T1oylXRSQW et Form1Résolu/Fermé

Question

Bonjour,

Depuis peu je suis incapable d'utiliser google chrome, j'ai cherché d'où pouvait venir le problème et je me suis rendu compte qu'un programme s'allumait à chaque fois, mais il n'y avait rien de bien spécial c'est une petite fenêtre sans rien d'autre qui s'appelle Form1, cette fenêtre "ne répond pas" dans le gestionnaire de tâche, au niveau des processus, j'ai remarqué que le processus de Microsoft.com s'appellant : "T1oylXRSQW" était présent, ne sachant pas ce que c'était, j'ai cherché sur google via internet explorer (qui lui fonctionne) et il est indiqué qu'il s'agit d'un trojan. Lorsque je tue ce processus, je peux réaccéder à google chrome mais ce que je voudrais c'est qu'il ne s'active plus de lui-même et que je ne doive pas à chaque fois que j'allume mon ordinateur aller dans les processus pour le fermer...

Est-ce que quelqu'un à une idée ?

Merci d'avance.

Malekal_morte- · Answer

Salut,

Pour vérifier l'ordinateur :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Mastak · Answer

Merci de votre réponse rapide,

Voilà les liens comme demandé :
https://pjjoint.malekal.com/files.php?id=FRST_20150715_b5s13c5c14o7 FRST
https://pjjoint.malekal.com/files.php?id=20150715_w11b6s9g5q12 SHORTCUT
https://pjjoint.malekal.com/files.php?id=20150715_l10n7x15n515 ADDITION

Malekal_morte- · Answer

Ton PC est bien infecté, probablement [url=http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/]des Rats (Remote Access Tools)[/url]. Tu peux envoyer les fichiers suivants sur http://upload.malekal.com C:\Windows\system32\Microsoft.com C:\Users\coco poadyvy.exe C:\Windows\system32\config\systemprofile\AppData\Roaming\F8gbptK9\UGDwROg.exe Voici la correction à effectuer avec FRST. Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK. Copie/colle dedans ce qui suit : HKLM\...\Run: [] => [X] HKLM\...\Run: [fst_be_67] => [X] HKLM\...\Run: [gmsd_be_90] => [X] HKLM\...\Run: [npoadyvy] => C:\Windows\System32 poadyvy.exe [81920 2015-07-03] () HKU\S-1-5-21-1226881072-860201203-1047143883-1000\...\Run: [npoadyvy] => C:\Users\coco poadyvy.exe [81920 2015-07-03] () HKU\S-1-5-21-1226881072-860201203-1047143883-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\Microsoft.com <===== ATTENTION HKU\S-1-5-18\...\RunOnce: [WindowsUpdate] => C:\Windows\system32\Microsoft.com HKU\S-1-5-18\...\CurrentVersion\Windows: [Load] C:\Windows\system32\Microsoft.com <===== ATTENTION HKU\S-1-5-18\...\Winlogon: [Shell] C:\Windows\system32\config\systemprofile\AppData\Roaming\F8gbptK9\UGDwROg.exe,explorer.exe <==== ATTENTION IFEO\AvastSvc.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\AvastUI.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avcenter.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avconfig.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avgcsrvx.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avgidsagent.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avgnt.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avgrsx.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avguard.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avgui.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avgwdsvc.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avp.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avscan.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\bdagent.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\ccuac.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\ComboFix.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\egui.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\hijackthis.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\instup.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\keyscrambler.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\mbam.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\mbamgui.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\mbampt.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\mbamscheduler.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\mbamservice.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\MpCmdRun.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\MSASCui.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\MsMpEng.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\msseces.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO strui.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\spybotsd.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\wireshark.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\zlclient.exe: [Debugger] C:\Windows\system32\Microsoft.com CHR Extension: (copciehbkikbfnppdndaegnlgkelahfe) - C:\Users\coco\AppData\Local\Google\Chrome\User Data\Default\Extensions\copciehbkikbfnppdndaegnlgkelahfe [2015-05-31] OPR Extension: (copciehbkikbfnppdndaegnlgkelahfe) - C:\Users\coco\AppData\Roaming\Opera Software\Opera Stable\Extensions\copciehbkikbfnppdndaegnlgkelahfe [2015-05-31] S2 b28905ee; c:\Program Files\IndepthSystem\IndepthSystem.dll [1589248 2015-02-20] () [File not signed] R2 cehufofi; C:\Users\coco\AppData\Roaming\1E00FC40-1425285218-2300-9877-002618E1F977\jnslC940.tmp [103424 2015-03-02] () [File not signed] S2 powywejy; C:\Users\coco\AppData\Roaming\1E00FC40-1425285218-2300-9877-002618E1F977 sf9A7C.tmpfs [X] 2015-06-18 15:24 - 2015-07-03 17:37 - 00081920 _____ C:\Windows\system32 poadyvy.exe 2015-06-18 15:24 - 2015-07-03 17:37 - 00081920 _____ C:\Users\coco poadyvy.exe 2015-07-15 14:40 - 2014-07-06 11:35 - 00000000 ____D C:\Users\coco\AppData\Roaming\F8gbptK9 2014-08-08 10:38 - 2014-08-08 10:38 - 0591056 _____ (ClickMeIn Limited) C:\Users\coco\AppData\Local sb22D9.tmp 2015-03-03 19:03 - 2015-03-03 19:03 - 0613067 _____ (CMI Limited) C:\Users\coco\AppData\Local sd7A34.tmp 2014-08-08 10:32 - 2014-08-08 10:32 - 0575544 _____ (ClickMeIn Limited) C:\Users\coco\AppData\Local sj8AC4.tmp 2015-05-26 08:16 - 2015-05-26 08:16 - 0613255 _____ (CMI Limited) C:\Users\coco\AppData\Local sk5656.tmp 2015-03-02 10:18 - 2015-03-02 10:18 - 0613067 _____ (CMI Limited) C:\Users\coco\AppData\Local suAC57.tmp 2015-03-02 10:25 - 2015-03-02 10:25 - 0301608 _____ (VuuPC Limited) C:\Users\coco\AppData\Local sxC672.tmp 2015-04-03 13:33 - 2015-04-03 13:37 - 0001025 _____ () C:\ProgramData\Digital.EXP 2015-04-03 13:33 - 2012-10-02 11:28 - 0000664 _____ () C:\ProgramData\Digital.PCO 2015-04-03 13:33 - 2015-04-03 13:37 - 0000926 _____ () C:\ProgramData\Digital.PGM 2015-04-03 13:33 - 2015-04-03 13:37 - 0004524 _____ () C:\ProgramData\Digital.PRO 2015-04-03 13:33 - 2015-04-03 13:37 - 0000591 _____ () C:\ProgramData\Digital.SOC 2014-07-06 11:43 - 2014-03-03 05:45 - 38743524 __RSH (FI6FK0WCSn) C:\ProgramData\Microsoft.com Une fois, le texte coller dans le bloc-note. Menu Fichier puis Enregistrer sous. A gauche, place toi sur le bureau.F Dans le champs en bas, nom du fichier mets : fixlist.txt Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau. Relance FRST et clic sur le bouton Fix Selon comment un redémarrage est nécessaire (pas obligatoire). Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. Redémarre l'ordinateur puis réinitialise tes navigateurs: ================================== Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites : Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start= Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start= Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start= ~~ Ouvre Mon ordinateur puis disque C ouvre le dossier FRST sur le dossier Quarantine clic droit puis envoyer vers => dossier compreser cela va créer un fichier Quarantine.zip Envoie le Quarantine.Zip sur http://upload.malekal.com ~~ Installe Avast! : https://www.malekal.com/tutoriel-antivirus-avast/ Surtout active les détections LPIs.

Mastak · Answer

Fix result of Farbar Recovery Scan Tool (x86) Version: 12-07-2015 Ran by coco at 2015-07-15 15:54:02 Run:1 Running from C:\Users\coco\Desktop Loaded Profiles: coco (Available Profiles: coco) Boot Mode: Normal ============================================== fixlist content: HKLM\...\Run: [] => [X] HKLM\...\Run: [fst_be_67] => [X] HKLM\...\Run: [gmsd_be_90] => [X] HKLM\...\Run: [npoadyvy] => C:\Windows\System32 poadyvy.exe [81920 2015-07-03] () HKU\S-1-5-21-1226881072-860201203-1047143883-1000\...\Run: [npoadyvy] => C:\Users\coco poadyvy.exe [81920 2015-07-03] () HKU\S-1-5-21-1226881072-860201203-1047143883-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\Microsoft.com <===== ATTENTION HKU\S-1-5-18\...\RunOnce: [WindowsUpdate] => C:\Windows\system32\Microsoft.com HKU\S-1-5-18\...\CurrentVersion\Windows: [Load] C:\Windows\system32\Microsoft.com <===== ATTENTION HKU\S-1-5-18\...\Winlogon: [Shell] C:\Windows\system32\config\systemprofile\AppData\Roaming\F8gbptK9\UGDwROg.exe,explorer.exe <==== ATTENTION IFEO\AvastSvc.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\AvastUI.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avcenter.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avconfig.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avgcsrvx.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avgidsagent.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avgnt.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avgrsx.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avguard.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avgui.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avgwdsvc.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avp.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\avscan.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\bdagent.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\ccuac.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\ComboFix.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\egui.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\hijackthis.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\instup.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\keyscrambler.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\mbam.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\mbamgui.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\mbampt.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\mbamscheduler.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\mbamservice.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\MpCmdRun.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\MSASCui.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\MsMpEng.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\msseces.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO strui.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\spybotsd.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\wireshark.exe: [Debugger] C:\Windows\system32\Microsoft.com IFEO\zlclient.exe: [Debugger] C:\Windows\system32\Microsoft.com CHR Extension: (copciehbkikbfnppdndaegnlgkelahfe) - C:\Users\coco\AppData\Local\Google\Chrome\User Data\Default\Extensions\copciehbkikbfnppdndaegnlgkelahfe [2015-05-31] OPR Extension: (copciehbkikbfnppdndaegnlgkelahfe) - C:\Users\coco\AppData\Roaming\Opera Software\Opera Stable\Extensions\copciehbkikbfnppdndaegnlgkelahfe [2015-05-31] S2 b28905ee; c:\Program Files\IndepthSystem\IndepthSystem.dll [1589248 2015-02-20] () [File not signed] R2 cehufofi; C:\Users\coco\AppData\Roaming\1E00FC40-1425285218-2300-9877-002618E1F977\jnslC940.tmp [103424 2015-03-02] () [File not signed] S2 powywejy; C:\Users\coco\AppData\Roaming\1E00FC40-1425285218-2300-9877-002618E1F977 sf9A7C.tmpfs [X] 2015-06-18 15:24 - 2015-07-03 17:37 - 00081920 _____ C:\Windows\system32 poadyvy.exe 2015-06-18 15:24 - 2015-07-03 17:37 - 00081920 _____ C:\Users\coco poadyvy.exe 2015-07-15 14:40 - 2014-07-06 11:35 - 00000000 ____D C:\Users\coco\AppData\Roaming\F8gbptK9 2014-08-08 10:38 - 2014-08-08 10:38 - 0591056 _____ (ClickMeIn Limited) C:\Users\coco\AppData\Local sb22D9.tmp 2015-03-03 19:03 - 2015-03-03 19:03 - 0613067 _____ (CMI Limited) C:\Users\coco\AppData\Local sd7A34.tmp 2014-08-08 10:32 - 2014-08-08 10:32 - 0575544 _____ (ClickMeIn Limited) C:\Users\coco\AppData\Local sj8AC4.tmp 2015-05-26 08:16 - 2015-05-26 08:16 - 0613255 _____ (CMI Limited) C:\Users\coco\AppData\Local sk5656.tmp 2015-03-02 10:18 - 2015-03-02 10:18 - 0613067 _____ (CMI Limited) C:\Users\coco\AppData\Local suAC57.tmp 2015-03-02 10:25 - 2015-03-02 10:25 - 0301608 _____ (VuuPC Limited) C:\Users\coco\AppData\Local sxC672.tmp 2015-04-03 13:33 - 2015-04-03 13:37 - 0001025 _____ () C:\ProgramData\Digital.EXP 2015-04-03 13:33 - 2012-10-02 11:28 - 0000664 _____ () C:\ProgramData\Digital.PCO 2015-04-03 13:33 - 2015-04-03 13:37 - 0000926 _____ () C:\ProgramData\Digital.PGM 2015-04-03 13:33 - 2015-04-03 13:37 - 0004524 _____ () C:\ProgramData\Digital.PRO 2015-04-03 13:33 - 2015-04-03 13:37 - 0000591 _____ () C:\ProgramData\Digital.SOC 2014-07-06 11:43 - 2014-03-03 05:45 - 38743524 __RSH (FI6FK0WCSn) C:\ProgramData\Microsoft.com HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ => value removed successfully. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\fst_be_67 => value removed successfully. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gmsd_be_90 => value removed successfully. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\npoadyvy => value removed successfully. HKU\S-1-5-21-1226881072-860201203-1047143883-1000\Software\Microsoft\Windows\CurrentVersion\Run\npoadyvy => value removed successfully. HKU\S-1-5-21-1226881072-860201203-1047143883-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load => value restored successfully HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\WindowsUpdate => value removed successfully. HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load => value restored successfully HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell => value removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\AvastSvc.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\AvastUI.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avcenter.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avconfig.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgcsrvx.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgidsagent.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgnt.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgrsx.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avguard.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgui.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgwdsvc.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avp.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avscan.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\bdagent.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\ccuac.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\ComboFix.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\egui.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\hijackthis.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\instup.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\keyscrambler.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbam.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbamgui.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbampt.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbamscheduler.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbamservice.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\MpCmdRun.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\MSASCui.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\MsMpEng.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\msseces.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options strui.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\spybotsd.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\wireshark.exe" => key removed successfully. "HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\zlclient.exe" => key removed successfully. C:\Users\coco\AppData\Local\Google\Chrome\User Data\Default\Extensions\copciehbkikbfnppdndaegnlgkelahfe => moved successfully. C:\Users\coco\AppData\Roaming\Opera Software\Opera Stable\Extensions\copciehbkikbfnppdndaegnlgkelahfe => moved successfully. b28905ee => Service removed successfully. cehufofi => Service stopped successfully. cehufofi => Service removed successfully. powywejy => Service removed successfully. C:\Windows\system32 poadyvy.exe => moved successfully. C:\Users\coco poadyvy.exe => moved successfully. C:\Users\coco\AppData\Roaming\F8gbptK9 => moved successfully. C:\Users\coco\AppData\Local sb22D9.tmp => moved successfully. C:\Users\coco\AppData\Local sd7A34.tmp => moved successfully. C:\Users\coco\AppData\Local sj8AC4.tmp => moved successfully. C:\Users\coco\AppData\Local sk5656.tmp => moved successfully. C:\Users\coco\AppData\Local suAC57.tmp => moved successfully. C:\Users\coco\AppData\Local sxC672.tmp => moved successfully. C:\ProgramData\Digital.EXP => moved successfully. C:\ProgramData\Digital.PCO => moved successfully. C:\ProgramData\Digital.PGM => moved successfully. C:\ProgramData\Digital.PRO => moved successfully. C:\ProgramData\Digital.SOC => moved successfully. C:\ProgramData\Microsoft.com => moved successfully. End of Fixlog 15:54:06

Malekal_morte- · Answer

envoie le zip sur spamhere-@wanadoo.fr
s'il n'est pas trop volumineux.

Installe bien Avast!
il te faudra aussi changer tous tes mots de passe, ils ont probablement été récupérés.

~~


La détection d'un des fichiers envoyés, très bien détecté  
Trojan.Win32.Cutwail, ton ordinateur a probablement été utilisé pour envoyer des mails de spam.

SHA256: ba91d42639bfc080edf0e04ed64ee648a28aba1cba81ca6da0e1d7c1de6878f3
Nom du fichier : 9838ccf51c1e1e9d0a865ee0a4966f81e457f5b9
Ratio de détection : 37 / 55
Date d'analyse : 2015-07-15 14:06:20 UTC (il y a 8 minutes) 

Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.2543704 20150715
AVware LooksLike.Win32.Dyre.b (v) 20150715
Ad-Aware Trojan.GenericKD.2543704 20150715
Agnitum Trojan.Cutwail!06x7Ln53N6s 20150713
AhnLab-V3 Trojan/Win32.Cutwail 20150715
Antiy-AVL Trojan/Win32.Cutwail 20150715
Arcabit Trojan.Generic.D26D058 20150715
Avast Win32:Malware-gen 20150715
Avira TR/Crypt.Xpack.26946 20150715
Baidu-International Trojan.Win32.Cutwail.vnq 20150715
BitDefender Trojan.GenericKD.2543704 20150715
Bkav W32.ArtemisMikeyD.Trojan 20150715
Cyren W32/Trojan.YUXS-2004 20150715
DrWeb Trojan.Siggen6.43052 20150715
ESET-NOD32 a variant of Win32/Kryptik.DOWN 20150715
Emsisoft Trojan.GenericKD.2543704 (B) 20150715
F-Secure Trojan.GenericKD.2543704 20150715
Fortinet W32/Cutwail.DOWN!tr 20150715
GData Trojan.GenericKD.2543704 20150715
Ikarus Trojan-Downloader.Win32.Cutwail 20150715
K7AntiVirus Riskware ( 0040eff71 ) 20150715
K7GW Riskware ( 0040eff71 ) 20150715
Kaspersky Trojan.Win32.Cutwail.vnq 20150715
McAfee RDN/Downloader.a!vy 20150715
McAfee-GW-Edition RDN/Downloader.a!vy 20150715
MicroWorld-eScan Trojan.GenericKD.2543704 20150715
Microsoft TrojanDownloader:Win32/Cutwail 20150715
NANO-Antivirus Trojan.Win32.Cutwail.dtpfug 20150715
Panda Trj/Chgt.O 20150715
Qihoo-360 HEUR/QVM09.0.Malware.Gen 20150715
Rising PE:Trojan.Win32.Generic.18DC2299!417079961 20150713
Sophos Mal/Generic-S 20150715
Symantec Trojan.Gen 20150715
TrendMicro TROJ_DYER.BMC 20150715
TrendMicro-HouseCall TROJ_DYER.BMC 20150715
VIPRE LooksLike.Win32.Dyre.b (v) 20150715
nProtect Trojan/W32.Cutwail.81920.B 20150715
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Mastak · Answer

Je vous ai envoyé un mail avec le seul hébergeur qui a bien voulu l'accepter, merci pour votre aide

Malekal_morte- · Answer

Pour malwarebytes, regarde si tu as un fichier MSVCR100.dll dans C:\Windows ou C:\Windows\system32
Si oui supprime le.


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

 2015-07-16 10:05 - 2015-03-02 09:33 - 00000000 ____D C:\Users\coco\AppData\Roaming\1E00FC40-1425285218-2300-9877-002618E1F977 
 2015-07-16 10:02 - 2015-03-02 09:34 - 00000000 ____D C:\Users\coco\AppData\Local\1E00FC40-1425285274-2300-9877-002618E1F977 
 2015-07-16 09:59 - 2014-07-06 11:43 - 00000000 __SHD C:\ProgramData\Windows Manager 
 2015-07-16 09:57 - 2015-02-20 10:23 - 00000000 ____D C:\Program Files\IndepthSystem 
 2015-07-16 09:53 - 2015-02-20 10:23 - 00000000 ____D C:\Program Files\Vecteezy 
 2015-07-16 09:53 - 2014-08-02 07:26 - 00000000 __SHD C:\Program Files\Windows Manager 

 
 Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.F
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur

Mastak · Answer

Fix result of Farbar Recovery Scan Tool (x86) Version: 12-07-2015
Ran by coco at 2015-07-16 14:58:25 Run:2
Running from C:\Users\coco\Desktop
Loaded Profiles: coco (Available Profiles: coco)
Boot Mode: Normal

==============================================

fixlist content:


2015-07-16 10:05 - 2015-03-02 09:33 - 00000000 ____D C:\Users\coco\AppData\Roaming\1E00FC40-1425285218-2300-9877-002618E1F977 
2015-07-16 10:02 - 2015-03-02 09:34 - 00000000 ____D C:\Users\coco\AppData\Local\1E00FC40-1425285274-2300-9877-002618E1F977 
2015-07-16 09:59 - 2014-07-06 11:43 - 00000000 __SHD C:\ProgramData\Windows Manager 
2015-07-16 09:57 - 2015-02-20 10:23 - 00000000 ____D C:\Program Files\IndepthSystem 
2015-07-16 09:53 - 2015-02-20 10:23 - 00000000 ____D C:\Program Files\Vecteezy 
2015-07-16 09:53 - 2014-08-02 07:26 - 00000000 __SHD C:\Program Files\Windows Manager 



C:\Users\coco\AppData\Roaming\1E00FC40-1425285218-2300-9877-002618E1F977 => moved successfully.
C:\Users\coco\AppData\Local\1E00FC40-1425285274-2300-9877-002618E1F977 => moved successfully.
C:\ProgramData\Windows Manager => moved successfully.
C:\Program Files\IndepthSystem => moved successfully.
C:\Program Files\Vecteezy => moved successfully.
C:\Program Files\Windows Manager => moved successfully.
 End of Fixlog 14:58:26 
En tout cas, je vous remercie pour votre attention à mon problème.

Mastak · Answer

Oui, je pensais avoir répondu mais visiblement j'ai oublié d'envoyer ou... Je sais pas.
Pour le fichier MSVCR100.dll, je n'arrive pas du tout à le supprimer, est-ce qu'il faut un logiciel pour y arriver ? J'ai également trouvé le fichier msvcr100_clr0400.dll... Est-ce qu'il faudrait le supprimer lui aussi ??

Malekal_morte- · Answer

Essaye ça :


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

C:\Windows\MSVCR100.dll
C:\Windows\system32\MSVCR100.dll
S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X]
S1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X]
 
 Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.F
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur

Mastak · Answer

Fix result of Farbar Recovery Scan Tool (x86) Version: 12-07-2015
Ran by coco at 2015-07-16 18:10:54 Run:3
Running from C:\Users\coco\Desktop
Loaded Profiles: coco (Available Profiles: coco)
Boot Mode: Normal

==============================================

fixlist content:


C:\Windows\MSVCR100.dll 
C:\Windows\system32\MSVCR100.dll 
S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X] 
S1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X]



"C:\Windows\MSVCR100.dll" => File/Folder not found.
C:\Windows\system32\MSVCR100.dll => moved successfully.
innfd_1_10_0_14 => Service removed successfully.
qrnfd_1_10_0_9 => Service removed successfully.
 End of Fixlog 18:10:54

Malekal_morte- · Answer

Je pense que c'est bon, fais un scan dans un ou deux jours.
Change tous tes mots de passe.

Attention aux fichiers que tu ouvres (cracks, keygen; cheater etc). 
 
Quelques conseils : 


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start= 



Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Mastak · Answer

Merci pour tout, mais il me reste le problème du fichier msvcr100.dll qui a été enlevé.
J'ai vérifier je ne sais vraiment plus imprimer plusieurs documents, je dois a chaque fois attendre que l'impression est finie pour lancer la suivante.
Je peux remettre ce fichier ?
Merci

T1oylXRSQW et Form1

13 réponses

End of Fixlog 15:54:06

End of Fixlog 14:58:26

End of Fixlog 18:10:54

Discussions similaires

Newsletters