Votre question
Résolu

Infection virus WinSAPSvc-SNARE-Kitty

Tags :
  • Windows 10
  • Virus
  • Sécurité
  • Adware
Dernière réponse : dans Sécurité et virus
28 Mai 2017 17:27:33

Bonjour,

Depuis plusieurs semaines mon PC est infecté par WinSAPSvc-SNARE-Kitty, je peux les supprimer avec MBAM, Adwcleaner, ZHPcleaner... Mais ils reviennent sans arrêt, causant des fermetures intempestives de firefox/chrome et rétablissant une fausse page de démarrage par défaut (ourluckysites)
J'ai déjà suivi plusieurs discussions sur le sujet et donc effectué les analyses avec Farbar.
Voici les rapports obtenus :
https://up.security-x.fr/file.php?h=Rf543b565f26493b550...
https://up.security-x.fr/file.php?h=R28a3bb51096416b0e8...

Je rajoute aussi qu'il y a eu quelques dégâts avec windows suite à la suppression d'un autre virus.

Si quelqu'un pourrait m'aider à les supprimer définitivement,

Un grand merci ^^

Autres pages sur : infection virus winsapsvc snare kitty

a c 298 8 Sécurité
28 Mai 2017 18:46:31

Bonjour,

Je regarde tes rapports.
m
0
l

Meilleure solution

a c 298 8 Sécurité
28 Mai 2017 19:05:13

Bonjour,

  • Ouvre le Bloc-notes.
  • Copie-colle le texte encadré ci-dessous dans le Bloc-notes :

    start
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-3797369545-1686018605-1048211034-1001\...\Run: [background_fault] => C:\Users\Florian\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-04] (AVAST Software) <===== ATTENTION
    IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
    IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
    ProxyEnable: [S-1-5-21-3797369545-1686018605-1048211034-1001] => Proxy est activé.
    ProxyServer: [S-1-5-21-3797369545-1686018605-1048211034-1001] => google.com:8080
    ManualProxies:
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907&q={searchTerms}
    HKU\S-1-5-21-3797369545-1686018605-1048211034-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907
    HKU\S-1-5-21-3797369545-1686018605-1048211034-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-3797369545-1686018605-1048211034-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3797369545-1686018605-1048211034-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907&q={searchTerms}
    Edge HomeButtonPage: HKU\S-1-5-21-3797369545-1686018605-1048211034-1001 -> hxxp://www.ourluckysites.com/?type=hp&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907
    FF Homepage: Mozilla\Firefox\Profiles\qf65oz51.default-1458487712108 -> hxxp://www.ourluckysites.com/?type=hp&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907
    FF SearchPlugin: C:\Users\Florian\AppData\Roaming\Mozilla\Firefox\Profiles\qf65oz51.default-1458487712108\searchplugins\ourluckysites.xml [2017-05-15]
    CHR HomePage: Default -> hxxp://www.ourluckysites.com/?type=hp&ts=1494866235&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907
    CHR StartupUrls: Default -> "hxxp://www.ourluckysites.com/?type=hp&ts=1494866235&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907"
    CHR DefaultSearchURL: Default -> hxxp://www.ourluckysites.com/search/?type=ds&ts=1495467285&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> ourluckysites
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    HKU\S-1-5-21-3797369545-1686018605-1048211034-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Dayglad\Application\chrome.exe <==== ATTENTION
    C:\Program Files (x86)\Dayglad
    R2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-05-26] (TODO: <公司名>) [Fichier non signé] <==== ATTENTION
    S2 CSHMDR; C:\Users\Florian\AppData\Local\CSHMDR\Snare.dll [900096 2017-05-22] (IntertSect Alliance Pty Ltd) [Fichier non signé] <==== ATTENTION
    S2 snare; C:\Users\Florian\AppData\Local\snare\Snare.dll [1050112 2017-05-24] (IntertSect Alliance Pty Ltd) [Fichier non signé] <==== ATTENTION
    S2 terana; C:\Users\Florian\AppData\Local\terana\terana.dll [908288 2017-05-26] (IntertSect Alliance Pty Ltd) [Fichier non signé] <==== ATTENTION
    R2 WinSAPSvc; C:\Users\Florian\AppData\Roaming\WinSAPSvc\WinSAP.dll [1887232 2017-05-26] (TODO: <公司名>) [Fichier non signé] <==== ATTENTION
    S2 FirefoxDL; "C:\Users\Florian\AppData\Local\Temp\1\QQBrowser.exe" -isvc [X] <==== ATTENTION
    S2 SetleafSU; "C:\Users\Florian\AppData\Local\Temp\1\GoogleUpdats.exe" -r [X] <==== ATTENTION
    U2 CWASRE; pas de ImagePath
    C:\Users\Florian\AppData\Local\terana
    C:\Program Files (x86)\5925B482_jumpeasy
    C:\Program Files (x86)\Default Company Name
    C:\Users\Florian\AppData\Local\snare
    C:\WINDOWS\SysWOW64\1
    C:\Users\Florian\AppData\Roaming\WinSAPSvc
    C:\Users\Florian\AppData\Local\CSHMDR
    C:\Program Files (x86)\MIO
    C:\Reimward
    C:\Terward
    C:\Users\Florian\AppData\Local\CWASRE
    C:\Program Files (x86)\5916F82A_jumpeasy
    C:\Program Files (x86)\5916ED95_jumpeasy
    C:\Program Files (x86)\5915F95F_jumpeasy
    C:\Users\Florian\AppData\Local\NPASRE
    C:\Reerdition
    C:\Program Files (x86)\591489C6_jumpeasy
    C:\Users\Florian\AppData\Local\VNASRE
    C:\Reaqapytegupy
    C:\WINDOWS\System32\Tasks\Milimili
    C:\Users\Florian\AppData\Local\WANARE
    C:\WINDOWS\System32\Tasks\Windows-PG
    C:\ProgramData\BIT
    C:\Users\Florian\AppData\Roaming\Firefox
    C:\Users\Florian\AppData\Local\Firefox
    C:\Users\Florian\AppData\Local\background_fault
    C:\Users\Public\Documents\report.dat
    C:\Users\Florian\AppData\Local\Kitty
    C:\Program Files (x86)\AlphaGo
    C:\Users\Public\Documents\temp.dat
    C:\Users\Florian\AppData\Local\Dayglad
    C:\Program Files (x86)\IIS
    C:\Users\Florian\AppData\Local\SNAREA
    C:\Program Files\MK
    Task: {73EEA265-1493-4EE2-8370-6115F1ABFD17} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-06] () <==== ATTENTION
    Task: {CDFEB3E7-319E-4135-9D2F-1DB4A6783E67} - \Jacilevunupy -> Pas de fichier <==== ATTENTION
    ShortcutWithArgument: C:\Users\Florian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494866235&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907
    ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494866235&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907
    ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494866235&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=che0812&uid=KINGSTONXSV300S37A120G_50026B72520AA907
    FirewallRules: [{BF310085-3BB9-4A41-9F9E-138BB143CA49}] => (Allow) C:\Program Files (x86)\MIO\loader\kingstonxsv300s37a120g_50026b72520aa907.dat
    FirewallRules: [{AB40C1C7-CE6B-4961-96EE-DB6D5EE59774}] => (Allow) C:\Program Files (x86)\MIO\loader\kingstonxsv300s37a120g_50026b72520aa907.dat
    FirewallRules: [{FD934097-8ADA-451C-831C-1ACC24C30B7A}] => (Allow) C:\Program Files (x86)\MIO\loader\kingstonxsv300s37a120g_50026b72520aa907.dat
    FirewallRules: [{0DD88527-14FA-4C2A-A3D6-3969CAD51753}] => (Allow) C:\Program Files (x86)\MIO\loader\kingstonxsv300s37a120g_50026b72520aa907.dat
    Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{51639FCA-678F-4D71-8044-E16E3D49187F}" /f
    Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{9CDB618D-4F02-4CAD-B743-89677FE7ADE9}" /f
    cmd: ipconfig /flushdns
    RemoveProxy:
    EmptyTemp:
    end

  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
  • Clique sur Corriger. Patiente le temps de la correction.

    Note : si l'outil a besoin d'un redémarrage, accepte pour qu'il termine son travail.

  • Une fois la correction terminée, un rapport Fixlog.txt remplacera le fichier fixlist.
  • Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
    partage
    Contenus similaires
    a c 298 8 Sécurité
    28 Mai 2017 20:03:07

    As-tu encore des soucis sur ton PC ?

    Il y a un SSD dedans ?

    Je voudrais un nouveau rapport d'analyse FRST (et Addition) s'il te plaît (pour vérifier).
    m
    0
    l
    a c 298 8 Sécurité
    30 Mai 2017 01:27:53

    Citation :
    C:\Program Files (x86)\Jelether
    C:\Insist

    --> A supprimer

    Ton Windows semble abîmé. De plus, il n'est pas à jour, il manque la "Creators Update".
    m
    0
    l
    30 Mai 2017 18:21:02

    Re,

    J'ai supprimé Jelether et Insist.

    Oui Windows est abîmé, auparavant j'ais fait la connerie de supprimer un fichier de Windows (Trustedinstaller) pour supprimer un autre virus, ce programme m’empêchait de supprimer le virus, et donc suite à cette suppression je ne peut plus désinstaller un programme via le panneau de config ou accéder aux propriétés d'un fichier. Je pense qu'une réparation Windows corrigerait le problème?

    Pour la Creator Update faut faire gaffe si on à un SSD apparemment :

    http://www.commentcamarche.net/faq/47916-la-mise-a-jour...
    Citation :
    - Si vous êtes en SSD attendez : http://www.commentcamarche.net/forum/affich-34508648-er...

    m
    0
    l
    a c 298 8 Sécurité
    30 Mai 2017 18:30:40

    Citation :
    Je pense qu'une réparation Windows corrigerait le problème?

    --> Pourquoi pas. Eventuellement tester ceci :
    http://forums.cnetfrance.fr/topic/243-sfc-scannow--veri...

    Il y a DISM aussi mais je ne saurais t'en dire plus.

    J'ai installé la Creators Update sur deux de mes PC ayant des SSD et je n'ai pas eu de problème. Je suis passé par Windows Update, je n'ai pas eu besoin de forcer avec le Media Creation Tool.
    m
    0
    l
    2 Juin 2017 18:58:58

    Re,

    Ca y est j'ai réinitialisé windows, il est tout propre, a jour... Et un truc marrant ton machin DISM il l'a fait tout seul en réinstallant, le log si tu veux voir :
    http://pjjoint.malekal.com/files.php?id=20170602_k11o7e...

    Je clos le sujet du coup, un gros merci pour ton aide [:dundee33]
    m
    0
    l
    a c 298 8 Sécurité
    2 Juin 2017 21:34:21

    Du coup, tu as tout réinstallé ?
    m
    0
    l
    4 Juin 2017 16:57:34

    La réinitialisation Windows fait un formatage du disque C je crois, donc oui ça à réinstallé, du coup s’embêter à nettoyer les adwares et compagnie n'a pas servit à grand chose, un formatage supprime tout normalement, mais au moins on est sur ^^
    Dans tous les cas je n'ai perdu aucun fichier perso ou logiciel étant donné qu'ils sont installés dans le HDD (qui n'a pas été formaté).
    m
    0
    l
    a c 298 8 Sécurité
    4 Juin 2017 17:01:08

    Dans ton cas, c'était le mieux à faire à cause du Windows endommagé, tu es reparti sur une bonne base ^^

    Bonne fin de journée ;) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS