[Résolu] Comment supprimer UCBrowser de mon Windows 7

[angelblitz]

Bonjour,

J'essaie de supprimer UCBrowser de mon Windows mais je n'y arrive pas totalement, il y a des fichiers qui reviennent et lorsque j'essaie de supprimer le dossier Programmes files\UCBrowser, il m'indique qu'il est en cours d'utilisation donc je ne peux agir.

Voici les liens de rapport:

ADWcleaner : http://pjjoint.malekal.com/files.php?id ... t9p5u15u14
ZHPCleaner : http://pjjoint.malekal.com/files.php?id ... d6k12e1012
FRST.txt : http://pjjoint.malekal.com/files.php?id ... 4k9v6j6f11
Addition.txt : http://pjjoint.malekal.com/files.php?id ... 5c7t15y5s7

[Malekal_morte]

Bonsoir,

Je n'ai pas l'impression que BullGuard Antivirus ait été installé volontairement.
Donc à désinstaller depuis le panneau de configuration > programmes et fonctionnalités.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Task: {C4482E93-D130-4BF9-91AE-41A059A37316} - System32\Tasks\813258530d72t612184 => Rundll32.exe "C:\ProgramData\813258530d72t612184\813258530d72t612184.dll",DMT <==== ATTENTION
ShortcutWithArgument: C:\Users\AnthonyWin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://kipuu.cn/
ShortcutWithArgument: C:\Users\AnthonyWin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://kipuu.cn/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://kipuu.cn/
ShellExecuteHooks: Pas de nom - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll [965120 2016-12-26] ()  
 R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) <==== ATTENTION 
  2016-12-27 20:10 - 2016-12-27 20:12 - 00000000 ____D C:\Program Files (x86)\{8528702E-BFA1-46C7-A287-1FE6E4E20412} 
 2016-12-27 20:06 - 2016-12-28 16:35 - 00000000 ____D C:\AdwCleaner  
 2016-12-27 19:25 - 2016-12-27 20:10 - 00000000 ____D C:\Program Files\xzrbpvhr 
 2016-12-27 00:00 - 2016-12-27 00:06 - 00105100 _____ C:\Windows\system32\bddel.dat  
 2016-12-26 14:45 - 2016-12-28 12:52 - 00000000 ____D C:\Program Files (x86)\UCBrowser 
 2016-12-26 14:45 - 2016-12-26 14:45 - 00000000 ____D C:\Users\AnthonyWin\AppData\Roaming\navplugin 
 2016-12-26 14:42 - 2016-12-27 21:25 - 00000000 ____D C:\ProgramData\ApphserftoH 
 2016-12-26 14:42 - 2016-12-26 15:58 - 00965120 ___SH C:\ProgramData\igfxDH.dll  
 2016-12-26 14:42 - 2016-12-26 14:42 - 00000000 ____D C:\Program Files (x86)\Maoha 
 2016-12-26 14:39 - 2016-12-26 14:39 - 00000000 _____ C:\TOSTACK 
 2016-12-26 14:30 - 2016-12-26 15:56 - 00000000 ____D C:\Program Files (x86)\wallpaperchanger 
 2016-12-26 14:29 - 2016-12-27 21:29 - 00000000 ____D C:\Program Files (x86)\Rowuse 
 2016-12-26 14:29 - 2016-12-26 14:29 - 00140288 _____ C:\Users\AnthonyWin\AppData\Roaming\Installer.dat  
 2016-12-26 14:29 - 2016-12-26 14:29 - 00000000 ____D C:\Windows\SysWOW64\sstmp 
 2016-12-26 14:29 - 2016-12-26 14:29 - 00000000 ____D C:\Windows\system32\sstmp 
 2016-12-26 14:29 - 2016-12-26 14:29 - 00000000 ____D C:\Program Files (x86)\Qerwdomhijus Reports 
 2016-12-26 14:28 - 2016-12-26 14:28 - 00000000 ____D C:\Windows\Azart 
 2016-12-26 14:27 - 2016-12-28 16:58 - 00016718 _____ C:\Windows\System32\Tasks\813258530d72t612184 
 2016-12-26 14:27 - 2016-12-26 15:56 - 00000000 ____D C:\Users\AnthonyWin\AppData\Roaming\Pluverent 
 2016-12-26 14:27 - 2016-12-26 14:27 - 00000000 ___HD C:\ProgramData\813258530d72t612184 
 2016-12-26 14:27 - 2016-12-26 14:27 - 00000000 ____D C:\Program Files (x86)\Qiwtainlamary 
 2016-12-26 14:42 - 2016-12-26 15:58 - 0965120 ___SH () C:\ProgramData\igfxDH.dll  
 Hosts:
EmptyTemp:
RemoveProxy:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


Enfin, pense à réinitialiser tes navigateurs:
==================================
Réinitialise/Répare les navigateurs WEB :
* réparer Mozilla Firefox (premier paragraphe)
* réparer Google Chrome (premier paragraphe)
* Réinitialiser et réparer Internet Explorer

L'extension Fast Search est à supprimer de Google Chrome.

[angelblitz]

après avoir fait FRST voici le rapport :

Fixlog : http://pjjoint.malekal.com/files.php?id ... n6u12z15c7


Il semble qu'il soit toujours présent.

[Malekal_morte]

Je confirme :

"C:\Program Files (x86)\UCBrowser" => Impossible de déplacer

Ouvre une invite de commandes de Windows en administrateur

Windows 10 :


Windows 7 :
il faut cliquer sur le menu Démarrer
tape invite dans la zone de recherche.
Sur l'invite de commandes, clic droit puis exécuter en tant qu'administrateur.

Copie/colle ça :

Code : Tout sélectionner

takeown /F "C:\Program Files (x86)\UCBrowser" /A /R
icacls "C:\Program Files (x86)\UCBrowser" /grant:r Utilisateurs:F /T
icacls "C:\Program Files (x86)\UCBrowser" /grant:r administrateurs:F /T
rmdir /S "C:\Program Files (x86)\UCBrowser"

Vois ce que cela donne.

[angelblitz]

Voici le résultat, il est toujours en fonction et n'arrive pas à le supprimer.

résultat : http://pjjoint.malekal.com/files.php?id ... 12s7f14r13

[angelblitz]

J'ai essayé une dernière tentative, cette fois-ci je l'ai fait en mode sans échec et je n'ai pas eu de message d'erreur dans l'invite de commande.

Le dossier n'est plus présent dans programmes Files.

Par contre j'ai refait un ADWcleaner et FRST, il y a toujours des traces et le driver ucdrv-x64.sys qui sont présent.

A chaque fois je nettoie les raccourcis des navigateurs car il y a l'extension "http : // kipuu.cn/" dans cible qui apparait constamment. J'ai donc voulu aussi repartir avec des navigateurs propres. J'ai donc réinstallé carrément Firefox, mais je n'ai pas réussi à désinstaller Chrome. De plus, si je clique sur le panneau de configuration à partir du menu démarrer il ne se passe rien, je suis obligé de passer par "ordinateur" et, lorsque je double-clic sur les icônes dans panneau de configuration, il ne se passe rien je suis obligé de passer par le clic droit.

Voici les rapports :

ADWcleaner : http://pjjoint.malekal.com/files.php?id ... v6m9p13v13
ZHPcleaner : http://pjjoint.malekal.com/files.php?id ... 4e8p8d6n14
FRST : http://pjjoint.malekal.com/files.php?id ... w14m10v7s7
Addition : http://pjjoint.malekal.com/files.php?id ... 4n8x13o8y6

[Malekal_morte]

Tente ça et nettoye les raccourcis.
kipuu.cn ne devrait plus venir.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
S1 ucdrv; \??\C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [X] <==== ATTENTION
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://kipuu.cn/
Hosts:
EmptyTemp:
RemoveProxy:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

[angelblitz]

J'ai tout nettoyé et réinitialiser les navigateurs puis exécuter le script comme demandé.

fixlog :http://pjjoint.malekal.com/files.php?id ... 4n7l11u9c6

adwcleaner ne m'indique plus de menaces, par contre dès que je lance un navigateur j'ai navsmart.info qui s'ouvre alors que ce n'est pas la page que j'ai définie.

J'ai toujours aussi le soucis du clic gauche sur panneau de configuration dans le menu démarrer qui ne marche pas et le double clic une fois dedans sur les icônes.

[Malekal_morte]

La correction ne se fait pas, c'est pour cela qu'on avance.
Peux-tu désinstaller Bullguard Antivirus

Touche Windows + R
tape appwiz.cpl et OK.
Lance la désinstallation.

Redémarre Windows en mode sans échec
et tente cette correction :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
ShellExecuteHooks: Pas de nom - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll [965120 2016-12-26] ()
2016-12-26 14:42 - 2016-12-29 10:45 - 00000000 ____D C:\ProgramData\ApphserftoH
2016-12-26 14:42 - 2016-12-26 15:58 - 00965120 ___SH C:\ProgramData\igfxDH.dll
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://kipuu.cn/
 Hosts:
EmptyTemp:
RemoveProxy:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

[angelblitz]

Tout semble revenu à la normale !!!

Merci ;)

http://pjjoint.malekal.com/files.php?id ... 14q8r13h13

[Malekal_morte]

Super




Termine par un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite


Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)