Résolu Virus même après nettoyage

[All-py]

Bonjour à tous,

Je viens pour le pc de mon frère. Apres avoir téléchargé un logiciel louche (je ne suis pas sûr qu'il l'ai exécuté même si ca parait peu probable sinon) des logiciels se sont mis à s'installer tout seuls. On a donc fait un tour de malwarebyte qui a trouvé un trojan et quelques autres choses, puis adwcleaner.

Maintenant ni malwarebyte ni l'antivirus ne voient de virus mais :
-le pc ne s'éteint plus normement (il se redémarre)donc obligation d'utiliser le bouton power.
Recement :
-le bouton démarrer et cortana ne répondent plus (il n'y a pas le message d'erreur mais ils ne répondent pas)
-une barre de navigation s'est installée toute seule sur chrome et avira a désinstallé chrome.

Voila si quelqu'un saurait comment résoudre le problème.

 

[hyunkel30]

Bonjour,

Je pense pas que l'ensemble des symptômes soient liés, mais bon.
Il faut penser aussi que l'utilisation d'outil de désinfection peut engendrer des problèmes et de l'instabilité système.

à faire pour un premier diagnostic :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Vous devez être connecté pour voir les liens.

Vous devez être connecté pour voir les liens.

Vous devez être connecté pour voir les liens.

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

• ■ Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
  ■Clique sur le bouton Analyser.
  ■L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  ■A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).

Poste les deux rapports générés.

■Pour les rapports, merci d'utiliser

Vous devez être connecté pour voir les liens.

: dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

Vous devez être connecté pour voir les liens.

 

[magellan]

+1.

Je pense aussi que tu as des composants installés en trop (toolbars). Dans ajout/suppression de programmes, trie par date et regarde ce que tu as comme logiciels qui se seraient installés aux alentours de la date de l'infection.

Au pire... passe par une sauvegarde de tous les fichiers personnels, puis demande à Windows de se remettre dans l'état d'origine. C'est plutôt radical mais parfois indispensable.

 

[All-py]

Bon je regarde tout ca et je reviens

 

[All-py]

Voila les fichiers :

-FRST :

Vous devez être connecté pour voir les liens.

-addition :

Vous devez être connecté pour voir les liens.

Merci encore pour le temps que vous passez.

 

[magellan]

FRST:
Ce que je ne connais pas, ou bien qui doit dégager.
() C:\Users\genes_000\AppData\Roaming\ACEStream\updater\ace_update.exe <-- si c'est un jeu ou un outil, à dégager
(MY.COM B.V.) C:\Users\genes_000\AppData\Local\MyComGames\MyComGames.exe <- même chose
(Wondershare) C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe <-- connais pas
() C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe <- inutile vois dans freemake pour désactiver la recherche de mise à jour auto
(Microsoft Corporation) C:\WINDOWS\System32\CompatTelRunner.exe <-- jamais vu, connais pas.
(Microsoft Corporation) C:\WINDOWS\System32\CompatTelRunner.exe
(hxxp://www.amule.org/) C:\Program Files (x86)\amuleC\ed2k.exe <-- y a encore des gens sur Edonkey?!
(Glarysoft Ltd) C:\Program Files (x86)\Glary Utilities 5\Integrator.exe <-- c'est quoi donc ce truc?
(Innovative Digital Technologies) C:\Users\genes_000\AppData\Roaming\ACEStream\engine\ace_engine.exe <-- Idem... ça sent le truc à virer
(Microsoft Corporation) C:\Program Files\Internet Explorer\ielowutil.exe <- Jamais vu.

La suite:
Ace Stream Media 3.0.12 (HKU\S-1-5-21-2712830709-754383628-1075057225-1004\...\AceStream) (Version: 3.0.12 - Ace Stream Media) <==== ATTENTION
amuleC (HKLM-x32\...\{418DDAC3-E16C-47C2-B5FE-4FBCAB0E10D0}) (Version: 1.0.0 - amuleC) <-- à voir si tu t'en sers
DriversCloud.com (64 bits) (HKLM\...\{77EEC345-B758-45DF-94C2-25D91D520650}) (Version: 8.0.4.0 - Cybelsoft) <-- pas indispensable je pense
Glary Utilities 5.62 (HKLM-x32\...\Glary Utilities 5) (Version: 5.62.0.83 - Glarysoft Ltd) <-- je ne sais pas ce qu'il vaut.
Malware Hunter 1.21.0.38 (HKLM-x32\...\Malware Hunter) (Version: 1.21.0.38 - Glarysoft Ltd) <-- je ne sais pas ce qu'il vaut.

 

[All-py]

A priori, j'ai trouvé d'où vienne les programmes qui s'installent : il s'agit de Ads by Advertise. Seulement ça à l'air d'être une galère à enlever. Quelqu'un a une idée ?

 

[hyunkel30]

Re,

Merci magellan, je vais le prendre en charge à présent

@ All-py :

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Ace Stream Media 3.0.12 (sauf réelle utilité, comporte des sponsors publicitaires)
- Glary Utilities 5.62 (pas ou peu utile, comme tous les optimiseurs)
- Google Toolbar for Internet Explorer (barre d'outil, sauf réelle utilité)


~~~~~~~~~~~~~~~~~~~~~~~~~~


2)

• ■Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  ■Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  [fixed]start
  CreateRestorePoint:
  CloseProcesses:
  AlternateDataStreams: C:\Users\genes_000:Heroes & Generals [38]
  FirewallRules: [UDP Query User{9348AD6F-449B-493A-AFF9-4A2DD15C3281}C:\users\genes_000\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\genes_000\appdata\roaming\acestream\engine\ace_engine.exe
  FirewallRules: [TCP Query User{94A7B2BE-5348-46A5-9FB9-6CEA3FDB611E}C:\users\genes_000\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\genes_000\appdata\roaming\acestream\engine\ace_engine.exe
  FirewallRules: [UDP Query User{CBE1562C-2806-4037-9EED-508A736615D8}C:\users\genes_000\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\genes_000\appdata\roaming\acestream\engine\ace_engine.exe
  FirewallRules: [TCP Query User{193278FA-7155-48E4-8B45-C7C0EC5890A5}C:\users\genes_000\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\genes_000\appdata\roaming\acestream\engine\ace_engine.exe
  FirewallRules: [TCP Query User{F1CCF2D8-B156-4742-8F3C-7B4681D37AE1}C:\users\genes_000\appdata\roaming\cacaoweb\cacaoweb.exe] => (Allow) C:\users\genes_000\appdata\roaming\cacaoweb\cacaoweb.exe
  FirewallRules: [UDP Query User{D7040B95-1FA5-47E0-B9AB-014C2C5D6416}C:\users\genes_000\appdata\roaming\cacaoweb\cacaoweb.exe] => (Allow) C:\users\genes_000\appdata\roaming\cacaoweb\cacaoweb.exe
  C:\users\genes_000\appdata\roaming\cacaoweb
  FirewallRules: [TCP Query User{D378E2C4-ACFC-4AB5-BADA-524A34504ED4}C:\users\genes_000\appdata\roaming\cacaoweb\cacaoweb.exe] => (Allow) C:\users\genes_000\appdata\roaming\cacaoweb\cacaoweb.exe
  FirewallRules: [UDP Query User{1A5F51AC-A0E2-448B-9A8B-36FB92ABDA9B}C:\users\genes_000\appdata\roaming\cacaoweb\cacaoweb.exe] => (Allow) C:\users\genes_000\appdata\roaming\cacaoweb\cacaoweb.exe
  FirewallRules: [TCP Query User{AE39B495-B197-40AA-813F-54BFC48AFA1F}C:\users\genes_000\desktop\cacaoweb.exe] => (Allow) C:\users\genes_000\desktop\cacaoweb.exe
  FirewallRules: [UDP Query User{4A265323-3EA0-4A81-8E94-73DE0AE2028E}C:\users\genes_000\desktop\cacaoweb.exe] => (Allow) C:\users\genes_000\desktop\cacaoweb.exe
  HKU\S-1-5-21-2712830709-754383628-1075057225-1004\...\Run: [AceUpdater] => C:\Users\genes_000\AppData\Roaming\ACEStream\updater\ace_update.exe [27000 2015-11-10] ()
  HKU\S-1-5-21-2712830709-754383628-1075057225-1004\...\Run: [AceStream] => C:\Users\genes_000\AppData\Roaming\ACEStream\engine\ace_engine.exe [28024 2016-10-20] (Innovative Digital Technologies)
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Pas de fichier
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  SearchScopes: HKU\S-1-5-21-2712830709-754383628-1075057225-1004 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={174C8691-1FEE-4226-B2D2-3C831708B87C}&mid=ee8d9575cce147cda13031878577ef4f-de7f0cf103032c14b12f5661185e84fa7374f709&lang=fr&ds=AVG&coid=avgtbavg&cmpid=0215pit&pr=fr&d=2015-04-04 18:37:43&v=4.1.0.411&pid=wtu&sg=&sap=dsp&q={searchTerms}
  BHO: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files\AVG Web TuneUp\4.1.0.411\AVG Web TuneUp.dll => Pas de fichier
  Toolbar: HKLM - Pas de nom - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Pas de fichier
  Edge HomeButtonPage: HKU\S-1-5-21-2712830709-754383628-1075057225-1004 -> hxxp://www.mylucky123.com/?type=hp&ts=1477392294&z=63896584d2bf5835ebf1ec1g6z7m3m1c7t5o3o0t7e&from=interhop1024&uid=TOSHIBAXMQ01ABD100_Z3BPP86BTXXZ3BPP86BT
  FF NewTab: Mozilla\Firefox\Profiles\6awtd0yj.default -> hxxp://www.youndoo.com/?z=f371aa78eca11297cc165c8gbzcm8qcc4mao3c2qeg&from=wak&uid=TOSHIBAXMQ01ABD100_Z3BPP86BTXXZ3BPP86BT&type=hp
  FF DefaultSearchEngine: Mozilla\Firefox\Profiles\6awtd0yj.default -> youndoo
  FF SelectedSearchEngine: Mozilla\Firefox\Profiles\6awtd0yj.default -> youndoo
  FF Extension: (AS Magic Player) - C:\Users\genes_000\AppData\Roaming\Mozilla\Firefox\Profiles\6awtd0yj.default\Extensions\magicplayer_unlisted@acestream.org [2016-02-05]
  FF Extension: (Search App by Ask) - C:\Users\genes_000\AppData\Roaming\Mozilla\Firefox\Profiles\6awtd0yj.default\Extensions\toolbar_ORJ-SPE@apn.ask.com.xpi [2016-10-27]
  FF Extension: (Ace Stream Web Extension) - C:\Users\genes_000\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2015-12-18]
  FF HKU\S-1-5-21-2712830709-754383628-1075057225-1004\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\genes_000\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi
  FF Plugin HKU\S-1-5-21-2712830709-754383628-1075057225-1004: @acestream.net/acestreamplugin,version=3.0.12 -> C:\Users\genes_000\AppData\Roaming\ACEStream\player\npace_plugin.dll [2015-09-24] (Innovative Digital Technologies)
  CHR HomePage: ChromeDefaultData -> search.ask.com/?gct=hp
  CHR StartupUrls: ChromeDefaultData -> "hxxp://www.mylucky123.com/?type=hp&ts=1477392294&z=63896584d2bf5835ebf1ec1g6z7m3m1c7t5o3o0t7e&from=interhop1024&uid=TOSHIBAXMQ01ABD100_Z3BPP86BTXXZ3BPP86BT"
  CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.mylucky123.com/search/?type=ds&ts=1477392294&z=63896584d2bf5835ebf1ec1g6z7m3m1c7t5o3o0t7e&from=interhop1024&uid=TOSHIBAXMQ01ABD100_Z3BPP86BTXXZ3BPP86BT&q={searchTerms}
  CHR DefaultSearchKeyword: ChromeDefaultData -> mylucky123
  CHR Extension: (Ace Stream Web Extension) - C:\Users\genes_000\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2016-10-13]
  CHR Profile: C:\Users\genes_000\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-10-26] <==== ATTENTION
  CHR Extension: (Ace Stream Web Extension) - C:\Users\genes_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2016-08-22]
  CHR HKLM\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-2712830709-754383628-1075057225-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca] - hxxps://clients2.google.com/service/update2/crx
  S2 NolarrySU; "C:\WINDOWS\TEMP\nsi12AB.tmp\ttff.exe" [X]
  2016-10-26 19:30 - 2016-10-26 19:30 - 00000000 ____D C:\Program Files (x86)\nfoftswn
  2016-10-26 18:32 - 2016-10-26 18:34 - 00000000 ____D C:\Program Files (x86)\6cfw9x5x
  2016-10-25 17:27 - 2016-10-25 17:29 - 00000000 ____D C:\Program Files (x86)\mknb9v36
  2016-10-25 15:27 - 2016-10-25 15:29 - 00000000 ____D C:\Program Files (x86)\q8lg5ov1
  2016-10-25 13:27 - 2016-10-25 13:29 - 00000000 ____D C:\Program Files (x86)\utilsho4
  2016-10-25 12:40 - 2016-10-25 12:43 - 00000000 ____D C:\Program Files (x86)\ua5q48gp
  2016-10-19 19:27 - 2016-10-19 19:27 - 00000000 ____D C:\Program Files (x86)\nz8inpte
  2016-10-19 17:51 - 2016-10-19 17:51 - 00000000 ____D C:\Program Files (x86)\1lf3lezr
  2016-10-14 15:47 - 2016-10-14 15:48 - 00000000 ____D C:\Users\genes_000\AppData\Roaming\.ACEStream
  2016-10-13 17:26 - 2016-10-26 19:40 - 00000000 ____D C:\Program Files (x86)\Lvescoeaied
  2016-10-13 17:26 - 2016-10-13 17:29 - 00000000 ____D C:\Users\genes_000\AppData\Local\Jagutionsoule
  Hosts:
  EmptyTemp:
  end[/fixed]
  
  ■Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  ■Ferme toutes les applications, y compris ton navigateur
  ■Double-clique sur FRST.exe
  ■Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
  
  Vous devez être connecté pour voir les images.
  
  ■ Le pc va demander à redémarrer, accepte.
  ■L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

 

[All-py]

Voila :

Vous devez être connecté pour voir les liens.

 

[All-py]

En tout cas plus de logiciels qui s'installent seuls et Ads by Advertise a bien disparu. Par ailleurs j'ai résolu le problème de redémarrage en désactivant le démarrage rapide.
Par contre le menu démarrer reste indisponible.

Merci bien pour tout le temps accordé.

 

[hyunkel30]

Re,

C'est déjà bien.

Plusieurs choses à faire encore :
- Il faudrait que tu désactives la protection d'antivir puis que tu fasses ceci s'il te plait :

• ■Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  ■Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  [fixed]start
  CreateRestorePoint:
  Hosts:
  EmptyTemp:
  end[/fixed]
  
  ■Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  ■Ferme toutes les applications, y compris ton navigateur
  ■Double-clique sur FRST.exe
  ■Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
  
  Vous devez être connecté pour voir les images.
  
  ■ Le pc va demander à redémarrer, accepte.
  ■L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

 

[All-py]

Voila le rapport :

-

Vous devez être connecté pour voir les liens.

 

[hyunkel30]

Re,

Ah, c'est bien mieux

Alors voyons pour ton menu démarrer :

Vous devez être connecté pour voir les liens.

Une fois ceci effectué, redémarre le pc et dis-moi si le problème persiste ou pas

 

[All-py]

Personnellement je n'ai pas le courage de le faire car il doit y avoir au moins une centaine de fichiers à réparer sans compter les fichiers corrompus. Par contre mon frère m'a dit qu'il n'avait pas installé l'Anniversary Update. Je pense l'installer demain et a priori ça devrais tout corriger (enfin j'espère).

 

[hyunkel30]

Re,

Pourquoi dis-tu cela, c'est un scan et une réparation automatique, tu n'as rien à faire que lancer la commande indiquée ...
C'est la première partie :
Exécution de l'outil Vérificateur des fichiers système (SFC.exe)