[Résolu] RogueKiller trouve "NetUtils" impossible à virer

[chaman59]

Bonjour,

RogueKiller m'a trouvé "NetUtils" comme malware, mais après passage de Adw Cleaner, qui dit le supprimer, après redémarrage, ces 3 fichiers sont toujours là...

copie du rapport Adw Cleaner:

# AdwCleaner v6.030 - Rapport créé le 19/11/2016 à 18:04:58
# Mis à jour le 19/10/2016 par Malwarebytes
# Base de données : 2016-11-19.1 [Serveur]
# Système d'exploitation : Windows 10 Pro (X64)
# Nom d'utilisateur : chaman59 - DESKTOP-9GBT2T4
# Exécuté depuis : C:\Users\chama\Downloads\adwcleaner_6.030(1).exe
# Mode: Nettoyage
# Support : hxxps://www.malwarebytes.com/support
***** [ Services ] *****
[-] Service supprimé: NetUtils2016
***** [ Dossiers ] *****
***** [ Fichiers ] *****

[#] Fichier supprimé: C:\Windows\SysNative\NetUtils2016.dll
[#] Fichier supprimé: C:\Windows\SysNative\drivers\NetUtils2016.sys

J'ai scanné moàn ordi avec le Bit Defender Rescue CD, qui m'indique qu'un fichier infecté est toujours présent, sans le nommer...Qu'est-ce que je peux faire?

[Malekal_morte]

Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[chaman59]

Hello, merci , je passe un peu tardivement, voilà les 3 liens après scan FRST:

http://pjjoint.malekal.com/files.php?id ... 11j15k11g5

http://pjjoint.malekal.com/files.php?id ... v11h5x11h8

http://pjjoint.malekal.com/files.php?id ... 12m12h12h5

J'espère que c'est bon....

[Malekal_morte]

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
2016-11-04 05:04 - 2016-11-22 20:16 - 00625272 _____ C:\Windows\system32\NetUtils2016.dll
2016-11-04 05:04 - 2016-11-04 05:04 - 00909944 _____ C:\Windows\system32\Drivers\NetUtils2016.sys
2016-11-04 05:04 - 2016-11-04 05:04 - 00000000 ____D C:\Windows\SysWOW64\sstmp
2016-11-04 05:04 - 2016-11-04 05:04 - 00000000 ____D C:\Windows\system32\sstmp
2016-11-04 05:04 - 2016-11-04 05:04 - 00000000 ____D C:\ProgramData\Avira
2016-11-04 05:04 - 2016-11-04 05:04 - 00000000 ____D C:\ProgramData\Avg
2016-11-04 05:03 - 2016-11-04 05:17 - 00000000 ____D C:\Users\chama\AppData\Roaming\Zernaiedckfering
2016-11-04 05:03 - 2016-11-04 05:03 - 00006118 _____ C:\Windows\System32\Tasks\Prisiwosather Update
2016-11-04 05:03 - 2016-11-04 05:03 - 00003656 _____ C:\Windows\System32\Tasks\6bbe6b817109ea9b77080551ee6e4ec9
2016-11-04 05:03 - 2016-11-04 05:03 - 00000000 ____D C:\Users\chama\AppData\Local\Stferent
 R1 NetUtils2016; C:\Windows\system32\drivers\NetUtils2016.sys [909944 2016-11-04] () <==== ATTENTION  
C:\Windows\system32\drivers\NetUtils2016.sys
Task: {D8242E6E-39DE-4360-BD66-256BC8A059BF} - System32\Tasks\6bbe6b817109ea9b77080551ee6e4ec9 => Rundll32.exe "C:\Program Files (x86)\Samsung\k2zuao.dll",e62dc6c6547f46bda862da2d05af6862 <==== ATTENTION
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


Refais un scan FRST et donne les nouveaux rapports via pjjoint pour vérifier qu'il ne soit plus là.

[chaman59]

Hello, je pense que le "texte" dont tu parlais est celui qui a été créé comme dossier "fixlog", le voici:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-11-2016 01
Exécuté par chaman59 (22-11-2016 23:30:53) Run:1
Exécuté depuis C:\Users\chama\Desktop
Profils chargés: chaman59 (Profils disponibles: defaultuser0 & chaman59)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
R1 NetUtils2016; C:\Windows\system32\drivers\NetUtils2016.sys [909944 2016-11-04] () <==== ATTENTION
C:\Windows\system32\drivers\NetUtils2016.sys
Task: {D8242E6E-39DE-4360-BD66-256BC8A059BF} - System32\Tasks\6bbe6b817109ea9b77080551ee6e4ec9 => Rundll32.exe "C:\Program Files (x86)\Samsung\k2zuao.dll",e62dc6c6547f46bda862da2d05af6862 <==== ATTENTION
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
NetUtils2016 => Impossible d'arrêter le service.
NetUtils2016 => service supprimé(es) avec succès
C:\Windows\system32\drivers\NetUtils2016.sys => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D8242E6E-39DE-4360-BD66-256BC8A059BF}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D8242E6E-39DE-4360-BD66-256BC8A059BF}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\6bbe6b817109ea9b77080551ee6e4ec9 => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\6bbe6b817109ea9b77080551ee6e4ec9" => clé supprimé(es) avec succès


Le système a dû redémarrer.

==== Fin de Fixlog 23:31:10 ===="

Bon, je refais un scan et je renvoie le résultat ici dans 10 minutes, en tout cas merci....

[chaman59]

Bon, voici les 3 liens, mais je suis déjà sur que mon ordi est toujours vérolé, car je suis bombardé de pubs "reimage repair" et je crois que c'est cette merde qui m'a refilé le virus...c'est pire qu'avant, je ne comprends pas, j'ai pourtant respecté tes indications....

http://pjjoint.malekal.com/files.php?id ... 135i7u9o13
http://pjjoint.malekal.com/files.php?id ... 14u8t11u13
http://pjjoint.malekal.com/files.php?id ... 11g7t6k9f9

[Malekal_morte]

Le scan FRST est incomplet.
Relance, laisse le bien aller jusqu'au bout et donne les nouveaux liens pjjoint.

[chaman59]

OK, je viens de refaire un scan avec FRST (auparavant, Rogue killer et Adw Cleaner ont de nouveau trouvé les fichiers infectés....), et je te redonne les liens:

FRST: http://pjjoint.malekal.com/files.php?id ... 3z9r5x7t14

Additional: http://pjjoint.malekal.com/files.php?id ... 3_8m99q9b5

Shortcut: http://pjjoint.malekal.com/files.php?id ... 10o12g8v13

J'espère que cette fois c'est ok

[Malekal_morte]

Bon, ça n'a rien fait.

Utilise GMER : Tutoriel GMER.
Télécharge le et lance le.
Onglet Files.
=> Dossier Windows puis system32 puis Drivers.
Sélectionne NetUtils2016.sys
puis delete à droite.

Redémarre l'ordinateur

Refais la correction FRST.

Donne un nouveau rapport de scan FRST.

[chaman59]

Bon....me revoilà, voici donc, dans l'ordre:
1/ le "fixlog" d'après la réparation avec GMER (qui a bien fonctionné, j'ai trouvé NetUtils 2016 et l'ai deleté)
http://pjjoint.malekal.com/files.php?id ... 6c5x10w8o9

2/ Le FRST du dernier scan après avoir refait "fixlist":
http://pjjoint.malekal.com/files.php?id ... 2x9k11h8c9

3/ Le "additional":
http://pjjoint.malekal.com/files.php?id ... 125m15g5r5

4/ et le "shortcut"
http://pjjoint.malekal.com/files.php?id ... 5r11x12e10

[Malekal_morte]

Oo il s'est remis.

2016-11-23 13:29 - 2016-11-23 13:29 - 00909944 _____ C:\Windows\system32\Drivers\NetUtils2016.sys

Ca doit venir de la DLL :

2016-11-04 05:04 - 2016-11-22 20:16 - 00625272 _____ C:\Windows\system32\NetUtils2016.dll

Fais un delete sur les deux avec GMER :

C:\Windows\system32\NetUtils2016.dll
C:\Windows\system32\Drivers\NetUtils2016.sys

Et tu redémarres et le fix FRST.
Je vais le corriger pour ajouter la DLL.

[chaman59]

Hello j'étais sorti...c'est une belle saloperie...je vais faire ces manips et je repasse...Accessoirement, je tenais à te préciser que , lorsque je clique sur le lien vers "pjjoint.malekal.com" plus haut dans les posts, le bidule se déchaîne te m'ouvre une tripotée de fenêtres de pub vers "reimage repair"....à tel point que j'ai du mal à faire les manips!!....
A toute...

[chaman59]

J'ai retrouvé "C:\Windows\system32\Drivers\NetUtils2016.sys" et l'ai "delete", mais je ne trouve pas "C:\Windows\system32\NetUtils2016.dll"...je dois le chercher dans le sous-dossier "drivers", ou ailleurs?

[Malekal_morte]

Elle a dû être supprimé.
Retente le fix FRST, j'ai ajouté des trucs
il y avait peut-être un élément qui remettait.

Fais directement le fix FRST sans redémarrer après GMER.

[chaman59]

hello....bon, j'ai du faire une connerie: j'ai bien fini par retrouver la DLL NetUtils 2016, que jai supprimée, mais dans mon élan, j'ai vu une autre DLL appelée "NetUtils" (sans 2016) et hop je l'ai supprimée aussi, me disant que ça faisait partie du pproblème...et voilà, depuis, écran bleu de la mort, comme je n'ai jamais eu: juste l'écran bleu sombre, avec à gauche le bouton pour éteindre/démarrer, un autre pour la connection réseau, et un autre pour l'ergonomie...enfin, bon, ce n'est pas une console, rien, j'ai jamais vu ça...là je t'écris d'un autre ordi que je répare pour ma soeur, sous windows 7...je craque, là, je suis en train de fabriquer un "windows creation tool" de windows 10, et je vais réinstaller, j'ai besoin de mon ordi, car je rends celui-ci delmain à ma frangine....

Bon tu n'y es pour rien, j'ai fait une erreur de manip avec les outils , tout ça n'est pas bien grave, et bien sûr merci de ton aide "en mode pas-à-pas"....No souci, ça me fera une install toute neuve, point...;+) salut et encore merci