Virus - Modification des raccourcis des navigateurs ver un site chinois

[RSODMA]

Bonjour,

Configuration: Windows 10 / Firefox 76.0

Modification des raccourcis des navigateurs = page par defaut site chinois...

Suite KMSPICO...
J'ai depuis des mois un virus (pas méchant mais très chiant ;-) ) qui pourrit la vie de mes parents.
Ce virus modifie les raccourcis des navigateurs avec une adresse http:sitechinois qui s'ouvre donc à la place de la page par défaut.
Pour firefox par ex : Clible : "C:\Program Files\Mozilla Firefox\firefox.exe" \http:sitechinois

Pour "contrer" je renomme Firefox.exe en Firefox - New.exe et les raccourci équivalent...

malgré le nettoyage manuel du raccourci - à chaque reboot rebelote...
J'ai cherché un peu partout (demarrage - applications - process...) lancé des malwarebyte, adware ou autres rien n'y fait.

Merci d'avance de votre aide.

https://pjjoint.malekal.com/files.php?i ... 3c15r14n10
https://pjjoint.malekal.com/files.php?i ... u8k11e6r14
https://pjjoint.malekal.com/files.php?i ... 13b12n11f5

[Malekal_morte]

Salut,


Le raccourci de Firefox pointe vers un New.exe
Pourquoi ?

Shortcut: C:\Users\Papy - Many\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firefox (2).lnk -> C:\Program Files\Mozilla Firefox\firefox - New.exe (Mozilla Corporation)

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
WMI:CIMV2\__FilterToConsumerBinding->\\.\root\cimv2:ActiveScriptEventConsumer.Name=\"VBScriptKids_consumer\"",Filter="\\.\root\cimv2:__EventFilter.Name=\"VBScriptKids_filter\"::
WMI:CIMV2\__TimerInstruction->VBScriptKids_timer::
WMI:CIMV2\__IntervalTimerInstruction->VBScriptKids_timer::
WMI:CIMV2\__EventFilter->VBScriptKids_filter::[Query => select * from __timerevent where timerid="VBScriptKids_timer"]
ShortcutWithArgument: C:\Users\Papy - Many\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://hao.169x.cn/?v=108
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[RSODMA]

Quelle réactivité ! Merci

Le virus scan les raccourci avec en cible Firefox.exe et il y ajoute une extension hxxp://hao.169x.cn/?v=108..
J'ai donc renommer le fichier .exe en New.exe et les raccourcis correspondants.
Le virus ne le trouve pas... ;-)

Je sais ce n'est pas très propre et surtout temporaire jusqu'à à chaque Mise à jour de Firefox...

Sinon l'extension revient à chaque reboot...

Est-ce que le script supprime le virus ? pour tous les navigateurs ? ou il ne corrige que raccourci infecté ?

[RSODMA]

Re,

Ci-joint le fixlog :

Code : Tout sélectionner

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"\\.\root\cimv2:ActiveScriptEventConsumer.Name=\"VBScriptKids_consumer\"",Filter="\\.\root\cimv2:__EventFilter.Name=\"VBScriptKids_filter\"" => supprimé(es) avec succès
"VBScriptKids_timer" => supprimé(es) avec succès
"VBScriptKids_timer" => non trouvé(e)
"VBScriptKids_filter" => supprimé(es) avec succès
C:\Users\Papy - Many\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk => Raccourci argument supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

Le système a dû redémarrer.

Trop fort - Vraiment MERCI beaucoup !

[angelique]

Voit si c'est mieux , si oui supprime C:\FRST

Si non re fait 2 nouveaux rapports frst.txt et addition.txt

[RSODMA]

Ok
j'attends un retour de mes parents après quelques jours d'utilisation.
Je vous tiens au courant.
Je mettrai le titre en [Résolu] et ferai un "petit don" par la même occasion ;-)

@Breizhilienne gauloise ---> Allez SB29 !!!