Virus qtipr.com et UCBrowser

[Steeve]

Bonsoir,


Après 48h d'intenses recherche et de désinfection à la main je finis par venir vers la communauté pour solliciter votre aide.
J'ai effectué jes rapport avec FRST à l'instante soit le 17/02/2017 à 21h30.

Les voici comme indiqué sur le tutoriel via le site pjjoin.malekal.com :

FRST : http://pjjoint.malekal.com/files.php?id ... 5x6p7s9j11
Addition : http://pjjoint.malekal.com/files.php?id ... k8d6y13n11
ShortCut : http://pjjoint.malekal.com/files.php?id ... 0s5e10f7h5

Dans l'attente d'une réponse pour résoudre mon problème. . .

Merci d'avance et bonne soirée à vous lecteur de mon post.

Cordialement,

Steeve

[Malekal_morte]

Salut,

Tu as le virus qtipr.com et UCBrowser

Je te conseille de désinstalle tous les programmes IOBit, pas très utile.


Fais la correction de préférence en mode sans échec :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
 2017-02-15 10:54 - 2017-02-15 10:54 - 00000000 ____D C:\Users\steeve\AppData\Local\UCBrowser 
 2017-02-15 10:51 - 2017-02-15 23:29 - 00000000 ____D C:\Program Files (x86)\Hirucult Server 
 2017-02-15 10:51 - 2017-02-15 12:03 - 00000000 ____D C:\Users\steeve\AppData\Roaming\Stolety 
 2017-02-15 10:51 - 2017-02-15 10:58 - 00000000 ____D C:\Users\steeve\AppData\Local\Ckqitainckoher 
 2017-02-15 10:51 - 2017-02-15 10:51 - 00000000 ____D C:\WINDOWS\system32\sstmp 
 2017-02-15 10:51 - 2017-02-15 10:51 - 00000000 ____D C:\WINDOWS\system32\SSL 
  R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== ATTENTION 
  AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [371912]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1213218]
 2017-02-15 09:33 - 2017-02-15 09:33 - 00000000 ____D C:\Users\steeve\AppData\LocalLow\Markus Staib 
 2017-02-15 06:34 - 2017-02-15 06:34 - 03076294 _____ C:\WINDOWS\39c8813dbe2d8a3e6aa6627b5a16ca48.exe  
 2017-02-13 21:36 - 2017-02-13 21:36 - 00000000 ____D C:\Users\steeve\AppData\Roaming\MonoDevelop-Unity-5.0 
ShortcutWithArgument: C:\Users\steeve\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\steeve\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\steeve\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\steeve\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
 Hosts:
EmptyTemp:
RemoveProxy:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

[Steeve]

Merci pour ton aide,

voici le fichier que tu m'a demandé :

FixLog : http://pjjoint.malekal.com/files.php?id ... 0l12x11u12

Que dit-il ?


Cordialement,

Steeve

[Malekal_morte]

que ça s'est bien passé,


MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
* Tutoriel MBAM version gratuite pour t'aider à suivre toutes les étapes.
* Tutoriel MBAM version payante

Mettre à jour MBAM à jour puis lancer une analyse.
A la fin du scan, clique sur "Mettre en quarantaine" en bas à droite.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.

Vas chercher le rapport dans l'onglet "Compte-Rendus".
A gauche "Compte Rendus d'analyses", double-clique sur l'examen dans la liste.
Puis en bas "Exporter fichier texte", enregistre sur le bureau.
Va sur http://pjjoint.malekal.com/, clic sur Parcourir, vas chercher le rapprot Malwarebytes enregistré.
Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.


Puis refais un scan FRST et donne les rapports via pjjoint.

[Steeve]

Voici le résultat de l'analyse MBAM : http://pjjoint.malekal.com/files.php?id ... b6f14j12r6

Par ailleurs il m'est impossible de désinstaller les IOBit ... Un message d'erreur apparaît :

"Une erreur s'est produite lors de la tentative de désinstallation de Advanced SystemCare 10. Cet élément est peut-être déjà désinstallé. Voulez-vous supprimer Advanced SystemCare 10 de la liste Programmes et fonctionnalités ?" Lorsque je clique sur Oui, rien ne se passe et le logiciel reste toujours présent. Il est installé mais il m'est impossible de le désinstaller. D'autant plus : Il m'est impossible d'installer par exemple Java car le .exe ne se lance même pas ...

A voir...

Voici les résultats de l'analyse FRST :

FRST : http://pjjoint.malekal.com/files.php?id ... 15t14r9k15
Addition : http://pjjoint.malekal.com/files.php?id ... 10x9k15e12
Shortcut : http://pjjoint.malekal.com/files.php?id ... 7i9z6s14u7

Merci beaucoup de te pencher sur mon sujet et de m'aider autant

Cordialement,

Steeve

EDIT : Impossibilité de rinitialisation du pc. Il se réinitialise puis à 31% se bloque => Annule les modifications => Puis me dit qu'une erreur est survenu lors de la réinstallation du pc...

[Malekal_morte]

Si tu comptes réinitialiser l'ordinateur, la désinfection est inutile.

Le rapport FRST est vide.
Refais le scan et laisse le aller jusqu'au bout.

[Steeve]

Je ne souhaite pas forcément le réinitialiser juste que mon pc est bourrer de "merde" et que je n'arrive pas à m'en débarrasser.
Je fais le scan FRST de nouveau en espérant que celui-ci apportera plus d'informations pour l'aide que tu pourras m'apporter pour que je retrouve un PC "Clean".

Rapports :

FRST : http://pjjoint.malekal.com/files.php?id ... 8g7w7c5b14
Addition : http://pjjoint.malekal.com/files.php?id ... 10j5u7q6t7
Shortcut : http://pjjoint.malekal.com/files.php?id ... 13v14w6z12


Merci d'avance de ton aide précieuse.

Cordialement,

Steeve

[Malekal_morte]

Mouaip ça n'a pas nettoye UCBrowser car le fix a été fait en mode normal.
Faut vraiment le faire en mode sans échec.
Prépare le fichier fixlist.
Suis la vidéo donné dans le lien précédent pour démarrer en mode sans échec,
Lance la correction.

Après, réinitialiser Windows 10 est une option, il est vrai qu'avec IOBit et tous les adwares..
Ce ne serait pas plus mal.
Tu peux tenter la méthode 2 avec RefreshWindowsTool : Réinitialiser Windows 10.
Plus longue mais plus efficace normalement.

Je te mets le fix qui supprime IOBit et les restes d'UCBrowser.
A toi de voir quelle option, tu préfères tester.

A faire vraiment en mode sans échec :


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== ATTENTION 
  2017-02-17 00:46 - 2017-02-17 00:46 - 00000000 ____D C:\Users\Default\AppData\LocalLow\IObit 
 2017-02-17 00:46 - 2017-02-17 00:46 - 00000000 ____D C:\Users\Default User\AppData\LocalLow\IObit 
 2017-02-17 00:31 - 2017-02-17 00:31 - 00000000 ____D C:\WINDOWS\LastGood.Tmp  
 2017-02-17 00:27 - 2017-02-17 12:46 - 00000000 ___HD C:\ProgramData\{0897014C-63E3-47DF-8A5F-4399CC5D61B9} 
 2017-02-17 00:27 - 2017-02-17 09:37 - 00000000 ____D C:\Users\steeve\AppData\Local\IIIQF 
 AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [371912]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1213218]
 HKLM-x32\...\Run: [IObit Malware Fighter] => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMF.exe [6006560 2016-11-01] (IObit)  
 HKU\S-1-5-21-2559417145-1544160492-3570478762-1001\...\Run: [Advanced SystemCare 10] => C:\Program Files (x86)\IObit\Advanced SystemCare\ASCTray.exe [2913568 2016-12-16] (IObit)  
 HKU\S-1-5-18\...\Run: [Advanced SystemCare 10] => C:\Program Files (x86)\IObit\Advanced SystemCare\ASCTray.exe [2913568 2016-12-16] (IObit)  
 R2 AdvancedSystemCareService10; C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe [462624 2016-12-12] (IObit)  
 R2 IMFservice; C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFsrv.exe [1600800 2016-10-21] (IObit)  
 R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [3046688 2016-07-29] (IObit)  
 R3 IMFFilter; C:\Program Files (x86)\IObit\IObit Malware Fighter\Drivers\win7_amd64\IMFFilter.sys [22208 2016-04-01] (IObit)  
 R3 RegFilter; C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\regfilter.sys [34848 2016-07-27] (IObit.com)  
 R0 SmartDefragDriver; C:\WINDOWS\System32\Drivers\SmartDefragDriver.sys [21360 2016-03-22] (IObit)  
 2017-02-17 00:46 - 2017-02-17 00:46 - 00000000 ____D C:\Users\Default\AppData\LocalLow\IObit 
 2017-02-17 00:46 - 2017-02-17 00:46 - 00000000 ____D C:\Users\Default User\AppData\LocalLow\IObit 
 2017-02-17 22:39 - 2016-07-31 10:40 - 00000000 ____D C:\Program Files (x86)\IObit  
 2017-02-16 21:41 - 2016-07-31 10:42 - 00000000 ____D C:\Users\steeve\AppData\LocalLow\IObit 
 2017-02-16 21:41 - 2016-07-31 10:41 - 00000000 ____D C:\Users\steeve\AppData\Roaming\IObit  
 2017-02-16 21:41 - 2016-07-31 10:40 - 00000000 ____D C:\ProgramData\IObit  
 Hosts:
EmptyTemp:
RemoveProxy:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

[Steeve]

J'ai opté pour la solution de FRST si jamais il y encore des erreurs que tu serait aptes à détecter via le fichier FRST et bien je continuerai les Fix.

J'utiliserai la réinitialisation en dernier recours.

Voici le fichier fixlog : http://pjjoint.malekal.com/files.php?id ... n6k12h6v15

Le fix a été effectué en mode sans échec comme tu me l'a demandé.

Cordialement,

Steeve

[Malekal_morte]

ok

Refais un scan FRST et donne les rapports via pjjoint.

[Steeve]

Comme demandé, voici le rapport FRST :

FRST : http://pjjoint.malekal.com/files.php?id ... o14e6m15c8
Addition : http://pjjoint.malekal.com/files.php?id ... 0l9b10p105
ShortCut : http://pjjoint.malekal.com/files.php?id ... s11x6x6x12

Merci encore pour toute ton aide.

Cordialement,

Steeve

[Malekal_morte]

Pas mal.
Il reste quel problème ?

[Steeve]

A première vu plus aucun. Mon pc est un peu lent ce qui est dommage et il chauffe extrêmement rapidement.
Ce n'était pas le cas avant.

Mais pour ce qu'il s'agit des virus etc. . . Je ne vois plus rien qui gêne l'utilisation de mon pc.


Merci beaucoup pour ta rapidité de réponse et ton exactitude connaissance aux problèmes lié aux internautes.

Amicalement,

Steeve

[Malekal_morte]

Nettoye les ventilateurs