[RESOLU] Souci démarrage

Reporter · par **Reporter** » 05 avr. 2017 10:47

J'ai du choper un virus ou autres malware

au démarrage mon PC ouvre parfois un bureau noir (très long à ouvrir) inconnu et je suis obligé de me déconnecter pour relancer ma session, correctement...

J'ai fait une annalyse, avec FRST, la voici :

http://pjjoint.malekal.com/files.php?id ... 1l8e9l5p10
additional

http://pjjoint.malekal.com/files.php?id ... t15q15c9q8
FRST

http://pjjoint.malekal.com/files.php?id ... 5f9u13g5u5
Shortcut

Merci pour votre aide

par **Malekal_morte** » 05 avr. 2017 14:42

Salut,

Pas vraiment infecté, ton Chrome a l'air pourri par contre.
Y a eu des adwares à un moment, le 1er Avril.

A désinstaller, sauf si tu t'en sers.

Antidote 9 - English module
Antidote 9 - Module français
Antidote 9
Ashampoo Burning Studio 14 v.14.0.1
Bing Bureau
MEGAsync
WinRAR 5.00
WinZip 20.0

Winzip à remplacer 7zip

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
C:\Program Files (x86)\pb3b2w4nLY
Task: {E6C8B105-7206-4CBB-8295-9C29474818F8} - System32\Tasks\ViMxB4Xckp => C:\Program Files (x86)\pb3b2w4nLY\updengine.exe  <==== ATTENTION
Task: {5A9314F5-EA74-4AD0-8A4D-96EB1BA2F317} - System32\Tasks\Gungreqery Manager => C:\Program Files (x86)\Coicoph\xclajeght.exe 
Task: {E6C8B105-7206-4CBB-8295-9C29474818F8} - System32\Tasks\ViMxB4Xckp => C:\Program Files (x86)\pb3b2w4nLY\updengine.exe <==== ATTENTION
C:\Program Files (x86)\Coicoph
C:\Program Files (x86)\pb3b2w4nLY
Task: {B4EBAB24-8333-44B3-A25A-5995A2BDC0FB} - System32\Tasks\Arrphludos => "msiexec" /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=ST500DM002-1BD142_Z2AY7BBMXXXXZ2AY7BBM&d=20170401 /q
 2017-04-01 18:47 - 2017-04-01 18:24 - 00141816 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys 
 2017-04-01 18:47 - 2017-04-01 18:24 - 00097880 _____ (Tencent) C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys 
 2017-04-01 18:25 - 2017-04-02 01:05 - 00000000 __SHD C:\KRECYCLE 
 2017-04-01 18:25 - 2017-04-01 18:24 - 00095224 _____ (电脑管家) C:\WINDOWS\system32\Drivers\TFsFltX64.sys  
 2017-04-01 18:20 - 2017-04-01 18:20 - 00155168 _____ C:\WINDOWS\system32\Drivers\flowhlp.dat  
 2017-04-01 18:19 - 2017-04-01 18:19 - 00003204 __RSH C:\pagefile.$$$ 
 2017-04-01 18:16 - 2017-04-01 18:17 - 00000000 __SHD C:\ProgramData\WindowsMsg 
 2017-04-01 18:15 - 2017-04-01 18:15 - 00002052 _____ C:\WINDOWS\System32\Tasks\ViMxB4Xckp 
 2017-04-01 18:11 - 2017-04-01 18:11 - 00720033 _____ C:\WINDOWS\unins000.exe  
 2017-04-01 18:11 - 2017-04-01 18:11 - 00042552 _____ C:\WINDOWS\unins000.dat  
 2017-04-01 18:11 - 2017-01-05 11:10 - 00000059 _____ C:\WINDOWS\window.bat  
 2017-04-01 18:10 - 2017-04-02 01:12 - 00000000 __SHD C:\Users\Philippe\AppData\Local\svchost 
 2017-04-01 18:10 - 2017-04-01 18:11 - 00003646 _____ C:\WINDOWS\System32\Tasks\CreateExplorerShellUnelevatedTask  
 2017-04-01 18:09 - 2017-04-01 18:09 - 00006074 _____ C:\WINDOWS\System32\Tasks\Gungreqery Manager 
 2017-04-01 18:08 - 2017-04-01 21:03 - 00000000 ____D C:\WINDOWS\system32\SSL 
 2017-04-01 18:06 - 2017-04-01 21:02 - 00000000 ____D C:\Program Files (x86)\c80d78a9-a21d-40a4-a6c4-5f58783afcc11491062803 
 2017-04-01 18:06 - 2017-04-01 18:15 - 00000002 _____ C:\END 
 2017-04-01 18:06 - 2017-04-01 18:06 - 00000000 ____D C:\WINDOWS\SysWOW64\sstmp 
 2017-04-01 18:06 - 2017-04-01 18:06 - 00000000 ____D C:\WINDOWS\system32\sstmp 
 2017-04-01 18:06 - 2017-04-01 18:06 - 00000000 _____ C:\TOSTACK 
 2017-04-01 18:05 - 2017-04-01 18:05 - 00005134 _____ C:\WINDOWS\System32\Tasks\Arrphludos 
 Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FAH.lnk [2015-11-07]  
 ShortcutTarget: FAH.lnk -> C:\Program Files\WinZip\FAHConsole.exe (Nico Mak Computing)  
 Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Notifications de Mises à jour.lnk [2015-11-07] 
 ShortcutTarget: Notifications de Mises à jour.lnk -> C:\Program Files\WinZip\WZUpdateNotifier.exe (Nico Mak Computing)  
Startup: C:\Users\Philippe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Alertes de surveillance de l'encre - HP Photosmart 5520 series (réseau).lnk [2015-10-16] 
ShortcutTarget: Alertes de surveillance de l'encre - HP Photosmart 5520 series (réseau).lnk -> (Pas de fichier) 
 Startup: C:\Users\Philippe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MEGAsync.lnk [2015-12-18]  
 ShortcutTarget: MEGAsync.lnk -> C:\ProgramData\MEGAsync\MEGAsync.exe (Mega Limited)  
 Startup: C:\Users\Philippe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\thiweblive.exe [2007-05-24] (ThiWeb Creative)  
 CHR Extension: (Pas de nom) - C:\Users\Philippe\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\fcfenmboojpjinhpgggodefccipikbpd [2016-12-16]  
 CHR HKU\S-1-5-21-286060729-1005378027-2473497745-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx  
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2°)
Réinitialise/Répare les navigateurs WEB concerné(s) par les problèmes :
* réparer Mozilla Firefox (premier paragraphe)
* réparer Google Chrome (premier paragraphe)
* Réinitialiser et réparer Internet Explorer

Reporter · par **Reporter** » 06 avr. 2017 13:00

Bonjour
et merci pour la réponse j'ai passe le fichier communiqué avec FRST, mais il me reste une question

c'est une tâche normale ça et qui se trouve en principe là :
Nom de la tâche Gungreqery Manager
Nom de l'application "C:\Program Files (x86)\Coicoph\xclajeght.exe"
2017-04-01 18:09 - 2017-04-01 18:09 - 00006074 _____ C:\WINDOWS\System32\Tasks\Gungreqery Manager

dois-je la supprimer ? de la base de registre

par **angelique** » 06 avr. 2017 14:04

non, tu rajoutes ces lignes ci dessous au script de correction de Malekal

Task: {5A9314F5-EA74-4AD0-8A4D-96EB1BA2F317} - System32\Tasks\Gungreqery Manager => C:\Program Files (x86)\Coicoph\xclajeght.exe
Task: {E6C8B105-7206-4CBB-8295-9C29474818F8} - System32\Tasks\ViMxB4Xckp => C:\Program Files (x86)\pb3b2w4nLY\updengine.exe <==== ATTENTION
C:\Program Files (x86)\Coicoph
C:\Program Files (x86)\pb3b2w4nLY

Reporter · par **Reporter** » 06 avr. 2017 20:26

Merci pour le coup de main

Une petite chose m'interroge, c'est ceci... :

Nom de la tâche Arrphludos
État Activé
Nom de l'application "msiexec"
Paramètres de l'application /i hTTp://D2bUH1bF1g584W.clOuDfroNt.net/mm ... d=20170401 /q

Cela vous semble normal comme tache ?

par **Malekal_morte** » 06 avr. 2017 23:08

J'ai corrigé le script : viewtopic.php?f=3&t=57382&p=434271#p434271
Faudrait le refaire, ça va supprimer la tâche planifiée.

Reporter · par **Reporter** » 13 avr. 2017 21:35

Merci pour vos renseignements précieux... Par contre que Chrome soit une daube, tout comme Mozilla et autre Firefox, j'en convient et je ne l'utilise pas... par contre Antidote et un programme très utile...

Tout comme Bing bureau... là !: je ne vous suis pas vraiment

Reporter · par **Reporter** » 13 avr. 2017 21:36

Coicoph, revient par contre automatiquement... comment supprimer ?

par **Malekal_morte** » 13 avr. 2017 22:26

fais un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

Refais un scan FRST et donne à nouveau les rapports via pjjoint.

Reporter · par **Reporter** » 14 avr. 2017 09:22

Bojnour et encore merci pour votre aide

Voici donc les fichiers d'analyse de FRST. Petite information, je souhaite conserver Bing bureau et Antidote, qui me sont utile.

addition
http://pjjoint.malekal.com/files.php?id ... c12s9u10w9

FRST
http://pjjoint.malekal.com/files.php?id ... 14v9v14u15

Shorcut
http://pjjoint.malekal.com/files.php?id ... x9s7x9v8m5

par **angelique** » 14 avr. 2017 10:24

Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
Copie/colle dedans ce qui suit :

Code : Tout sélectionner

S4 Kitty; C:\Users\Philippe\AppData\Local\Kitty\cat.exe [230912 2017-04-13] (kitty.exe) [Fichier non signé]
R2 WinSAPSvc; C:\Users\Philippe\AppData\Roaming\WinSAPSvc\WinSAP.dll [553984 2017-04-13] (winsap) [Fichier non signé]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S4 gusvc; "C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe" [X]
Task: {0474FE30-16A6-41C1-A7DA-64911F71B6A5} - System32\Tasks\Optimize Push Notification Data File-S-1-5-21-286060729-1005378027-2473497745-1001
Task: {34C71662-D717-4BEA-979C-9ADA9A20EC03} - System32\Tasks\Windows-PG => powershell.exe C:\Update\psgo\psgo.ps1
Task: {9F728DAD-0D3E-40F0-AE3A-DABCF9241526} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe 
ShellExecuteHooks: Pas de nom - {4EB2E414-12F3-11E7-A967-64006A5CFC23} -  -> Pas de fichier
ShellExecuteHooks: Pas de nom - {D3923402-12F3-11E7-B19C-64006A5CFC23} -  -> Pas de fichier
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> Pas de fichier
2017-04-13 12:15 - 2017-04-13 12:15 - 00003664 _____ C:\WINDOWS\System32\Tasks\Milimili
2017-04-13 12:15 - 2017-04-13 12:15 - 00003580 _____ C:\WINDOWS\System32\Tasks\Windows-PG
2017-04-13 12:15 - 2017-04-13 12:15 - 00000000 ____D C:\Users\Philippe\AppData\Roaming\WinSAPSvc
2017-04-13 12:15 - 2017-04-13 12:15 - 00000000 ____D C:\Users\Philippe\AppData\Local\SNARE
2017-04-13 12:15 - 2017-04-13 12:15 - 00000000 ____D C:\Users\Philippe\AppData\Local\Kitty
2017-04-07 12:19 - 2017-04-07 12:22 - 00000000 ____D C:\Users\Philippe\Downloads\Winzip 21 Fr
2017-04-07 10:06 - 2017-04-13 15:10 - 00000000 _____ C:\WINDOWS\SysWOW64\1
2017-04-07 09:18 - 2017-04-07 09:18 - 00000000 ____D C:\Update
2017-04-06 01:20 - 2017-04-06 01:20 - 00004850 _____ C:\WINDOWS\System32\Tasks\Gungreqery Manager
2017-04-06 01:20 - 2017-04-06 01:20 - 00004034 _____ C:\WINDOWS\System32\Tasks\Arrphludos
2017-04-06 01:20 - 2017-04-06 01:20 - 00002938 _____ C:\WINDOWS\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-286060729-1005378027-2473497745-1001
2017-04-06 01:20 - 2017-04-06 01:20 - 00002764 _____ C:\WINDOWS\System32\Tasks\[email protected]
2017-04-06 01:20 - 2017-04-06 01:20 - 00002702 _____ C:\WINDOWS\System32\Tasks\GarminUpdaterTask
2017-04-06 01:20 - 2017-04-06 01:20 - 00002550 _____ C:\WINDOWS\System32\Tasks\CreateChoiceProcessTask
2017-04-06 01:20 - 2017-04-06 01:20 - 00002184 _____ C:\WINDOWS\System32\Tasks\ViMxB4Xckp
2017-04-06 01:20 - 2017-04-06 01:20 - 00000000 ____D C:\WINDOWS\System32\Tasks\Tâches de l’Observateur d’événements
2017-04-06 01:20 - 2017-04-02 08:53 - 00003278 _____ C:\WINDOWS\System32\Tasks\{07F8AAA3-2984-4DD0-9A29-809C667A4DD6}
2017-04-06 01:20 - 2017-03-29 00:23 - 00002262 _____ C:\WINDOWS\System32\Tasks\{1082D0A0-0723-41F1-ABAF-3496435348ED}
C:\Program Files (x86)\MIO
Hosts:
EmptyTemp:

Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Ferme toutes les applications, y compris ton navigateur
Double-clique sur FRST.exe
Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction

Un redémarrage peut être nécessaire (pas obligatoire).
L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

Reporter · par **Reporter** » 16 avr. 2017 08:23

Bonjour et merci

je vous tiens au courant de la suite

Reporter · par **Reporter** » 19 avr. 2017 23:11

Bonjour,
Tout semble parfait, merci encore pour votre aide précieuse

par **Malekal_morte** » 20 avr. 2017 10:28

Tu peux supprimer le dossier C:\FRST =)

Termine par un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

Reporter · par **Reporter** » 22 avr. 2017 00:25

Bonjour,

Je mets de côté FRST... au cas ou !

Merci

Malekal.com forum

[RESOLU] Souci démarrage

[RESOLU] Souci démarrage

Re: [Virus] Souci démarrage

Re: [Virus] Souci démarrage

Re: [Virus] Souci démarrage

Re: [Virus] Souci démarrage

Re: [Virus] Souci démarrage

Re: [Virus] Souci démarrage

Re: [Virus] Souci démarrage

Re: [Virus] Souci démarrage

Re: [Virus] Souci démarrage

Re: [Virus] Souci démarrage

Re: [Virus] Souci démarrage

Re: [Virus] Souci démarrage

Re: [Virus] Souci démarrage

Re: [RESOLU] Souci démarrage