Windows 7 est infecté par "Yeabests", hijack des navigateurs

[nathan98]

Bonjour

Je suis infecté par "Yeabests" présent sur mes 3 navigateurs.
J'ai fait tourner FRST64 qui m'a donné 3 fichiers à analyser.

http://pjjoint.malekal.com/files.php?id ... 5x8r1312w7
http://pjjoint.malekal.com/files.php?id ... k6f13k8m10
http://pjjoint.malekal.com/files.php?id ... 13v6y10x11

Je vous en remercie par avance.

Nathan

[angelique]

• Chrome ➫ Exporte tes favoris : https://support.google.com/chrome/answer/96816?hl=fr
  
  Firefox ➫ Sauvegarder ses marque-pages Firefox . > http://www.univ-rennes2.fr/sites/defaul ... irefox.pdf
• Ferme ton navigateur Firefox puis valide dans exécuter ➬ %appdata%
  
  - Ouvre le dossier Roaming et supprime le dossier Mozilla
• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  Task: {3C25CE04-7372-4F98-B81F-9DFF4E15BDBC} - System32\Tasks\SMW_UpdateTask_Time_333931333037323333302d34784145552a2a3423326c57 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 <==== ATTENTION
  Task: {98B40456-E27D-4454-AF78-25F900D791AE} - System32\Tasks\Phakichreenash Adapter => C:\Program Files (x86)\Phakichreenash\PhakichreenashadapterTs.exe
  ShortcutWithArgument: C:\Users\Travail 2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
  ShortcutWithArgument: C:\Users\Travail 2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g6jzftpbl0cshmobq,4d74364a-f412-4e73-949c-4b1990c25aa1,
  ShortcutWithArgument: C:\Users\Travail 2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc
  ShortcutWithArgument: C:\Users\Travail 2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc
  ShortcutWithArgument: C:\Users\Travail 2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
  ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc
  ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
  ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc
  ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
  AppInit_DLLs: C:\ProgramData\Lamzap\Betaity.dll => C:\ProgramData\Lamzap\Betaity.dll [363008 2016-06-19] ()
  SearchScopes: HKLM-x32 -> DefaultScope la valeur est absente
  C:\Users\Travail 2\AppData\Local\Google\Chrome
  2016-10-02 09:39 - 2016-06-19 16:23 - 00000000 ____D C:\Program Files\Mesnyau
  2016-10-02 09:39 - 2016-06-19 16:21 - 00000000 ____D C:\ProgramData\Lamzap
  2016-09-07 22:02 - 2016-06-19 16:23 - 00000000 ____D C:\Program Files\MesnyauUn
  C:\Users\Travail 2\AppData\Local\Temp\0KRZY0XDAY.exe
  C:\Users\Travail 2\AppData\Local\Temp\ABR3ENU5VE.exe
  C:\Users\Travail 2\AppData\Local\Temp\AutoRunGUI.dll
  C:\Users\Travail 2\AppData\Local\Temp\CmdLineExt03.dll
  C:\Users\Travail 2\AppData\Local\Temp\EASOUNInstaller.exe
  C:\Users\Travail 2\AppData\Local\Temp\libeay32.dll
  C:\Users\Travail 2\AppData\Local\Temp\MPCSetup_4.exe
  C:\Users\Travail 2\AppData\Local\Temp\msvcr120.dll
  C:\Users\Travail 2\AppData\Local\Temp\nsq1EA8.tmp.exe
  C:\Users\Travail 2\AppData\Local\Temp\SFHO5SMGAF.exe
  EmptyTemp:
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Correction/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

[nathan98]

Bonjour

J'ai suivi l'ensemble de la procédure et vous ai joint le fichier Fixlog.
Au redémarrage de mon pc, je n'ai plus l'adresse yeabests dans ma barre d'adresse de navigateur.
Par contre comme auparavant, il m'est impossible de me conecter au réseau. Mon wifi marche ainsi que la prise rj mais pas d'accès au réseau.

Encore merci de votre aide.

Nathan

[Malekal_morte]

Peux-tu test en filaire ?

Dans le gestionnaire de périphériques.
Sur la carte Wifi
clic droit puis désinstaller.
Réinstaller la ensuite pour voir.

[nathan98]

Bonjour

Le test en filaire ne me donne pas accès au réseau.
J'ai désinstallé et réinstallé le périphérique carte réseau.
Les propriétés sur le périphérique carte réseau indiquent que le périphérique fonctionne correctement !
Dans le gestionnaire de^périphérique, dans la catégorie Ports, j'ai l'indication suivante :
- Dell wireless 5530 HSPA mini card GPS Port (COM6) qui indique un point 'exclamation sur l'icone d'entrée de description.
Autre information, quand je lance Chrome, j'ai le message suivant : L'adresse DNS de accounts.google.com est introuvable.

Encore merci de votre aide.

Nathan

[nathan98]

Bonjour

Autre information :
J'ai connecté mon Iphone en mode Partage de connexion avec le PC.
Le partage se fait avec le PC en mode USB mais pour autant quand je lance un navigateur ou la MAJ de l'anti virus, je n'ai toujours pas accès au réseau.

Merci de votre aide.

Nathan

[Malekal_morte]

Est-ce qu'une restauration de Windows antérieure à tous les problèmes est possible ?

[nathan98]

Bonjour

Je vais tester ça ce soir.

Merci

[nathan98]

Bonjour

La restauration de système ne fonctionne pas : "un composant du système VSS a rencontré une erreur inattendue (0x80042302).
Est ce qu'il y aurait une autre solution ?

Cordialement

Nathan

[Malekal_morte]

Ton Windows 7 est mort,

Tu peux faire une réparation de Windows 7 sans perte de données.
Voir paragraphe : "Windows Seven - Réparer votre ordinateur"
de la page Windows Récupération système
(Les ISO d'installation de Windows peuvent être téléchargés gratuitement : Télécharger gratuitement les ISO installation de Windows ).

et/ou en vidéo :

[nathan98]

Bonjour

J'ai essayé de réinstaller Seven mais j'ai un message disant que l'installation ne peut pas être finalisée.
J'ai ensuite le message suivant : "Le fichier INF txtsepup.sif est endommagé ou manquant, statut 14.

Pour tout dire je suis complètement bloqué.

Salutations

[Malekal_morte]

Tu as fait une réparation ou réinstallation ?
Si c'est directement depuis Windows...
Tente de démarrer sur un DVD/clé USB crée avec l'ISO (voir : Outils création clé USB/DVD et fais "mise à niveau".

[nathan98]

Bonjour

J'ai fait une réparation qui n'a pas fonctionné et une installation toujours à partir d'un DVD où est présent windows 7 en 64bits.
Merci beaucoup

[Malekal_morte]

Comment ça réinstaller n'a pas fonctionné ?
Si tu as réinstallé, tu repars de zéro donc je vois pas bien comment ça ne peut pas fonctionner.