Se connecter / S'enregistrer
Votre question
Résolu

Virus UCbrowser chinois

Tags :
  • Navigateurs
  • hijacker
  • Virus
  • Adware
  • Sécurité
Dernière réponse : dans Sécurité et virus
22 Mai 2017 15:50:01

Bonjour,
J'ai récemment choppé un virus (UC browser chinois) j'ai beau multiplier les scans je n'arrive pas à m'en débarrasser, je suis totalement larguée... sauriez-vous me donner un petit coup de main ?

Autres pages sur : virus ucbrowser chinois

22 Mai 2017 16:22:27

==========================================================================
Bonjour
Je suis longaripa.
Je suis en formation sécurité , et je vais prendre votre sujet en charge .
Toutes mes interventions seront validées par un expert en sécurité de ce forum .
==========================================================================



Nous allons commencer par établir un diagnostic du PC . Pour cela ,

Télécharger Farbar Recovery Scan Tool (de Farbar) sur le Bureau.(IMPORTANT)

Attention: Il faut lancer la version compatible avec le système : 32 ou 64bits.

Cliquer ici pour la version 32 bits
Cliquer ici pour la version 64 bits


Info : comment savoir quelle version de Windows j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Faire un click droit sur l'outil, puis executer en tant qu'administrateur pour le lancer. Quand l'outil se lance, cliquer sur Oui pour accepter le disclaimer.
  • Cliquer sur le bouton Analyser.



  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt.


  • Poster les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : déposer le fichier via "parcourir" et poster simplement les liens obtenus dans votre réponse.
    Une aide à l'utilisation ici



    J'attends les rapports :
    frst.txt
    addition.txt

    m
    0
    l
    Contenus similaires
    22 Mai 2017 16:54:11

    Pardon je viens de me rendre compte que j'ai mal fermé 3 applis, dois-je refaire l'analyse? MErci
    m
    0
    l
    22 Mai 2017 19:17:05

    Re

    Citation :

    Pardon je viens de me rendre compte que j'ai mal fermé 3 applis, dois-je refaire l'analyse? MErci


    Pour le moment , ce n'est pas utile .
    J'étudie les rapports , je fais valider ma réponse et je reviens vers vous ...
    m
    0
    l
    23 Mai 2017 14:47:42

    Bonjour

    Me revoila avec le correctif :

    • Fermer toutes les applications, y compris le navigateur
    • Clic-droit sur FRST64.exe-> Exécuter en tant qu'administrateur
    • Appuyer simultanément sur les touches Ctrl + y. Un fichier fixlist.txt s'ouvre
    • Copier/coller la totalité du contenu de la zone Code ci-dessous dans ce fichier


      start
      CreateRestorePoint:
      CloseProcesses:
      HKLM\...\Run: [gplyra] => C:\Users\Fanny\AppData\Roaming\gplyra\gplyra\start.cmd
      C:\Users\Fanny\AppData\Roaming\gplyra
      HKLM\...\RunOnce: [FANNY-PC] => C:\Windows\TEMP\g9839.tmp.exe [335872 2017-05-22] () <===== ATTENTION
      HKU\S-1-5-21-3932063546-2150310279-336421201-1000\...\Run: [msiql] => C:\Users\Fanny\AppData\Local\Temp\is-KNAI2.tmp\PopWnd.exe /RUNNING <===== ATTENTION
      HKU\S-1-5-21-3932063546-2150310279-336421201-1000\...\Run: [YeaDesktop] => C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe /autostart <===== ATTENTION
      C:\Program Files (x86)\YeaDesktop
      HKLM\...\Providers\8xlj7hp6: C:\Program Files (x86)\Arobusenafergh Client\local64spl.dll [308736 2017-05-20] ()
      C:\Program Files (x86)\Arobusenafergh Client
      ShellExecuteHooks: Pas de nom - {3D62362C-392C-11E7-8D5A-64006A5CFC23} - C:\Users\Fanny\AppData\Roaming\Sejukghakusp\Aneratain.dll -> Pas de fichier
      C:\Users\Fanny\AppData\Roaming\Sejukghakusp
      ShellExecuteHooks: Pas de nom - {DA2B6C30-3931-11E7-8671-64006A5CFC23} - C:\Users\Fanny\AppData\Roaming\Chefoch\Bejosyjicush.dll -> Pas de fichier
      C:\Users\Fanny\AppData\Roaming\Chefoch
      ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll -> Pas de fichier
      C:\Program Files (x86)\Maoha
      GroupPolicy: Restriction - Windows Defender <======= ATTENTION
      SearchScopes: HKU\S-1-5-21-3932063546-2150310279-336421201-1000 -> {A1A3E641-1E21-45C2-BDE2-0174AC787B70} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=H5Mzbcnbl1BU,2fd46ff6-120f-486c-b569-368d046bd62d,
      FF DefaultProfile: 7weno12x.default-1495452074579
      FF ProfilePath: C:\Users\Fanny\AppData\Roaming\Mozilla\Firefox\naweriweentcofise\Profiles\7weno12x.default-1495452074579\Profiles\7weno12x.default-1495452074579 [non trouvé(e)]
      C:\Users\Fanny\AppData\Roaming\Mozilla\Firefox\naweriweentcofise
      FF Keyword.URL: Mozilla\Firefox\Profiles\0qup4gjb.default-1495456717243 -> hxxp://www-searching.com/search.aspx?site=shdefault1&prd=smw&pid=s&shr=d&q={searchTerms}&s=H5Mzbcnbl1BU,2fd46ff6-120f-486c-b569-368d046bd62d,
      FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\29856610.js [2017-05-20] <==== ATTENTION (Pointe vers un fichier *.cfg)
      FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\29856610.cfg [2017-05-20] <==== ATTENTION
      R2 Auhardwaregl; C:\Windows\SysWow64\Auhardwaregl.dll [454440 2017-05-20] ()
      S2 Recover; C:\Program Files\Windows NT\056XW1HUP1SJJNOYM88768\1R12LKTgFw.exe [413696 2017-05-22] () [Fichier non signé]
      C:\Program Files\Windows NT\056XW1HUP1SJJNOYM88768
      R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [599440 2017-05-11] () <==== ATTENTION
      S2 JszipService; C:\Program Files (x86)\Maoha\JiSuZip\JszipSvc.exe [X]
      R1 netboostmaster; C:\Windows\system32\drivers\netboostmaster.sys [2911592 2017-05-22] () [Fichier non signé]
      R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== ATTENTION
      R2 Uefochubsrv; C:\Windows\system32\drivers\Uefochubsrv.sys [196640 2017-05-20] ()
      C:\Windows\system32\drivers\Uefochubsrv.sys
      S1 JszipProtect; \??\C:\Program Files (x86)\Maoha\JiSuZip\JsZipProtect64.sys [X]
      2017-05-22 14:49 - 2017-05-22 14:49 - 00001516 _____ C:\Windows\Tasks\BeltaCopyBootsia.job
      2017-05-22 14:10 - 2017-05-22 14:10 - 00002560 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
      2017-05-22 13:48 - 2017-05-22 14:28 - 00000000 ____D C:\Users\Fanny\AppData\Roaming\Chefoch
      2017-05-22 13:48 - 2017-05-22 13:48 - 00006020 _____ C:\Windows\System32\Tasks\Degdom Nodifier
      2017-05-22 13:48 - 2017-05-22 13:48 - 00000000 ____D C:\Windows\system32\appmgmt
      2017-05-22 13:48 - 2017-05-22 13:48 - 00000000 ____D C:\Program Files (x86)\Degdom Nodifier
      2017-05-22 13:47 - 2017-05-22 13:48 - 00000000 ____D C:\Program Files (x86)\Phepsy
      2017-05-22 13:47 - 2017-05-22 13:47 - 00000000 ____D C:\Users\Fanny\AppData\Local\Belisdusither
      2017-05-22 13:46 - 2017-05-22 14:45 - 00000000 ____D C:\Program Files\Common Files\Noobzo
      2017-05-22 13:46 - 2017-05-22 13:46 - 00320000 _____ (t ) C:\ProgramData\smp2.exe
      2017-05-22 13:46 - 2017-05-22 13:46 - 00004150 _____ C:\Windows\System32\Tasks\SMW_P
      2017-05-22 13:46 - 2017-05-22 13:46 - 00000000 ____H C:\Windows\system32\BITAC26.tmp
      2017-05-22 13:46 - 2017-05-22 13:46 - 00000000 ____D C:\ProgramData\SearchModule
      2017-05-22 13:46 - 2017-05-22 13:46 - 00000000 ____D C:\Program Files (x86)\ScreenShared
      2017-05-22 13:44 - 2017-05-22 13:46 - 00000000 ____D C:\Users\Fanny\AppData\Local\navitool
      2017-05-20 23:18 - 2017-05-22 15:41 - 00000296 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
      2017-05-20 21:27 - 2017-05-22 14:41 - 00003476 _____ C:\Windows\System32\Tasks\UCBrowserSecureUpdater
      2017-05-20 21:12 - 2017-05-22 14:10 - 00000000 ____D C:\ProgramData\XLiPlatform
      2017-05-20 21:09 - 2017-05-22 14:41 - 02793264 _____ C:\Windows\netboostmasterHelp.dll
      2017-05-20 21:09 - 2017-05-22 09:20 - 02911592 _____ C:\Windows\system32\Drivers\netboostmaster.sys
      2017-05-20 21:09 - 2017-05-20 21:09 - 02941800 _____ C:\Windows\system32\Drivers\F785D4AC4C7B.dat
      2017-05-20 20:48 - 2017-05-22 16:10 - 00000456 _____ C:\Windows\Tasks\UCBrowserUpdater.job
      2017-05-20 20:48 - 2017-05-20 20:48 - 00003430 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
      2017-05-20 20:48 - 2017-05-20 20:48 - 00000000 ____D C:\Users\Fanny\AppData\Local\UCBrowser
      2017-05-20 20:47 - 2017-05-22 13:44 - 00000000 ____D C:\ProgramData\VideoMemoryDiagnostic
      2017-05-20 20:47 - 2017-05-20 20:52 - 00000000 ____D C:\Program Files (x86)\WindowsTM
      2017-05-20 20:47 - 2017-05-22 14:49 - 00016728 _____ C:\Windows\System32\Tasks\BeltaCopyBootsia
      2017-05-20 20:47 - 2017-05-20 21:09 - 00000000 ____D C:\Program Files (x86)\UCBrowser
      2017-05-20 20:47 - 2017-05-20 21:00 - 00000000 ____D C:\Users\Fanny\AppData\Roaming\Sejukghakusp
      2017-05-20 20:47 - 2017-05-20 20:47 - 00454440 _____ C:\Windows\SysWOW64\Auhardwaregl.dll
      2017-05-20 20:47 - 2017-05-20 20:47 - 00196640 _____ C:\Windows\system32\Drivers\Uefochubsrv.sys
      2017-05-20 20:47 - 2017-05-20 20:47 - 00006022 _____ C:\Windows\System32\Tasks\Arobusenafergh Client
      2017-05-20 20:47 - 2017-05-20 20:47 - 00002956 _____ C:\Windows\System32\Tasks\Pritc
      2017-05-20 20:47 - 2017-05-20 20:47 - 00000000 ____D C:\Program Files (x86)\Arobusenafergh Client
      2017-05-20 20:46 - 2017-05-20 20:47 - 00000000 ____D C:\Program Files (x86)\Drebybulule
      2017-05-20 20:46 - 2017-05-20 20:46 - 00000000 ____D C:\Users\Fanny\AppData\Local\Ralatyclezose
      Task: {04BFCB13-BECC-47D6-869C-0ED2D7141C81} - System32\Tasks\Degdom Nodifier => C:\Program Files (x86)\Phepsy\hafly.exe [2017-05-22] (Google Inc.)
      Task: {18E17E45-8DC7-4C43-A74D-30E5FD5298F3} - System32\Tasks\SMW_P => C:\ProgramData\smp2.exe [2017-05-22] (t ) <==== ATTENTION
      Task: {769798EF-988E-4689-B596-499E6D2B8810} - System32\Tasks\Arobusenafergh Client => C:\Program Files (x86)\Drebybulule\vlge.exe [2017-05-20] (Google Inc.)
      Task: {77721A31-B04D-4264-9293-A5C105806226} - System32\Tasks\BeltaCopyBootsia => Rundll32.exe "C:\Program Files\BeltaCopyBootsia\BeltaCopyBootsia.dll",ZIWuikCxwgvi
      C:\Program Files\BeltaCopyBootsia
      Task: {A9DB3D2F-0735-4E5D-8184-830B6C288EEF} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-05-11] (UCWeb Inc) <==== ATTENTION
      Task: {B7D3F7FC-31CF-4C2B-98A7-418E4AE672CA} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-05-11] (UCWeb Inc) <==== ATTENTION
      Task: {BB4690B1-2D5A-44E2-B2D9-AD9EADD2078B} - System32\Tasks\Microsoft\Windows\MemoryDiagnostic\VideoMemoryDiagnostic => C:\\ProgramData\\VideoMemoryDiagnostic\\vmdiag.exe [2017-05-06] ()
      Task: {BD59A3E7-E497-45FB-9104-94BF431AA0DB} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-05-20] (UC Web Inc.) <==== ATTENTION
      Task: {BE202A62-3C2F-4DAE-9975-E9033B3ED969} - System32\Tasks\Microsoft\Windows\DeviceSettings\Watery => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=LITEONXLCH-128V2S-11X2X5X7mmX128GB_TW0V89JT5508551T0178&d=20170520 /q <==== ATTENTION
      Task: {EB4A0BEE-2435-41F6-A08E-C60C44194664} - System32\Tasks\Pritc => C:\Users\Fanny\AppData\Local\Temp\is-7MS8R.tmp\Setup.exe <==== ATTENTION
      Task: C:\Windows\Tasks\BeltaCopyBootsia.job => rundll32.exe C:\Program Files\BeltaCopyBootsia\BeltaCopyBootsia.dll
      Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
      Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
      ShortcutWithArgument: C:\Users\Fanny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=h5mzbcnbl1bu,2fd46ff6-120f-486c-b569-368d046bd62d,
      ShortcutWithArgument: C:\Users\Fanny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=h5mzbcnbl1bu,2fd46ff6-120f-486c-b569-368d046bd62d,
      ShortcutWithArgument: C:\Users\Fanny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=h5mzbcnbl1bu,2fd46ff6-120f-486c-b569-368d046bd62d,
      ShortcutWithArgument: C:\Users\Fanny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=h5mzbcnbl1bu,2fd46ff6-120f-486c-b569-368d046bd62d,
      ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=h5mzbcnbl1bu,2fd46ff6-120f-486c-b569-368d046bd62d,
      2017-05-20 20:47 - 2017-05-20 20:47 - 00308736 _____ () C:\Program Files (x86)\Arobusenafergh Client\local64spl.dll
      2017-05-20 20:47 - 2015-06-01 10:07 - 02484736 _____ () C:\Program Files\BeltaCopyBootsia\BeltaCopyBootsia.dll
      2017-05-22 14:06 - 2017-05-22 14:06 - 00335872 _____ () C:\Windows\TEMP\g9839.tmp.exe
      2017-05-22 14:06 - 2017-05-22 14:41 - 00477696 _____ () C:\Windows\TEMP\gA361.tmp.exe
      2017-05-22 14:06 - 2017-05-22 14:41 - 09435136 _____ () C:\Windows\TEMP\gDA4A.tmp.exe
      AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444]
      AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914]
      AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458]
      FirewallRules: [{54D33AB5-C618-4F1E-AC82-484805DD5CAA}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
      FirewallRules: [{6BB46EBA-C51A-4CD3-BC37-1360ED349DA5}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
      FirewallRules: [{4038E38F-11FF-4E65-B636-F5E81054779A}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
      EmptyTemp:
      end֔


    • Appuyer simultanément sur les touches Ctrl + s pour enregistrer, puis refermer le fichier fixlist.txt
    • Sur le menu principal de FRST, cliquer une seule fois sur Corriger et patienter le temps de la correction

    • Accepter le redémarrage du système si demandé
    • L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

    Le pc va redémarrer .
    ***********************************************
    On va faire une autre analyse , avec AdwCleaner :

    AdwCleaner - Analyser :

    • Télécharger AdwCleaner de Malwarebytes et enregistrer le fichier sur le Bureau
      Patienter le temps que le navigateur propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
    • Fermer toutes les applications, y compris le navigateur
    • Clic-droit -> Exécuter en tant qu'administrateur sur l'icône AdwCleaner.exe pour lancer l'outil
    • Sur le menu principal, cliquer sur Analyser
    • Les éléments détectés s'affichent dans les différents onglets. Cliquer sur Rapport
    • Un rapport AdwCleaner(Sx).txt s'ouvre. Poster ce rapport dans la prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).txt (ou C:\Program Files (x86)\AdwCleaner)


  • Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

    Si l'antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

    Tutoriel d'utilisation AdwCleaner en images

    Il y a 2 rapports à poster , en piece jointe ... :
    fixlog.txt
    AdwCleaner(Sx).txt
    m
    0
    l
    25 Mai 2017 15:36:23

    Re

    Certaines parties de la correction n'ont pas fonctionné .
    Vous avez bien lancé FRST par click-droit >> executer en administrateur ?

    Pour AdwCleaner , essayez en suivant ce TUTO
    m
    0
    l
    25 Mai 2017 16:25:00

    Je ne sais plus si j'ai bien lancé en temps qu'administrateur ... :(  désolée je suis une bille :/ 
    dois-je refaire la manip?
    m
    0
    l
    25 Mai 2017 16:33:56

    j'ai suivi le tuto, rien n'y fais...
    m
    0
    l
    25 Mai 2017 17:29:18

    Re

    Oui , c'est important de lancer le correctif en mode administrateur .

    Relancez le , en faisant bien click-droit >> executer en mode administrateur.

    C'est cette procedure qu'il faut suivre .

    http://www.tomsguide.fr/forum/id-3045914/virus-ucbrowse...

    Vous posterez le fichier fixlog.txt , et vous me direz si le pc a redémarré ou pas (il devrait) .
    m
    0
    l
    25 Mai 2017 18:21:17

    Ok , c'est mieux .

    A faire dans cet ordre :

    1) On va remettre en service la protection du systeme :

    Suivez ce tutoriel :

    http://www.chantal11.com/2017/04/activer-la-protection-...

    2) on va refaire une analyse avec FRST , pour voir ce qui reste


    • Faire un click droit sur FRST.exe puis executer en tant qu'administrateur pour le lancer. Quand l'outil se lance, cliquer sur Oui pour accepter le disclaimer.
    • Cochez la case Addition.txt. , ainsi que shortcut.txt (shortcut n'est pas coché sur la photo , il faut le cocher)
    • Cliquer sur le bouton Analyser.




  • L'outil va créer 3 rapports nommé FRST.txt,addition.txt , shortcut.txt enregistrés dans le même dossier que l'outil,


    Poster les trois rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : déposer le fichier via "parcourir" et poster simplement les liens obtenus dans votre réponse.
    Une aide à l'utilisation ici



    J'attends les rapports :
    frst.txt
    addition.txt
    shortcut.txt
    m
    0
    l
    26 Mai 2017 10:30:56

    Re

    Désolé , je vous ai mis le lien pour Win10 ..
    Mais c'est bon .
    laissez comme ca , l'important , pour le moment , c'est que la protection soit activée pour le disque C: .

    Profitez en pour créer un point de restauration , en cliquant sur créer (fenetre de gauche sur votre copie ecran).

    apres cela , lancez l'analyse FRST (point N° 2 du message precedent .....) et postez les rapports ..
    m
    0
    l
    26 Mai 2017 18:56:07

    Re

    Merci

    L'infection résiste .
    J'étudie les rapports , je prépare une correction .
    Il faudra surement la passer en mode sans echec , je vous expliquerai ..
    m
    0
    l
    26 Mai 2017 18:57:32

    merci, et bon courage :) 
    m
    0
    l
    27 Mai 2017 12:10:53

    Re bonjour

    Avant de lancer le correctif ,
    J'aimerais que vous testiez un fichier :

    Allez sur https://www.virustotal.com/fr/
    Cliquez sur choisir un fichier
    Dans la fenetre qui s'ouvre , allez dans C:\Windows\system32\Drivers
    Selectionnez vcdrom.sys
    Si la question est posée , cliquez sur reanalyser
    Postez une copie ecran du resultat
    m
    0
    l
    27 Mai 2017 18:47:47

    Re

    J'ai une autre question :

    a propos de Roguekiller :
    c'est vous qui l'avez telechargé et installé ?
    Vous l'avez lancé ?
    Y a t-il eu des détections ? des corrections ?
    Vous pouvez poster un rapport , si il y en a :
    Historique >> double click sur un scan >> exporter txt
    m
    0
    l
    28 Mai 2017 12:07:42


    je ne trouve pas vcdrom.sys

    https://up.security-x.fr/file.php?h=Rd3637ea87c1de69e40...

    Pour roguekiller c'est moi qui l'ai installé, je n'ai pas lancé de scan car je l'ai installé après avoir demandé votre aide donc je préfère toucher le moins possible :) 
    je lance un scan maintenant
    m
    0
    l
    28 Mai 2017 12:43:09

    Le rapport de Roguekiller :/  j'ai rien fais de ce qu'il a détecté pour le moment
    m
    0
    l
    28 Mai 2017 19:41:58

    Re

    Pour vcdrom.sys , effectivement , il y a quelques difficultés pour tester certains fichiers directement .
    Il faudrait aller le chercher par l'explorateur de Windows , le copier sur le bureau , et le tester a partir du bureau .

    Pour Roguekiller , vous avez bien fait de ne rien lui faire corriger.
    On l'utilisera , éventuellement , en cas de besoin .

    On va passer un correctif , en mode sans echec .

    D'abord , désinstallez par le panneau de configuration , le programme suivant , si il est présent :
    Search module
    si vous n'y arrivez pas , passez a la suite .

    • Fermer toutes les applications, y compris le navigateur
    • Ouvrir le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
    • Copier/coller la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes


      start
      CreateRestorePoint:
      CloseProcesses:
      HKLM\...\Run: [gplyra] => C:\Users\Fanny\AppData\Roaming\gplyra\gplyra\start.cmd
      C:\Users\Fanny\AppData\Roaming\gplyra
      HKU\S-1-5-21-3932063546-2150310279-336421201-1000\...\Run: [msiql] => C:\Users\Fanny\AppData\Local\Temp\is-KNAI2.tmp\PopWnd.exe /RUNNING <===== ATTENTION
      HKU\S-1-5-21-3932063546-2150310279-336421201-1000\...\Run: [YeaDesktop] => C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe /autostart <===== ATTENTION
      C:\Program Files (x86)\YeaDesktop
      ShellExecuteHooks: Pas de nom - {3D62362C-392C-11E7-8D5A-64006A5CFC23} - C:\Users\Fanny\AppData\Roaming\Sejukghakusp\Aneratain.dll -> Pas de fichier
      C:\Users\Fanny\AppData\Roaming\Sejukghakusp
      ShellExecuteHooks: Pas de nom - {DA2B6C30-3931-11E7-8671-64006A5CFC23} - C:\Users\Fanny\AppData\Roaming\Chefoch\Bejosyjicush.dll -> Pas de fichier
      C:\Users\Fanny\AppData\Roaming\Chefoch
      FF NewTab: Mozilla\Firefox\Profiles\0qup4gjb.default-1495456717243 -> hxxp://www-searching.com/?site=shyosffdefault&prd=set_ff&s=h5mzbcnbl1bu,2fd46ff6-120f-486c-b569-368d046bd62d,
      CHR HKU\S-1-5-21-3932063546-2150310279-336421201-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jlcgehabolcakkjhgmgpkagpolbjlhfa] - hxxps://clients2.google.com/service/update2/crx
      R2 Auhardwaregl; C:\Windows\SysWow64\Auhardwaregl.dll [454440 2017-05-20] ()
      S2 SMUpd; C:\Program Files\Common Files\Noobzo\GNUpdate\smu.exe /service [X] <==== ATTENTION
      C:\Program Files\Common Files\Noobzo
      R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== ATTENTION
      R2 Uefochubsrv; C:\Windows\system32\drivers\Uefochubsrv.sys [196640 2017-05-20] ()
      R1 WiserIso; C:\Windows\System32\Drivers\vcdrom.sys [25432 2016-12-27] ()
      2017-05-20 20:47 - 2016-12-27 04:34 - 00025432 _____ C:\Windows\system32\Drivers\vcdrom.sys
      S3 SMUpdd; \??\C:\Program Files\Common Files\Noobzo\GNUpdate\smw.sys [X]
      2017-05-25 18:43 - 2017-05-26 18:43 - 00000296 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
      2017-05-25 17:43 - 2017-05-26 18:43 - 00003476 _____ C:\Windows\System32\Tasks\UCBrowserSecureUpdater
      2017-05-25 17:43 - 2017-05-25 17:43 - 00000000 ____D C:\Users\Fanny\AppData\Local\UCBrowser
      2017-05-25 11:44 - 2017-05-25 12:03 - 00000000 ____D C:\Users\Fanny\AppData\Local\BrowserAir
      2017-05-25 11:44 - 2017-05-25 11:56 - 00003506 _____ C:\Windows\System32\Tasks\IBUpd
      2017-05-25 11:44 - 2017-05-25 11:56 - 00003250 _____ C:\Windows\System32\Tasks\IBUpd2
      2017-05-25 11:44 - 2017-05-25 11:44 - 00004240 _____ C:\Windows\System32\Tasks\SMW_UpdateTask_Time_343130303233353435352d5b5b4a346c4123452a5a556c
      2017-05-24 15:01 - 2017-05-24 15:01 - 00283648 _____ C:\Windows\system32\bi3.exe
      2017-05-24 09:52 - 2017-05-24 09:52 - 00000000 ____D C:\ProgramData\BIT
      2017-05-24 09:52 - 2017-05-24 09:52 - 00000000 ____D C:\Program Files (x86)\MIO
      2017-05-24 09:48 - 2017-05-24 09:48 - 00000000 ____D C:\Program Files (x86)\kxbt7gw2
      2017-05-20 21:01 - 2017-05-25 11:55 - 00000008 __RSH C:\Users\Fanny\ntuser.pol
      2017-05-20 20:47 - 2017-05-25 11:55 - 00000008 __RSH C:\ProgramData\ntuser.pol
      2017-05-20 20:47 - 2017-05-20 21:09 - 00000000 ____D C:\Program Files (x86)\UCBrowser
      2017-05-20 20:47 - 2017-05-20 20:47 - 00454440 _____ C:\Windows\SysWOW64\Auhardwaregl.dll
      2017-05-20 20:47 - 2017-05-20 20:47 - 00196640 _____ C:\Windows\system32\Drivers\Uefochubsrv.sys
      Task: {24F56DAC-E4C0-4FEC-95C5-96D351319AAA} - System32\Tasks\IBUpd => C:\Users\Fanny\AppData\Local\BrowserAir\48.0.0.0\updater.exe <==== ATTENTION
      Task: {31E20A94-EBDD-4DC3-99E5-82957AB57884} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-05-20] (UC Web Inc.) <==== ATTENTION
      Task: {4587154B-7667-4D07-9CDD-545610479A2A} - System32\Tasks\IBUpd2 => C:\Users\Fanny\AppData\Local\BrowserAir\48.0.0.0\updater.exe <==== ATTENTION
      Task: {8D069E2F-2122-4E1E-92D0-D7080CE3F36E} - \SMW_P -> Pas de fichier <==== ATTENTION
      Task: {9D611401-C1DF-4B02-ACF5-CDCEE623964F} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-05-20] (UC Web Inc.) <==== ATTENTION
      Task: {D46B1233-0235-4E8A-B6B4-7F5A9469576E} - System32\Tasks\SMW_UpdateTask_Time_343130303233353435352d5b5b4a346c4123452a5a556c => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 <==== ATTENTION
      C:\ProgramData\SearchModule
      Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
      ShortcutWithArgument: C:\Users\Fanny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www%2dsearching.com/?prd=set_epc&s=h5mzbcnbl1bu,2fd46ff6-120f-486c-b569-368d046bd62d,
      ShortcutWithArgument: C:\Users\Fanny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www%2dsearching.com/?prd=set_epc&s=h5mzbcnbl1bu,2fd46ff6-120f-486c-b569-368d046bd62d,
      2017-05-20 20:47 - 2017-05-20 20:47 - 00454440 _____ () c:\windows\syswow64\auhardwaregl.dll
      AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444]
      AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914]
      AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458]
      FirewallRules: [{54D33AB5-C618-4F1E-AC82-484805DD5CAA}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
      FirewallRules: [{6BB46EBA-C51A-4CD3-BC37-1360ED349DA5}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
      FirewallRules: [{4038E38F-11FF-4E65-B636-F5E81054779A}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
      FirewallRules: [{9AC15A19-A61C-4DF4-B424-183DDF289327}] => (Allow) C:\Users\Fanny\AppData\Local\BrowserAir\Application\BrowserairExec.exe
      FirewallRules: [{3288E7ED-8F9D-417E-9387-ECEAC822360E}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
      FirewallRules: [{7430BF9C-BE9C-4DEE-BBEA-0243160704AE}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
      FirewallRules: [{EC285725-C5B8-43DE-BA6D-3903741C9FF2}] => (Allow) C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe
      C:\Program Files (x86)\Maoha
      FF SearchPlugin: C:\Users\Fanny\AppData\Roaming\Mozilla\Firefox\Profiles\0qup4gjb.default-1495456717243\searchplugins\smod.xml [2017-05-25]
      C:\Users\Fanny\AppData\Roaming\Mozilla\Firefox\Profiles\0qup4gjb.default-1495456717243\searchplugins\smod.xml
      EmptyTemp:
      end֔


    • Enregistrer le fichier sur le bureau sous le nom fixlist.txt

      Redémarrez le pc en mode sans echec . c'est Important .

      Pour cela , redémarrez , et tapotez la touche F8 des le redémarrage.
      dans le menu qui va s'afficher , choisissez : mode sans echec
      L'affichage sera un peu différent , les icones plus grosses , c'est normal .

      Des détails ici : http://www.chantal11.com/2010/05/demarrer-en-mode-sans-...

    • Lancer FRST par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal de FRST, cliquer une seule fois sur Corriger et patienter le temps de la correction

    • Accepter le redémarrage du système si demandé. Redémarrez normalement .
    • L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

    m
    0
    l
    1 Juin 2017 15:16:57

    pour search module il est présent mais semble "désinstallé" je continue la manip
    m
    0
    l
    1 Juin 2017 15:56:29

    Re

    Pas de probleme pour le temps de réponse ...

    Le fix en mode sans echec a , semble t-il , été plus efficace qu'en mode normal ..

    On va refaire 2 analyses pour vérifier :

    FRST :
    Comme ici , le point 2) uniquement :
    http://www.tomsguide.fr/forum/id-3045914/virus-ucbrowse...


    ADWCleaner :

    Comme ici :
    http://www.tomsguide.fr/forum/id-3045914/virus-ucbrowse...

    La partie AdwCleaner - Analyser : uniquement .
    ( je ne remets pas les procédures completes , uniquement les liens vers celles-ci ..)

    Donc, 4 rapports attendus :

    frst.txt
    addition.txt
    shortcut.txt
    AdwCleaner(Sx).txt

    m
    0
    l
    1 Juin 2017 16:41:11

    Re

    Citation :
    en revanche pour adwcleaner je n'arrive toujours pas à le lancer :/ 


    C'est bizarre , quand meme .
    meme en cochant la case debloquer , dans les proprietés ?

    Si ca ne marche toujours pas , faites une analyse Roguekiller , et postez le rapport .

    m
    0
    l
    2 Juin 2017 16:02:38

    Re

    On va passer un fix qui doit débloquer AdwCleaner :

    • Fermer toutes les applications, y compris le navigateur
    • Clic-droit sur FRST64.exe-> Exécuter en tant qu'administrateur
    • Appuyer simultanément sur les touches Ctrl + y. Un fichier fixlist.txt s'ouvre
    • Copier/coller la totalité du contenu de la zone Code ci-dessous dans ce fichier


      start
      CreateRestorePoint:
      CloseProcesses:
      HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (U)
      HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (U)
      EmptyTemp:
      end֔


    • Appuyer simultanément sur les touches Ctrl + s pour enregistrer, puis refermer le fichier fixlist.txt
    • Sur le menu principal de FRST, cliquer une seule fois sur Corriger et patienter le temps de la correction

    • Accepter le redémarrage du système si demandé
    • L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\



    AdwCleaner - Analyser :

    • Télécharger AdwCleaner de Malwarebytes et enregistrer le fichier sur le Bureau
      Patienter le temps que le navigateur propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
    • Fermer toutes les applications, y compris le navigateur
    • Clic-droit -> Exécuter en tant qu'administrateur sur l'icône AdwCleaner.exe pour lancer l'outil
    • Sur le menu principal, cliquer sur Analyser
    • Les éléments détectés s'affichent dans les différents onglets. Cliquer sur Rapport
    • Un rapport AdwCleaner(Sx).txt s'ouvre. Poster ce rapport dans la prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).txt (ou C:\Program Files (x86)\AdwCleaner)


  • Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

    Si l'antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

    Tutoriel d'utilisation AdwCleaner en images

    2 rapports a poster :
    fixlog.txt
    AdwCleaner(Sx).txt

    m
    0
    l
    2 Juin 2017 22:43:13

    Re

    Tres bien .

    Vous allez relancer AdwCleaner , en mode nettoyage , cett efois :

    AdwCleaner - Nettoyer :

    • Fermer toutes les applications, y compris le navigateur
    • Clic-droit -> Exécuter en tant qu'administrateur sur l'icône AdwCleaner.exe pour lancer l'outil
    • Sur le menu principal, cliquer sur Analyser
    • Les éléments détectés s'affichent dans les différents onglets. Cliquer sur Nettoyer et valider par OK la fermeture des programmes
    • Patienter le temps de l'analyse et valider le message d'information
    • Un redémarrage est demandé, valider par OK
    • Au redémarrage, un rapport AdwCleaner(Cx).txt s'ouvre. Poster ce rapport dans la prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).txt (ou C:\Program Files (x86)\AdwCleaner)


  • Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

    Si l'antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

    Tutoriel d'utilisation AdwCleaner en images

    En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil


    Pouvez vous me dire comment se comporte le pc , maintenant ?

    Si c'est ok , on pourra finaliser ..

    1 rapports à poster :
    AdwCleaner(Cx).txt

    m
    0
    l
    3 Juin 2017 11:26:14

    Voila c'est fait, pour le pc il se comporte plutôt pas mal, je ne suis plus infestée de popup, il n'installe plus de logiciels bizarres mais ça c'était déjà depuis la première ou 2e manip. Par contre il s'amusait à planter à chaque fois que je faisait un clic droit sur le bureau (obligée de passer par l'explorateur) et là ça le fait plus.
    il apparaissait également dans les autorisations du pare feu deux programmes louches impossibles a désactivés et ils ne sont plus là non plus. voila pour les observations.

    https://up.security-x.fr/file.php?h=R763c5f766ceadc7dd6...
    m
    0
    l

    Meilleure solution

    4 Juin 2017 19:09:33

    Re

    He bien , ca m'a l'air tres bien .
    On va pouvoir finaliser :

    Nettoyage des outils utilisés :


    Télécharger DelFix (de Xplode) sur le bureau.

  • Fermer toutes tes fenêtres, puis faites un clic droit -> "Exécuter en tant qu'administrateur" DelFix.exe pour le lancer.
  • Ne pas toucher pas aux options cochées, il ne doit y avoir que : "Supprimer les outils de desinfection"
  • Cliquer sur le bouton "Exécuter"
  • Laisser travailler l'outil.
  • Le rapport est enregistré dans à la base du disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans la prochaine réponse.


    /!\ Quelques conseils de prudence et de prévention: /!\


    Des fichiers malveillants se sont introduits sur votre ordinateur, le plus souvent lors d'installation de logiciels téléchargés.
    Ils peuvent ralentir votre ordinateur, vous inonder de publicités , collecter/dérober des informations personnelles, crypter vos fichiers et d'autres actions désagréables.
    • Il faut prendre le temps de lire les conditions d'utilisation qui s'affichent lors d'une installation, avant de les accepter, ou de les refuser .[/li]
    • Il faut aussi refuser l'installation de logiciels proposés (par l'intermédiaire de cases cochées d'avance) [/li]
    • Ne télécharger des logiciels que sur des sites de confiance , de préférence sur le site de l'éditeur .[/li]


  • Un peu de lecture : Stop aux pubs et aussi Un exemple d'application "piégée"


    Méfiez vous aussi des pièces jointes reçues dans votre messagerie. Ne cliquez jamais dessus directement.
    Enregistrez la , et scannez la avec un antivirus , et si vous ne connaissez pas l'expéditeur, direction poubelle sans l'ouvrir.

    Méfiez vous de l'utilisation de logiciels P2P,(peer-to-peer,comme µTorrent), cracks ( Ils sont très souvent être infectés).
    A lire aussi !
    N'installez pas de logiciel "miracle" censé accélérer votre ordinateur, ou le réparer.

    Scannez régulièrement votre système avec votre antivirus .
    Maintenez votre système et vos logiciels à jour , surtout l' antivirus et les navigateurs .

    N'oubliez pas qu'un comportement responsable et prudent est la première et la meilleure des protections


    Il reste à poster le rapport delfix.txt ..
    partage
    8 Juin 2017 11:28:22

    Re

    C'est bon .

    Bonne continuation , et prudence sur le net ...

    m
    0
    l
    il y a moins d'une minute

    Merci beaucoup pour votre patience et votre aide :) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS