T1oylXRSQW et Form1

Résolu
Mastak Messages postés 34 Statut Membre -  
Mastak Messages postés 34 Statut Membre -
Bonjour,

Depuis peu je suis incapable d'utiliser google chrome, j'ai cherché d'où pouvait venir le problème et je me suis rendu compte qu'un programme s'allumait à chaque fois, mais il n'y avait rien de bien spécial c'est une petite fenêtre sans rien d'autre qui s'appelle Form1, cette fenêtre "ne répond pas" dans le gestionnaire de tâche, au niveau des processus, j'ai remarqué que le processus de Microsoft.com s'appellant : "T1oylXRSQW" était présent, ne sachant pas ce que c'était, j'ai cherché sur google via internet explorer (qui lui fonctionne) et il est indiqué qu'il s'agit d'un trojan. Lorsque je tue ce processus, je peux réaccéder à google chrome mais ce que je voudrais c'est qu'il ne s'active plus de lui-même et que je ne doive pas à chaque fois que j'allume mon ordinateur aller dans les processus pour le fermer...

Est-ce que quelqu'un à une idée ?

Merci d'avance.

13 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Pour vérifier l'ordinateur :

    Suis le tutoriel FRST.
    (et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
    Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ton PC est bien infecté, probablement [url=http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/]des Rats (Remote Access Tools)[/url].

    Tu peux envoyer les fichiers suivants sur http://upload.malekal.com
    C:\Windows\system32\Microsoft.com
    C:\Users\coco\npoadyvy.exe
    C:\Windows\system32\config\systemprofile\AppData\Roaming\F8gbptK9\UGDwROg.exe

    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    HKLM\...\Run: [] => [X]
    HKLM\...\Run: [fst_be_67] => [X]
    HKLM\...\Run: [gmsd_be_90] => [X]
    HKLM\...\Run: [npoadyvy] => C:\Windows\System32\npoadyvy.exe [81920 2015-07-03] ()
    HKU\S-1-5-21-1226881072-860201203-1047143883-1000\...\Run: [npoadyvy] => C:\Users\coco\npoadyvy.exe [81920 2015-07-03] ()
    HKU\S-1-5-21-1226881072-860201203-1047143883-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\Microsoft.com <===== ATTENTION
    HKU\S-1-5-18\...\RunOnce: [WindowsUpdate] => C:\Windows\system32\Microsoft.com
    HKU\S-1-5-18\...\CurrentVersion\Windows: [Load] C:\Windows\system32\Microsoft.com <===== ATTENTION
    HKU\S-1-5-18\...\Winlogon: [Shell] C:\Windows\system32\config\systemprofile\AppData\Roaming\F8gbptK9\UGDwROg.exe,explorer.exe <==== ATTENTION
    IFEO\AvastSvc.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\AvastUI.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avcenter.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avconfig.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avgcsrvx.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avgidsagent.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avgnt.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avgrsx.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avguard.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avgui.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avgwdsvc.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avp.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avscan.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\bdagent.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\ccuac.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\ComboFix.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\egui.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\hijackthis.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\instup.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\keyscrambler.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\mbam.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\mbamgui.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\mbampt.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\mbamscheduler.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\mbamservice.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\MpCmdRun.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\MSASCui.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\MsMpEng.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\msseces.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\rstrui.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\spybotsd.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\wireshark.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\zlclient.exe: [Debugger] C:\Windows\system32\Microsoft.com
    CHR Extension: (copciehbkikbfnppdndaegnlgkelahfe) - C:\Users\coco\AppData\Local\Google\Chrome\User Data\Default\Extensions\copciehbkikbfnppdndaegnlgkelahfe [2015-05-31]
    OPR Extension: (copciehbkikbfnppdndaegnlgkelahfe) - C:\Users\coco\AppData\Roaming\Opera Software\Opera Stable\Extensions\copciehbkikbfnppdndaegnlgkelahfe [2015-05-31]
    S2 b28905ee; c:\Program Files\IndepthSystem\IndepthSystem.dll [1589248 2015-02-20] () [File not signed]
    R2 cehufofi; C:\Users\coco\AppData\Roaming\1E00FC40-1425285218-2300-9877-002618E1F977\jnslC940.tmp [103424 2015-03-02] () [File not signed]
    S2 powywejy; C:\Users\coco\AppData\Roaming\1E00FC40-1425285218-2300-9877-002618E1F977\nsf9A7C.tmpfs [X]
    2015-06-18 15:24 - 2015-07-03 17:37 - 00081920 _____ C:\Windows\system32\npoadyvy.exe
    2015-06-18 15:24 - 2015-07-03 17:37 - 00081920 _____ C:\Users\coco\npoadyvy.exe
    2015-07-15 14:40 - 2014-07-06 11:35 - 00000000 ____D C:\Users\coco\AppData\Roaming\F8gbptK9
    2014-08-08 10:38 - 2014-08-08 10:38 - 0591056 _____ (ClickMeIn Limited) C:\Users\coco\AppData\Local\nsb22D9.tmp
    2015-03-03 19:03 - 2015-03-03 19:03 - 0613067 _____ (CMI Limited) C:\Users\coco\AppData\Local\nsd7A34.tmp
    2014-08-08 10:32 - 2014-08-08 10:32 - 0575544 _____ (ClickMeIn Limited) C:\Users\coco\AppData\Local\nsj8AC4.tmp
    2015-05-26 08:16 - 2015-05-26 08:16 - 0613255 _____ (CMI Limited) C:\Users\coco\AppData\Local\nsk5656.tmp
    2015-03-02 10:18 - 2015-03-02 10:18 - 0613067 _____ (CMI Limited) C:\Users\coco\AppData\Local\nsuAC57.tmp
    2015-03-02 10:25 - 2015-03-02 10:25 - 0301608 _____ (VuuPC Limited) C:\Users\coco\AppData\Local\nsxC672.tmp
    2015-04-03 13:33 - 2015-04-03 13:37 - 0001025 _____ () C:\ProgramData\Digital.EXP
    2015-04-03 13:33 - 2012-10-02 11:28 - 0000664 _____ () C:\ProgramData\Digital.PCO
    2015-04-03 13:33 - 2015-04-03 13:37 - 0000926 _____ () C:\ProgramData\Digital.PGM
    2015-04-03 13:33 - 2015-04-03 13:37 - 0004524 _____ () C:\ProgramData\Digital.PRO
    2015-04-03 13:33 - 2015-04-03 13:37 - 0000591 _____ () C:\ProgramData\Digital.SOC
    2014-07-06 11:43 - 2014-03-03 05:45 - 38743524 __RSH (FI6FK0WCSn) C:\ProgramData\Microsoft.com

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.F
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    puis réinitialise tes navigateurs:
    ==================================
    Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

    ~~

    Ouvre Mon ordinateur
    puis disque C
    ouvre le dossier FRST
    sur le dossier Quarantine
    clic droit puis envoyer vers => dossier compreser
    cela va créer un fichier Quarantine.zip
    Envoie le Quarantine.Zip sur http://upload.malekal.com

    ~~

    Installe Avast! : https://www.malekal.com/tutoriel-antivirus-avast/
    Surtout active les détections LPIs.

    0
  3. Mastak Messages postés 34 Statut Membre
     
    Fix result of Farbar Recovery Scan Tool (x86) Version: 12-07-2015
    Ran by coco at 2015-07-15 15:54:02 Run:1
    Running from C:\Users\coco\Desktop
    Loaded Profiles: coco (Available Profiles: coco)
    Boot Mode: Normal

    ==============================================

    fixlist content:
    HKLM\...\Run: [] => [X]
    HKLM\...\Run: [fst_be_67] => [X]
    HKLM\...\Run: [gmsd_be_90] => [X]
    HKLM\...\Run: [npoadyvy] => C:\Windows\System32\npoadyvy.exe [81920 2015-07-03] ()
    HKU\S-1-5-21-1226881072-860201203-1047143883-1000\...\Run: [npoadyvy] => C:\Users\coco\npoadyvy.exe [81920 2015-07-03] ()
    HKU\S-1-5-21-1226881072-860201203-1047143883-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\Microsoft.com <===== ATTENTION
    HKU\S-1-5-18\...\RunOnce: [WindowsUpdate] => C:\Windows\system32\Microsoft.com
    HKU\S-1-5-18\...\CurrentVersion\Windows: [Load] C:\Windows\system32\Microsoft.com <===== ATTENTION
    HKU\S-1-5-18\...\Winlogon: [Shell] C:\Windows\system32\config\systemprofile\AppData\Roaming\F8gbptK9\UGDwROg.exe,explorer.exe <==== ATTENTION
    IFEO\AvastSvc.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\AvastUI.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avcenter.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avconfig.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avgcsrvx.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avgidsagent.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avgnt.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avgrsx.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avguard.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avgui.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avgwdsvc.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avp.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\avscan.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\bdagent.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\ccuac.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\ComboFix.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\egui.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\hijackthis.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\instup.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\keyscrambler.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\mbam.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\mbamgui.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\mbampt.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\mbamscheduler.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\mbamservice.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\MpCmdRun.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\MSASCui.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\MsMpEng.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\msseces.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\rstrui.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\spybotsd.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\wireshark.exe: [Debugger] C:\Windows\system32\Microsoft.com
    IFEO\zlclient.exe: [Debugger] C:\Windows\system32\Microsoft.com
    CHR Extension: (copciehbkikbfnppdndaegnlgkelahfe) - C:\Users\coco\AppData\Local\Google\Chrome\User Data\Default\Extensions\copciehbkikbfnppdndaegnlgkelahfe [2015-05-31]
    OPR Extension: (copciehbkikbfnppdndaegnlgkelahfe) - C:\Users\coco\AppData\Roaming\Opera Software\Opera Stable\Extensions\copciehbkikbfnppdndaegnlgkelahfe [2015-05-31]
    S2 b28905ee; c:\Program Files\IndepthSystem\IndepthSystem.dll [1589248 2015-02-20] () [File not signed]
    R2 cehufofi; C:\Users\coco\AppData\Roaming\1E00FC40-1425285218-2300-9877-002618E1F977\jnslC940.tmp [103424 2015-03-02] () [File not signed]
    S2 powywejy; C:\Users\coco\AppData\Roaming\1E00FC40-1425285218-2300-9877-002618E1F977\nsf9A7C.tmpfs [X]
    2015-06-18 15:24 - 2015-07-03 17:37 - 00081920 _____ C:\Windows\system32\npoadyvy.exe
    2015-06-18 15:24 - 2015-07-03 17:37 - 00081920 _____ C:\Users\coco\npoadyvy.exe
    2015-07-15 14:40 - 2014-07-06 11:35 - 00000000 ____D C:\Users\coco\AppData\Roaming\F8gbptK9
    2014-08-08 10:38 - 2014-08-08 10:38 - 0591056 _____ (ClickMeIn Limited) C:\Users\coco\AppData\Local\nsb22D9.tmp
    2015-03-03 19:03 - 2015-03-03 19:03 - 0613067 _____ (CMI Limited) C:\Users\coco\AppData\Local\nsd7A34.tmp
    2014-08-08 10:32 - 2014-08-08 10:32 - 0575544 _____ (ClickMeIn Limited) C:\Users\coco\AppData\Local\nsj8AC4.tmp
    2015-05-26 08:16 - 2015-05-26 08:16 - 0613255 _____ (CMI Limited) C:\Users\coco\AppData\Local\nsk5656.tmp
    2015-03-02 10:18 - 2015-03-02 10:18 - 0613067 _____ (CMI Limited) C:\Users\coco\AppData\Local\nsuAC57.tmp
    2015-03-02 10:25 - 2015-03-02 10:25 - 0301608 _____ (VuuPC Limited) C:\Users\coco\AppData\Local\nsxC672.tmp
    2015-04-03 13:33 - 2015-04-03 13:37 - 0001025 _____ () C:\ProgramData\Digital.EXP
    2015-04-03 13:33 - 2012-10-02 11:28 - 0000664 _____ () C:\ProgramData\Digital.PCO
    2015-04-03 13:33 - 2015-04-03 13:37 - 0000926 _____ () C:\ProgramData\Digital.PGM
    2015-04-03 13:33 - 2015-04-03 13:37 - 0004524 _____ () C:\ProgramData\Digital.PRO
    2015-04-03 13:33 - 2015-04-03 13:37 - 0000591 _____ () C:\ProgramData\Digital.SOC
    2014-07-06 11:43 - 2014-03-03 05:45 - 38743524 __RSH (FI6FK0WCSn) C:\ProgramData\Microsoft.com

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\ => value removed successfully.
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\fst_be_67 => value removed successfully.
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\gmsd_be_90 => value removed successfully.
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\npoadyvy => value removed successfully.
    HKU\S-1-5-21-1226881072-860201203-1047143883-1000\Software\Microsoft\Windows\CurrentVersion\Run\\npoadyvy => value removed successfully.
    HKU\S-1-5-21-1226881072-860201203-1047143883-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load => value restored successfully
    HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\WindowsUpdate => value removed successfully.
    HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load => value restored successfully
    HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\AvastSvc.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\AvastUI.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avcenter.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avconfig.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgcsrvx.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgidsagent.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgnt.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgrsx.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avguard.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgui.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgwdsvc.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avp.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avscan.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\bdagent.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\ccuac.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\ComboFix.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\egui.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\hijackthis.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\instup.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\keyscrambler.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbam.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbamgui.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbampt.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbamscheduler.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbamservice.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\MpCmdRun.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\MSASCui.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\MsMpEng.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\msseces.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\rstrui.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\spybotsd.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\wireshark.exe" => key removed successfully.
    "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\zlclient.exe" => key removed successfully.
    C:\Users\coco\AppData\Local\Google\Chrome\User Data\Default\Extensions\copciehbkikbfnppdndaegnlgkelahfe => moved successfully.
    C:\Users\coco\AppData\Roaming\Opera Software\Opera Stable\Extensions\copciehbkikbfnppdndaegnlgkelahfe => moved successfully.
    b28905ee => Service removed successfully.
    cehufofi => Service stopped successfully.
    cehufofi => Service removed successfully.
    powywejy => Service removed successfully.
    C:\Windows\system32\npoadyvy.exe => moved successfully.
    C:\Users\coco\npoadyvy.exe => moved successfully.
    C:\Users\coco\AppData\Roaming\F8gbptK9 => moved successfully.
    C:\Users\coco\AppData\Local\nsb22D9.tmp => moved successfully.
    C:\Users\coco\AppData\Local\nsd7A34.tmp => moved successfully.
    C:\Users\coco\AppData\Local\nsj8AC4.tmp => moved successfully.
    C:\Users\coco\AppData\Local\nsk5656.tmp => moved successfully.
    C:\Users\coco\AppData\Local\nsuAC57.tmp => moved successfully.
    C:\Users\coco\AppData\Local\nsxC672.tmp => moved successfully.
    C:\ProgramData\Digital.EXP => moved successfully.
    C:\ProgramData\Digital.PCO => moved successfully.
    C:\ProgramData\Digital.PGM => moved successfully.
    C:\ProgramData\Digital.PRO => moved successfully.
    C:\ProgramData\Digital.SOC => moved successfully.
    C:\ProgramData\Microsoft.com => moved successfully.

    End of Fixlog 15:54:06

    0
    1. Mastak
       
      À chaque fois que j'essaie d'upload les fichiers demandés, ça me redirige vers une page blanche et impossible d'upload, même le fichier quarantine.zip.

      Google chrome refonctionne sans problème, merci de votre aide.
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    envoie le zip sur spamhere-@wanadoo.fr
    s'il n'est pas trop volumineux.

    Installe bien Avast!
    il te faudra aussi changer tous tes mots de passe, ils ont probablement été récupérés.

    ~~

    La détection d'un des fichiers envoyés, très bien détecté
    Trojan.Win32.Cutwail, ton ordinateur a probablement été utilisé pour envoyer des mails de spam.

    SHA256: ba91d42639bfc080edf0e04ed64ee648a28aba1cba81ca6da0e1d7c1de6878f3
    Nom du fichier : 9838ccf51c1e1e9d0a865ee0a4966f81e457f5b9
    Ratio de détection : 37 / 55
    Date d'analyse : 2015-07-15 14:06:20 UTC (il y a 8 minutes)

    Antivirus Résultat Mise à jour
    ALYac Trojan.GenericKD.2543704 20150715
    AVware LooksLike.Win32.Dyre.b (v) 20150715
    Ad-Aware Trojan.GenericKD.2543704 20150715
    Agnitum Trojan.Cutwail!06x7Ln53N6s 20150713
    AhnLab-V3 Trojan/Win32.Cutwail 20150715
    Antiy-AVL Trojan/Win32.Cutwail 20150715
    Arcabit Trojan.Generic.D26D058 20150715
    Avast Win32:Malware-gen 20150715
    Avira TR/Crypt.Xpack.26946 20150715
    Baidu-International Trojan.Win32.Cutwail.vnq 20150715
    BitDefender Trojan.GenericKD.2543704 20150715
    Bkav W32.ArtemisMikeyD.Trojan 20150715
    Cyren W32/Trojan.YUXS-2004 20150715
    DrWeb Trojan.Siggen6.43052 20150715
    ESET-NOD32 a variant of Win32/Kryptik.DOWN 20150715
    Emsisoft Trojan.GenericKD.2543704 (B) 20150715
    F-Secure Trojan.GenericKD.2543704 20150715
    Fortinet W32/Cutwail.DOWN!tr 20150715
    GData Trojan.GenericKD.2543704 20150715
    Ikarus Trojan-Downloader.Win32.Cutwail 20150715
    K7AntiVirus Riskware ( 0040eff71 ) 20150715
    K7GW Riskware ( 0040eff71 ) 20150715
    Kaspersky Trojan.Win32.Cutwail.vnq 20150715
    McAfee RDN/Downloader.a!vy 20150715
    McAfee-GW-Edition RDN/Downloader.a!vy 20150715
    MicroWorld-eScan Trojan.GenericKD.2543704 20150715
    Microsoft TrojanDownloader:Win32/Cutwail 20150715
    NANO-Antivirus Trojan.Win32.Cutwail.dtpfug 20150715
    Panda Trj/Chgt.O 20150715
    Qihoo-360 HEUR/QVM09.0.Malware.Gen 20150715
    Rising PE:Trojan.Win32.Generic.18DC2299!417079961 20150713
    Sophos Mal/Generic-S 20150715
    Symantec Trojan.Gen 20150715
    TrendMicro TROJ_DYER.BMC 20150715
    TrendMicro-HouseCall TROJ_DYER.BMC 20150715
    VIPRE LooksLike.Win32.Dyre.b (v) 20150715
    nProtect Trojan/W32.Cutwail.81920.B 20150715

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  6. Mastak Messages postés 34 Statut Membre
     
    Je vous ai envoyé un mail avec le seul hébergeur qui a bien voulu l'accepter, merci pour votre aide
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui mais onedrive détecte le virus :/
      0
    2. Mastak Messages postés 34 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
       
      Avast à détecté : Win32 : Dropper-Gen & Win32 : Malware-Gen
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Il fait combien le quarantine.zip ?
      Tu peux ajouter un mot de passe dessus et le renvoyer ?

      ensuite :


      Malwarebytes (temps : environ 40min de scan):
      ==================================================
      Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
      Mets le à jour puis lance un examen.

      A la fin du scan, clic sur "Supprimer Selection" en bas à gauche.
      Redémarre l'ordinateur si besoin.
      Après redémarrage, relance Malwarebytes.
      Vas chercher le rapport dans l'onglet Historique.
      A gauche Journal des examens.
      Doube-clic sur l'examen dans la liste.
      Puis en bas Copier dans le presse papier
      Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
      Clic sur envoyer.
      Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
      0
    4. Mastak Messages postés 34 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
       
      j'ai télécharger Avast, et après son scan il a redémarré et rescanné à nouveau et là il vient juste de s'arrêter après avoir supprimé des centaines de fichiers infectés par plusieurs trojan et autres.
      Je vais donc installer le malwarebytes et scanner et vous enverrai le rapport après.
      Merci pour votre aide efficace.
      Mastak
      0
    5. Mastak Messages postés 34 Statut Membre > Mastak Messages postés 34 Statut Membre
       
      impossible de faire fonctionner le malwarebytes, lors de son installation, pleins de messages d'erreurs et après il ne veut pas démarrer le programme ?
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Pour malwarebytes, regarde si tu as un fichier MSVCR100.dll dans C:\Windows ou C:\Windows\system32
    Si oui supprime le.

    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    2015-07-16 10:05 - 2015-03-02 09:33 - 00000000 ____D C:\Users\coco\AppData\Roaming\1E00FC40-1425285218-2300-9877-002618E1F977
    2015-07-16 10:02 - 2015-03-02 09:34 - 00000000 ____D C:\Users\coco\AppData\Local\1E00FC40-1425285274-2300-9877-002618E1F977
    2015-07-16 09:59 - 2014-07-06 11:43 - 00000000 __SHD C:\ProgramData\Windows Manager
    2015-07-16 09:57 - 2015-02-20 10:23 - 00000000 ____D C:\Program Files\IndepthSystem
    2015-07-16 09:53 - 2015-02-20 10:23 - 00000000 ____D C:\Program Files\Vecteezy
    2015-07-16 09:53 - 2014-08-02 07:26 - 00000000 __SHD C:\Program Files\Windows Manager

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.F
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur
    0
  8. Mastak Messages postés 34 Statut Membre
     
    Fix result of Farbar Recovery Scan Tool (x86) Version: 12-07-2015
    Ran by coco at 2015-07-16 14:58:25 Run:2
    Running from C:\Users\coco\Desktop
    Loaded Profiles: coco (Available Profiles: coco)
    Boot Mode: Normal

    ==============================================

    fixlist content:
    2015-07-16 10:05 - 2015-03-02 09:33 - 00000000 ____D C:\Users\coco\AppData\Roaming\1E00FC40-1425285218-2300-9877-002618E1F977
    2015-07-16 10:02 - 2015-03-02 09:34 - 00000000 ____D C:\Users\coco\AppData\Local\1E00FC40-1425285274-2300-9877-002618E1F977
    2015-07-16 09:59 - 2014-07-06 11:43 - 00000000 __SHD C:\ProgramData\Windows Manager
    2015-07-16 09:57 - 2015-02-20 10:23 - 00000000 ____D C:\Program Files\IndepthSystem
    2015-07-16 09:53 - 2015-02-20 10:23 - 00000000 ____D C:\Program Files\Vecteezy
    2015-07-16 09:53 - 2014-08-02 07:26 - 00000000 __SHD C:\Program Files\Windows Manager

    C:\Users\coco\AppData\Roaming\1E00FC40-1425285218-2300-9877-002618E1F977 => moved successfully.
    C:\Users\coco\AppData\Local\1E00FC40-1425285274-2300-9877-002618E1F977 => moved successfully.
    C:\ProgramData\Windows Manager => moved successfully.
    C:\Program Files\IndepthSystem => moved successfully.
    C:\Program Files\Vecteezy => moved successfully.
    C:\Program Files\Windows Manager => moved successfully.

    End of Fixlog 14:58:26

    En tout cas, je vous remercie pour votre attention à mon problème.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      tu as vu la première partie de mon message pour Malwarebytes ?
      0
  9. Mastak Messages postés 34 Statut Membre
     
    Oui, je pensais avoir répondu mais visiblement j'ai oublié d'envoyer ou... Je sais pas.
    Pour le fichier MSVCR100.dll, je n'arrive pas du tout à le supprimer, est-ce qu'il faut un logiciel pour y arriver ? J'ai également trouvé le fichier msvcr100_clr0400.dll... Est-ce qu'il faudrait le supprimer lui aussi ??
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu en as un dans C:\Windows ou C:\Windows\system32 ?
      0
      1. Mastak Messages postés 34 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        oui dans le SYSTEM 32 il y a msvcr100.dll
        & msvcr100_clr0400.dll
        & msvcr110.dll
        Faut-il les supprimer tous et comment faire, car il me dit que c'est impossible car le fichier est ouvert dans explorateur windows ?????
        0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Ton msvcr110.dll dans system32 doit aps avoir la bonne version pour Malwarebyte, c'est pour cela qu'il plante.

      Essaye de le supprimer en mode sans échec : https://www.malekal.com/demarrer-windows-mode-sans-echec/
      0
      1. Mastak Messages postés 34 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        en mode sans échec il refuse aussi, il inscrit qu'il est ouvert dans un autre programme,
        alors que rien n'est ouvert???
        0
      2. Mastak Messages postés 34 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        je suis parvenu à le supprimer avec le programme unlocker, et maintenant je le redémarre et puis je fais quoi ??
        0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Essaye ça :

    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    C:\Windows\MSVCR100.dll
    C:\Windows\system32\MSVCR100.dll
    S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X]
    S1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X]

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.F
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    0
  11. Mastak Messages postés 34 Statut Membre
     
    Fix result of Farbar Recovery Scan Tool (x86) Version: 12-07-2015
    Ran by coco at 2015-07-16 18:10:54 Run:3
    Running from C:\Users\coco\Desktop
    Loaded Profiles: coco (Available Profiles: coco)
    Boot Mode: Normal

    ==============================================

    fixlist content:
    C:\Windows\MSVCR100.dll
    C:\Windows\system32\MSVCR100.dll
    S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X]
    S1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X]

    "C:\Windows\MSVCR100.dll" => File/Folder not found.
    C:\Windows\system32\MSVCR100.dll => moved successfully.
    innfd_1_10_0_14 => Service removed successfully.
    qrnfd_1_10_0_9 => Service removed successfully.

    End of Fixlog 18:10:54

    0
    1. Mastak Messages postés 34 Statut Membre
       
      voilà c'est fait, mais comme écrit sur le net maintenant je ne sais plus imprimer lorsqu'un autre fichier word est ouvert.
      Que faire maintenant ?
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Vois si ça change quelque chose pour Malwarebytes.
      0
    3. Mastak Messages postés 34 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
       
      Non désolé, aucun changement.
      De plus le programme avast à détecter un virus dans le Malwarebytes malgré qu'il était désactivé.???
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      C'est le rapport d'application, pas de scan.
      0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Je pense que c'est bon, fais un scan dans un ou deux jours.
    Change tous tes mots de passe.

    Attention aux fichiers que tu ouvres (cracks, keygen; cheater etc).

    Quelques conseils :

    Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    0
  13. Mastak Messages postés 34 Statut Membre
     
    Merci pour tout, mais il me reste le problème du fichier msvcr100.dll qui a été enlevé.
    J'ai vérifier je ne sais vraiment plus imprimer plusieurs documents, je dois a chaque fois attendre que l'impression est finie pour lancer la suivante.
    Je peux remettre ce fichier ?
    Merci
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Je pense que le mieux pour cela, serait de créer un sujet dans la partie imprimante du forum (partie matériel).
      Essaye de réinstaller les logiciels de ton imprimante.
      0
      1. Mastak Messages postés 34 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        Merci pour ton aide si précieuse.
        Tu es trop génial.................
        Mastak
        0