Se connecter / S'enregistrer
Votre question
Résolu

PC infecté : Tout essayé...!?

Tags :
  • Virus
  • Nettoyage
  • Sécurité
  • Adware
Dernière réponse : dans Sécurité et virus
17 Avril 2017 16:29:06

Bonjour à tous,

je viens vers vous car il y'a deux moi j'ai acheté un nouvel ordinateur portable et je l'ai infecté accidentellement en installant un logiciel des le premier jours...J'ai d'abord laissé coulé car j'avais des impératifs pro avec cette machine mais al le problème prend un peu d'ampleur et j'aimerais solutionner ce problème.

Mon navigateur popup sur des pages du genre startpageing123 etc...j'ai été infecté par des virus chinois également ( kuaizip et maoha je crois!) et il y'a plein de dossier de provenance inconnus dans le dossier programmes! Bref un beau bazard!

J'ai utiliser pas mal de logiciel du type malwarebytes, trojan hunter, adw cleaner...mais des virus semble toujours présent!

J'aimerai savoir si l'un d'entre vous pouvait me donner un coup de main pour le nettoyer! Je lui en serait très reconnaissant.

Merci d'avance. :) 
Thomas

Autres pages sur : infecte essaye

17 Avril 2017 18:07:38

Bonjour Thomas_28000,



=============================================================================
Je m'appelle Jonathan, je suis actuellement en formation sécurité: je vais te prendre en charge sur ton problème. Soit rassuré, toutes mes réponses seront validées par un expert en sécurité avant de te les envoyer.
Soit patient pour les réponses car j'ai une vie en dehors du forum. Merci de ta compréhension.
La désinfection se passeras en plusieurs étapes. Même si les symptômes semble avoir disparu, la désinfection ne seras terminée que lorsque je te le signalerais.
=============================================================================

Je reviens vers toi et je te donne les premières consignes à faire.


Jonathan
m
0
l
17 Avril 2017 18:40:53

Re,


Dans un premier temps, nous allons effectuer un diagnostic permettant de voir ce qui ne va pas sur ton ordinateur. Soit rassuré, aucunes informations confidentielles ne peuvent être lues par cette analyse.

/!\ Attention, ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

Choisis ci-dessous la version compatible avec ton système (32 bits ou 64 bits)
En cas de doute sur ta version, clique sur ce lien: Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

Important, Enregistre le logiciel de diagnostic FRST sur ton Bureau et pas ailleurs, c'est important.




  • Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même


    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
      /!\ Sous Vista, Windows 7 , 8.1 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, veille à ce que les cases demandées soient cochées puis clique sur Analyser et patiente le temps de l'analyse.

    • A la fin du scan, un rapport FRST.txt s'ouvre.
    • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt
    • Héberge ces rapports sur ce site d'hébergement de fichiers
    • Appui sur Parcourir et cherche le rapport FRST.txt sur le bureau
    • Clique sur Ouvrir
    • Clique sur ENVOI,
    • Puis copie/colle les liens fourni ICI dans ta prochaine réponse
    • Fait de même pour le rapport additions.txt et shortcut.txt
    • Les rapports sont enregistrés au même emplacement que l'outil, c'est à dire ton bureau et éventuellement C:\FRST\Logs


  • Aide en images pour l'hébergement des rapports

    ================================================================

    Il me faut le rapport Malwarebytes:
    Fait ceci pour le récupérer.


    • Ouvre Malwarebytes
    • Clique sur l'onglet Compte rendu
    • Coche la case compte rendu relatif à ta dernière analyse
    • Clique sur afficher le compte rendu
    • Clique sur Exporter
    • Clique sur fichier texte (.txt)
    • Indique le bureau comme destination et donne le nom RapportMalwares.txt à ce rapport Héberge ce rapport sur ce site d'hébergement de fichiers


  • Il me faut également le dernier rapport d'Adwcleaner se trouvant sous C:\AdwCleaner\AdwCleaner(Cx).txt
    =============================================================



    tu as donc cinq rapports à fournir:

    --> FRST.txt
    --> Addition.txt
    -->shortcut.txt
    -->C:\AdwCleaner\AdwCleaner(Cx).txt
    --> RapportMalwares.txt

    Jonathan
    m
    0
    l
    Contenus similaires
    17 Avril 2017 21:29:43

    Bonsoir Jonathan,

    Merci beaucoup pour ton aide et le temps que tu m'accordes.

    J'ai suivi tes indications à la lettre et voici les rapports que tu m'as demandé ( Tous datent de ce jours!) :

    FRST : https://up.security-x.fr/file.php?h=R72267e3272c4e06fe2...
    Addition : https://up.security-x.fr/file.php?h=Rc946ca898384ca8835...
    Shortcut : https://up.security-x.fr/file.php?h=Rf1583070a2b4cbea6b...
    Rapport AdwCleaner : https://up.security-x.fr/file.php?h=R66e697f325852f27b3...
    Rapport Malwares : https://up.security-x.fr/file.php?h=R8580ae3b6314a34697...


    Voila, je pense que tout est la.


    Bonne soirée

    Thomas

    m
    0
    l
    19 Avril 2017 16:23:53

    Bonjour Thomas_28000,

    Désolé pour le temps d'attente, le week-end à rallonge et l'analyse des rapports.


    Question:

    Je vois sur ton rapport le logiciel Roguekiller d'installé, si tu l'as utilisé, peux tu fournir le rapport, stp ? ( Attention de ne pas lancer le logiciel pour avoir le rapport comme tu l'as fait pour Adwcleaner et Malwarebytes).
    Si pas de rapport Roguekiller, tu passes à la procédure suivante.


    ==============================================================
    Ton disque dur est saturé: Il y a risque de ralentissement et de dysfonctionnement pour Windows.

    Drive c: (OS) (Fixed) (Total:118.48 GB) [color=red](Free:5.43 GB)[/color] NTFS ==>[système avec composants d'amorçage (obtenu depuis lecteur)]


    ===>Archive tes documents sur un autre support afin de libérer de la place, supprime ce qui est inutile pour faire de la place.
    ===================================================================

    Ensuite , vérifie et répare ceci.
    Le restauration système est désactivé sur ton PC:


    Effectue cette procédure:
    --> Dans l’encadré Cortana/Rechercher tape restauration et valide par Entrée
    --> Vérifie que la protection du système sur le lecteur C soit bien activée
    --> Si pas activée , clique sur C: puis Configurer --> Activer la protection du système --> Appliquer --> OK

    Lien imagé pour mieux comprendre

    Jonathan
    m
    0
    l
    21 Avril 2017 19:54:19

    Bonjour Thomas_28000,

    Un problème particulier pour réactiver la restauration système ou autre ?


    Amicalement
    Jonathan
    m
    0
    l
    24 Avril 2017 21:09:57

    Salut Jonathan!

    Alors non il n'y'a pas de problème pour la restauration. Je l'ai activé! J'ai alloué 3,55go sur le disque. Est-ce suffisant?

    Par contre pour la saturation du disque je ne peux pour l'heure rien faire! Tout ce qui est dessus m'est utile ! Ce sont des programmes de musique : Je suis musicien et je n'ai pas les moyen d'acheter un ssd plus gros pour le moment! Mes banques de sons sont sur le deuxième disque mais j'ai volontairement mis les programmes sur le ssd pour éviter tout ralentissement! Et autant te dire que pour le moment je ne tourne qu'avec le strict minimum! ^^

    Pour le log roguekiller j'ai trouvé deux fichiers .json datant du 19/03/17 dans le dossier log! C'est ce que j'ai de plus récent! Je te les met à disposition :
    https://up.security-x.fr/file.php?h=R935773e62cb31d2504...
    https://up.security-x.fr/file.php?h=Rf22c44ac32865e1838...

    Pour fini, j'ai reçu une notification d'une réponse d'un autre membre (hyunkel30) avec une procédure mais son message n’apparaît pas dans ce fil de discussion. J'imagine que c'est une erreur et que je n'en tiens pas compte?!

    Amicalement.
    Thomas

    m
    0
    l
    25 Avril 2017 16:00:42

    Bonjour Thomas,

    Pour le message posté que tu ne vois plus, c'était une erreur de destinataire.
    Désolé pour le temps d'attente, tout doit être contrôlé avant. Merci de ta compréhension.
    ==============================================

    On poursuit ta désinfection:

    Infection par adwares/hijackers qui se sont installés avec ton consentement, en manquant de vigilance lors de l'installation d'applications sponsorisées, tu n'as pas décoché les sponsors proposés.
    Le logiciel Quicktime présente une faille de sécurité pour ton PC car son éditeur ne le met plus à jours.
    ==========================================================


    Suppression des programmes suivant:


    • Clique sur le bouton Démarrer de Windows et clique sur Paramètres.
    • Clique sur Système.
    • Dans le menu de gauche, sélectionne Applications et fonctionnalités.
    • Recherche et sélectionne dans la liste, le logiciel amuleC
    • clique sur celui-ci PUIS sur le bouton Désinstaller.
    • Confirme l’opération en cliquant sur Désinstaller.
    • Fait de même pour les autres logiciels énumérés ci-dessous:


  • Aide imagé: comment désinstaller un programme sous Windows 10?

    amuleC (adware)
    amulesw (adware)
    BikaQ Rss (adware)
    QuickTime (plus mis à jour. Riskware)
    Trojan Remover ==> (logiciel inutile)
    WinSnare (adware)



    ==========================================================
    Si tu as un compte chrome d'activer, il faut désactiver la synchronisation de celui-ci avant de passer à la procédure suivante: ( sinon, passe directement à la prochaine procédure)


    1) Désactivation de la synchronisation de Chrome:
    • Ouvre Chrome
    • Clique sur la zone d'état dans l'angle inférieur droit de l'écran, là où se trouve la photo du compte.
    • Sélectionne Paramètres, puis accède à la section "Utilisateurs".
    • Dans la section "Utilisateurs", cliquez sur Google Dashboard.
    • Dans la section "Synchronisation de Google Chrome" du tableau de bord clique sur Arrêter la synchronisation et supprime les données de Google.
      Nota: la synchronisation est désactivée, et toutes les données synchronisées qui ont été enregistrées dans ton compte Google sont supprimées. Elles sont toutefois conservées sur ton ordinateur. Cela signifie que des informations telles que les favoris, les applications et les extensions présentes sur l'ordinateur que tu utilises n'apparaîtront pas si tu es connecté à Google Chrome depuis un autre ordinateur et que tu aies activé la synchronisation sur celui-ci.



  • ==========================================================


    On corrige les lignes néfastes:

    Désactive ton antivirus avant la procédure.

      Rappel : Il est important que les deux ,L'outil FRST et le fichier fixlist.txt se trouvent dans le même emplacement, sur le bureau sinon la correction ne fonctionnera pas.
      Même si le logiciel FRST semble bloqué au passage du correctif, laisse le travailler. Ton PC redémarreras.

      /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

      /!\ Attention, les outils ne doivent être lancés qu'une seule fois afin de ne pas fausser les rapports demandés. /!\.


    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de start à end dans le Bloc-notes.


      Start
      CreateRestorePoint:
      CloseProcesses:
      HKU\S-1-5-21-395360900-1031001626-330097237-1001\...\Run: [Opics] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Thoma\AppData\Local\Udwmedia\pxbguslb.dll <===== ATTENTION
      HKU\S-1-5-21-395360900-1031001626-330097237-1001\...\RunOnce: [Application Restart #3] => C:\Program Files (x86)\Standuck\Application\chrome.exe --flag-switches-begin --disable-quic --flag-switches-end --restore-last-session hxxp://www.startpageing123.com/?type=hp&ts=1488618225&z=61068e39 (l'élément de données a 93 caractères en plus).
      HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196&q={searchTerms}
      HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196&q={searchTerms}
      HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196&q={searchTerms}
      HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196&q={searchTerms}
      HKU\S-1-5-21-395360900-1031001626-330097237-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      HKU\S-1-5-21-395360900-1031001626-330097237-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196&q={searchTerms}
      SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196&q={searchTerms}
      SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196&q={searchTerms}
      SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-395360900-1031001626-330097237-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-395360900-1031001626-330097237-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196&q={searchTerms}
      Edge HomeButtonPage: HKU\S-1-5-21-395360900-1031001626-330097237-1001 -> hxxp://www.startpageing123.com/?type=hp&ts=1488618225&z=61068e39dea6128dd764c38g0zbbfb4qfgabdo0o1g&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      FF Extension: (SimilarWeb) - C:\Users\Thoma\AppData\Roaming\Firefox\Firefox\Profiles\cnxwal8r.default\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2017-03-23] [non signé]
      FF Extension: (FF Adr) - C:\Users\Thoma\AppData\Roaming\Firefox\Firefox\Profiles\cnxwal8r.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-03-23] [non signé]
      FF SearchPlugin: C:\Users\Thoma\AppData\Roaming\Firefox\Firefox\Profiles\cnxwal8r.default\searchplugins\startsearch.xml [2017-04-14]
      CHR HomePage: Default -> hxxp://www.ourluckysites.com/?type=hp&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      CHR StartupUrls: Default -> "hxxp://www.ourluckysites.com/?type=hp&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196"
      CHR DefaultSearchURL: Default -> hxxp://www.ourluckysites.com/search/?type=ds&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196&q={searchTerms}
      CHR DefaultSearchKeyword: Default -> ourluckysites
      StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.ourluckysites.com/?type=sc&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      HKU\S-1-5-21-395360900-1031001626-330097237-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Pearness\Application\chrome.exe (Google Inc.) <==== ATTENTION
      HKU\S-1-5-21-395360900-1031001626-330097237-1001\...\ChromeHTML: -> C:\Program Files (x86)\Pearness\Application\chrome.exe (Google Inc.) <==== ATTENTION
      Tcpip\..\Interfaces\{2c22fc22-43e1-4044-8453-7a4a80204ea4}: [DhcpNameServer] 40.54.1.16
      Tcpip\..\Interfaces\{eafd0c5f-5533-4428-8500-026d17475dd7}: [DhcpNameServer] 82.163.143.157
      Task: {BAEE527D-C31C-4107-8043-B1AA6AE4FB0C} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-04-17] ()
      Task: {C76C8DFE-9A27-4D16-AD2B-2768DA55BF32} - System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel => C:\Program Files (x86)\BikaQRss\BikaQ.exe [2017-03-21] (IEC) <==== ATTENTION
      Task: {9A9536AD-20F1-4EEF-86EC-98E5253BD45A} - System32\Tasks\Jerjatstervele Server => C:\Program Files (x86)\Gerwosh\coerlesh.exe [2017-01-18] (Glarysoft Ltd)
      Shortcut: C:\Users\Thoma\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Pearness\Application\chrome.exe (Google Inc.)
      ShortcutWithArgument: C:\Users\Thoma\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Pearness\Application\chrome.exe (Google Inc.) -> hxxp://www.ourluckysites.com/?type=sc&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      ShortcutWithArgument: C:\Users\Thoma\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Pearness\Application\chrome.exe (Google Inc.) -> hxxp://www.ourluckysites.com/?type=sc&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.ourluckysites.com/?type=sc&ts=1491935692&z=f0814a1414a696acb7da7f5g1zbt9g6tec3waq7b0t&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      Shortcut: C:\Users\Thoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\amuleC\aMuleC.lnk -> C:\Users\Thoma\AppData\Roaming\Microsoft\Installer\{7CC4BD9A-10F3-432B-A037-AE9FCE1F9B64}\_D1FC49DEE4065143C26567.exe ()
      AlternateDataStreams: C:\Users\Thoma\Cookies:bDu102NrKymjR7g5westAz [1962]
      AlternateDataStreams: C:\Users\Thoma\Local Settings:505mESQmUP6FvFUTjJ8 [2106]
      AlternateDataStreams: C:\Users\Thoma\Local Settings:axkYxSxDyBYSm4voBuBK0 [1950]
      AlternateDataStreams: C:\Users\Thoma\AppData\Local:505mESQmUP6FvFUTjJ8 [2106]
      AlternateDataStreams: C:\Users\Thoma\AppData\Local:axkYxSxDyBYSm4voBuBK0 [1950]
      AlternateDataStreams: C:\Users\Thoma\AppData\Local\Application Data:505mESQmUP6FvFUTjJ8 [2106]
      AlternateDataStreams: C:\Users\Thoma\AppData\Local\Application Data:axkYxSxDyBYSm4voBuBK0 [1950]
      FirewallRules: [{CA7182E9-86A8-48C3-818A-79DA637ED315}] => (Allow) C:\Program Files (x86)\Pearness\Application\chrome.exe
      FirewallRules: [{7EBF2EEE-3716-4354-839C-6858F21AA5A9}] => (Allow) C:\Program Files (x86)\MIO\loader\samsungxmznlf128hchp-00004_s2dnnxah306196.dat
      FirewallRules: [{F8E2AD00-00C1-4780-9A93-BA36CC49CAF1}] => (Allow) C:\Program Files (x86)\MIO\loader\samsungxmznlf128hchp-00004_s2dnnxah306196.dat
      Tcpip\..\Interfaces\{2c22fc22-43e1-4044-8453-7a4a80204ea4}: [DhcpNameServer] 40.54.1.16
      Tcpip\..\Interfaces\{eafd0c5f-5533-4428-8500-026d17475dd7}: [DhcpNameServer] 82.163.143.157
      R2 AMD; C:\Users\Thoma\AppData\Local\AMD\amd.exe [246272 2017-04-12] () [Fichier non signé]
      R2 clean; C:\Users\Thoma\AppData\Local\clean\Kyubey.exe [114688 2017-04-06] () [Fichier non signé]
      R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [116400 2017-04-13] ()
      R2 Kitty; C:\Users\Thoma\AppData\Local\Kitty\cat.exe [357376 2017-04-17] (kitty.exe) [Fichier non signé]
      R2 Kyubey; C:\Users\Thoma\AppData\Roaming\Kyubey\Kyubey.exe [236032 2017-04-01] () [Fichier non signé]
      R2 SNARE; C:\Users\Thoma\AppData\Local\SNARE\Snarer.dll [793600 2017-04-17] (InterSect Alliance Pty Ltd) [Fichier non signé]
      R2 SNARER; C:\Users\Thoma\AppData\Local\SNARER\Snarer.dll [793600 2017-04-12] (InterSect Alliance Pty Ltd) [Fichier non signé]
      R2 WinSAPSvc; C:\Users\Thoma\AppData\Roaming\WinSAPSvc\WinSAP.dll [553984 2017-04-17] (winsap) [Fichier non signé]
      R2 WINSNARE; C:\Users\Thoma\AppData\Roaming\WINSNARE\WinSnare.dll [1293312 2017-04-01] (InterSect Alliance Pty Ltd) [Fichier non signé] <==== ATTENTION
      S2 Prijik; C:\Program Files (x86)\Gerwosh\Srhcloud.dll
      C:\Program Files (x86)\BikaQRss
      C:\Users\Thoma\AppData\Local\clean
      C:\Users\Thoma\AppData\Local\AMD
      C:\Users\Thoma\AppData\Roaming\Kyubey
      C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
      C:\Users\Thoma\AppData\Local\Kitty
      C:\Users\Thoma\AppData\Local\AMD
      C:\Users\Thoma\AppData\Roaming\WinSAPSvc
      C:\Users\Thoma\AppData\Roaming\WINSNARE
      C:\Users\Thoma\AppData\Local\SNARE
      C:\Users\Thoma\AppData\Local\SNARER
      C:\Program Files (x86)\WinSnare(4.4.5)
      C:\Users\Thoma\AppData\Local\Pearness
      C:\Program Files (x86)\Pearness
      C:\Program Files (x86)\deskapp
      C:\Users\Thoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\amuleC
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BikaQ
      C:\Users\Thoma\AppData\Roaming\aMule
      C:\Program Files (x86)\reports
      C:\Program Files (x86)\MIO
      C:\Program Files (x86)\amulell
      C:\Users\Thoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\C\aMuleC.lnk
      C:\Users\Thoma\AppData\Roaming\Microsoft\Installer\{7CC4BD9A-10F3-432B-A037-AE9FCE1F9B64}
      C:\Program Files (x86)\Gerwosh
      C:\Users\Thoma\AppData\Local\Udwmedia
      cmd: ipconfig /flushdns
      EmptyTemp:
      End



    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7,8 et 10 , il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur corriger et patiente le temps de la correction
    • Le pc va demander à redémarrer, accepte cette condition.
    • L'outil a créer un rapport de correction Fixlog.txt sur ton bureau, poste ce rapport sur https://up.security-x.fr/ et fourni le lien généré dans ta prochaine réponse.


  • Aide en images pour l'hébergement d'un rapport.

    Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

    ==========================================================================================

    Après redémarrage, effectue cette procédure:

    => AdwCleaner- Analyser:

    /!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

    • Télécharge AdwCleaner de Malwarebytes , clique sur Télécharger à droite de la fenêtre
    • Patiente jusqu'à la proposition d'enregistrement (sans cliquer nul part ailleurs) et enregistre le fichier sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
      /!\ Sous Vista, Windows 7 , 8.1 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Analyser. Attention de ne clique pas tout de suite sur Nettoyer, je te le signalerais explicitement car le rapport doit être analysé
    • Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
    • Un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).txt (ou C:\Program Files (x86)\AdwCleaner)


  • Sous IE et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions puis sur Exécuter quand même

    Aide en image pour AdwCleaner




  • Amicalement

    Jonathan
    m
    0
    l
    30 Avril 2017 16:31:29

    Bonjour Thomas_28000,

    Un problème particulier pour supprimer un programme demandé, blocage du fixlist ?
    Comme je l'ai signalé sur mon premier message, la désinfection se passeras en plusieurs étapes. Même si les symptômes semble avoir disparu, la désinfection ne seras terminée que lorsque je te le signalerais.
    Merci de ta compréhension.

    Amicalement
    Jonathan
    m
    0
    l
    5 Mai 2017 19:37:17

    Bonsoir,

    Désolé pour ce long silence mais impossible de me reconnecter! J'ai tenté deux reset de password et contacter les admins du site mais aucun retour! J'ai miraculeusement réussi à l'instant même! Mystère?!

    Voici les deux rapports que tu m'as demandé :

    -FRST : https://up.security-x.fr/file.php?h=Ra3aea68d48339500c2...
    -Adw : https://up.security-x.fr/file.php?h=R7d9faede1eb2d153c7...

    Voila. Merci encore pour ton aide! ;) 
    m
    0
    l
    a c 615 8 Sécurité
    5 Mai 2017 21:05:26

    Bonjour Thomas_28000,

    Je suis l'un des formateurs de 21Jonathan, il a repris sa formation et je vais donc de ce fait finir le sujet avec toi.

    Citation :
    Désolé pour ce long silence mais impossible de me reconnecter! J'ai tenté deux reset de password et contacter les admins du site mais aucun retour!


    Quel problème rencontrais-tu à la connexion ?
    Une erreur ?
    Autre ?

    ##############

    Concernant ton sujet, vu le temps passé depuis, je vais te demander de nouveau rapport pour voir où nous en sommes :

    Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

    Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

    Clique ici pour la version 32 bits
    Clique ici pour la version 64 bits


    Info : comment savoir quelle version j'utilise ?

    Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
    • Clique sur le bouton Analyser.
    • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
    • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    6 Mai 2017 06:00:55

    Salut Hynkel30!

    L'erreur venait peut être de moi. Je me suis reconnecté avec l'option compte Google. J'avais pas le souvenir d'avoir fait comme ceci la première fois, je pensais avoir créé un compte avec mon adresse mail mais je me suis surement trompé!

    Voici donc les deux rapports:

    Addition : https://up.security-x.fr/file.php?h=R7fe0010570244a53af...
    FRST : https://up.security-x.fr/file.php?h=Re23534adcd885d26ba...

    Merci de ton aide.

    Thomas
    m
    0
    l
    a c 615 8 Sécurité
    6 Mai 2017 11:13:36

    Re,

    Ce que je peux te dire, c'est que tu es connecté ici avec une adresse Gmail ;) 

    ##############

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - RogueKiller version 12.9.4.0 (inutile ici)
    - Trojan Remover (idem)


    ~~~~~~~~~~~~~~~~~~~~~~~~~~


    2)
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe/FRST64.exe
    • Appuie simultanément sur Ctrl + y (Touches Ctrl et y)
    • Un fichier fixlist.txt s'ouvre, copie/colle la totalité du contenu de la zone Code ci-dessous dedans

      Start::
      CreateRestorePoint:
      CloseProcesses:
      Task: {BE9DCD73-C238-4ABE-8B1E-024E84B02C43} - System32\Tasks\Windows-PG => powershell.exe C:\windows\psgo\psgo.ps1
      C:\windows\psgo
      ShortcutWithArgument: C:\Users\Thoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492615505&z=28e252cb9031e4f2adbec11gbzft6o0qegew2w8e8z&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      FirewallRules: [{A3E8FDF0-E04E-4EFB-A9AF-2950C3B07726}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
      FirewallRules: [{53695738-DD25-47D1-A6C7-8707A6BB08DC}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
      FirewallRules: [{D5C9B34C-E7A9-4788-8C36-23559A4A419B}] => (Allow) C:\Program Files (x86)\MIO\loader\samsungxmznlf128hchp-00004_s2dnnxah306196.dat
      FirewallRules: [{FA845241-4F4C-4A78-B747-31CD8BBAE50C}] => (Allow) C:\Program Files (x86)\MIO\loader\samsungxmznlf128hchp-00004_s2dnnxah306196.dat
      HKLM-x32\...\Run: [TrojanScanner] => C:\Program Files (x86)\Trojan Remover\Trjscan.exe [3627576 2017-01-10] (Simply Super Software)
      FF Homepage: Firefox\Firefox\Profiles\cnxwal8r.default -> hxxp://www.searchinme.com//?type=hp&ts=1494005064807&z=c0f877f0a5b967065979467gez7t6e3o0mce9qcbbg&from=official&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      R2 3DM; C:\Users\Thoma\AppData\Local\3DM\Kitty.dll [754688 2017-04-19] (kitty.exe) [Fichier non signé]
      C:\Users\Thoma\AppData\Local\3DM
      2017-04-27 13:11 - 2017-04-27 13:11 - 00000000 ____D C:\Program Files (x86)\Firefox
      2017-04-25 10:57 - 2017-04-28 20:55 - 00000000 ____D C:\Program Files (x86)\AlphaGo
      2017-04-25 10:57 - 2017-04-28 20:55 - 00000000 _____ C:\WINDOWS\SysWOW64\22
      2017-04-25 10:57 - 2017-04-25 10:57 - 00000000 _____ C:\WINDOWS\SysWOW64\1111
      2017-04-24 09:55 - 2017-04-24 09:55 - 00000000 ____D C:\WINDOWS\psgo
      2017-04-19 18:14 - 2017-04-27 13:11 - 00002001 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk
      2017-04-19 17:25 - 2017-04-19 17:25 - 00000000 ____D C:\Users\Thoma\AppData\Local\3DM
      2017-04-14 21:47 - 2017-04-28 20:55 - 00000000 _____ C:\WINDOWS\SysWOW64\11
      2017-04-14 21:47 - 2017-04-14 21:47 - 00000000 _____ C:\WINDOWS\SysWOW64\33
      2017-04-06 17:40 - 2017-04-28 20:55 - 00003582 _____ C:\WINDOWS\System32\Tasks\Windows-PG
      2017-04-06 17:40 - 2017-04-06 17:42 - 00000000 ____D C:\Users\Thoma\AppData\Roaming\SNARER
      2017-04-06 17:40 - 2017-04-06 17:40 - 00000000 ____D C:\Update
      EmptyTemp:
      End::


    • Appuyer simultanément sur Ctrl + s pour enregistrer. Fermer le fichier fixlist.txt
    • Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction

    • Le pc va demander à redémarrer, accepte.
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ##############

    Télécharge AdwCleaner (de Xplode) sur ton Bureau.

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Analyser.
  • Attend la fin de la recherche puis clique sur l'option Rapport.
  • Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
  • Ferme le programme, valide l'avertissement au besoin.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    :jap: 
    m
    0
    l
    a c 615 8 Sécurité
    12 Mai 2017 09:45:00

    Re,

    Tu as fait 4 fois le script de correction ...

    Et tu n'as pas copié correctement comme expliqué le script, d'où le fait que l'outil n'a pas correctement effectué le travail.

    Merci de relire attentivement ma procédure pour FRST, et m'expliquer si une étape ne se passe pas comme prévue ou si tu n'y arrives pas.

    :jap: 
    m
    0
    l
    12 Mai 2017 12:31:13

    Oulah! Je vais reprendre tout ça au calme en rentrant car je ne l'ai fait que deux fois (pensant que la première n'avait pas fonctionné!) et j'ai copié le script à chaque fois (donc j'ai foiré mon copier/coller les deux fois!)!
    m
    0
    l
    a c 615 8 Sécurité
    12 Mai 2017 12:45:49

    Re,

    je te modifie légèrement pour voir si cela fonctionne mieux :

    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe/FRST64.exe
    • Appuie simultanément sur Ctrl + y (Touches Ctrl et y)
    • Un fichier fixlist.txt s'ouvre, copie/colle la totalité du contenu de la zone Code ci-dessous dedans

      start
      CreateRestorePoint:
      CloseProcesses:
      Task: {BE9DCD73-C238-4ABE-8B1E-024E84B02C43} - System32\Tasks\Windows-PG => powershell.exe C:\windows\psgo\psgo.ps1
      C:\windows\psgo
      ShortcutWithArgument: C:\Users\Thoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492615505&z=28e252cb9031e4f2adbec11gbzft6o0qegew2w8e8z&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      FirewallRules: [{A3E8FDF0-E04E-4EFB-A9AF-2950C3B07726}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
      FirewallRules: [{53695738-DD25-47D1-A6C7-8707A6BB08DC}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
      FirewallRules: [{D5C9B34C-E7A9-4788-8C36-23559A4A419B}] => (Allow) C:\Program Files (x86)\MIO\loader\samsungxmznlf128hchp-00004_s2dnnxah306196.dat
      FirewallRules: [{FA845241-4F4C-4A78-B747-31CD8BBAE50C}] => (Allow) C:\Program Files (x86)\MIO\loader\samsungxmznlf128hchp-00004_s2dnnxah306196.dat
      HKLM-x32\...\Run: [TrojanScanner] => C:\Program Files (x86)\Trojan Remover\Trjscan.exe [3627576 2017-01-10] (Simply Super Software)
      FF Homepage: Firefox\Firefox\Profiles\cnxwal8r.default -> hxxp://www.searchinme.com//?type=hp&ts=1494005064807&z=c0f877f0a5b967065979467gez7t6e3o0mce9qcbbg&from=official&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
      R2 3DM; C:\Users\Thoma\AppData\Local\3DM\Kitty.dll [754688 2017-04-19] (kitty.exe) [Fichier non signé]
      C:\Users\Thoma\AppData\Local\3DM
      2017-04-27 13:11 - 2017-04-27 13:11 - 00000000 ____D C:\Program Files (x86)\Firefox
      2017-04-25 10:57 - 2017-04-28 20:55 - 00000000 ____D C:\Program Files (x86)\AlphaGo
      2017-04-25 10:57 - 2017-04-28 20:55 - 00000000 _____ C:\WINDOWS\SysWOW64\22
      2017-04-25 10:57 - 2017-04-25 10:57 - 00000000 _____ C:\WINDOWS\SysWOW64\1111
      2017-04-24 09:55 - 2017-04-24 09:55 - 00000000 ____D C:\WINDOWS\psgo
      2017-04-19 18:14 - 2017-04-27 13:11 - 00002001 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk
      2017-04-19 17:25 - 2017-04-19 17:25 - 00000000 ____D C:\Users\Thoma\AppData\Local\3DM
      2017-04-14 21:47 - 2017-04-28 20:55 - 00000000 _____ C:\WINDOWS\SysWOW64\11
      2017-04-14 21:47 - 2017-04-14 21:47 - 00000000 _____ C:\WINDOWS\SysWOW64\33
      2017-04-06 17:40 - 2017-04-28 20:55 - 00003582 _____ C:\WINDOWS\System32\Tasks\Windows-PG
      2017-04-06 17:40 - 2017-04-06 17:42 - 00000000 ____D C:\Users\Thoma\AppData\Roaming\SNARER
      2017-04-06 17:40 - 2017-04-06 17:40 - 00000000 ____D C:\Update
      EmptyTemp:
      end


    • Appuyer simultanément sur Ctrl + s pour enregistrer. Fermer le fichier fixlist.txt
    • Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction

    • Le pc va demander à redémarrer, accepte.
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    :jap: 
    m
    0
    l
    15 Mai 2017 18:54:54

    Salut Hyunkel30

    Et bien écoutes j'ai refais la manip et le résultat est le même. La correction se fait rapidement et pas de redémarrage.
    Par contre je remarque qu'il y'a une sorte de point noir ou de virgule sur le fixlist vierge lorsque je l'ouvre et je n'arrive pas à l'enlever! J'ai vérifié ce n'est pas mon écran qui est rayé ou autre...^^ Je ne sais pas s'il y'a quelque chose à comprendre...!?

    Voici le Fixlog : https://up.security-x.fr/file.php?h=R67ec52489b27e5b2db...
    m
    0
    l
    a c 615 8 Sécurité
    15 Mai 2017 23:00:59

    Re,

    On va tester autrement pour voir : (c'est une méthode sans le fichier fixlist)

  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe/FRST64.exe
  • Copie simplement la totalité du contenu de la zone Code ci-dessous (sélectionne, puis clic-droit -> copier)

    Start::
    CreateRestorePoint:
    CloseProcesses:
    Task: {BE9DCD73-C238-4ABE-8B1E-024E84B02C43} - System32\Tasks\Windows-PG => powershell.exe C:\windows\psgo\psgo.ps1
    C:\windows\psgo
    ShortcutWithArgument: C:\Users\Thoma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492615505&z=28e252cb9031e4f2adbec11gbzft6o0qegew2w8e8z&from=che0812&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
    FirewallRules: [{A3E8FDF0-E04E-4EFB-A9AF-2950C3B07726}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
    FirewallRules: [{53695738-DD25-47D1-A6C7-8707A6BB08DC}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
    FirewallRules: [{D5C9B34C-E7A9-4788-8C36-23559A4A419B}] => (Allow) C:\Program Files (x86)\MIO\loader\samsungxmznlf128hchp-00004_s2dnnxah306196.dat
    FirewallRules: [{FA845241-4F4C-4A78-B747-31CD8BBAE50C}] => (Allow) C:\Program Files (x86)\MIO\loader\samsungxmznlf128hchp-00004_s2dnnxah306196.dat
    HKLM-x32\...\Run: [TrojanScanner] => C:\Program Files (x86)\Trojan Remover\Trjscan.exe [3627576 2017-01-10] (Simply Super Software)
    FF Homepage: Firefox\Firefox\Profiles\cnxwal8r.default -> hxxp://www.searchinme.com//?type=hp&ts=1494005064807&z=c0f877f0a5b967065979467gez7t6e3o0mce9qcbbg&from=official&uid=SAMSUNGXMZNLF128HCHP-00004_S2DNNXAH306196
    R2 3DM; C:\Users\Thoma\AppData\Local\3DM\Kitty.dll [754688 2017-04-19] (kitty.exe) [Fichier non signé]
    C:\Users\Thoma\AppData\Local\3DM
    2017-04-27 13:11 - 2017-04-27 13:11 - 00000000 ____D C:\Program Files (x86)\Firefox
    2017-04-25 10:57 - 2017-04-28 20:55 - 00000000 ____D C:\Program Files (x86)\AlphaGo
    2017-04-25 10:57 - 2017-04-28 20:55 - 00000000 _____ C:\WINDOWS\SysWOW64\22
    2017-04-25 10:57 - 2017-04-25 10:57 - 00000000 _____ C:\WINDOWS\SysWOW64\1111
    2017-04-24 09:55 - 2017-04-24 09:55 - 00000000 ____D C:\WINDOWS\psgo
    2017-04-19 18:14 - 2017-04-27 13:11 - 00002001 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk
    2017-04-19 17:25 - 2017-04-19 17:25 - 00000000 ____D C:\Users\Thoma\AppData\Local\3DM
    2017-04-14 21:47 - 2017-04-28 20:55 - 00000000 _____ C:\WINDOWS\SysWOW64\11
    2017-04-14 21:47 - 2017-04-14 21:47 - 00000000 _____ C:\WINDOWS\SysWOW64\33
    2017-04-06 17:40 - 2017-04-28 20:55 - 00003582 _____ C:\WINDOWS\System32\Tasks\Windows-PG
    2017-04-06 17:40 - 2017-04-06 17:42 - 00000000 ____D C:\Users\Thoma\AppData\Roaming\SNARER
    2017-04-06 17:40 - 2017-04-06 17:40 - 00000000 ____D C:\Update
    EmptyTemp:
    End::


  • Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction

  • Le pc va demander à redémarrer, accepte.
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

    /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
  • [/list]
    m
    0
    l
    18 Mai 2017 17:59:52

    Bonsoir,

    toujours la même chose de mon coté! J'ai copié le contenue de la zone code, fermé le navigateur et autres applis (en général le navigateur après avoir lu ton post et les applis que je peux fermer dans ma zone de notif en bas a droite genre les maj de Nvidia, Deamon tool etc...) ouvert FRST et cliqué sur corriger et le résultat est le même! Je pense qu'il y'a quelque chose que je dois mal faire, surement la copie de la zone code...

    Si tu le souhaite je peux refaire la procédure en prenant des screenshots point par point au cas ou quelque chose m'échappe..!?
    Voici le fixlog : https://up.security-x.fr/file.php?h=Rf97cbd5e2d324200df...

    Merci à toi!
    m
    0
    l
    18 Mai 2017 18:00:30

    Je présise que FRST n'est pas seul sur mon bureau il y'a pas mal de documents sur mon bureau. je sais pas si cela peut jouer!?
    m
    0
    l
    a c 615 8 Sécurité
    18 Mai 2017 18:54:50

    Re,

    On va voir autrement :

    Télécharge ce fichier et enregistre-le sur ton bureau :
    https://www.petit-fichier.fr/2017/05/18/fixlist/

    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe/FRST64.exe
    • Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction

    • Le pc va demander à redémarrer, accepte.
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    m
    0
    l
    a c 615 8 Sécurité
    19 Mai 2017 22:11:13

    Re,

    Oui on voyait qu'il y avait un souci de copie-colle, donc j'ai fait directement le fichier pour éviter cela. ;) 

    à suivre :

    Télécharge AdwCleaner (de Xplode) sur ton Bureau.

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Analyser.
  • Attend la fin de la recherche puis clique sur l'option Rapport.
  • Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
  • Ferme le programme, valide l'avertissement au besoin.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    a c 615 8 Sécurité
    21 Mai 2017 10:57:28

    Re,

    Avant de poursuivre le nettoyage, merci de me dire :

    - Quel(s) navigateur web tu utilises sur ce PC ?
    - Si tu utilises Chrome, as-tu activé un compte Google dessus avec synchronisation ?
    m
    0
    l
    21 Mai 2017 11:01:40

    Sur le pc j'utilise Chrome et oui il y'a un compte google activé dessus et synchronisé.
    J'ai également Firefox et Microsoft Edge mais je ne les utilise quasi jamais!
    m
    0
    l
    a c 615 8 Sécurité
    21 Mai 2017 11:14:46

    Re,

    Je vais te demander de faire certaines choses dans l'ordre, car sinon l'adware va revenir avec la sychronisation ;) 

    1) Suis cette procédure pour Arrêter la synchronisation et supprimer les données de Google :

    Citation :
    Supprimer des données synchronisées de votre compte Google

    Vous pouvez supprimer les données synchronisées de votre compte Google à tout moment depuis votre tableau de bord Google Dashboard.

    1. Cliquez sur le menu Google Chrome dans la barre d'outils du navigateur.
    2. Sélectionnez Connecté en tant que <votre adresse e-mail>.
    3. Dans la section "Connexion", cliquez sur Google Dashboard.
    4. Accédez à la section "Synchronisation de Google Chrome" du tableau de bord, puis cliquez sur Arrêter la synchronisation et supprimer les données de Google.

    La synchronisation est désactivée, et toutes les données synchronisées qui ont été enregistrées dans votre compte Google sont supprimées. Elles sont toutefois conservées sur votre ordinateur. Cela signifie que des informations telles que les favoris, les applications et les extensions présentes sur l'ordinateur que vous utilisez n'apparaîtront pas si vous vous êtes connecté à Google Chrome depuis un autre ordinateur et avez activé la synchronisation sur celui-ci.

    Support Google Chrome

    ###########

    Ne ré-ouvre pas Chrome ni ne remet la synchronisation en route

    #############

    Relance Adwcleaner :

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Analyser.
  • Attend la fin de la recherche puis clique sur l'option Nettoyer.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Cx].txt). Poste-le dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    a c 615 8 Sécurité
    21 Mai 2017 18:34:17

    Re,

    Un dernier rapport pour voir si tout est propre :

    Relance FRST :

    • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
    • Coche l'option Addition.txt en bas de la fenêtre.
    • Clique sur le bouton Analyser.
    • L'outil va créer les rapports nommés FRST.txt et Addition.txt, enregistré dans le même dossier que l'outil.


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    ###########

    De ton côté, dis-moi si tu as encore des symptômes/soucis sur ce pc.

    :jap: 
    m
    0
    l
    21 Mai 2017 19:02:57

    FRST : https://up.security-x.fr/file.php?h=R9535c5700a53e996ae...
    Addition : https://up.security-x.fr/file.php?h=R31705b81f441207026...

    De mon coté je note que depuis hier je n'arrive plus à utiliser le clavier à divers endroits comme la barre d'adresse de Microsoft Edge, la fenêtre de rédaction de mail dans l'application courrier de Windows , dans l'outils de recherche Windows (Cortana)... toujours 123startpageing au démarrage de Microsoft Edge alors que je pensais l'avoir retiré tout à l'heure. Une dernière chose juste au cas ou... quelqu'un a tenté de se connecter (je ne sais plus si cela à marché!?) à mon compte Microsoft depuis un pays étranger dans la nuit de jeudi a vendredi! Microsoft m'a fait réinitialiser mon mot de passe.

    Sinon le pc tourne bien faut juste que change mon disk qui est plein à craquer! ^^
    m
    0
    l
    a c 615 8 Sécurité
    21 Mai 2017 22:18:16

    Re,

    Citation :
    De mon coté je note que depuis hier je n'arrive plus à utiliser le clavier à divers endroits comme la barre d'adresse de Microsoft Edge, la fenêtre de rédaction de mail dans l'application courrier de Windows , dans l'outils de recherche Windows (Cortana)...


    Pas certain que ce soit en lien avec ce qu'on traite actuellement, on va voir après.

    Citation :
    toujours 123startpageing au démarrage de Microsoft Edge alors que je pensais l'avoir retiré tout à l'heure.


    Alors il me faut un rapport de plus pour voir ça :

    Relance FRST :

    • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
    • Coche l'option shortcut.txt en bas de la fenêtre.
    • Clique sur le bouton Analyser.
    • L'outil va créer les rapports nommés FRST.txt, Shortcut.txt et Addition.txt, enregistré dans le même dossier que l'outil.


  • Poste simplement le rapport Shortcut.txt

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    ############

    Citation :
    Une dernière chose juste au cas ou... quelqu'un a tenté de se connecter (je ne sais plus si cela à marché!?) à mon compte Microsoft depuis un pays étranger dans la nuit de jeudi a vendredi! Microsoft m'a fait réinitialiser mon mot de passe.


    Non, c'est une tentative de piratage "classique", cela n'a pas de lien, ton infection est une infection par adware (sponsor publicitaire), pas d'élément d'espionnage. ;) 
    m
    0
    l
    a c 615 8 Sécurité
    23 Mai 2017 11:07:18

    Re,


    Bon aucune trace de l'infection sur ces rapports.

    On va tester un autre outil :

    Télécharge Shortcut Cleaner (de Grinler) sur ton Bureau

    /!\ Ferme toutes les applications, y compris ton navigateur

    • Double-clique sur sc-cleaner.exe pour lancer l'outil
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    • Une invite de commandes s'ouvre, laisse l'outil travailler
    • A la fin de l'analyse et nettoyage, valide par OK le message d'information
    • Le rapport sc-cleaner.txt s'ouvre. Poste ce rapport dans ta prochaine réponse.
      Info : Le rapport est enregistré sur le Bureau

      Tutoriel d'utilisation Shortcut Cleaner en images
    m
    0
    l
    24 Mai 2017 20:50:46

    C'est réglé! Reste le soucis du clavier mais si tu n'as pas d'idée c'est pas bien grave tu m'as déjà accordé assez de temps! ;) 
    m
    0
    l
    a c 615 8 Sécurité
    24 Mai 2017 21:26:06

    Re,

    Le souci est essentiellement lié aux applications Windows donc ?

    C'est transitoire/aléatoire ou c'est devenu impossible suite à une de nos procédure ou bien c'était déjà comme cela avant ?
    m
    0
    l
    24 Mai 2017 21:42:50

    Re,

    c'est depuis ce weekend en tout cas je m'en suis aperçu que samedi! Je me souviens avoir désinstallé quelques programmes samedi soir dont certains de microsoft je crois afin de dégager de la place sur mon Disque mais te dire quoi je ne me souviens plus exactement. En tout cas pas des trucs du style mises à jours etc...ça je m'en souviendrait (ou alors pas volontairement!) et je n'en ai pas installé non plus! J'ai tenté une installation de programme mais la place manquait encore j'ai alors tenté de désinstaller un programme ( Foxit phantom pdf je crois) et la désinstallation n'a jamais aboutis j'ai du tout stopper! Voila ce sont les seules choses que j'ai faites depuis le début de nos procédures!

    Je ne peux pas utiliser le clavier avec :

    -la barre d'adresse Edge
    -Messenger (que j'ai viré du coup)
    -La barre de recherche cortana
    -La barre de recherche dans l'onglet applications et fonctionnalités (pour désinstaller les programmes!)
    et surement d'autres.... sinon ca fonction sur le navigateur chrome, la barre d'adresse windows explorer ou mes logiciels de musique par exemple!
    m
    0
    l
    a c 615 8 Sécurité
    25 Mai 2017 11:13:45

    Re,

    OK, donc essentiellement avec certaines fonctionnalités Windows.

    Déjà pour commencer on va vérifier les fichiers système histoire qu'un ne soit pas manquant :

    à faire donc :
    https://support.microsoft.com/fr-fr/help/929833/use-the...

    Tu me donnes juste la phrase à la fin de l'opération, pas besoin d'un rapport ;) 
    m
    0
    l
    25 Mai 2017 14:14:17

    Salut,

    Voici le résultat :

    La vérification 100% est terminée.
    La protection des ressources Windows a trouvé des fichiers endommagés, mais
    n’a pas réussi à tous les réparer. Des détails sont inclus dans le journal
    CBS.Log windir\Logs\CBS\CBS.log. Par exemple C:\Windows\Logs\CBS\CBS.log. Notez que la journalisation n’est pas actuellement
    prise en charge dans les scénarios de service hors connexion.
    m
    0
    l
    25 Mai 2017 17:02:37

    Humm question : quelques un de mes programmes de musique ont peut être appliqué une modification dans le registre pour fonctionner ( bref ils utilisent un crack!) faut il que je m'attendent à ce que plus rien ne marche?
    m
    0
    l
    a c 615 8 Sécurité
    25 Mai 2017 18:17:11

    Re,

    Je ne peux pas te répondre.

    Déjà parce que les cracks, c'est le mal :o 

    Ensuite, parce que ça dépend de beaucoup de chose ... qu'est-ce qui est visé dans le registre notamment.

    :jap: 
    m
    0
    l
    25 Mai 2017 20:41:46

    Je comprend! Dans ce cas je vais réfléchir à quoi faire et prendre une décision.
    Quoi qu'il en soit je te remercie beaucoup pour le temps que tu as passé à me venir en aide! Si je peux d'une manière ou d'une autre rendre la pareil, n'hésites pas à me le faire savoir !?

    Merci à Jonathan également qui avait commencé la procédure.

    Bonne soirée.
    Thomas
    :) 
    m
    0
    l

    Meilleure solution

    a c 615 8 Sécurité
    25 Mai 2017 22:34:34

    Re,

    Si tu ne réinitialises pas Windows, il faudra faire ceci pour finir le nettoyage :

    Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Ne touche pas aux options cochées
  • Coche en plus "Purger la restauration système"
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.

    ##########


    Prévention :

    Ton PC a été infecté par des adwares, à savoir des logiciels potentiellement indésirables qui se mettent en place lors des installations de logiciels.

    Il faut donc que les utilisateurs de ce PC veillent à ne pas donner leur accord pour que ceux-ci s'installent lors des installations de logiciels (en décochant par exemple les cases précochées qui autorisent l'installation d'un moteur de recherche).

    Pour éviter de te faire réinfecter par des adwares à l'avenir, entraîne-toi à ne pas tomber dans leurs pièges en utilisant cet outil :

    Télécharge Adware Prevention (de guigui0001) sur ton bureau.

    Sous IE9, IE10, IE11 et Windows 8 le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    • Lance-le en double-cliquant sur Adware_Prevention.exe
    • Cet outil va simuler une installation sponsorisée par des adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
    • A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.

      Tutoriel en images

    • Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !


  • Note : cet outil pédagogique tant à évoluer en permanence, n'hésite pas à remonter les problèmes rencontrés ou les suggestions pour son amélioration

    ~~~~~~~~~~~~~~~~~~~~

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire ! et à lire

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript par exemple pour Firefox.
    Ghostery ou Scriptsafe pour Chrome.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux utiliser un outil comme SXCU pour vérifier occasionnellement les mises à jour disponibles pour les principaux logiciels/plugins.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !

    Tu peux indiquer ton sujet "réglé" en validant avec "Sélectionner comme meilleure solution" (en bas à gauche de ce message), ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    il y a moins d'une minute

    Désolé pour l'absence j'ai pas vu la notification.
    Donc sujet réglé et l'équipe à déjà sélection comme meilleure réponse donc tout est nickel!
    Merci pour ton aide
    ;) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS