infecté lors du téléchargement kms

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

brindille

infecté lors du téléchargement kms

par brindille »

Bonjour,
J'ai téléchargé le logiciel kms et depuis c'est l'enfer. J'ai été redirigé directement sur des pages russes, éradiquées avec Malwarebytes Anti-Malware (MBAM) mais depuis j'ai des redirections (popup) à suggestion porno. Comment faire un bon nettoyage svp ?
Avatar de l’utilisateur
angelique
Messages : 31518
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: infecté lors du téléchargement kms

par angelique »

Bonjour/Bonsoir,
  • Télécharge sur ton Bureau pas ailleurs FRST.EXE:



    La page de téléchargement : le tutoriel FRST ou FRST






    !! Placez le programme sur le bureau et pas ailleurs!!
  • Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
    Le scan se lance, les éléments scannés apparaissent en haut.
  • Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )


    Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
brindille

Re: infecté lors du téléchargement kms

par brindille »

Bonjour, merci pour votre réponse rapide
voici les 3 liens
https://pjjoint.malekal.com/files.php?i ... j13l12m7o6
https://pjjoint.malekal.com/files.php?i ... n8b13v13m5
https://pjjoint.malekal.com/files.php?i ... i15e5u12w9

il y a aussi windows defender qui vient de me trouver win32/neobar
Avatar de l’utilisateur
angelique
Messages : 31518
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: infecté lors du téléchargement kms

par angelique »

  • Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Note explicative avec des captures d'écran.




    Double-clique sur FRST.exe
    Image Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur

    puis sur ton clavier appuyer sur la touche CTRL + Y.

    Le bloc-note va s'ouvrir, copie/colle ceci.

    Code : Tout sélectionner

    R2 [email protected]; C:\Windows\[email protected] [26112 2017-03-09] () [Fichier non signé]
    Task: {606E42ED-EDD7-41B2-A33E-B205A8F2CAB1} - System32\Tasks\[email protected]\Windows100Core => wmic [Argument = path SoftwareLicensingProduct where (ID="58e97c99-f377-4ef1-81d5-4ad5522b5fd8") call Activate]
    Task: {A86F3B37-D026-4D63-BD16-B98169D2D678} - System32\Tasks\[email protected]\Office16ProPlus => wmic [Argument = path SoftwareLicensingProduct where (ID="d450596f-894d-49e0-966a-fd39ed4c4c64") call Activate]
    Task: {A9E62DCF-0C36-4E8C-8E08-0C1FCAB9966B} - System32\Tasks\uMwURWt4kYis => umwurwt4kyis.exe
    Task: {C7762A02-2E9A-4744-87D8-2661A5A87B03} - System32\Tasks\instmn => C:\Users\Virginie\AppData\Local\instmn\instmn.exe <==== ATTENTION
    Task: {F4C3DB11-08C3-4AC9-B443-D39178A10F61} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
    FirewallRules: [{6B8D27E6-56A2-4A13-9EF8-E8CA21127D38}] => (Allow) C:\Windows\[email protected]
    FirewallRules: [{8566D86C-7153-4C6B-9D29-81C4AE18DB69}] => (Allow) C:\Windows\[email protected]
    HKU\S-1-5-21-4060936817-2348645812-3614717218-1001\...\Run: [ycAutoLaunch_DC3D298244E01B37C914DCD50654C782] => C:\Users\Virginie\AppData\Local\yc\Application\yc.exe [3922944 2017-12-01] (The Chromium Authors)
    IFEO\OSppSvc.exe: [Debugger] [email protected]
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    HKU\S-1-5-21-4060936817-2348645812-3614717218-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=855400
    CHR HomePage: Default -> inline.go.mail.ru
    CHR DefaultSearchKeyword: Default -> inline.go.mail.ru
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
    CHR Extension: (Pas de nom) - C:\Users\Virginie\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-12-20]
    2017-12-20 10:25 - 2017-12-20 10:25 - 000000290 __RSH C:\Users\Virginie\ntuser.pol
    2017-12-20 10:12 - 2017-12-20 10:12 - 000000000 ____D C:\Users\Virginie\AppData\Local\Chromium
    2017-12-20 10:10 - 2017-12-20 10:11 - 000000000 ____D C:\Users\Virginie\AppData\Local\AdService
    2017-12-20 10:07 - 2017-12-20 10:07 - 000000000 ____D C:\Users\Virginie\AppData\Local\Вoйти в Интeрнет
    2017-12-20 10:05 - 2017-12-20 10:25 - 000000000 ____D C:\Users\Virginie\AppData\Local\yc
    2017-12-20 10:05 - 2017-12-20 10:05 - 000021608 _____ C:\WINDOWS\System32\Tasks\uMwURWt4kYis
    2017-12-20 10:05 - 2017-12-20 10:05 - 000000000 ____D C:\Users\Virginie\AppData\Roaming\curl
    2017-12-20 10:04 - 2017-12-20 10:03 - 000978888 _____ C:\WINDOWS\system32\Ea3Host.exe~deleted
    2017-12-20 10:01 - 2017-12-20 13:27 - 000000000 ____D C:\Users\Virginie\AppData\Local\instmn
    2017-12-20 10:01 - 2017-12-20 10:01 - 000003666 _____ C:\WINDOWS\System32\Tasks\instmn
    2017-12-20 09:59 - 2017-12-20 09:59 - 000000000 ____D C:\Users\Virginie\AppData\Local\Поиcк в Интeрнете
    2017-12-20 09:58 - 2017-12-20 09:58 - 000000290 __RSH C:\ProgramData\ntuser.pol
    2017-12-20 09:56 - 2017-12-20 10:15 - 000000000 ____D C:\Users\Virginie\AppData\Local\Mail.Ru
    2017-12-20 09:55 - 2017-12-20 10:15 - 000000000 ____D C:\ProgramData\Mail.Ru
    2017-12-20 10:05 - 2017-12-20 10:05 - 038316032 _____ (The Chromium Authors) C:\Users\Virginie\AppData\Local\Temp\cbbvnD900WkS.exe
    2017-12-20 09:55 - 2017-12-20 09:55 - 002643640 _____ () C:\Users\Virginie\AppData\Local\Temp\FhlJZyywip2D.exe
    2017-12-20 10:02 - 2017-12-20 10:02 - 064938720 _____ (Kometa LCC) C:\Users\Virginie\AppData\Local\Temp\WasPcTQjrvnk.exe
    C:\Windows\[email protected]
    Hosts:
    EmptyTemp:
    
    
  • Ferme toutes les applications, y compris ton navigateur
  • Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
  • Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction


    Un redémarrage peut être nécessaire (pas obligatoire).
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
brindille

Re: infecté lors du téléchargement kms

par brindille »

Eh bien ça m'a l'air bien propre en tous les cas sur les pages web il n'y a plus de pub porno :) alleluhia :)
voici le lien fixlist
https://pjjoint.malekal.com/files.php?i ... 4d9z8c12f6

Est-ce que ça a déplacé aussi le win32/neobar ?

En tous les cas un grand merci pour ta réactivité et ton efficacité !
brindille

Re: infecté lors du téléchargement kms

par brindille »

Est-ce qu'il faut que je supprime de mon pc, les logiciels installés FRST malwarebytes et adwcleaner ou ça n'a aucune importance ?
Avatar de l’utilisateur
angelique
Messages : 31518
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: infecté lors du téléchargement kms

par angelique »

PDT_018


tu peux supprimer frst, ses rapports, et C:\FRST, ainsi que adwcleaner et C:\adwcleaner

Garde malwarebytes pour du scan ponctuel.

Tu as une extension chelou dans chrome :

CHR Extension: (Pas de nom) - C:\Users\Virginie\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-12-20]

Sur Google Chrome : Menu en haut à droite puis Outils / Extensions

Donne la liste.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
brindille

Re: infecté lors du téléchargement kms

par brindille »

J'ai fait un reset de google chrome, apparemment je n'ai plus aucune extension... par contre elle est toujours dans le chemin que tu m'indiques, est-ce que je dois la supprimer ?
tous les .ru ont disparu aussi, ainsi je pense ce win32/neobar
Avatar de l’utilisateur
angelique
Messages : 31518
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: infecté lors du téléchargement kms

par angelique »

Oui tu peux supprimer C:\Users\Virginie\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe

et ç'est OK après PDT_018
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
brindille

Re: infecté lors du téléchargement kms

par brindille »

Merci pour tout :) bonnes fêtes à toi et à tes proches
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »