Votre question
Résolu

Infection de Noël - UCBrowser chinois

Tags :
  • Adware
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Décembre 2016 12:32:58

Bonjour et avant tout joyeux Noël !

Je dois "déviruser" un pc infecter par un trojan d'origine chinoise à priori... Déjà traité semble-t'il sur le forum. Syptomes : UCbrowser chinois, pubs et ralentissements (même si l'ordi n'est pas de première jeunesse...) et petits logiciels qui se sont installés...

Je suis en cours avec Adaware (nettoyage).

Merci pour votre aide (et désolé si je n'ai pas fait les choses dans l'ordre).

Greg.

Autres pages sur : infection noel ucbrowser chinois

a c 295 8 Sécurité
25 Décembre 2016 16:50:51

Bonjour,


1/

  • Télécharge et lance AdwCleaner (de ToolsLib / Malwarebytes), choisis l'option "Scanner".

  • Une fois le scan terminé, choisis l'option Nettoyer.

  • Redémarre le PC comme demandé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ta réponse. Le rapport est enregistré dans C:\AdwCleaner sous le nom d'AdwCleaner[C?].



  • 2/

    • Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

      Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.

      32 ou 64 bits - Comment savoir ?

    • Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).

    • Coche la case Addition.txt.

    • Clique sur le bouton Analyser.

    • Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.

    • Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.
    m
    0
    l
    Contenus similaires
    a c 295 8 Sécurité
    25 Décembre 2016 17:48:28

    Citation :
    Joyeux Noël

    --> A toi aussi ;) 

    Citation :
    McAfee Security Scan Plus
    Intel Security True Key

    --> A désinstaller, ils se sont installés en même temps qu'Adobe Flash Player car tu n'as pas décoché les cases.

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
    • Copie-colle le texte encadré ci-dessous dans le Bloc-notes :

      start
      CreateRestorePoint:
      CloseProcesses:
      HKLM\...\RunOnce: [OMEWPRODUCT_215MR] => C:\Users\Virginie\AppData\Local\Temp\FQLTE3IURF.exe [355328 2016-12-25] (B15TK) <===== ATTENTION
      HKU\S-1-5-21-3803406999-3197725375-3568209317-1000\...\Run: [YLZBIQ69NY] => C:\Users\Virginie\AppData\Local\Temp\TU5DFG6CET\caster.exe [369152 2016-12-25] () <===== ATTENTION
      HKU\S-1-5-21-3803406999-3197725375-3568209317-1000\...\Run: [PYZM771VE4] => C:\Users\Virginie\AppData\Local\Temp\KTGPLF8322.exe [369152 2016-12-25] () <===== ATTENTION
      HKU\S-1-5-21-3803406999-3197725375-3568209317-1000\...\Run: [AESNBRQHJY] => C:\Program Files\KVVSOKR2VB\OGKU4QV8I.exe [369152 2016-12-25] ()
      C:\Program Files\KVVSOKR2VB
      HKU\S-1-5-21-3803406999-3197725375-3568209317-1000\...\Run: [2M1FZIODTK] => C:\Program Files\0J2Q2ODOE7\UYJYUS379.exe [369152 2016-12-25] ()
      C:\Program Files\0J2Q2ODOE7
      HKU\S-1-5-21-3803406999-3197725375-3568209317-1000\...\Run: [LGSMX7SWRR] => C:\Program Files\FBG75Y9H7E\FBG75Y9H7.exe [369152 2016-12-25] ()
      C:\Program Files\FBG75Y9H7E
      HKU\S-1-5-21-3803406999-3197725375-3568209317-1000\...\Run: [360wp-srv] => C:\Users\Virginie\AppData\Roaming\360bizhi\360wpsrv.exe [1636264 2016-12-09] (360.cn)
      HKU\S-1-5-21-3803406999-3197725375-3568209317-1000\...\Run: [KTDKMVO40M] => C:\Users\Virginie\AppData\Local\Temp\7DR62MJG1\7DR62MJG1.exe [369152 2016-12-25] () <===== ATTENTION
      HKU\S-1-5-18\...\Run: [] => 0
      ShellExecuteHooks: Pas de nom - {5163BFF8-C683-11E6-92FB-64006A5CFC23} - -> Pas de fichier
      ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\¿ìѹ\X64\KZipShell.dll [2016-12-25] ()
      FF SelectedSearchEngine: Mozilla\Firefox\Profiles\hhy3stfz.default-1440836584570 ->
      FF Keyword.URL: Mozilla\Firefox\Profiles\hhy3stfz.default-1440836584570 -> hxxp://www-searching.com/search.aspx?site=shdefault1&prd=smw&pid=s&shr=d&q={searchTerms}&s=GCPzftptn095001AU,4b8850d2-d495-498e-aca1-6706c7aa73b4,
      FF SearchPlugin: C:\Users\Virginie\AppData\Roaming\Mozilla\Firefox\Profiles\hhy3stfz.default-1440836584570\searchplugins\vdjj216m.xml [2016-12-25]
      NETSVCx32: HpSvc -> pas de chemin du fichier.
      NETSVCx32: GmSvc -> pas de chemin du fichier.
      NETSVCx32: WpSvc -> pas de chemin du fichier.
      C:\Windows\System32\Tasks\UCBrowserUpdaterCore
      C:\Windows\Tasks\UCBrowserUpdaterCore.job
      C:\Windows\system32\Drivers\KuaiZipDrive.sys
      C:\Users\Virginie\AppData\Roaming\KuaiZip
      C:\Users\Virginie\AppData\Roaming\Ludashi
      C:\Users\Virginie\AppData\Roaming\lockhomepage
      C:\Program Files (x86)\Microleaves
      C:\Users\Virginie\AppData\Roaming\360wp
      C:\Program Files (x86)\360
      C:\Users\Virginie\AppData\Roaming\LDSGameAssistant
      C:\Users\Virginie\AppData\Roaming\360bizhi
      C:\Users\Virginie\AppData\Roaming\navplugin
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
      C:\Windows\Tasks\UCBrowserUpdater.job
      C:\Windows\system32\NetUtils2016.dll
      C:\Windows\system32\Drivers\NetUtils2016.sys
      C:\Windows\System32\Tasks\UCBrowserUpdater
      C:\Windows\SysWOW64\sstmp
      C:\Windows\system32\sstmp
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
      C:\Users\Virginie\AppData\Local\UCBrowser
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
      C:\Program Files (x86)\UCBrowser
      C:\Program Files\¿ìѹ
      C:\Windows\system32\SSL
      C:\Windows\System32\Tasks\SMW_UpdateTask_Time_3831333934373037362d5a4a6c414a34572a506c415a
      C:\Users\Virginie\AppData\Local\svchost
      C:\Program Files\Common Files\Noobzo
      C:\Windows\system32\chtbrkg.dll
      C:\Windows\SysWOW64\chtbrkg.dll
      C:\Windows\system32\BIT29A4.tmp
      C:\TOSTACK
      C:\Users\Virginie\AppData\Roaming\Gukespheery
      C:\Program Files (x86)\KMSPico 10.0.6
      C:\Windows\System32\Tasks\Geperingmakicult Helper
      C:\Users\Virginie\AppData\Local\Steqiwardeadom
      C:\Program Files (x86)\Qoberdom Client
      C:\Program Files (x86)\Drowiing
      C:\Windows\fd20486264140365167a29760bd8ddd5.exe
      Task: {00330972-8526-47F6-B112-8A29DECDB3BF} - System32\Tasks\SMW_UpdateTask_Time_3831333934373037362d5a4a6c414a34572a506c415a => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 <==== ATTENTION
      Task: {12065CDA-4FFC-4482-913E-AE653D8E4D48} - System32\Tasks\Geperingmakicult Helper => C:\Program Files (x86)\Drowiing\ghomupy.exe [2016-12-25] (Glarysoft Ltd)
      Task: {27F86698-D402-4E5B-BA10-B61C87BB5B1D} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-12-20] (UCWeb Inc) <==== ATTENTION
      Task: {6111D536-E5C2-4B44-A82A-9C7FD2E65282} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-12-20] (UCWeb Inc) <==== ATTENTION
      Task: {8C2AAF25-FC81-4E5A-A9F6-886157A9F4E8} - System32\Tasks\{3CD0E7A8-0DB4-4C9E-A6CC-5CD4E922E775} => pcalua.exe -a C:\PROGRA~2\SearchProtect\Main\bin\uninstall.exe -c /S <==== ATTENTION
      Task: {A5973E51-6CA3-423D-8BB9-286A5189DF5D} - System32\Tasks\{07663565-A559-45CC-95E2-A91BB4B45AA6} => pcalua.exe -a C:\Users\Virginie\Downloads\jxpiinstall(1).exe -d C:\Users\Virginie\Downloads
      Task: {C31A9D95-17E0-4564-B350-0E9CE6EF5FC5} - \bvxvyxxvcy -> Pas de fichier <==== ATTENTION
      Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
      Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
      WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
      ShortcutWithArgument: C:\Users\Virginie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://moosjs.cn/
      ShortcutWithArgument: C:\Users\Virginie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://moosjs.cn/
      ShortcutWithArgument: C:\Users\Virginie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://moosjs.cn/
      ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://moosjs.cn/
      AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [80850]
      AlternateDataStreams: C:\Windows\system32\drivers:x64 [364744]
      AlternateDataStreams: C:\Windows\system32\drivers:x86 [1176354]
      Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5C2B5FB4-B961-4BA8-AAC5-11381225A8FA}" /f
      Hosts:
      EmptyTemp:
      end

    • Enregistre le fichier dans le dossier "Téléchargements" (au même endroit que FRST) sous le nom fixlist.txt
    • Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
    • Clique sur Corriger. Patiente le temps de la correction.

      Note : si l'outil a besoin d'un redémarrage, accepte pour qu'il termine son travail.

    • Une fois la correction terminée, un rapport Fixlog.txt remplacera le fichier fixlist.
    • Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
    m
    0
    l
    25 Décembre 2016 18:36:43

    --> A désinstaller, ils se sont installés en même temps qu'Adobe Flash Player car tu n'as pas décoché les cases.

    Heu... Je me suis permis de les laisser, leur installation précède l'apparition du pb. McAffee est là depuis 2014, il s'agit de l'antivirus que j'ai installé à l'époque sur le pc. Si tu n'y voit pas de contre-indication...Et l'autre est là depuis 5 jours

    Rapport ci-dessous :
    http://pjjoint.malekal.com/files.php?id=20161225_z8u14i...

    Merci !
    m
    0
    l
    a c 295 8 Sécurité
    25 Décembre 2016 18:53:23

    Citation :
    Heu... Je me suis permis de les laisser, leur installation précède l'apparition du pb. McAffee est là depuis 2014, il s'agit de l'antivirus que j'ai installé à l'époque sur le pc. Si tu n'y voit pas de contre-indication...Et l'autre est là depuis 5 jours

    --> Je ne parlais pas de l'antivirus mais c'est toi qui voit.

    Citation :
    Malwarebytes Anti-Malware version 2.2.0.1024

    --> Installe la version 3 et fais un scan :
    http://www.commentcamarche.net/faq/15773-tutoriel-malwa...
    m
    0
    l
    25 Décembre 2016 19:18:39

    Bon, ca va plutôt mieux.

    9 menaces que j'ai mises en quarantaine et je te poste le rapport si besoin :
    http://pjjoint.malekal.com/files.php?id=20161225_d10d7u...

    Pour info, j'ai toujours l'icône du browser dans le menu démarrer, mais je suppose que c'est un reliquat qui disparaîtra au redémarrage.

    En tout cas, plus de pub intempestives...


    m
    0
    l
    a c 295 8 Sécurité
    25 Décembre 2016 19:22:28

    Citation :
    Pour info, j'ai toujours l'icône du browser dans le menu démarrer, mais je suppose que c'est un reliquat qui disparaîtra au redémarrage.

    --> Tu ne peux pas juste faire clic droit > Supprimer ?

    Citation :
    En tout cas, plus de pub intempestives...

    --> Bonne nouvelle ;) 

    Je voudrais un nouveau rapport d'analyse FRST (et Addition) s'il te plaît (pour vérifier).
    m
    0
    l

    Meilleure solution

    a c 295 8 Sécurité
    25 Décembre 2016 19:57:31

    Pour finir :


    1/

    * Lance CCleaner. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures puis dans Surveillance, décoche les deux cases.
    * Va dans Nettoyeur et lance le nettoyage.


    2/

    ---> Télécharge DelFix sur ton Bureau puis lance-le.
    * Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.
    * Clique sur Exécuter.
    * Poste le rapport.


    ==Prévention==

    "Adobe Flash Player 10 ActiveX"
    --> Mets-le à jour ou désinstalle-le :
    https://fpdownload.macromedia.com/pub/flashplayer/lates...

    Adware Prevention permet de t'entraîner à ne pas accepter de PUPs / adwares lors d'installations de logiciels :
    http://security-x.fr/~guigui0001/

    http://www.malekal.com/detection-puplpi-potentially-unw...

    Un dossier sur la prévention et sécurité sur Internet est disponible ici.


    ==Problème résolu ?==

    Si tu estimes que ton problème est résolu, clique sur un des boutons Sélectionner comme meilleure solution présents en bas de mes réponses.
    partage
    a c 295 8 Sécurité
    25 Décembre 2016 23:37:46

    Ok pour DelFix.

    Bonne soirée / nuit ;) 
    m
    0
    l
    26 Décembre 2016 12:34:17

    Super ! Merci beaucoup pour ton aide et ta disponibilité un 25 décembre !
    m
    0
    l
    31 Décembre 2016 00:01:05

    Bonjour, j'ai aussi été infectée par ce virus, dois-je suivre les mêmes étapes et vous les envoyer ?

    Merci de votre réponse, mes travaux d'études y sont en jeux :( 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS