Trojan:Win32/Tiggre et écran bleu

[Pilbert]

Bonjour à tous...

Voilà 4 jours déjà que j'ai choppé une sale bestiole et je n'arrive pas à l'enlever complètement. j'ai pourtant utilisé des tas d'utilitaires mais sans succès.
Par contre l'installation d'antivirus est bloquée quel qu'il soit. J'avais Bitdefender ANTIVIRUS PC LIFETIME EDITION et le virus l'a neutraliser. J'ai donc acheter Bitdefender TOTAL SECURITY 2018 mais impossible de l'installer. J'ai tenter avec plusieurs antivirus gratuit sur le net mais toujours impossible à instaler. J'ai voulu réinitialiser WINDOWS 10 mais le bouton reste sans réaction au même titre que le Disque Bitdefender ou le fichier d'installe Bitdefender téléchargé sur leur site.

Au début, c'était google chrome qui m'ouvrait des fenêtres à l'infini, en même temps, il m'a créer une multitude de dossiers avec à chaque fois un fichier exe au nom bizare que j'ai réussi à commplètement effacer manuellement. Le fichier Wscript a été infecté et j'ai réussi à le supprimer.

J'ai eu la bonne idée de venir sur ce Forum afin que vous puissiez me sortir de cette ornière.

J'ai utilisé FRST64 et je me permet de vous transmettre les résultats ici :

FRST.txt

Addition.txt

Shortcut.txt

Merci par avance.

[Pilbert]

Je reviens là à partir de mon téléphone car j'ai maintenant un écran bleu après avoir entrer mon mot de passe pour accéder à l'interface Windows 10 âpre un redémarrage et je n'ai pas le CD de Windows car je l'ai acheté avec Windows 8 et j'ai fait une mise à jour Windows 10. Je suis perdu.

[Malekal_morte]

Windows Defender le détecte.... plutôt étonnant comme tu as BitDefender...
Du coup, deux antivirus en cours de fonctionnement, semble-t-il :/

L'ordinateur est infecté :

Date: 2018-05-11 01:15:23.563
Description:
Antivirus Windows Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Tiggre!rfn
ID : 2147723625
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\PILONGO.MIRENTYS\AppData\Local\msegdvb\msegdvb.exe
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Protection en temps réel
Utilisateur : AUTORITE NT\Système
Nom du processus : C:\Windows\System32\aunmhiesvc.exe
Version de la signature : AV: 1.267.1158.0, AS: 1.267.1158.0, NIS: 1.267.1158.0
Version du moteur : AM: 1.1.14800.3, NIS: 1.1.14800.3

Démarre sur les options avancées de récupération système par la méthode 1 de cette page : Les options avancées de récupération Windows.
Le principe est de redémarrer sur la page où on te demande le mot de passe, avec l'icône en bas à droite et en maintenant la touche majuscule.

Si tu n'arrives PAS à la fenêtre où Windows demande les mots de passe, car blocage ou plantage avant...
Eteins deux fois l'ordinateur durant le chargement de Windows.
Il va rentrer en réparation ce qui donnera aussi accès aux options avancées de récupération système.
(Si le démarrage sur les options avancées de récupération est impossible, il faut créer une clé pour démarrer dessus, tu as un lien dans la page précédente pour cela).

Depuis Dépannage tu peux alors tenter :


* Depuis le menu paramètres, redémarrer Windows et aller en mode sans échec, de là tu peux désinstaller une application qui pose problème comme ton antivirus
et vois si tu peux faire la correction FRST.

Si vraiment rien ne fonctionne : * Réinitialiser Windows 10 (cela garde les données mais supprimes les applications).


La correction FRST :

A désinstaller :

CyberLink
Wondershare

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CloseProcesses:
C:\Users\PILONGO.MIRENTYS\AppData\Local\msegdvb
2018-05-11 01:29 - 2018-05-11 01:29 - 000142672 ____N C:\WINDOWS\system32\Drivers\sirvybei.sys
2018-05-11 00:05 - 2018-05-11 00:05 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\nvopcwh
2018-05-10 23:51 - 2018-05-10 23:51 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\exokgwp
2018-05-10 23:30 - 2018-05-10 23:30 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\cssmuiv
2018-05-10 22:39 - 2018-05-10 22:39 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\sconzxi
2018-05-10 22:18 - 2018-05-10 22:18 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\dtcuepz
2018-05-10 20:44 - 2018-05-10 20:44 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\spheido
2018-05-10 20:31 - 2018-05-10 20:31 - 000002024 _____ C:\Users\PILONGO.MIRENTYS\Desktop\ZHPCleaner.txt
2018-05-10 20:13 - 2018-05-10 20:13 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\nidaekm
2018-05-10 18:30 - 2018-05-10 18:30 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\spcatek
2018-05-10 18:03 - 2018-05-10 18:03 - 000001013 _____ C:\Users\PILONGO.MIRENTYS\Desktop\JRT.txt
2018-05-10 17:42 - 2018-05-10 17:42 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\uprsvxa
2018-05-10 17:37 - 2018-05-10 17:37 - 000054492 _____ C:\Users\PILONGO.MIRENTYS\Desktop\resultat scan.txt
2018-05-10 16:19 - 2018-05-10 16:19 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\scrnelt
2018-05-10 15:55 - 2018-05-10 15:55 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\atindsr
2018-05-10 15:44 - 2018-05-10 15:44 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\avsekoc
2018-05-10 14:50 - 2018-05-10 14:50 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\rabmnps
2018-05-10 12:31 - 2018-05-10 12:31 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\ushkwdt
2018-05-09 23:51 - 2018-05-09 23:51 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\lmdnwsu
018-05-09 23:03 - 2018-05-09 23:03 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\spixmct
2018-05-09 22:40 - 2018-05-09 22:40 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\coirmsk
2018-05-09 21:41 - 2018-05-09 21:41 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\spaekgn
2018-05-09 19:51 - 2018-05-09 19:51 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\siruazb
2018-05-09 19:33 - 2018-05-09 19:33 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\cwovpki
2018-05-09 18:17 - 2018-05-09 18:17 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\rtkegxn
2018-05-09 17:55 - 2018-05-09 17:55 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\scobknv
2018-05-09 16:45 - 2018-05-09 16:45 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\dsahbim
2018-05-09 15:08 - 2018-05-09 15:08 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\ranwcgk
2018-05-09 14:09 - 2018-05-09 14:09 - 000000000 ____D C:\Users\PILONGO.MIRENTYS\AppData\Local\cwkzsgv
2018-05-09 12:44 - 2018-05-09 14:07 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2018-05-09 12:44 - 2018-05-09 13:58 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2018-05-09 12:44 - 2018-05-09 12:44 - 000000000 ____D C:\WINDOWS\System32\Tasks\Safer-Networking
S3 oruybe; system32\drivers\uxbehk.sys [X]
S3 xadhkn; system32\drivers\dhknqu.sys [X]
S3 xaehkn; system32\drivers\dhknqu.sys [X]
reg: reg delete "HKLM\SYSTEM\CurrentControlSet\Services\zarsotln"
C:\Windows\System32\aunmhiesvc.exe
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[Pilbert]

Message reçu et je t'en remerci.

Je vais de suite suivre ta procédure et revenir vers toi aussitôt.

[Pilbert]

Ouille ! l'action de désinstallation des cyberlink m'ouvre des fenêtre à l'infini...

Je vais donc redémarrer et procéder comme suit :
"Démarre sur les options avancées de récupération système par la méthode 1 de cette page : Les options avancées de récupération Windows. "

[Pilbert]

Après avoir redémarer en mode sans écheque, j'ai lancé la procédure FRST dont voici le résultat.

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 10.05.2018
Exécuté par PILONGO (11-05-2018 16:20:58) Run:3
Exécuté depuis C:\Users\PILONGO.MIRENTYS\Desktop
Profils chargés: PILONGO (Profils disponibles: PILONGO)
Mode d'amorçage: Safe Mode (with Networking)
==============================================

fixlist contenu:
*****************

*****************



= = = = F i n d e F i x l o g 1 6 : 2 0 : 5 8 = = = =


je vais donc redémarer pour voir.

[Malekal_morte]

Ton fichier fix est vide.
Retente ou :

Place le programme FRST sur le bureau
ouvre le bloc-note
colle le script donné plus haut
enregistre le fichier sur le bureau sous le nom de fixlist.txt
Relance FRST puis Corriger.

[Pilbert]

Grosse peur .... écran bleu sur écran bleu après 2 redémarages en mode normal. Mais maintenant je redémarre plusieur fois mais aucun écran bleu ! c'est génial. Et en plus, le CD Bitdefender se lance automatiquement quand je l'incère mais est bloqué pas l'ancienne installation qui n'avait plus d'icone nulpart et que j'ai du désinstaller manuellement. CCleaner s'en ai chargé.

Mais comme plusieurs extentions ont été "déliées" de leur application, je vais voir si je ne vais pas réinstaller W10

MERCI MERCI MERCI

[Malekal_morte]

Tu as pu faire la correction FRST ?
Tu peux réinitialiser Windows 10 sinon : Comment réinitialiser Windows 10