWS\system32\NetUtils2016.dll  
 2016-09-11 13:31 - 2016-09-13 00:08 - 00000000 ____D C:\Program Files\XN7KP8IY1E 
 2016-09-11 13:31 - 2016-09-11 13:31 - 00883320 _____ C:\WINDOWS\system32\Drivers\NetUtils2016.sys  
 2016-09-11 13:31 - 2016-09-11 13:31 - 00000000 ____D C:\WINDOWS\system32\sstmp 
 2016-09-11 13:30 - 2016-09-13 08:16 - 00000046 _____ C:\WINDOWS\Joberphlusisp 
2016-09-11 13:29 - 2016-09-11 13:29 - 00008960 _____ C:\WINDOWS\System32\Tasks\Muroghfibch Cloud 
 2016-09-11 13:28 - 2016-09-13 10:53 - 00000000 ____D C:\Program Files (x86)\Rerwadomeboch 
 2016-09-11 13:28 - 2016-09-11 16:58 - 00000000 ____D C:\Users\Manchula\AppData\Local\Nonuward 
 2016-09-11 13:18 - 2016-09-11 13:21 - 00000000 ____D C:\ProgramData\Webitar Production Inc 
 2016-09-11 13:18 - 2016-09-11 13:18 - 00000000 ____D C:\ProgramData\Drivers For Free 
 2016-09-11 13:17 - 2016-09-11 13:17 - 00000000 ____D C:\Users\Manchula\Downloads\Drivers For Free 
 2016-09-11 13:17 - 2016-09-11 13:17 - 00000000 ____D C:\Users\Manchula\AppData\Roaming\Drivers For Free 
 2016-09-11 13:17 - 2016-09-11 13:17 - 00000000 ____D C:\Users\Manchula\AppData\Local\Drivers_For_Free 
Task: {8E11EC06-9C42-4B20-AA0B-05B2EF3E77F1} - System32\Tasks\Norton PC Checkup Setup => C:\Users\Manchula\AppData\Local\Temp\PCCUStubInstaller\SymcPCCUInstaller.exe <==== ATTENTION
Task: {E089D5C8-0413-4554-8D1A-E16F62981006} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
EmptyTemp:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

puis :

Remets/Vérifie que tous les serveurs de noms (DNS) sont automatiques. Suis le paragraphe "manuellement" PUIS vide ensuite le cache DNS et internet. Ces 3 étapes sont importantes et à faire sinon les publicités vont continuer.


et refais un scan FRST et donne à nouveau les rapports via pjjoint.

[gessesc94]

bonjour,

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 16-09-2016
Exécuté par Manchula (16-09-2016 00:17:15) Run:1
Exécuté depuis C:\Users\Manchula\Desktop
Profils chargés: Manchula (Profils disponibles: Manchula)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
    CreateRestorePoint:
    CloseProcesses:
     HKLM-x32\...\Run: [app] => C:\Program Files (x86)\sbqh\uc.exe
     R2 MuroghfibchCloud; C:\Program Files (x86)\Rerwadomeboch\IrrCnf.dll [303104 2016-09-11] () [Fichier non signé]
     S2 Bokvunnu; C:\Users\Manchula\AppData\Roaming\GowvePitpagf\Lurzem.exe -cms [X]
     S2 Tashiguf; C:\Users\Manchula\AppData\Roaming\CihuuChfakg\Deysj.exe -cms [X]
     R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [521496 2016-09-09] () 
     2016-09-13 10:53 - 2016-09-13 10:53 - 00000000 ____D C:\Users\Manchula\AppData\Roaming\eCyber 
     2016-09-12 22:21 - 2016-09-12 22:21 - 00000000 ____D C:\WINDOWS\system32\cule
     2016-09-11 22:52 - 2016-09-12 21:56 - 00004792 _____ C:\WINDOWS\System32\Tasks\Norton PC Checkup Setup
     2016-09-11 18:57 - 2016-09-11 18:57 - 00000000 ____D C:\WINDOWS\system32\keer
     2016-09-11 18:25 - 2016-09-11 18:25 - 00000000 ____D C:\WINDOWS\system32\loxi
     2016-09-11 18:24 - 2016-09-11 18:24 - 00003252 _____ C:\WINDOWS\System32\Tasks\{616E72C6-FBCE-44B0-A706-729AE4585938}
     2016-09-11 18:13 - 2016-09-11 18:13 - 00000000 ____D C:\WINDOWS\system32\hiu
     2016-09-11 17:56 - 2016-09-11 17:56 - 00002869 _____ C:\WINDOWS\SysWOW64\servers.def.vpx
     2016-09-11 17:56 - 2016-09-11 17:56 - 00000446 _____ C:\WINDOWS\SysWOW64\prod-pgm.vpx 
     2016-09-11 17:46 - 2016-09-11 17:46 - 00000000 _____ C:\WINDOWS\SysWOW64\last.dump
     2016-09-13 10:53 - 2016-09-13 10:53 - 00000000 ____D C:\Program Files (x86)\q5legz4d
     2016-09-13 08:23 - 2016-09-13 08:23 - 00000000 ____D C:\Users\Manchula\AppData\Roaming\Kuaizip
     R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== ATTENTION 
     R1 NetUtils2016; C:\WINDOWS\system32\drivers\NetUtils2016.sys [883320 2016-09-11] () <==== ATTENTION 
    2016-09-11 17:01 - 2016-09-11 17:01 - 00000000 ____D C:\WINDOWS\system32\vil
     2016-09-11 16:11 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow000001820930BAA8
     2016-09-11 16:11 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00000182092DBAA8
     2016-09-11 16:11 - 2016-09-11 16:11 - 00000000 ____D C:\WINDOWS\system32\zhoa
     2016-09-11 16:11 - 2016-09-11 16:11 - 00000000 ____D C:\WINDOWS\system32\idum
     2016-09-11 15:21 - 2016-09-11 15:23 - 00000000 ____D C:\ProgramData\cosun
     2016-09-11 15:04 - 2016-09-11 15:04 - 00003740 _____ C:\WINDOWS\System32\Tasks\{885F08EC-A993-4C3C-8650-3AC0FEE8BDE6}
     2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00E8F748
     2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00E8F6B8
     2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00E69178
     2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00000248083B8F48
     2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00000248083B8DA8
     2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00000248083B8CD8
     2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00000248083B8658
     2016-09-11 14:31 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow00000248083612C8
     2016-09-11 14:16 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow0000017443A48668
     2016-09-11 14:16 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow0000017443A48188
     2016-09-11 14:16 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow0000017443A47CA8
     2016-09-11 14:16 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow0000017443A47A38
     2016-09-11 14:16 - 2016-09-13 00:08 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow0000017443A1FE08
     2016-09-11 14:16 - 2016-09-11 14:16 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow016D3D20
     2016-09-11 14:16 - 2016-09-11 14:16 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow0169B8A8
     2016-09-11 13:57 - 2016-09-11 13:57 - 00003510 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
     2016-09-11 13:57 - 2016-09-11 13:57 - 00000486 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job 
     2016-09-11 13:50 - 2016-09-13 08:23 - 00000000 ____D C:\Program Files (x86)\KuaiZip
     2016-09-11 13:50 - 2016-09-13 00:39 - 00000000 ____D C:\ProgramData\Doubleing
     2016-09-11 13:50 - 2016-09-11 13:50 - 00093072 _____ (WinMount International Inc) C:\WINDOWS\system32\Drivers\KuaiZipDrive2.sys 
     2016-09-11 13:49 - 2016-09-11 13:51 - 07090176 _____ C:\Users\Manchula\AppData\Roaming\agent.dat 
     2016-09-11 13:49 - 2016-09-11 13:51 - 00018432 _____ C:\Users\Manchula\AppData\Roaming\Main.dat 
     2016-09-11 13:41 - 2016-09-11 14:04 - 00001615 _____ C:\Users\Manchula\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC???.lnk
     2016-09-11 13:41 - 2016-09-11 14:04 - 00000000 ____D C:\Users\Manchula\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC???
     2016-09-11 13:41 - 2016-09-11 13:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\???
     2016-09-11 13:38 - 2016-09-11 13:38 - 00000000 ____D C:\Users\Manchula\AppData\Local\UCBrowser
     2016-09-11 13:37 - 2016-08-02 15:42 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\WINDOWS\system32\Drivers\ucguard.sys 
     2016-09-11 13:36 - 2016-09-13 00:07 - 00000000 ____D C:\Users\Manchula\AppData\Roaming\Gajedefsim
     2016-09-11 13:36 - 2016-09-11 13:37 - 00000290 __RSH C:\ProgramData\ntuser.pol 
     2016-09-11 13:35 - 2016-09-11 15:01 - 00000000 ____D C:\Users\Manchula\AppData\Local\DailyBee
     2016-09-11 13:35 - 2016-09-11 13:50 - 00000000 ____D C:\Program Files (x86)\UCBrowser
     2016-09-11 13:35 - 2016-09-11 13:35 - 00138240 _____ C:\Users\Manchula\AppData\Roaming\Installer.dat 
     2016-09-11 13:35 - 2016-09-11 13:35 - 00000000 ____D C:\Users\Manchula\AppData\Roaming\Microsoft\Windows\Start Menu\????
     2016-09-11 13:35 - 2016-09-11 13:35 - 00000000 ____D C:\Program Files\¿ìѹ
     2016-09-11 13:34 - 2016-09-12 21:38 - 00187904 _____ C:\WINDOWS\rsrcs.dll 
     2016-09-11 13:32 - 2016-09-13 00:07 - 00000000 ____D C:\Users\Manchula\AppData\Roaming\Geunfy
     2016-09-11 13:32 - 2016-09-13 00:07 - 00000000 ____D C:\Program Files\Yhid
     2016-09-11 13:32 - 2016-09-11 13:36 - 00000000 ____D C:\Users\Manchula\AppData\Local\Tempfolder
     2016-09-11 13:32 - 2016-09-11 13:32 - 00000000 ____D C:\Users\Manchula\AppData\LocalLow\Company
     2016-09-11 13:31 - 2016-09-15 09:40 - 00612848 _____ C:\WINDOWS\system32\NetUtils2016.dll 
     2016-09-11 13:31 - 2016-09-13 00:08 - 00000000 ____D C:\Program Files\XN7KP8IY1E
     2016-09-11 13:31 - 2016-09-11 13:31 - 00883320 _____ C:\WINDOWS\system32\Drivers\NetUtils2016.sys 
     2016-09-11 13:31 - 2016-09-11 13:31 - 00000000 ____D C:\WINDOWS\system32\sstmp
     2016-09-11 13:30 - 2016-09-13 08:16 - 00000046 _____ C:\WINDOWS\Joberphlusisp
    2016-09-11 13:29 - 2016-09-11 13:29 - 00008960 _____ C:\WINDOWS\System32\Tasks\Muroghfibch Cloud
     2016-09-11 13:28 - 2016-09-13 10:53 - 00000000 ____D C:\Program Files (x86)\Rerwadomeboch
     2016-09-11 13:28 - 2016-09-11 16:58 - 00000000 ____D C:\Users\Manchula\AppData\Local\Nonuward
     2016-09-11 13:18 - 2016-09-11 13:21 - 00000000 ____D C:\ProgramData\Webitar Production Inc
     2016-09-11 13:18 - 2016-09-11 13:18 - 00000000 ____D C:\ProgramData\Drivers For Free
     2016-09-11 13:17 - 2016-09-11 13:17 - 00000000 ____D C:\Users\Manchula\Downloads\Drivers For Free
     2016-09-11 13:17 - 2016-09-11 13:17 - 00000000 ____D C:\Users\Manchula\AppData\Roaming\Drivers For Free
     2016-09-11 13:17 - 2016-09-11 13:17 - 00000000 ____D C:\Users\Manchula\AppData\Local\Drivers_For_Free
    Task: {8E11EC06-9C42-4B20-AA0B-05B2EF3E77F1} - System32\Tasks\Norton PC Checkup Setup => C:\Users\Manchula\AppData\Local\Temp\PCCUStubInstaller\SymcPCCUInstaller.exe <==== ATTENTION
    Task: {E089D5C8-0413-4554-8D1A-E16F62981006} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
    WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
    EmptyTemp:
    Reboot:

*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\app => valeur supprimé(es) avec succès
MuroghfibchCloud => service supprimé(es) avec succès
Bokvunnu => service supprimé(es) avec succès
Tashiguf => service supprimé(es) avec succès
winsaber => service supprimé(es) avec succès
C:\Users\Manchula\AppData\Roaming\eCyber => déplacé(es) avec succès
C:\WINDOWS\system32\cule => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\Norton PC Checkup Setup => déplacé(es) avec succès
C:\WINDOWS\system32\keer => déplacé(es) avec succès
C:\WINDOWS\system32\loxi => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{616E72C6-FBCE-44B0-A706-729AE4585938} => déplacé(es) avec succès
C:\WINDOWS\system32\hiu => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\servers.def.vpx => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\prod-pgm.vpx => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\last.dump => déplacé(es) avec succès
C:\Program Files (x86)\q5legz4d => déplacé(es) avec succès
C:\Users\Manchula\AppData\Roaming\Kuaizip => déplacé(es) avec succès
UCGuard => Impossible d'arrêter le service.
UCGuard => service supprimé(es) avec succès
NetUtils2016 => Impossible d'arrêter le service.
NetUtils2016 => service supprimé(es) avec succès
C:\WINDOWS\system32\vil => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow000001820930BAA8 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow00000182092DBAA8 => déplacé(es) avec succès
C:\WINDOWS\system32\zhoa => déplacé(es) avec succès
C:\WINDOWS\system32\idum => déplacé(es) avec succès
C:\ProgramData\cosun => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{885F08EC-A993-4C3C-8650-3AC0FEE8BDE6} => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow00E8F748 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow00E8F6B8 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow00E69178 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow00000248083B8F48 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow00000248083B8DA8 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow00000248083B8CD8 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow00000248083B8658 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow00000248083612C8 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow0000017443A48668 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow0000017443A48188 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow0000017443A47CA8 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow0000017443A47A38 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow0000017443A1FE08 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow016D3D20 => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow0169B8A8 => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\UCBrowserUpdater => déplacé(es) avec succès
C:\WINDOWS\Tasks\UCBrowserUpdater.job => déplacé(es) avec succès
C:\Program Files (x86)\KuaiZip => déplacé(es) avec succès
C:\ProgramData\Doubleing => déplacé(es) avec succès
C:\WINDOWS\system32\Drivers\KuaiZipDrive2.sys => déplacé(es) avec succès
C:\Users\Manchula\AppData\Roaming\agent.dat => déplacé(es) avec succès
C:\Users\Manchula\AppData\Roaming\Main.dat => déplacé(es) avec succès
"C:\Users\Manchula\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC???.lnk" => non trouvé(e).
"C:\Users\Manchula\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC???" => non trouvé(e).
"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\???" => non trouvé(e).
C:\Users\Manchula\AppData\Local\UCBrowser => déplacé(es) avec succès
C:\WINDOWS\system32\Drivers\ucguard.sys => déplacé(es) avec succès
C:\Users\Manchula\AppData\Roaming\Gajedefsim => déplacé(es) avec succès
C:\ProgramData\ntuser.pol => déplacé(es) avec succès
C:\Users\Manchula\AppData\Local\DailyBee => déplacé(es) avec succès
C:\Program Files (x86)\UCBrowser => déplacé(es) avec succès
C:\Users\Manchula\AppData\Roaming\Installer.dat => déplacé(es) avec succès
"C:\Users\Manchula\AppData\Roaming\Microsoft\Windows\Start Menu\????" => non trouvé(e).
C:\Program Files\¿ìѹ => déplacé(es) avec succès
C:\WINDOWS\rsrcs.dll => déplacé(es) avec succès
C:\Users\Manchula\AppData\Roaming\Geunfy => déplacé(es) avec succès
C:\Program Files\Yhid => déplacé(es) avec succès
C:\Users\Manchula\AppData\Local\Tempfolder => déplacé(es) avec succès
C:\Users\Manchula\AppData\LocalLow\Company => déplacé(es) avec succès
C:\WINDOWS\system32\NetUtils2016.dll => déplacé(es) avec succès
C:\Program Files\XN7KP8IY1E => déplacé(es) avec succès
C:\WINDOWS\system32\Drivers\NetUtils2016.sys => déplacé(es) avec succès
C:\WINDOWS\system32\sstmp => déplacé(es) avec succès
C:\WINDOWS\Joberphlusisp => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\Muroghfibch Cloud => déplacé(es) avec succès
C:\Program Files (x86)\Rerwadomeboch => déplacé(es) avec succès
C:\Users\Manchula\AppData\Local\Nonuward => déplacé(es) avec succès
C:\ProgramData\Webitar Production Inc => déplacé(es) avec succès
C:\ProgramData\Drivers For Free => déplacé(es) avec succès
C:\Users\Manchula\Downloads\Drivers For Free => déplacé(es) avec succès
C:\Users\Manchula\AppData\Roaming\Drivers For Free => déplacé(es) avec succès
C:\Users\Manchula\AppData\Local\Drivers_For_Free => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8E11EC06-9C42-4B20-AA0B-05B2EF3E77F1}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8E11EC06-9C42-4B20-AA0B-05B2EF3E77F1}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Norton PC Checkup Setup => non trouvé(e).
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton PC Checkup Setup" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E089D5C8-0413-4554-8D1A-E16F62981006}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E089D5C8-0413-4554-8D1A-E16F62981006}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\UCBrowserUpdater => non trouvé(e).
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\UCBrowserUpdater" => clé supprimé(es) avec succès
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION => supprimé(es) avec succès

=========== EmptyTemp: ==========

BITS transfer queue => 349604 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 141750642 B
Java, Flash, Steam htmlcache => 506 B
Windows/system/drivers => 22030998 B
Edge => 9909 B
Chrome => 0 B
Firefox => 2880865 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 6204 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 67674 B
NetworkService => 12768 B
Manchula => 109615950 B

RecycleBin => 2354821428 B
EmptyTemp: => 2.5 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 00:19:19 ====

ainsi que les rapports FRST :
http://pjjoint.malekal.com/files.php?id ... 4h12x11j11
http://pjjoint.malekal.com/files.php?id ... y9p6f15i13
http://pjjoint.malekal.com/files.php?id ... 10t1211x15


merci

[Malekal_morte]

ok, cela commence à être mieux.

Fais un reset du fichier HOSTS avec rsthosts.

puis :


MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
* Tutoriel Malwarebytes Anti-Malware (MBAM) version gratuite
* Tutoriel MBAM version payante

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

[gessesc94]

Bonjour,

je ne vois pas comment coller directement le texte du rapport en brut dans pjjoint, j'ai fait comme d'habitude avec un bloc note,voila le lien :

http://pjjoint.malekal.com/files.php?id ... 110v6c11m9


merci

[Malekal_morte]

ok un petit scan FRST avec les rapports pour voir ce qu'il reste.
Y a du mieux ?

[gessesc94]

bonjour,

oui merci y'a du mieux. J'ai reinstallé chrome, par contre il y a un moteur de recherche qui apparait brievement lors du chargement d'une page aprèsune recherche dans la barre URL c'est coldsearch.com. Ca semble etre un malware egalement, peut ere que vous le verrez dans les rapport ci dessous. (Je lance une analyse MAB) :

http://pjjoint.malekal.com/files.php?id ... _q8i6g9146
http://pjjoint.malekal.com/files.php?id ... _q8i6g9146
http://pjjoint.malekal.com/files.php?id ... 6h5w15o7v5

[Malekal_morte]

il manque le lien du rapport FRST.txt

[gessesc94]

c'est celui ci ? :

http://pjjoint.malekal.com/files.php?id ... w14g12p7l9

[Malekal_morte]

yes,

ca semble pas mal, il reste quel problème ?

[gessesc94]

Bonjour,

il y a toujours l'url coldsearch.com qui apparait (durant 1 seconde) lorsque la page web se charge après une recherche dans la barre d'adresse (chrome)

[Malekal_morte]

ok tente ça :



* Exporte tes marques pages / favoris sous Google Chrome

* Désinstalle Google Chrome depuis le "Panneau de configuration", "Programmes et fonctionnalités" en n'oubliant pas de cocher l'option de "Suppression des profils."
Au premier démarrage de Google Chrome, tu dois le trouver vierge, comme lors de la première installation, pas de page de démarrage habituelle, pas d'extensions rajoutées, rien, tout doit avoir disparu.

* Ré-initialise Google Chrome

* Ré-installe complètement Google Chrome

* Ré-importe tes marques pages / favoris sous Google Chrome

[gessesc94]

Toujours rien,

J'ai suivi la manipulation (sur Windows 10 il n'y a plus l'option "suppression des profils" mais "suppression des données de navigation" je suppose que c la même chose car mes favoris etc avaient disparu) et j'ai même eu un autre url a la place... j'ai tenté de supprimer via Adware Cleaner mais il semble assez coriace. Le rapport adware cleaner : http://pjjoint.malekal.com/files.php?id ... 7p5y13p7i6

Et voici le lien qui s'affiche que milliseconde dans la barre d'adresse que j'ai réussi à attraper :
http://s.coldsearch.com/web?type=ds&ts=1473593785&pid=csdi&uid=914531f9-90a6-49ca-9a39-018ec6dfb8a0&q=mmm