[Résolu] Infection Windows 10

[nanette234]

Bonjour à toutes et tous,

Voici mon problème :
Un vieux Toshiba Portégé qui migrent, non sans labeur, depuis bientôt 10 ans de Windows en Windows (aujourd'hui windows 10)
Malgré des petits problèmes d'écran et de clavier, il convient très bien à ma fille pour regarder ses séries préférées.
Hier, malgré l'avoir maintes fois prévenues des dangers du téléchargement, elle s'est mise en tête de télécharger un jeu "geometry dash", sans me demander mon aide 😤.
A priori, elle est allé sur plusieurs sites, pour tenter de le trouver, en cliquant ça et là au passage 😡, et en récoltant tout et n'importe quoi, sauf le jeu convoité. Nous avons désormais un superbe faux antivirus en chinois (en tout cas une langue qui y ressemble). Un logiciel : Accélérer PC, un autre qui mesure le taux de transfert upload/download ainsi que des pub intempestives toutes en chinois aussi (ils sont sérieux? Ils comptent vraiment nous vendre de la viande importée de Hong-Kong?😵)

Trêve de plaisanterie pour essayer de faire court, hier le Pc était considérablement ralenti, l'accès internet inaccessible et pour ne rien gâcher je n'avais pas accès aux outils de récupération. J'ai tout de même réussi a installer Malwarebytes qui a trouver quelques 5000 menaces !
Aujourd'hui, le Pc se porte mieux, accès a internet et plus de vigueur, cependant le faux antivirus est toujours présent.
J'ai activé la version d'essai de Malwarebytes et tenter de désactiver le démarrage de tout les programmes installés hier avec MSConfig (sans grand succès)

Voici donc le rapport ZHPDiag : http://www.cjoint.com/c/EJpr5iqIEx0

Pour que les gentils forumeurs spécialistes en sécurité me donnent un petit coup de pouce!
Avec tous nos remerciements (celui de ma fille et le mien😇😇😇)

Modifié le 21 octobre 2015 par nanette234

[tomtom95]

Bonsoir nanette234,

L'ordinateur est très infecté.
Présence d'infection par adwares/hijackers qui se sont installés avec ton consentement,
Il faut être plus vigilant sur ce qui est validé lors de l'installation de logiciels

Désinstalle via Panneau de configuration >> programmes et fonctionnalités (si présents) :
PCSpeedUp (adware)
TuneUp Utilities (inutile sous W10)
Java 7 Update 45 (version obsolète avec faille de sécurité)
Boxore (adware)

• Télécharge ZHPCleaner de Nicolas Coolman sur votre bureau.
  Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
  Fais un double clique sur l'icône pour le lancer
  Sous Windows Vista / 7 / 8 /10 (clique-droit > exécuter en tant qu'administrateur
  Accepte "les conditions d'utilisation"
  
• Cliquer sur scanner
  Lorsque le scan est terminé
• Clique sur Nettoyer
  Une demande concernant l'interface de réparation s'affiche.clique sur NON
  Pour le reste cliquer sur OUI
  Clique sur Rapport
  Ensuite Héberge le rapport ZHPCleaner.txt présent sur ton bureau sur le site ce service de rapport en ligne
  Appuyez sur Parcourir et chercher les rapports sur le bureau
• Cliquez sur Ouvrir
• Cliquez sur ENVOI,
  Puis copier/coller le lien fourni dans votre prochaine réponse.

• Télécharges Adwcleaner (de Xplode) sur ton Bureau
  Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
  Fais clique droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8/10 et Vista
• Cliquez sur oui pour Accepter la licence
  
• Choisir l'option Scanner
  Ensuite
• Choisir l'option Nettoyer
• Acceptez l'avertissement en cliquant sur OK
• Hébergez le contenu du rapport qui apparaît au redémarrage du PC
  sur le site ce service de rapport en ligne
  Puis copie/colle le lien fourni dans votre prochaine réponse.

Puis refait un rapport d'analyse avec ZHPDiag

 

[nanette234]

Tout d'abord merci tomtom95 de te pencher sur mon problème

 

Alors pour commencer je rencontre des difficultés pour desinstaller les programmes suivants :

 

PCSpeedUp : inexistant dans programmes et fonctionnalités.

TuneUp Utilities : la préparation de desinstallation de Windows bloque. J'ai même dû redémarrer pour libérer le programme de desinstallation (plus aucune action possible).

Java 7 Update 45 : Ok!

Boxore: Ok!

 

Pour ZHPCleaner voici le lien du rapport : http://up.security-x.fr/file.php?h=Re9b7e3ce6a82dc0ef21edac48db7ede7. Je précise tout de même que ça été compliqué, car si pour l'analyse je n'ai pas rencontré de problèmes, en revanche pour le nettoyage, mon copain antivirus chinois à tenter à deux reprises d'interrompre le travail. Une boîte de dialogue s'ouvrait et si je tentais de la fermer ZHPCleaner se fermait. J'ai fini par trouver (je crois) l'option pour "autoriser" le logiciel à continuer (mais pas évident d'en être sûre quand la langue est incompréhensible)

 

Pour ADWCleaner voici le lien du rapport : http://up.security-x.fr/file.php?h=R582dbfbde0035fbde6b8941cea32c3a3 . Je n'ai malheureusement pas pu désactiver l'antivirus ans le panneau de configuration (les options étaient grisées). Je précise que depuis le passage de ZHPCleaner il a tout de même l'air d'être moins présent, mais il est toujours détecté par Windows comme étant un logiciel antivirus "actif" (et anti espion aussi)

 

Enfin voici le dernier rapport ZHPDiag : http://up.security-x.fr/file.php?h=R5a3b600b83470e572ea709bf2b5ce9e9

Malheureusement toujours cet antivirus, toujours autant de pub 😩

[tomtom95]

Bonjour,

Malheureusement toujours cet antivirus, toujours autant de pub

Il est plus simple de s'infecté que le contraire.
Pendant la procédure ne fait pas pour le moment d'autre démarche que celle indiquer
Bien on continue

• Télécharge ZHPFix de Nicolas Coolman enregistre-le sur ton Bureau
• Pour lancer l'installation clique-droit sur ZHPFix.exe > exécuter en tant qu'administrateur
  N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau
• Puis Clique-droit >sur l'icône ZHPFix ,présent sur votre Bureau clique-droit > exécuter en tant qu'administrateur
  
• Surlignez tout le texte ci-dessous puis cliquez droit Copier
  
  

  Script ZHPFix
  C:\Program Files (x86)\Tencent
  C:\ProgramData\Tencent
  C:\WINDOWS\Prefetch\TENCENTDL.EXE-CE7E3EFE.pf
  C:\WINDOWS\Prefetch\TENCENTDL.EXE-FB0E9F49.pf
  C:\WINDOWS\System32\drivers\bsdriver.sys
  C:\Users\Anne\AppData\Local\Microsoft\Windows\INetCache\IE\XNSYZRYH\setup[1].exe
  C:\Users\Anne\AppData\Local\Microsoft\Windows\INetCache\IE\XNSYZRYH\setup[2].exe
  C:\Program Files (x86)\TuneUp Utilities 2013
  C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TuneUp Utilities 2013
  C:\ProgramData\Microsoft\Windows\Start Menu\Programs\é??å±±æ¯?é?
  C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
  C:\ProgramData\B5TTmp
  C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7
  C:\ProgramData\TuneUp Software
  C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
  C:\Users\Anne\AppData\Roaming\TuneUp Software
  C:\Users\Anne\AppData\Local\B5T
  C:\Users\Anne\AppData\Local\Kingsoft
  [MD5.98AB194DCBF27DBCE8B42A1B1DBF60B2] - (.Kingsoft Corporation - é??å±±æ¯?é?¸ç³»ç»?é?²å¾¡æ¨¡å?.) -- c:\program files (x86)\kingsoft\kingsoft antivirus\kxescore.exe [284240]
  [MD5.20DDFCF67561949AB24DD701D5958C68] - (.Kingsoft Corporation - é??å±±æ¯?é?¸.) -- c:\program files (x86)\kingsoft\kingsoft antivirus\kxetray.exe [1582064]
  [MD5.DDB14EF0D803AE89F919CB90DD5FE42A] - (.Kingsoft Corporation - Kingsoft Web-Protection Module.) -- c:\program files (x86)\kingsoft\kingsoft antivirus\kwsprotect64.exe [87400]
  [MD5.4D9AF7BB275C4E954360F53F6ADCFB9F] - (.Kingsoft Corporation - ShouJiKong Tray.) -- C:\Program Files (x86)\kingsoft\shoujizhushou\kphonetray.exe [1186456]
  [MD5.E01C51562AB140AD407649A13A298311] - (.Kingsoft Corporation - ����.) -- C:\program files (x86)\kingsoft\kingsoft antivirus\kminisite.exe [2867984]
  P2 - FPN: [HKCU] [b5MSoft.com/Bang5TaoPlugin] - (.B5MSoft.) -- C:\Users\Anne\AppData\Local\B5T\Plugin\npB5TPlugin64.dll
  P2 - FPN: [HKLM] [@kingsfot.com/npkws] - (.Kingsoft Corporation.) -- c:\program files (x86)\kingsoft\kingsoft antivirus\npkws.dll
  B2 - EXT: [__MSG_extTitle__] C:\Users\Anne\AppData\Roaming\Opera Software\Opera Stable\Extensions\nklfajnmfbchcceflgddnkignfheooic
  O2 - BHO: B5T Shopping Assistant [64Bits] - {260669B1-FC2C-41C0-BAA2-6EF3BB188660} . (.B5MSoft - Bang5Tao BHO.) -- C:\Users\Anne\AppData\Local\B5T\Plugin\B5TShoppingAssistant.dll
  O23 - Service: B5TService (B5TService) . (...) - C:\Users\Anne\AppData\Local\B5T\Share\B5TService.exe
  O23 - Service: Kingsoft Core Service (kxescore) . (.Kingsoft Corporation - é??å±±æ¯?é?¸ç³»ç»?é?²å¾¡æ¨¡å?.) - c:\program files (x86)\kingsoft\kingsoft antivirus\kxescore.exe
  O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) . (.TuneUp Software - TuneUp Utilities Service.) - C:\Program Files (x86)\TuneUp Utilities 2013\TuneUpUtilitiesService64.exe
  O39 - APT: TuneUpUtilities_Task_BkGndMaintenance2013 - (.TuneUp Software.) -- C:\WINDOWS\System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 [2930]
  O42 - Logiciel: é??å±±æ¯?é?¸ - (.Kingsoft Internet Security.) [HKLM][64Bits] -- Kingsoft Internet Security
  O42 - Logiciel: TuneUp Utilities 2013 - (.TuneUp Software.) [HKLM][64Bits] -- TuneUp Utilities 2013
  O42 - Logiciel: eReg - (.Logitech, Inc..) [HKLM][64Bits] -- {3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}
  O43 - CFD: 2015/10/15 18:18:37 - [] D -- C:\Program Files (x86)\baidu
  O58 - SDL:2015/10/14 21:06:41 A . (.Kingsoft Corporation - Kingsoft Antivirus Defend Engine Bootclean.) -- C:\WINDOWS\System32\drivers\kavbootc.sys [31592]
  O58 - SDL:2015/10/14 21:06:43 A . (.Kingsoft Corporation - Kingsoft Antivirus Defend Engine Bootclean.) -- C:\WINDOWS\System32\drivers\kavbootc64.sys [31848]
  O58 - SDL:2015/10/14 21:16:16 A . (.Kingsoft Corporation - Kingsoft Internet Security K Plus Driver.) -- C:\WINDOWS\System32\drivers\kisknl.sys [229712]
  O58 - SDL:2015/10/14 17:43:44 A . (.Kingsoft Corporation - Kingsoft Internet Security K Plus Driver.) -- C:\WINDOWS\System32\drivers\kisknl64.sys [229192]
  O58 - SDL:2015/10/14 21:16:16 A . (.Kingsoft Corporation - Kingsoft Internet Security K Plus Driver.) -- C:\WINDOWS\System32\drivers\kisknl_del.sys [229712]
  O58 - SDL:2015/10/14 17:43:45 A . (.Kingsoft Corporation - Kingsoft Antivirus Defend.) -- C:\WINDOWS\System32\drivers\kisnetm.sys [113464]
  O58 - SDL:2015/10/14 17:43:46 A . (.Kingsoft Corporation - Kingsoft Antivirus Defend.) -- C:\WINDOWS\System32\drivers\kisnetm64.sys [109880]
  O58 - SDL:2015/10/14 17:43:47 A . (.Kingsoft Corporation - Kingsoft Antivirus Defend.) -- C:\WINDOWS\System32\drivers\kisnetmxp.sys [114488]
  O58 - SDL:2015/10/14 21:24:48 A . (.Kingsoft Corporation - Kingsoft KSAPI Module.) -- C:\WINDOWS\System32\drivers\ksapi.sys [83280]
  O58 - SDL:2015/10/14 17:43:50 A . (.Kingsoft Corporation - Kingsoft KSAPI Module.) -- C:\WINDOWS\System32\drivers\ksapi64.sys [56680]
  O58 - SDL:2015/10/14 17:43:52 A . (.Kingsoft Corporation - Kingsoft skvKrpr Module.) -- C:\WINDOWS\System32\drivers\ksskrpr.sys [19352
  [MD5.99304FAA724FEE65423DA7497E70A9BF] [APT] [TuneUpUtilities_Task_BkGndMaintenance2013] (.TuneUp Software.) -- C:\Program Files (x86)\TuneUp Utilities 2013\OneClick.exe [435040]
  [MD5.00000000000000000000000000000000] [APT] [{E145B99A-4482-49D2-BCF5-A6787E210888}] (...) -- C:\Users\Anne\Downloads\LeagueofLegends_EUW_Installer_9_15_2014 (1).exe (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [{FE025756-0B2C-4988-8509-3A8B81D34E85}] (...) -- C:\Users\Anne\Downloads\LeagueofLegends_EUW_Installer_9_15_2014 (1).exe (.not file.)
  SR - Auto [2015/07/31 04:08:35] [ 574280] B5TService (B5TService) . (...) - C:\Users\Anne\AppData\Local\B5T\Share\B5TService.exe
  SR - Auto [2015/10/14 21:37:51] [ 284240] Kingsoft Core Service (kxescore) . (.Kingsoft Corporation.) - c:\program files (x86)\kingsoft\kingsoft antivirus\kxescore.exe
  SR - Auto [2012/09/17 13:01:06] [ 2365792] TuneUp Utilities Service (TuneUp.UtilitiesSvc) . (.TuneUp Software.) - C:\Program Files (x86)\TuneUp Utilities 2013\TuneUpUtilitiesService64.exe
  HKLM\SOFTWARE\Wow6432Node\Tencent
  HKLM\SOFTWARE\Wow6432Node\B5TService
  
  ShortcutFix
  Ifeofix
  PROXYFix
  EmptyPrefetch
  EmptyCLSID
  FirewallRaz
  EmptyTemp
  EmptyFlash
  Sysrestore

• Dans l'interface de ZHPFix Cliquez sur Importer et sur OK
  
  
  
  IMPORTANT :Fermez toutes les applications en cours (notamment votre navigateur)
  Désactivez vos protections (Antivirus et par-feu)
  Attention :vérifiez que que toutes les lignes se sont collées
• Puis Cliquez sur "GO"
• Confirmez les nettoyages des données en cliquant sur "Oui"
  Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
• Une fois le scan terminé le fichier ZHPFixReport à été crée sur le bureau.
• Hébergez le rapport ZHPFixReport sur le site ce service de rapport en ligne
  puis copier/coller le lien fourni dans votre prochaine réponse.

Télécharge ResetBrowser sur votre bureau
Double clique sur l'icône pour lancer l'outil.
Clique sur Ok au message d'avertissement

Cliquez sur Réinitialisez Firefox puis Chrome et Internet explorer
En haut clique sur Reset DNS.

• Vous allez faire un Scan personnalisé avec >> MalwareByte's Anti-Malware avec cette procédure
• Ouvre MBAM Sur le Tableau de bord, cliquez en haut sur Analyse
• Après sélectionner Analyse Personnalisé.>> et Configurer Analyse
• Configurer et Cochez toutes les cases des lecteurs et des examens
  
• Lancer l'examen >> Analyse Maintenant
• Quand l'examen est terminé, si des éléments ont été détectés,,
• cliquez sur Appliquer les actions
  Pour laisser MBAM nettoyer ce qui a été détecté.
• Si un redémarrage est demandé, clique sur OUI.
• Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui.
• Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.
• Cliquez sur l'onglet Historique > Journaux de l'application.
• Faites un double clique sur le JOURNAL D'ANALYSE dont l'analyse qui vient d'être effectuée.
• Cliquez sur Exporter.
• Cliquez sur Fichier texte (*.txt)
• Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.
• Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.
• Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".
• Cliquez sur OK
• Hébergez le contenu du rapport sur le site ce service de rapport en ligne
  Puis copie/colle le lien fourni dans votre prochaine réponse.

 

 

[nanette234]

Il est plus simple de s'infecté que le contraire.

Pendant la procédure ne fait pas pour le moment d'autre démarche que celle indiquer

Bien on continue

 

Promis !! Je suis tes instructions à la lettre !! 😊

 

Pour ZHPFix : ça démarre mal l'ordi a buguer. Il s'est éteint et rallumé avant la fin du scan, j'ai pris la liberté d'en faire un deuxième, j'espère que j'ai bien fais. Il y a donc 2 rapports :

 

Le premier : http://up.security-x.fr/file.php?h=R285b0e1fc21b953f9b958a77c1c0bdf5

Le deuxième : http://up.security-x.fr/file.php?h=R0e635386c3271c8175aec3ef1bbed3f2

 

Concernant Reset Browser : Firefox n'est pas installé, je n'ai pas juger nécessaire de le faire. Pour Google Chrome, le navigateur usuel sur cet ordinateur, l'opération s'est bien déroulé. Enfin pour IE, mon copain antivirus chinois (toujours présent, ceci dit en passant 😜) est intervenu m'empêchant de continuer l'opération.

 

Enfin pour MBAM (78 menaces trouvées, contre 5000 et des bananes la première fois 😊)

http://up.security-x.fr/file.php?h=R286d240e453ceb0f4884f93a827ce71f

 

Merci Tomtom ! J'attends tes directives pour la suite !

[tomtom95]

Avec l'outil ResetBrowser le but c'est de désinfecté ton ordinateur donc tu aurais du le faire aussi pour les autres navigateurs

Il y a donc des reste de firefox

 

Le rapport Malwarebytes Anti-Malware est vide j'aurai bien voulu voir celui d'avant

Bon vide la quaranatine de MBAM

Ouvre l'outil clique sur Historique >> sélectionne les lignes et clique sur Supprimer tout

 

Vous allez refaire un diagnostic de votre ordinateur
Télécharger IMPORTANT >>> sur votre Bureau pas ailleur
Farbar Recovery Scan Tool Pour systèmes x64

• Faites un clique droit sur le fichier téléchargé (FRST.exe) et choisissez Exécuter en tant qu'administrateur
• puis cliquez sur 'Exécuter' lors de l'Avertissement de sécurité - Fichier ouvert.
  Quand l'outil démarre, cliquez sur Oui si vous acceptez les termes de la fenêtre Disclaimer (clause de non-responsabilité).
  
• Cochez les cases comme sur la capture
• Cliquez sur le bouton Scan.
• L'outil va créer un fichier rapport [log] nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.
• La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt - situé également dans le même dossier que FRST.exe.
• Héberge les rapports sur le site ce service de rapport en ligne
  Appuyez sur Parcourir et chercher les rapports sur le bureau
• Cliquez sur Ouvrir
• Cliquez sur envoi,
  Puis copie/colle les liens fourni dans votre prochaine réponse.

Modifié le 17 octobre 2015 par tomtom95

[nanette234]

Hello Tomtom,

En effet, je ne comprend pas ce qui se passe avec MBAM, il n'a d'ailleurs fait aucune proposition de mise en quarantaine, il a directiement tout supprimé. Et ce qui est étonnant, c'est que le rapport d'analyse soit vide.

 

Je vais faire une petite pause là, je vais profiter de la fin du Week End avec mon namoureux et du début des vacances avec les enfants, je reviendrais Mardi pour continuer la désinfection, donc pas d'inquiétude si je ne donne pas suite aux messages dans l'immédiat. En tout cas merci encore ! Je reviens très vite !

Bon dimanche !

[nanette234]

Bonjour Tomtom,

 

Alors j'ai suivi ton conseil pour Reset browser, j'ai installé Firefox et j'ai enfin pu réinitialiser IE, la cause de mes soucis (l'antivirus asiatique) ayant l'air d'être moins actif!

 

Pour en revenir à MBAM, je trouve qu'il se comporte étrangement, il met un temps fou à se lancer (malgré le fait qu'il soit lancé au démarrage). Où que je clique : que ce soit sur l'icône de bureau ou sur celui des icônes cachés, il lui faut en environ 5 minutes pou se lancer. J'ai pourtant fait très attention à le télécharger sur le site du développeur.

 

Pour Farbar recovery scan tool voici les rapports :

 

FRST : http://up.security-x.fr/file.php?h=Ra42defa43293e97ec1dc0f9b33244006

Addition : http://up.security-x.fr/file.php?h=R17f61635e01ba67f9b6b89586ae572f2

 

Merci!

[tomtom95]

Bonjour,

OK très bien on va essayer de débloquer tout ça.
Tu as toutes les licences des logiciels d'évaluation ? sinon désinstalle les programmes (comme Streaming Video Recorder)
Désinstalle
Minecraft Cracked
TuneUp Utilities 2013 (dépasser et inutile sous W10)

Attention de bien lire les procédures jusqu'au bout et entièrement, et ne pas hésiter à demander en cas de doute.
Attention Ne passe qu'une seule fois l'outils

• Vous allez faire une correction Farbar Recovery Scan Tool
• Ouvrez le Bloc-notes (notepad).
• Copiez le contenu de la zone code ci-dessous.
  Pour ce faire, sélectionnez toutes les lignes, de start jusqu'a end
  faites un clique droit et choisissez Copier.
• Collez ceci dans la fenêtre ouverte du Bloc-notes.
  Clique ensuite en haut de la page sur Fichier et sur enregistrer sous
  Sur la nouvelle page fait le choix du bureau
  Enregistre le fichier sous le nom fixlist.txt
  
  

  start
  CreateRestorePoint:
  CloseProcesses:
  Hosts:
  RemoveProxy:
  EmptyTemp:
  HKLM-x32\...\Run: [kxesc] => c:\program files (x86)\kingsoft\kingsoft antivirus\kxetray.exe [1582064 2015-10-17]
  HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16794.227\QQPCTRAY.EXE" /regrun /qqrepair
  ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Pas de fichier
  URLSearchHook: HKU\S-1-5-21-2834016832-399915950-2132368041-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - (Pas de nom) - {00000000-6E41-4FD3-8538-502F5495E5FC} - Pas de fichier
  SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
  SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
  SearchScopes: HKU\S-1-5-21-2834016832-399915950-2132368041-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
  SearchScopes: HKU\S-1-5-21-2834016832-399915950-2132368041-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {7FFF279B-1AC0-4B1F-8A0A-8BD5117BA511} URL =
  Toolbar: HKU\S-1-5-21-2834016832-399915950-2132368041-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> Pas de nom - {D4027C7F-154A-4066-A1AD-4243D8127440} - Pas de fichier
  FF Plugin-x32: @kingsfot.com/npkws -> c:\program files (x86)\kingsoft\kingsoft antivirus\npkws.dll [2015-10-14]
  CHR HKU\S-1-5-21-2834016832-399915950-2132368041-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nklfajnmfbchcceflgddnkignfheooic] - C:\Users\Anne\AppData\Local\B5T\
  CHR HKU\S-1-5-21-2834016832-399915950-2132368041-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nklfajnmfbchcceflgddnkignfheooic] - C:\Users\Anne\AppData\Local\B5T\
  OPR Extension: (?5???5???????) - C:\Users\Anne\AppData\Roaming\Opera Software\Opera Stable\Extensions\nklfajnmfbchcceflgddnkignfheooic [2015-10-17]
  R2 kxescore; c:\program files (x86)\kingsoft\kingsoft antivirus\kxescore.exe [284240 2015-10-14]
  S2 dipubibu; pas de ImagePath
  S2 LasiloTusio; pas de ImagePath
  R0 KAVBootC; C:\Windows\System32\Drivers\KAVBootC64.sys [31848 2015-10-14]
  R1 KDHacker; c:\program files (x86)\kingsoft\kingsoft antivirus\security\kxescan\kdhacker64.sys [190792 2015-10-14]
  R2 kisknl; C:\WINDOWS\system32\drivers\kisknl.sys [229712 2015-10-14]
  R1 kisnetm; c:\program files (x86)\kingsoft\kingsoft antivirus\security\ksnetm\kisnetm64.sys [109880 2015-10-14]
  S2 ksapi64; C:\WINDOWS\system32\drivers\ksapi64.sys [56680 2015-10-14]
  S1 bsdriver; \??\C:\WINDOWS\system32\drivers\bsdriver.sys [X]
  S3 catchme; \??\C:\Users\Anne\AppData\Local\Temp\catchme.sys [X]
  U3 idsvc; pas de ImagePath
  S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16794.227\TSDefenseBT64.sys [X]
  2015-10-17 17:01 - 2015-10-17 17:01 - 00000000 ____D C:\Users\Anne\AppData\Local\Kingsoft
  2015-10-14 18:36 - 2015-10-14 18:36 - 00000000 ____D C:\Users\Anne\AppData\Roaming\shoujizhushou
  2015-10-17 15:30 - 2015-10-17 15:30 - 00000000 ____D C:\ProgramData\TXQMPC
  2015-10-14 22:07 - 2015-10-14 21:06 - 00031848 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kavbootc64.sys
  2015-10-14 22:07 - 2015-10-14 21:06 - 00031592 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kavbootc.sys
  2015-10-14 22:07 - 2015-10-14 21:03 - 00033128 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\bootsafe64.sys
  2015-10-14 22:07 - 2015-10-14 21:03 - 00024936 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\bootsafe.sys
  2015-10-14 18:31 - 2015-10-14 18:31 - 00000000 ____D C:\Users\Anne\AppData\Roaming\sjparinfo
  2015-10-14 17:47 - 2015-10-14 17:47 - 00087864 ____N (????) C:\WINDOWS\system32\Drivers\TFsFltX64.sys
  2015-10-14 17:44 - 2015-10-17 15:36 - 00000000 ____D C:\ProgramData\Kingsoft
  2015-10-14 17:44 - 2015-10-15 18:55 - 00000000 ____D C:\Users\Anne\AppData\Roaming\Kingsoft
  2015-10-14 17:43 - 2015-10-14 21:24 - 00083280 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksapi.sys
  2015-10-14 17:43 - 2015-10-14 21:16 - 00229712 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisknl_del.sys
  2015-10-14 17:43 - 2015-10-14 21:16 - 00229712 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisknl.sys
  2015-10-14 17:43 - 2015-10-14 17:43 - 00229192 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisknl64.sys
  2015-10-14 17:43 - 2015-10-14 17:43 - 00114488 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetmxp.sys
  2015-10-14 17:43 - 2015-10-14 17:43 - 00113464 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetm.sys
  2015-10-14 17:43 - 2015-10-14 17:43 - 00109880 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetm64.sys
  2015-10-14 17:43 - 2015-10-14 17:43 - 00056680 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksapi64.sys
  2015-10-14 17:43 - 2015-10-14 17:43 - 00024472 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\bc.sys
  2015-10-14 17:43 - 2015-10-14 17:43 - 00019352 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksskrpr.sys
  2015-10-14 17:41 - 2015-10-14 17:52 - 00000000 ____D C:\Program Files (x86)\kingsoft
  2015-10-14 17:39 - 2015-10-17 16:56 - 00000000 ____D C:\Users\Anne\AppData\Local\B5T
  2015-10-14 17:39 - 2015-10-14 17:41 - 00000000 ____D C:\Users\Anne\AppData\LocalLow\B5T
  2015-10-14 17:35 - 2015-10-14 17:35 - 00000000 ____D C:\Users\Public\QiYi
  2015-10-14 17:33 - 2015-10-14 17:33 - 00000000 ____D C:\Users\Public\Documents\Guid
  2015-10-14 17:33 - 2015-10-14 17:33 - 00000000 ____D C:\Users\Public\Documents\Baidu
  2015-09-22 23:31 - 2015-09-22 23:31 - 00000000 ____D C:\inetpub
  2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Anne\AppData\Roaming\0SfkWSZ9848TX0xdhIGYRHdv
  2015-05-14 15:02 - 2015-05-14 15:02 - 0000036 _____ () C:\Users\Anne\AppData\Roaming\SuYZkvrV.tmp
  CustomCLSID: HKU\S-1-5-21-2834016832-399915950-2132368041-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0_Classes\CLSID\{58d47fff-63ef-572e-843f-e5dd6aa0005d}\InprocServer32
  CustomCLSID: HKU\S-1-5-21-2834016832-399915950-2132368041-1003_Classes\CLSID\{58d47fff-63ef-572e-843f-e5dd6aa0005d}\InprocServer32
  Task: {216F8E76-7FFC-4F5B-B891-32D8153B16B7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d
  Task: {25E939BE-5259-499A-8081-855AE1379E46} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
  Task: {33926024-80EB-485B-9476-F959E4B6374A} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Pas de fichier
  Task: {34366CE4-E86C-4F6E-9A93-03B846B4D726} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Pas de fichier
  Task: {3E01C7EF-CB3E-43C1-8611-C418553F5588} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
  Task: {458AAAF8-1835-49D3-B174-639454418687} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Pas de fichier
  Task: {4611E105-5D49-4EF1-A6D7-88A59FA3830E} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Pas de fichier
  Task: {4762F509-0DA7-4A03-9932-6FC151F3BA83} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
  Task: {515C912F-C63A-4B8D-9DB9-EFBD25B95EC2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Pas de fichier
  Task: {517784DB-7ABA-41AD-92FD-58075E947385} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Pas de fichier
  Task: {543DD5F4-CEAE-404B-850B-3429145E9B2F} - \Selection Tools Update -> Pas de fichier
  Task: {69841860-F93D-4FF7-8B3A-00D490DFD496} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Pas de fichier
  Task: {74B13DC1-9419-4AEA-AD0F-207CA65F6E7E} - \WindApp Update -> Pas de fichier
  Task: {7A800BF5-36BE-442A-BF58-0CEAEB0D29E1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Pas de fichier
  Task: {A797FBAD-2975-418C-9FD5-D3CE2C5960BC} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Pas de fichier
  Task: {A960CFAB-EA4D-4B2B-B67A-3F45EE7ADA6B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Pas de fichier
  Task: {C6D222A8-7D52-4A6C-9CA8-6140669008FE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Pas de fichier
  Task: {D939042A-EE0A-4FA8-8FF0-E0428F17B2EE} - \gze3012 -> Pas de fichier
  Task: {EC7010BD-1313-4625-83A0-95435EA91C57} - \SwiftSearch Auto Updater 1.10.0.25 Core -> Pas de fichier
  AlternateDataStreams: C:\ProgramData\TEMP:65484F45
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Axyucnoy => ""="service"
  FirewallRules: [{A7CB0D72-303F-4AA5-9BFC-B4B3E447AC61}] => (Allow) C:\Users\Anne\AppData\Local\Temp\d\QQPCDownload74681.exe
  FirewallRules: [{C3B9214F-9CBF-43B1-BD9C-E162A8D5BA9F}] => (Allow) C:\Users\Anne\AppData\Local\Temp\d\QQPCDownload74681.exe
  FirewallRules: [{BB4729D9-961B-488A-9258-02E1EBAF9739}] => (Allow) C:\Program Files (x86)\kingsoft\shoujizhushou\kphonetray.exe
  FirewallRules: [{F17249AB-2847-40CB-A02C-1634D3F662C8}] => (Allow) C:\Program Files (x86)\kingsoft\shoujizhushou\kphonetray.exe
  FirewallRules: [{6167A7E8-9D5C-42FB-94FC-4A3A24530586}] => (Allow) C:\Program Files (x86)\kingsoft\shoujizhushou\kphonetray.exe
  FirewallRules: [{29A34700-208E-4489-B775-26B91B96E357}] => (Allow) C:\Program Files (x86)\kingsoft\shoujizhushou\kphonetray.exe
  end

  NOTE. Il est important que les deux ,L'outil FRST et le fichierfixlist.txt se trouvent dans le même emplacement, sur le bureau sinon la correction ne fonctionnera pas.
  
  NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur,
  pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.
  
  
  Exécutez FRST,
• cliquez une seule fois sur le bouton Correction et attendez.
  Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laissez le système redémarrer normalement.
• Ensuite laissez l'outil terminer son travail.
  Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
• Héberge le rapport présent sur ton bureau sur le site ,ce service de rapport en ligne
  Puis copie/colle le lien fourni dans ta prochaine réponse.

 

 

Modifié le 20 octobre 2015 par tomtom95

[nanette234]

Oups je crois qu'il y a eu plantage...

 

Farbar Recovery Tool à cessé de fonctionné. Que dois je faire?