Infecté par aMule et WinSnare en autres

[shwsb]

Salut,

Comme dit dans le titre je suis infecter par ces virus qui reviennent même après plusieurs analyse de différents antivirus. J'aimerai vraiment m'en débarrasser une foi pour toute donc je sollicite votre aide.

J'ai suivi la procédure avec FRST, voici les fichiers text :

http://pjjoint.malekal.com/files.php?id ... 96b5q10z15
http://pjjoint.malekal.com/files.php?id ... j14j7t14o9
http://pjjoint.malekal.com/files.php?id ... m10y9s5s13

Merci d'avance pour le coup de main.

[angelique]

Bonjour,

• Sauvegarder ses marque-pages Firefox . > Exporte tes marques pages / favoris sous Mozilla Firefox
• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
  Copie/colle dedans ce qui suit :
  
  

  Code : Tout sélectionner

  Task: {15DCC6D1-46CF-4111-A78A-B7426D6F1E91} - System32\Tasks\{66F3E133-C982-4194-9E2F-D0AA4F80E60D} => pcalua.exe -a "C:\Users\Sahih Wa Sabra\Downloads\MTK_VCOM-GizBeat-Chinaphonearena\MT65x3 USB VCOM drivers\InstallDriver.exe" -d "C:\Users\Sahih Wa Sabra\Downloads\MTK_VCOM-GizBeat-Chinaphonearena\MT65x3 USB VCOM drivers"
  Task: {A2B1D146-1047-428A-8972-6AEDE23ECE5C} - System32\Tasks\Predingghuvuied Manager => C:\Program Files (x86)\Zeqient\kabepy.exe [2016-11-27] (Glarysoft Ltd)
  HKLM-x32\...\Run: [WsmUpdater] => C:\Program Files (x86)\Web Solution Mart\Fake Webcam Codecs Pack\Updater.exe [292208 2012-05-18] (Web Solution Mart)
  HKU\S-1-5-21-1682229478-2050720112-1623850339-1001\...\Run: [Chromium] => "c:\users\sahih wa sabra\appdata\local\chromium\application\chrome.exe" --auto-launch-at-startup --profile-directory="Default" --restore-last-session
  ShellExecuteHooks: Pas de nom - {8DD9A140-A736-11E6-B2C0-64006A5CFC23} - C:\Users\Sahih Wa Sabra\AppData\Roaming\Gofuied\Gherja.dll -> Pas de fichier
  S2 Laqersh; C:\Program Files (x86)\Zeqient\nbrdbg.dll [X]
  S3 bxjtxiib; \SystemRoot\system32\drivers\ngiodriver_x64 [X]
  S1 p1484748156am; \??\C:\Users\SAHIHW~1\AppData\Local\Temp\bkB1C5.tmp\p1484748156am.sys [X] <==== ATTENTION
  2017-02-28 13:26 - 2017-02-28 13:26 - 00000000 ____D C:\Users\Sahih Wa Sabra\AppData\Roaming\Firefox
  2017-02-28 13:25 - 2017-02-28 13:25 - 00000000 ____D C:\Users\Sahih Wa Sabra\AppData\Local\Ballcine
  2017-02-28 13:24 - 2017-02-28 17:50 - 00000000 ____D C:\Program Files (x86)\amuleCexx
  2017-02-28 13:24 - 2017-02-28 13:25 - 00000000 _____ C:\Users\Public\Documents\temp.dat
  2017-02-28 13:24 - 2017-02-28 13:24 - 00000000 ____D C:\Users\Sahih Wa Sabra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\amuleC
  2017-02-28 13:24 - 2017-02-28 13:24 - 00000000 ____D C:\Users\Sahih Wa Sabra\AppData\Roaming\aMule
  2017-02-28 13:24 - 2017-02-28 13:24 - 00000000 ____D C:\Program Files (x86)\Ballcine
  2017-02-28 13:23 - 2017-02-28 17:50 - 00000000 ____D C:\Program Files (x86)\BikaQRss
  2017-02-28 13:23 - 2017-02-28 13:23 - 00000000 ____D C:\Users\Sahih Wa Sabra\AppData\Roaming\WinSAPSvc
  2017-02-28 13:22 - 2016-12-09 13:22 - 00000000 ____D C:\Program Files (x86)\q60bw45s
  2017-02-28 13:22 - 2016-11-27 21:21 - 00000000 ____D C:\Program Files (x86)\Zeqient
  2017-02-28 13:22 - 2016-11-27 21:21 - 00000000 ____D C:\Program Files (x86)\Zeqient_
  C:\Users\Sahih Wa Sabra\AppData\Roaming\Gofuied
  Hosts:
  EmptyTemp:
  
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur, Fermer Firefox
• Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !
• restaurer ses marque-pages Firefox . > http://www.univ-rennes2.fr/sites/defaul ... irefox.pdf

[shwsb]

Merci pour ton aide.

Voici le rapport fixlog : http://pjjoint.malekal.com/files.php?id ... 13r8k6g8d6

je n'ai plus de problème lié a ses virus sa à l'air de fonctionner merci beaucoup.

Par contre j'ai un autre problème (je ne sais pas si c'est lier). Certain sites que je souhaite visiter ne sont plus accessible ou accessible de temps à autre comme si je n'avais pas de réseau à dire que ma connexion fonctionne parfaitement. je ne sais pas quelle est le problème. J'ai un peu vu sur le net on parle de rapport avec HijackThis

le voici : http://pjjoint.malekal.com/files.php?id ... 011q6z9k14

merci d'avance.

[angelique]

Vu qu'il s'est écoulé un certains temps entre ta demande, ma réponse et ta réponse il a pu se passer pleins de choses, refait alors de nouveau un rapport frst.txt et addition.txt.

HijackThis ne sert à rien, l’outil est obsolète.

[shwsb]

D'accord, j'ai fais un nouveau rapport avec FRST.

voici les deux rapports FRST.txt et Addition.txt

http://pjjoint.malekal.com/files.php?id ... r13f14t7l9
http://pjjoint.malekal.com/files.php?id ... 10w12b13t8

[Malekal_morte]

Tu peux désinstaller tous ces programmes.
Si tu as des erreurs durant la désinstallation et l'impossibilité de supprimer de la liste, voir : Comment supprimer programmes de la liste des programmes installés de Windows :

amuleC
BikaQ Rs
Google Toolbar => inutile et se place au démarrage de Windows
TuneUp Utilities => inutile et se place au démarrage de Windows
WinSnare
Wondershare Data Recovery => inutile et se place au démarrage de Windows
Wondershare Filmora => inutile et se place au démarrage de Windows
Yahoo! Powered

Tu peux donner le contenu de ce fichier ?
C:\ProgramData\Microsoft\Windows\OFFICEICON.vbs

[shwsb]

Merci pour ton aide.

J'ai désinstallé ce que tu m'as recommandé à pars aMule qui n'est pas dans la liste des programmes installés bizarrement.

j'ai essayer de vérifié le OFFICEICON.vbs mais je ne vois pas comment faire je suis un peu néophyte, le contenu ?

En tout cas il me dit que c'est un script de commande il y'en a deux un .vbs et un .cmd et le .cmd lance une commande qui s'affiche une demi seconde à l’écran et disparait impossible de lire.

[angelique]

Bien vu Task: {95A45E95-C00F-4C01-A5BC-E0E88DF46625} - System32\Tasks\OFFICE2010ACT => C:\ProgramData\Microsoft\Windows\OFFICEICON.vbs [2012-03-08] () je pense que c'est une merdouille oubliée dans le script de correction

exécuter ➯ notepad

Onglet fichier puis déroule successivement pour arriver à C:\ProgramData\Microsoft\Windows\OFFICEICON.vbs < ouvrir

copie_colle le contenu dans ta prochaine réponse.

[shwsb]

Voici le contenu de OFFICEICON.vbs

set objShell = createobject("WScript.Shell")
objShell.Run "C:\ProgramData\Microsoft\Windows\OFFICEICON.CMD",0
set objShell=Nothing

[angelique]

Même principe , y'a quoi dans C:\ProgramData\Microsoft\Windows\OFFICEICON.CMD

[shwsb]

pour OFFICEICON.cmd

If exist "C:\Program Files (x86)\Microsoft Office\Options14\MSOO.EXE" goto :End
If exist "C:\Program Files\Microsoft Office\Options14\MSOO.EXE" goto :End

Del "C:\Users\Public\Desktop\Microsoft Office 2010 Activation.lnk" /f
SCHTASKS /DELETE /TN "OFFICE2010ACT" /f
::Del %0 /f

:End

[angelique]

Ouai donc rien de particulier.

[Malekal_morte]

yes,

reste-t-il des problèmes en particulier ?

[shwsb]

Non tout à l'air de rouler, plus de problème de connexion au sites pour l'instant donc je pense que ca doit être bon. Merci pour votre aide.

[Malekal_morte]

super

Tu peux supprimer le dossier C:\FRST =)

Termine par un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite


Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)