Se connecter / S'enregistrer
Votre question
Résolu

Supprimer le virus UCBrowser Chinois (Windows7)

Tags :
  • Windows 7
  • Virus
  • Adware
  • Sécurité
Dernière réponse : dans Sécurité et virus
14 Janvier 2017 15:10:19

Bonjour.

J'ai attrapé le virus chinois qui installe UCBrowser et qui met le bazar dans firefox déjà décrit par d'autre membres.

Je souhaiterai si possible réaliser la procédure déjà décrite avec FRST que j'ai installé et exécuté pour obtenir les fichiers FRST.txt et Addition.txt, prêts à être envoyés en rapports donc.

Merci d'avance pour toute réponse.

Knom.

Autres pages sur : supprimer virus ucbrowser chinois windows7

a c 291 8 Sécurité
a b $ Windows 7
14 Janvier 2017 16:41:55

Bonjour,

Donne les liens ;) 
m
0
l
15 Janvier 2017 07:55:55

Bonjour Destrio.

Merci beaucoup pour la réponse et l'aide !!

En général jusqu'à présent j'ai très rarement eu de virus et je m'en suis toujours sorti seul avec ADWCleaner, mais là ça marche pas.


Pour information, je pense que le virus était caché dans un driver pour une ancienne carte son MOTU (la galère des driver pour les " anciens" périphériques), puisque les problèmes sont apparus aussitôt après je crois.

Ci dessous les liens avec :

1° : un rapports ADWCleaner ;

https://up.security-x.fr/file.php?h=Re18ec5df2eb9189e43...

2° : le rapport FRST.txt :

https://up.security-x.fr/file.php?h=R8276b8fbeb3861dcf8...

3° : le rapport Addtion.txt :

https://up.security-x.fr/file.php?h=R290d41d4d3e9448c90...


Deux petites questions par curiosité au passage si vous avez le temps :

1° : vous établissez les scripts de dépannage FRST manuellement ?

2° : possible de se dépanner avec linux (j'utilise Ubuntu sur plusieurs autres machines) en mettant le disque dur Windows en disque externe et en supprimant les dossiers et fichiers impossibles à supprimer sous Windows (j'ai préféré d'abord passer par un forum avant d'essayer de bidouiller à l'aveugle au risque d'aggraver la situation) ?

Merci d'avance.

Knom.

m
0
l
Contenus similaires
a c 291 8 Sécurité
a b $ Windows 7
15 Janvier 2017 14:58:52

Citation :
1° : vous établissez les scripts de dépannage FRST manuellement ?

--> Oui :) 

Citation :
2° : possible de se dépanner avec linux (j'utilise Ubuntu sur plusieurs autres machines) en mettant le disque dur Windows en disque externe et en supprimant les dossiers et fichiers impossibles à supprimer sous Windows (j'ai préféré d'abord passer par un forum avant d'essayer de bidouiller à l'aveugle au risque d'aggraver la situation) ?

--> Ça peut être pratique mais avec FRST, on voit bien ce qu'il y a à supprimer aux différents endroits, pas seulement des fichiers / dossiers. Pour UCBrowser, il y a normalement un fichier uninstall dans son dossier d'installation.

Il est préférable d'utiliser l'option "Correction" de FRST en mode sans échec car UCBrowser est un peu récalcitrant :
http://www.commentcamarche.net/faq/5004-windows-demarra...

  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
  • Copie-colle le texte encadré ci-dessous dans le Bloc-notes :

    start
    CreateRestorePoint:
    CloseProcesses:
    HKLM\...\RunOnce: [OMEWPRODUCT_OCYO6] => C:\Users\Ordi\AppData\Local\Temp\CSNMSU5J8T.exe [470016 2017-01-12] () <===== ATTENTION
    HKLM\...\RunOnce: [OMEWPRODUCT_UJSHW] => C:\Users\Ordi\AppData\Local\Temp\HD03AY5XLC.exe [470016 2017-01-12] () <===== ATTENTION
    HKLM\...\RunOnce: [OMEWPRODUCT_GFMGM] => C:\Users\Ordi\AppData\Local\Temp\JD5NTK9UOY.exe [416768 2017-01-12] (ZGCU5) <===== ATTENTION
    HKLM\...\RunOnce: [OMEWPRODUCT_GZP1I] => C:\Users\Ordi\AppData\Local\Temp\GLOPWC3F6R.exe [416768 2017-01-12] (ZGCU5) <===== ATTENTION
    HKLM\...\RunOnce: [OMEWPRODUCT_3TL75] => C:\Users\Ordi\AppData\Local\Temp\NB320C5FAC.exe [416768 2017-01-12] (ZGCU5) <===== ATTENTION
    HKU\S-1-5-21-2836491324-3560562573-3031898982-1000\...\Run: [EBFD165QP1] => C:\Users\Ordi\AppData\Local\Temp\QZZUS1XNWO.exe [369152 2017-01-12] () <===== ATTENTION
    HKLM\...\Providers\6g52trko: C:\Program Files\Plerrat Helper\local32spl.dll [275968 2017-01-12] ()
    ShellExecuteHooks: Pas de nom - {248F8E34-D3F6-11E6-B993-64006A5CFC35} - -> Pas de fichier
    Tcpip\Parameters: [NameServer] 82.163.143.157 82.163.142.159
    HKU\S-1-5-21-2836491324-3560562573-3031898982-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoH_F-zjl_VoQxUNiSRkzT4sSYHyfvYmHCkuq0PIF3acd_zfNjyujEkWthePQ-_-SXDBs7W2KjHTAta-iLvwn_PX5qnIuYy_gtnvtPV6w6pmjTZLwR_wFit0A-HxIJCkikHCshh_LJTtaZVBxJZYdSKBtTDN8jK9Un0hof13LOA,,&q={searchTerms}
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL
    R2 MSBuildMSBuild; C:\Program Files\MSBuild\MSBuildMSBuild.dll [225792 2017-01-12] () [Fichier non signé]
    C:\Program Files\MSBuild\MSBuildMSBuild.dll
    R2 NVIDIACorporationVideoLAN; C:\Program Files\VideoLAN\NVIDIACorporationVideoLAN.dll [225792 2017-01-12] () [Fichier non signé]
    C:\Program Files\VideoLAN\NVIDIACorporationVideoLAN.dll
    S2 CleanBrowsergamesdesktop; rundll32.exe "C:\Program Files\gamesdesktop\CleanBrowsergamesdesktop.dll",soeasy [X]
    S4 gamesdesktopDBINWZLY; rundll32.exe "C:\Program Files\gamesdesktop\gamesdesktopDBINWZLY.dll",soeasy [X]
    C:\Program Files\gamesdesktop
    S2 MOTUXGRFPAJSGX; rundll32.exe "C:\Program Files\MOTU\MOTUXGRFPAJSGX.dll",soeasy [X]
    C:\Program Files\MOTU\MOTUXGRFPAJSGX.dll
    S2 Pramagh; C:\Program Files\Drerrusharugigh\drdModule.dll [X]
    C:\Program Files\Drerrusharugigh
    R1 ucdrv; C:\Program Files\UCBrowser\Security:ucdrv-x86.sys [19812 ] (UC Web Inc.) <==== ATTENTION
    C:\ProgramData\{E6F4860A-515F-31A1-ECAC-88E683A38F30}
    C:\ProgramData\3c71ba68-1373-0
    C:\ProgramData\{800B83BE-37A0-3415-20DD-2DDCE6B5D6E6}
    C:\ProgramData\{9A281BC3-2D83-AC68-1779-5346EBBB498A}
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegSeeker
    C:\ProgramData\1156562
    C:\ProgramData\{5BF4AE05-EC5F-19AE-1D60-048B230AC154}
    C:\Windows\system32\BIT5292.tmp
    C:\Users\Ordi\AppData\Local\Rbatychicing
    C:\Windows\Tasks\UCBrowserUpdater.job
    C:\Program Files\UCBrowser
    C:\Users\Ordi\AppData\Local\UCBrowser
    C:\ProgramData\Avira
    C:\ProgramData\Avg
    C:\ProgramData\AVAST Software
    C:\Program Files\Plerrat Helper
    C:\Users\Ordi\AppData\Roaming\Ateitherdiek
    C:\Users\Ordi\AppData\Local\Guretainpnudom
    C:\TOSTACK
    C:\Users\Ordi\AppData\Roaming\agent.dat
    C:\Users\Ordi\AppData\Roaming\Whitetech.bin
    C:\Users\Ordi\AppData\Roaming\Alphala.tst
    C:\Users\Ordi\AppData\Roaming\noah.dat
    C:\Users\Ordi\AppData\Roaming\Config.xml
    C:\Users\Ordi\AppData\Roaming\Main.dat
    C:\Users\Ordi\AppData\Roaming\Alphala.exe
    C:\Users\Ordi\AppData\Roaming\md.xml
    C:\Users\Ordi\AppData\Roaming\TonSonfan.exe
    C:\Users\Ordi\AppData\Roaming\Installer.dat
    C:\Users\Ordi\AppData\Roaming\lobby.dat
    C:\Users\Ordi\AppData\Roaming\TonSonfan.tst
    C:\Users\Ordi\AppData\Roaming\ApplicationHosting.dat
    C:\Users\Ordi\AppData\Roaming\InstallationConfiguration.xml
    C:\Users\Ordi\AppData\Roaming\aliexpress.ico
    C:\Users\Ordi\AppData\Roaming\booking.ico
    C:\Users\Ordi\AppData\Roaming\noah.dat
    C:\Users\Ordi\AppData\Roaming\uninstall_temp.ico
    Task: {158F863F-7989-48FC-BBCA-9132156AD1D1} - System32\Tasks\{4B45D687-FCEE-612C-A666-AFEB26BE9479} => C:\ProgramData\{9A281BC3-2D83-AC68-1779-5346EBBB498A}\E36088A0-54CB-3F0B-2469-3D33844C06FD.exe [2017-01-12] () <==== ATTENTION
    Task: {15F491E1-076E-4095-B7FA-FAC9BEB949FE} - System32\Tasks\UCBrowserUpdater => C:\Program Files\UCBrowser\Application\update_task.exe [2017-01-09] (UCWeb Inc) <==== ATTENTION
    Task: {3DDFC202-0A94-4D07-ADE9-B4D243789D85} - System32\Tasks\{63031FC5-D4A8-A86E-467E-6C0607803A48} => C:\ProgramData\{800B83BE-37A0-3415-20DD-2DDCE6B5D6E6}\83421C29-34E9-AB82-FF6F-4BABBFE9FB0C.exe [2017-01-13] () <==== ATTENTION
    Task: {48844A8E-8805-463E-BAA1-F4E2030AC4BE} - System32\Tasks\{EDDE6569-E45A-831B-69BA-713C41A6F24B} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\1156562\4baf8720.dll" <==== ATTENTION
    Task: {53C93BD1-BF3E-4B9C-A9A0-2868CC03E693} - System32\Tasks\Plerrat Helper => C:\Program Files\Chumerse\radile.exe
    C:\Program Files\Chumerse
    Task: {6A3396B1-33CE-4EA1-9A7E-0AD5DB8B7C9F} - System32\Tasks\{903EC18F-2795-7624-467E-4F9C86EC1862} => C:\ProgramData\{E6F4860A-515F-31A1-ECAC-88E683A38F30}\FFAAD668-4801-61C3-6FF5-005967BCCD7A.exe [2017-01-14] () <==== ATTENTION
    Task: {AE450E43-3E88-4C75-8A12-C5924E2C2918} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files\UCBrowser\Security\uclauncher.exe [2017-01-12] (UC Web Inc.) <==== ATTENTION
    Task: {FE140DC9-D084-441A-BC80-9D1BB0A92B21} - System32\Tasks\{AFD86670-1873-D1DB-24BE-042FBFEC76DB} => C:\ProgramData\{5BF4AE05-EC5F-19AE-1D60-048B230AC154}\6D228E64-DA89-39CF-A8A9-3AFD1A0B87F9.exe [2017-01-12] () <==== ATTENTION
    Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files\UCBrowser\Application\update_task.exe <==== ATTENTION
    AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x86.sys [19812]
    AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026]
    FirewallRules: [{2CBF9F56-DB3C-4240-A9A5-47834A97FBB8}] => C:\Program Files\UCBrowser\Application\UCBrowser.exe
    FirewallRules: [{564E14F5-337B-42E7-97A6-1B49941EA572}] => C:\Program Files\UCBrowser\Application\UCBrowser.exe
    cmd: ipconfig /flushdns
    Hosts:
    EmptyTemp:
    end

  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
  • Clique sur Corriger. Patiente le temps de la correction.

    Note : si l'outil a besoin d'un redémarrage, accepte pour qu'il termine son travail.

  • Une fois la correction terminée, un rapport Fixlog.txt remplacera le fichier fixlist.
  • Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
    m
    0
    l
    15 Janvier 2017 19:37:35

    Hello Destrio.

    Merci beaucoup pour ton travail d'expert manuel donc pour m'aider, un dimanche en plus : merci Macron !!! :) 

    J'ai donc effectué les tâches indiquées, en mode sans échec (et sans connexion internet activée, au cas où).

    A première vue c'est mieux, normal, après premier redémarrage.


    L'adresse pour le fichier "Fixlog" pour l'expertise après traitement :

    http://pjjoint.malekal.com/files.php?id=20170115_m11l5l...


    J'ai vu qu'il semble possible d'apprendre à établir les scripts de dépannage FRST en suivant un tutoriels sur un site spécialisé sur le net, mais ça à l'air costaud à première vue.

    Encore merci donc.

    Knom - Eric
    m
    0
    l
    a c 291 8 Sécurité
    a b $ Windows 7
    15 Janvier 2017 19:56:39

    Il existe des forums pour apprendre à désinfecter.

    Je voudrais un nouveau rapport d'analyse FRST (et Addition) s'il te plaît.
    m
    0
    l
    a c 291 8 Sécurité
    a b $ Windows 7
    16 Janvier 2017 11:06:53

    Tu m'as donné deux fois le même lien.

    Mais je vois que FRST n'a pas réussi à supprimer les AlternateDataStreams d'UCBrowser déjà :( 
    m
    0
    l
    16 Janvier 2017 14:31:48

    Désolé pour le lien en doublon !

    Du coup finalement Firefox a fini par mal fonctionné un certain temps après que je t'ai envoyé le rapport FRST : gros problème d'affichage des fenêtres Firefox (figements momentanés longs + morcellement des fenêtre avec des parties noires).

    J'ai exécuté deux fois AdwCleaner, sans connexion internet active, avant de refaire les rapports FRST ; la première fois il a trouvé 13 problèmes dans les registres (il y a encore des restes d'UCBrowser), et rien la deuxième fois après redémarrage.

    Le premier rapport d'AdwCleaner avec les problèmes détectés :

    http://pjjoint.malekal.com/files.php?id=20170116_w12n5f...


    Puis j'ai exécuté FRST (toujours sans connexion internet active) :

    1° : le rapport FRST.txt :

    http://pjjoint.malekal.com/files.php?id=FRST_20170116_y...

    2° : le rapport Addition.txt :

    http://pjjoint.malekal.com/files.php?id=20170116_c6u14y...


    Ce virus donne du fil à retordre !!!

    A+ donc.
    m
    0
    l
    a c 291 8 Sécurité
    a b $ Windows 7
    16 Janvier 2017 21:38:10

    Un nouveau fixlist pour l'option "Corriger" de FRST :

    start
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-2836491324-3560562573-3031898982-1000\...\Run: [EBFD165QP1] => "C:\Users\Ordi\AppData\Local\Temp\QZZUS1XNWO.exe" <===== ATTENTION
    C:\Users\Ordi\AppData\Local\Temp\QZZUS1XNWO.exe
    Tcpip\Parameters: [NameServer] 82.163.143.157 82.163.142.159
    CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x86.sys [19812]
    AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026]
    FirewallRules: [{2CBF9F56-DB3C-4240-A9A5-47834A97FBB8}] => C:\Program Files\UCBrowser\Application\UCBrowser.exe
    FirewallRules: [{564E14F5-337B-42E7-97A6-1B49941EA572}] => C:\Program Files\UCBrowser\Application\UCBrowser.exe
    cmd: ipconfig /flushdns
    EmptyTemp:
    end
    m
    0
    l
    a c 291 8 Sécurité
    a b $ Windows 7
    18 Janvier 2017 08:07:07

    Citation :
    Tcpip\Parameters: [NameServer] 82.163.143.157 82.163.142.159

    --> Pour supprimer DNS Unlocker :
    https://www.malekal.com/comment-changer-les-dns/


    Les ADS d'UCBrowser sont toujours là. Tentons avec un outil plus puissant :

    /!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

    • Télécharge ComboFix (de sUBs) sur ton Bureau.

    • Clique droit sur ComboFix.exe (le .exe n'est pas forcément visible) et choisis Exécuter en tant qu'administrateur afin de le lancer.

    • Réponds Oui au message d'avertissement pour que ComboFix commence l'analyse de ton PC.

    • Lorsqu'elle sera terminée, un rapport apparaîtra. Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ta réponse. Le rapport se trouve à la racine du disque (C:\Combofix.txt).


  • Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    m
    0
    l
    19 Janvier 2017 07:24:02

    Bonjour Destrio.

    I° : Pour DNS Unlocker :

    - il n'y avait aucune adresse DNS mise en mode manuel dans les paramétrages des cartes wifi ou ethernet (je me connecte seulement en wifi) :

    - ensuite :

    - j'ai exécuté un coup de ccleaner en cochant la case "Cache DNS" (pour activer le nettoyage de cache DNS ?) ;

    - puis j'ai ouvert Firefox et exécuté une "Réparation de Firefox" pour nettoyer ce qui pouvait l'être ainsi.



    II° : Pour le rapport ComboFix :

    - J'ai téléchargé et installé ComboFix ;

    - j'ai désactivé l'UAC et le Pare Feu Windows ;

    - j'ai exécuté ComboFix qui a donné le rapport suivant :

    http://pjjoint.malekal.com/files.php?id=20170119_g15e15...

    - j'ai réactivé l'UAC etle Pare Feu Windows ;


    --> j'ai regardé le rapport ComboFix :

    il y a des lignes indiquant "UCHTML" dans le "FileExts / UserChoice" d'Explorer pour les extensions de fichiers suivantes :

    .crx, .htm, .mht, .shtm, .shtml, .webp, .xht, .xhtml

    --> après recherche sur le net, j'ai regardé dans "Windows / Programmes / Programmes par défaut / Définir les associations", et il y a effectivement :

    - il y a un ".crx UC HTML Document" avec l'indication d'application associée "Application inconnue" ;

    - il y a un ".mht UC HTML Document" avec l'indication d'application associée "Application inconnue" ;

    - il y a un ".shtm UC HTML Document" avec l'indication d'application associée "Application inconnue" ;

    - il y a un ".webp UC HTML Document" avec l'indication d'application associée "Application inconue" ;


    par contre pour les autres extensions de fichier, ce n'est pas UC HTML qui est indiqué dans la colonne "Description" mais Firefox :


    - il y a un ".html Firefox HTML Document" avec l'indication d'application associée "FireFox HTML Document"

    - il y a un ".shtml Firefox HTML Document" avec l'indication d'application associée "FireFox HTML Document" ;

    - il y a un ".xht Firefox HTML Document" avec l'indication d'application associée "FireFox HTML Document" ;

    - il y a un ".xhtml Firefox HTML Document" avec l'indication d'application associée "FireFox HTML Document" ;


    Il y a aussi d'autres associations indiquées qui peut-être sont sources de problème (?):


    - il y a un ".secstore FICHIER SECTORE" avec l'indication d'application associée "Application inconue" : = source de problème ??

    - il y a un ".sfcache Fichier ReadyBoost" FICHIER SECTORE avec l'indication d'application associée "Application inconue" : = source de problème ??

    - il y a deux "pubhtml" avec l'indication d'application associée "Application inconue" : = source de problème ???


    => Est-ce qu'il faut faire un nettoyage manuel de la base des registres de Windows avec la procédure suivante pour supprimer les associations d'Explorer pour les extensions de fichiers indiquées (??

    (après recherche sur le net, j'ai trouvé les instructions suivantes pour nettoyer Explorer :

    Démarrer -> Exécuter , taper regedit.exe
    Déployer la branche
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\ + ".désignation de type de fichier"

    Si il existe une sous-clé nommée UserChoice (dans le dossier ".désignation de type de fichier"), la supprimer tout simplement. )


    Dans le rapport ComboFix, alors que j'avais supprimé le driver MOTU probablement source de l'infection, il y a aussi indiqué :

    R3 motubus;MOTU Audio MIDI Extension;c:\windows\system32\drivers\MotuBus.sys [x]

    => Faut-il le supprimer et si oui avec quelle méthode ??


    En espérant avoir fait correctement ce qu'il fallait et que mes indications t'aideront.

    Merci.

    Knom.
    m
    0
    l
    a c 291 8 Sécurité
    a b $ Windows 7
    19 Janvier 2017 18:03:42

    Pour les clés de registre, je ne sais pas à vrai dire, je vais me renseigner.

    Citation :
    Dans le rapport ComboFix, alors que j'avais supprimé le driver MOTU probablement source de l'infection, il y a aussi indiqué :

    R3 motubus;MOTU Audio MIDI Extension;c:\windows\system32\drivers\MotuBus.sys [x]

    => Faut-il le supprimer et si oui avec quelle méthode ??

    --> Je ne crois pas que ce pilote soit une infection, c'est l'installateur qui devait être pourri, il a installé des cochonneries en plus du pilote. On peut le retirer facilement, ce n'est pas ce qui me préoccupe.

    En attendant, passe un coup de Malwarebytes' Anti-Malware et transmets-moi le rapport :
    http://www.commentcamarche.net/faq/15773-tutoriel-malwa...
    m
    0
    l
    a c 291 8 Sécurité
    a b $ Windows 7
    25 Janvier 2017 14:19:27

      Désactive toute protection résidente (Antivirus...) !

    • Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

      KillAll::

      ADS::

      Driver::
      motubus

      Folder::
      c:\users\Ordi\AppData\Local\{12A8CCFE-3C33-4995-BAD8-074E4C5B22FD}
      c:\program files\Plumbytes Software
      c:\users\Ordi\AppData\Roaming\Profiles

      Registry::
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      "Pramagh"=-
      "LocalMediaService"=-

    • Ouvre le Bloc-notes.

      - Colle (CTRL+V) le texte dans le Bloc-notes.
      - Enregistre ce fichier dans : Bureau
      - Nom du fichier : CFScript
      - Type du fichier : tous les fichiers.
      - Clique sur Enregistrer.
      - Quitte le Bloc-notes.

    • Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



    • Cela va relancer Combofix : au message qui apparaît, accepte.
    • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
    • Ne touche à rien tant que le scan n'est pas terminé.
    • Une fois le scan achevé, un rapport va s'afficher, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ta réponse.
    • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt
    m
    0
    l
    25 Janvier 2017 19:46:24

    Hello Destrio.

    J'ai donc désactivé l'UAC, ainsi que le Firewall de Windows, et j'ai désinstallé Malwarebytes (car je n'ai pas trouvé de désactivation générale : dans le doute je l'ai donc désinstallé pour être suûr qu'il ne perturbe pas ComboFix).

    J'ai quitté Firefox.

    J'ai réalisé l'action demandé en lançant le script pour ComboFix (et le laissant faire complètement), dont le rapport est au lien suivant :

    http://pjjoint.malekal.com/files.php?id=20170125_u7q13d...


    L'ordinateur a redémarré avant d'afficher le rapport.

    J'ai réactivé ensuite l'UAC et le Firewall de Windows.

    Merci.
    m
    0
    l
    a c 291 8 Sécurité
    a b $ Windows 7
    26 Janvier 2017 00:26:05

    Ok, un nouveau rapport d'analyse FRST (et Addition) s'il te plaît :) 
    m
    0
    l

    Meilleure solution

    a c 291 8 Sécurité
    a b $ Windows 7
    27 Janvier 2017 13:14:36

    Citation :
    Error: (01/25/2017 08:35:35 PM) (Source: Disk) (EventID: 7) (User: )
    Description: Le périphérique \Device\Harddisk0\DR0 comporte un bloc défectueux.

    --> Ton disque dur semble fatigué. Si tu as des données importantes, sauvegarde-les sur un autre support, on ne sait jamais.

    Pour finir :


    1/

    * Lance CCleaner. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures puis dans Surveillance, décoche les deux cases.
    * Va dans Nettoyeur et lance le nettoyage.


    2/

    ---> Télécharge DelFix sur ton Bureau puis lance-le.
    * Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.
    * Clique sur Exécuter.
    * Poste le rapport.


    ==Prévention==

    Adware Prevention permet de t'entraîner à ne pas accepter de PUPs / adwares lors d'installations de logiciels :
    http://security-x.fr/~guigui0001/

    http://www.malekal.com/detection-puplpi-potentially-unw...

    Un dossier sur la prévention et sécurité sur Internet est disponible ici.


    ==Problème résolu ?==

    Si tu estimes que ton problème est résolu, clique sur un des boutons Sélectionner comme meilleure solution présents en bas de mes réponses.
    partage
    30 Janvier 2017 17:12:51

    Hello Destrio.

    J'ai effectivement vu dans les rapports précédents que il y avait des soucis avec des secteurs du disque durs ; je me sers de ce PC que pour avoir une connexion internet par wifi (mon récepteur wifi TP-Link ne peut pas fonctionner avec mon autre ordinateur mac sous Linux Ubuntu avec lequel je travaille).

    J'ai exécuté les actions CCleaner et DelFix comme demandé.

    CCleaner a nettoyé beaucoup de fichiers dans le cache de Firefox.


    Ci-joint le lien vers le rapport DelFix :

    http://pjjoint.malekal.com/files.php?id=20170130_o6s12o...


    Merci.
    m
    0
    l
    a c 291 8 Sécurité
    a b $ Windows 7
    31 Janvier 2017 00:22:29

    Ok pour DelFix :) 
    m
    0
    l
    3 Février 2017 11:15:06

    Hello Destrio.

    Merci beaucoup pour l'aide et la résolution du problème !!! :) 

    Knom.
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS