Infecté par quelque chose de corriace

[kermit571]

Bonjour à tous,

J'ai depuis plusieurs mois un problème insoluble par moi même et malgré une 10aine de formatage cette saleté reviens systématiquement.
L'antivirus Windows ne le détecte pas, j'ai plus la main sur certaine fonction ou pour supprimer certain dossier / fichier alors que je suis l'admin du PC.

Par ailleurs j'ai l'impression que plus j'avance et approche du but de porté préjudice a cette saloperie et plus il s'adapte et restreint mes droits !!!

et malgré des formatages avec suppression des partitions, des tables etc... a peine Windows réinstallé et la connexion internet active il revient illico. De plus il semble corrompre les certificats et se loge dans les processus Windows d'origine. J'ai jamais rencontré une chose pareil, il influence même sur les résultats de mon navigateur et me propose des contrefaçon d'antivirus connu voir m'interdit le téléchargement des "vrai" quand j'arrive a y accéder.

Je m'en remet à vous car la je suis complètement désemparé et essaie de m'en débarrasser depuis plusieurs mois mais la je suis a cours d'idée et de compétence.

Merci d'avance si quelqu'un arrive à me sortir de cette M....

[angelique]

Si tu as formaté , il n' y a plus de virus ! A moins que le problème rencontré se passe au niveau de ton navigateur et que tu as un profil corrompu synchronisé dans le cloud comme:

https://www.malekal.com/synchroniser-google-chrome/
https://www.malekal.com/synchroniser-mozilla-firefox/
https://www.malekal.com/profil-firefox-chrome/

Donc ta merde se remet automatiquement à la synchro du profil de ton navigateur, même après formatage.

[kermit571]

Merci pour votre réponse,

Est il possible de faire un check up pour verifier que mon PC tourne normalement ? c'est pas possible qu'un virus se loge sur la box (sfr) ou sur la mémoire des souris / claviers même apres formatage ? ayant 2 disque dur ssd je me pose aussi la question de la migration sur l'autre disque en attendant la reinstallation de l'os.

Merci d'avance, vos connaissances sont une mine d'or

[Malekal_morte]

Salut,

Tu psychotes et interprètes mal.
Les formatages suppriment les malwares.
Tes histoires de non accès aux fichiers systèmes, c'est une mauvaise interprétation du fonctionnement de Windows.

Sinon :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[rafael.nvs]

bonjour j'ai sous peux attrapé un virus assez coriace prenant le contrôle de mon navigateur google chrome. Une extension c'est installé sans mon autorisation (tampermonkey) et il y a marqué que mon navigateur est gérer par une organisation. j'ai ci joint les trois lien pijoint don vous avez parlé un peux plus en haut.

https://pjjoint.malekal.com/files.php?i ... 5z14t15k15

https://pjjoint.malekal.com/files.php?i ... 2e9m13q6q6

https://pjjoint.malekal.com/files.php?i ... 5z14t15k15

jespère grace à ses 3 lien que vous pourez m'aidé à régler ce problème de navigateur.

ps: j'avais attrapé un chevaux de trois qui ma donné tout plein de connerie comme celui si . Que j'ai pues supprimé en grosse partie grâce à quelque tuto sur internet.

au plaisir de recevoir une réponce. raf.nvs

[Malekal_morte]

Il manque le rapport Addition.Txt
Désinstalle TotalAV, totalement inutile.
A lire : https://www.malekal.com/antivirus-total ... sentation/

[rafael.nvs]

Bonjour je vous remercie de m'avoir répondu et je vous transmet si joint le lien de addition.txt

https://pjjoint.malekal.com/files.php?i ... 15o11j14h8

j'ai désinstallé total av comme vous me lavez dit et est installer a la place avast (gratuite)

En attendant d'avoir un antivirus payant comme bidefender.

cela est vraie je n'es pas prie la vigilance d'analysé ce fichier j'en ferais preuve plus tard.

merci de prendre votre temps pour trouvé une solution c'est simpa . raf.nvs

[Malekal_morte]

Tu t'es fait avoir par un installer InstallCore, une plateforme de PUP (programmes potentiellement indésirables) qui est proposé sur des sites de téléchargement ou à travers de fausses mises à jour Java, Flash.
Cela propose d'installer Chromium pour forcer Yahoo!, ByteFence, Avast!, McAfee Security Advisor ou McAfee LiveSafe.
Pour ne plus te faire avoir à lire : PUPs InstallCore

Il y a aussi des restes de Mail.Ru
Surement après avoir téléchargé un crack

A désinstaller :

Glary Utilities (sert à rien)
Google Toolbar for Internet Explorer
McAfee WebAdvisor
QuickTime

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-651090852-3619195047-4042970772-1001\...\Run: [Chromium Update] => C:\Users\NEVES-PC\AppData\Local\Chromium\Update\1.3.99.0\ChromiumUpdateCore.exe
HKU\S-1-5-21-651090852-3619195047-4042970772-1001\...\Run: [Chromium] => c:\users\neves-pc\appdata\local\chromium\application\chrome.exe [4195328 2017-10-07] (The Chromium Authors) [Fichier non signé]
HKU\S-1-5-21-651090852-3619195047-4042970772-1001\...\Run: [utweb] => "C:\Users\NEVES-PC\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED
HKU\S-1-5-21-651090852-3619195047-4042970772-1001\...\Run: [uTorrent] => C:\Users\NEVES-PC\AppData\Roaming\uTorrent\uTorrent.exe [2084336 2019-08-21] (BitTorrent Inc -> BitTorrent Inc.)
R1 webshieldfilter; C:\WINDOWS\System32\drivers\webshieldfilter.sys [98944 2019-04-02] (Protected Antivirus Limited -> Windows (R) Win 7 DDK provider)
C:\WINDOWS\System32\drivers\webshieldfilter.sys
R1 97cbb6af905b6a59; C:\WINDOWS\system32\drivers\97cbb6af905b6a59.sys [33984 2019-08-29] (BlockChain Advances Ltd -> FsFilter Network)
C:\WINDOWS\system32\drivers\97cbb6af905b6a59.sys
2019-08-29 13:47 - 2019-08-29 13:47 - 000033984 _____ (FsFilter Network) C:\WINDOWS\system32\Drivers\97cbb6af905b6a59.sys
2019-08-29 13:46 - 2019-08-29 13:46 - 000000290 __RSH C:\Users\NEVES-PC\ntuser.pol
2019-08-29 13:45 - 2019-08-29 14:07 - 000000000 ____D C:\Users\NEVES-PC\AppData\Local\Mail.Ru
2019-08-29 13:45 - 2019-08-29 14:07 - 000000000 ____D C:\Program Files (x86)\Mail.Ru
2019-08-29 13:45 - 2019-08-29 13:46 - 000000290 __RSH C:\ProgramData\ntuser.pol
2019-08-29 13:45 - 2019-08-29 13:45 - 000000000 ____D C:\ProgramData\Mail.Ru
2019-08-29 13:45 - 2019-08-29 13:45 - 000000000 ____D C:\ProgramData\Lamia
2019-08-29 13:42 - 2019-08-29 13:42 - 003148862 _____ C:\Users\NEVES-PC\Downloads\bitdefender total security 2019 cra-a04fc59.zip
2019-08-28 21:26 - 2019-08-28 21:26 - 000000000 ____D C:\Users\NEVES-PC\AppData\Local\Steam
2019-08-28 21:26 - 2019-08-28 21:26 - 000000000 ____D C:\Users\NEVES-PC\AppData\Local\CEF
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2°)
Réinitialise/Répare les navigateurs WEB concerné(s) par les problèmes :

• réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)

[rafael.nvs]

voila le contenu de fixlog.

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 29-08-2019
Exécuté par NEVES-PC (31-08-2019 13:29:29) Run:2
Exécuté depuis C:\Users\NEVES-PC\Desktop\Nouveau dossier (2)
Profils chargés: NEVES-PC (Profils disponibles: NEVES-PC & ecole)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-651090852-3619195047-4042970772-1001\...\Run: [Chromium Update] => C:\Users\NEVES-PC\AppData\Local\Chromium\Update\1.3.99.0\ChromiumUpdateCore.exe
HKU\S-1-5-21-651090852-3619195047-4042970772-1001\...\Run: [Chromium] => c:\users\neves-pc\appdata\local\chromium\application\chrome.exe [4195328 2017-10-07] (The Chromium Authors) [Fichier non signé]
HKU\S-1-5-21-651090852-3619195047-4042970772-1001\...\Run: [utweb] => "C:\Users\NEVES-PC\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED
HKU\S-1-5-21-651090852-3619195047-4042970772-1001\...\Run: [uTorrent] => C:\Users\NEVES-PC\AppData\Roaming\uTorrent\uTorrent.exe [2084336 2019-08-21] (BitTorrent Inc -> BitTorrent Inc.)
R1 webshieldfilter; C:\WINDOWS\System32\drivers\webshieldfilter.sys [98944 2019-04-02] (Protected Antivirus Limited -> Windows (R) Win 7 DDK provider)
C:\WINDOWS\System32\drivers\webshieldfilter.sys
R1 97cbb6af905b6a59; C:\WINDOWS\system32\drivers\97cbb6af905b6a59.sys [33984 2019-08-29] (BlockChain Advances Ltd -> FsFilter Network)
C:\WINDOWS\system32\drivers\97cbb6af905b6a59.sys
2019-08-29 13:47 - 2019-08-29 13:47 - 000033984 _____ (FsFilter Network) C:\WINDOWS\system32\Drivers\97cbb6af905b6a59.sys
2019-08-29 13:46 - 2019-08-29 13:46 - 000000290 __RSH C:\Users\NEVES-PC\ntuser.pol
2019-08-29 13:45 - 2019-08-29 14:07 - 000000000 ____D C:\Users\NEVES-PC\AppData\Local\Mail.Ru
2019-08-29 13:45 - 2019-08-29 14:07 - 000000000 ____D C:\Program Files (x86)\Mail.Ru
2019-08-29 13:45 - 2019-08-29 13:46 - 000000290 __RSH C:\ProgramData\ntuser.pol
2019-08-29 13:45 - 2019-08-29 13:45 - 000000000 ____D C:\ProgramData\Mail.Ru
2019-08-29 13:45 - 2019-08-29 13:45 - 000000000 ____D C:\ProgramData\Lamia
2019-08-29 13:42 - 2019-08-29 13:42 - 003148862 _____ C:\Users\NEVES-PC\Downloads\bitdefender total security 2019 cra-a04fc59.zip
2019-08-28 21:26 - 2019-08-28 21:26 - 000000000 ____D C:\Users\NEVES-PC\AppData\Local\Steam
2019-08-28 21:26 - 2019-08-28 21:26 - 000000000 ____D C:\Users\NEVES-PC\AppData\Local\CEF
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Erreur: (0) Impossible de créer un point de restauration.
"HKU\S-1-5-21-651090852-3619195047-4042970772-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Chromium Update" => non trouvé(e)
"HKU\S-1-5-21-651090852-3619195047-4042970772-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Chromium" => non trouvé(e)
"HKU\S-1-5-21-651090852-3619195047-4042970772-1001\Software\Microsoft\Windows\CurrentVersion\Run\\utweb" => non trouvé(e)
"HKU\S-1-5-21-651090852-3619195047-4042970772-1001\Software\Microsoft\Windows\CurrentVersion\Run\\uTorrent" => non trouvé(e)
webshieldfilter => service non trouvé(e).
"C:\WINDOWS\System32\drivers\webshieldfilter.sys" => non trouvé(e)
97cbb6af905b6a59 => Impossible d'arrêter le service.
HKLM\System\CurrentControlSet\Services\97cbb6af905b6a59 => impossible à supprimer, clé était peut-être protégé(e)

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 31-08-2019 13:42:22)

==> ATTENTION: Le système n'a pas redémarré.

Résultats de la suppression planifiée des clés après redémarrage:

HKLM\System\CurrentControlSet\Services\97cbb6af905b6a59 => impossible à supprimer, clé était peut-être protégé(e)

==== Fin de Fixlog 13:42:22 ====

[Malekal_morte]

Refais la correction mais en mode sans échec de Windows.

[rafael.nvs]

voici le texte.

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 29-08-2019
Exécuté par NEVES-PC (31-08-2019 15:11:16) Run:3
Exécuté depuis C:\Users\NEVES-PC\Desktop\Nouveau dossier (2)
Profils chargés: NEVES-PC (Profils disponibles: NEVES-PC & ecole)
Mode d'amorçage: Safe Mode (minimal)
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-651090852-3619195047-4042970772-1001\...\Run: [Chromium Update] => C:\Users\NEVES-PC\AppData\Local\Chromium\Update\1.3.99.0\ChromiumUpdateCore.exe
HKU\S-1-5-21-651090852-3619195047-4042970772-1001\...\Run: [Chromium] => c:\users\neves-pc\appdata\local\chromium\application\chrome.exe [4195328 2017-10-07] (The Chromium Authors) [Fichier non signé]
HKU\S-1-5-21-651090852-3619195047-4042970772-1001\...\Run: [utweb] => "C:\Users\NEVES-PC\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED
HKU\S-1-5-21-651090852-3619195047-4042970772-1001\...\Run: [uTorrent] => C:\Users\NEVES-PC\AppData\Roaming\uTorrent\uTorrent.exe [2084336 2019-08-21] (BitTorrent Inc -> BitTorrent Inc.)
R1 webshieldfilter; C:\WINDOWS\System32\drivers\webshieldfilter.sys [98944 2019-04-02] (Protected Antivirus Limited -> Windows (R) Win 7 DDK provider)
C:\WINDOWS\System32\drivers\webshieldfilter.sys
R1 97cbb6af905b6a59; C:\WINDOWS\system32\drivers\97cbb6af905b6a59.sys [33984 2019-08-29] (BlockChain Advances Ltd -> FsFilter Network)
C:\WINDOWS\system32\drivers\97cbb6af905b6a59.sys
2019-08-29 13:47 - 2019-08-29 13:47 - 000033984 _____ (FsFilter Network) C:\WINDOWS\system32\Drivers\97cbb6af905b6a59.sys
2019-08-29 13:46 - 2019-08-29 13:46 - 000000290 __RSH C:\Users\NEVES-PC\ntuser.pol
2019-08-29 13:45 - 2019-08-29 14:07 - 000000000 ____D C:\Users\NEVES-PC\AppData\Local\Mail.Ru
2019-08-29 13:45 - 2019-08-29 14:07 - 000000000 ____D C:\Program Files (x86)\Mail.Ru
2019-08-29 13:45 - 2019-08-29 13:46 - 000000290 __RSH C:\ProgramData\ntuser.pol
2019-08-29 13:45 - 2019-08-29 13:45 - 000000000 ____D C:\ProgramData\Mail.Ru
2019-08-29 13:45 - 2019-08-29 13:45 - 000000000 ____D C:\ProgramData\Lamia
2019-08-29 13:42 - 2019-08-29 13:42 - 003148862 _____ C:\Users\NEVES-PC\Downloads\bitdefender total security 2019 cra-a04fc59.zip
2019-08-28 21:26 - 2019-08-28 21:26 - 000000000 ____D C:\Users\NEVES-PC\AppData\Local\Steam
2019-08-28 21:26 - 2019-08-28 21:26 - 000000000 ____D C:\Users\NEVES-PC\AppData\Local\CEF
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Erreur: Un point de restauration ne peut être créé qu'en mode normal.
"HKU\S-1-5-21-651090852-3619195047-4042970772-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Chromium Update" => non trouvé(e)
"HKU\S-1-5-21-651090852-3619195047-4042970772-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Chromium" => non trouvé(e)
"HKU\S-1-5-21-651090852-3619195047-4042970772-1001\Software\Microsoft\Windows\CurrentVersion\Run\\utweb" => non trouvé(e)
"HKU\S-1-5-21-651090852-3619195047-4042970772-1001\Software\Microsoft\Windows\CurrentVersion\Run\\uTorrent" => non trouvé(e)
webshieldfilter => service non trouvé(e).
"C:\WINDOWS\System32\drivers\webshieldfilter.sys" => non trouvé(e)
HKLM\System\CurrentControlSet\Services\97cbb6af905b6a59 => supprimé(es) avec succès
97cbb6af905b6a59 => service supprimé(es) avec succès
C:\WINDOWS\system32\drivers\97cbb6af905b6a59.sys => déplacé(es) avec succès
"C:\WINDOWS\system32\Drivers\97cbb6af905b6a59.sys" => non trouvé(e)
C:\Users\NEVES-PC\ntuser.pol => déplacé(es) avec succès
C:\Users\NEVES-PC\AppData\Local\Mail.Ru => déplacé(es) avec succès
C:\Program Files (x86)\Mail.Ru => déplacé(es) avec succès
C:\ProgramData\ntuser.pol => déplacé(es) avec succès
C:\ProgramData\Mail.Ru => déplacé(es) avec succès
C:\ProgramData\Lamia => déplacé(es) avec succès
C:\Users\NEVES-PC\Downloads\bitdefender total security 2019 cra-a04fc59.zip => déplacé(es) avec succès
C:\Users\NEVES-PC\AppData\Local\Steam => déplacé(es) avec succès
C:\Users\NEVES-PC\AppData\Local\CEF => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-651090852-3619195047-4042970772-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-651090852-3619195047-4042970772-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 67232413 B
Java, Flash, Steam htmlcache => 464 B
Windows/system/drivers => 8433186 B
Edge => 5834843 B
Chrome => 8259932 B
Firefox => 221599529 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 9 B
LocalService => 19746 B
LocalService => 0 B
NetworkService => 4820462 B
NetworkService => 0 B
NEVES-PC => 122063212 B
ecole => 35150893 B

RecycleBin => 120371218 B
EmptyTemp: => 573.8 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 15:11:50 ====

[Malekal_morte]

Niquel.
Supprime le dossier C:\FRST


Termine par un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.

Pour terminer, à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.