Problème StormAlerts
Résolu
Niawé
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour Malekal
Il y a qq jours tu m'as transmis la procédure pour les pb de Storm Alerts, j'ai tout suivi et j'ai répondu à notre conversation. Et depuis je n'ai plus eu de nouvelles. Peut-être que je n'ai pas envoyé les liens au bon endroit ou peut-être es-tu très occupé.
Si jamais l'erreur vient de moi peux-tu me donner le lien où je dois envoyer les rapports stp?
Dans le doute je les remets ici :
- FRST : http://pjjoint.malekal.com/files.php?id=FRST_20151123_v13m6r9v11b13
- Addition : http://pjjoint.malekal.com/files.php?id=20151123_k14o14e10c6p14
- Shortcut : http://pjjoint.malekal.com/files.php?id=20151123_g7l15s8z7p15
Vu que ca fait qq jours, est-ce que je dois recommencer la procédure, ou bien est-ce bon comme ca?
D'avance merci pour tout :)
Bonne journée
Il y a qq jours tu m'as transmis la procédure pour les pb de Storm Alerts, j'ai tout suivi et j'ai répondu à notre conversation. Et depuis je n'ai plus eu de nouvelles. Peut-être que je n'ai pas envoyé les liens au bon endroit ou peut-être es-tu très occupé.
Si jamais l'erreur vient de moi peux-tu me donner le lien où je dois envoyer les rapports stp?
Dans le doute je les remets ici :
- FRST : http://pjjoint.malekal.com/files.php?id=FRST_20151123_v13m6r9v11b13
- Addition : http://pjjoint.malekal.com/files.php?id=20151123_k14o14e10c6p14
- Shortcut : http://pjjoint.malekal.com/files.php?id=20151123_g7l15s8z7p15
Vu que ca fait qq jours, est-ce que je dois recommencer la procédure, ou bien est-ce bon comme ca?
D'avance merci pour tout :)
Bonne journée
4 réponses
En plus de Storm Alert (PullUpdate), tu as un trojan, mais ça peut être des restes.
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\...\CurrentVersion\Windows: [Load] C:\Users\Niawe\LOCALS~1\Temp\mstvpuaai.pif <===== ATTENTION
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\...\Winlogon: [Shell] explorer.exe,C:\Users\Niawe\AppData\Local\Temp\.exe <==== ATTENTION
R2 NaBFXuxHPy; C:\ProgramData\mPoDyoM\NaBFXuxHPy.exe [2726776 2014-12-14] (Rational Thought Solutions)
2015-11-23 09:07 - 2015-11-23 12:37 - 00000000 ____D C:\Users\Niawe\AppData\Local\StormAlert
2015-11-07 20:17 - 2014-12-09 01:07 - 00000946 _____ C:\Users\Niawe\AppData\Local\7F68A003.il
2015-11-07 20:17 - 2014-12-09 01:07 - 00000280 _____ C:\Users\Niawe\AppData\Local\IndexIE_7F68A003.il
Task: {A3E75CA9-B334-4C8E-910A-BBE4E3CA49A1} - System32\Tasks\Jraufuavko => C:\ProgramData\Jraufuavko\1.0.6.1\nnafofob.exe [2015-09-29] ()
C:\ProgramData\Jraufuavko
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Télécharger et installer Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Une fois installé :
- Faire un scan rapide.
- Lorsque le scan est terminé, fais un clic droit / tout cocher.
- En bas, bouton supprimer selection.
- Redémarre si nécessaire.
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\...\CurrentVersion\Windows: [Load] C:\Users\Niawe\LOCALS~1\Temp\mstvpuaai.pif <===== ATTENTION
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\...\Winlogon: [Shell] explorer.exe,C:\Users\Niawe\AppData\Local\Temp\.exe <==== ATTENTION
R2 NaBFXuxHPy; C:\ProgramData\mPoDyoM\NaBFXuxHPy.exe [2726776 2014-12-14] (Rational Thought Solutions)
2015-11-23 09:07 - 2015-11-23 12:37 - 00000000 ____D C:\Users\Niawe\AppData\Local\StormAlert
2015-11-07 20:17 - 2014-12-09 01:07 - 00000946 _____ C:\Users\Niawe\AppData\Local\7F68A003.il
2015-11-07 20:17 - 2014-12-09 01:07 - 00000280 _____ C:\Users\Niawe\AppData\Local\IndexIE_7F68A003.il
Task: {A3E75CA9-B334-4C8E-910A-BBE4E3CA49A1} - System32\Tasks\Jraufuavko => C:\ProgramData\Jraufuavko\1.0.6.1\nnafofob.exe [2015-09-29] ()
C:\ProgramData\Jraufuavko
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Télécharger et installer Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
- Prendre la version gratuite - ATTENTION à l'issu de l'installation décochez l'option : "Activer la version d'essai gratuit de Malwarebytes Anti-Malware PRO" **
Une fois installé :
- Faire un scan rapide.
- Lorsque le scan est terminé, fais un clic droit / tout cocher.
- En bas, bouton supprimer selection.
- Redémarre si nécessaire.
Merci pour ton retour super rapide, je viens de charger le fichier fix dans FRST
ca m'a demandé de redémarrer windows, je l'ai fait.
Et voilà le rapport auto crée par FRST :
Fix result of Farbar Recovery Scan Tool (x64) Version:26-11-2015
Ran by Niawe (2015-11-27 14:36:07) Run:1
Running from C:\Users\Niawe\Desktop
Loaded Profiles: Niawe (Available Profiles: Niawe)
Boot Mode: Normal
==============================================
fixlist content:
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\...\CurrentVersion\Windows: [Load] C:\Users\Niawe\LOCALS~1\Temp\mstvpuaai.pif <===== ATTENTION
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\...\Winlogon: [Shell] explorer.exe,C:\Users\Niawe\AppData\Local\Temp\.exe <==== ATTENTION
R2 NaBFXuxHPy; C:\ProgramData\mPoDyoM\NaBFXuxHPy.exe [2726776 2014-12-14] (Rational Thought Solutions)
2015-11-23 09:07 - 2015-11-23 12:37 - 00000000 ____D C:\Users\Niawe\AppData\Local\StormAlert
2015-11-07 20:17 - 2014-12-09 01:07 - 00000946 _____ C:\Users\Niawe\AppData\Local\7F68A003.il
2015-11-07 20:17 - 2014-12-09 01:07 - 00000280 _____ C:\Users\Niawe\AppData\Local\IndexIE_7F68A003.il
Task: {A3E75CA9-B334-4C8E-910A-BBE4E3CA49A1} - System32\Tasks\Jraufuavko => C:\ProgramData\Jraufuavko\1.0.6.1\nnafofob.exe [2015-09-29] ()
C:\ProgramData\Jraufuavko
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load => value removed successfully
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value removed successfully
NaBFXuxHPy => Unable to stop service.
NaBFXuxHPy => service removed successfully
C:\Users\Niawe\AppData\Local\StormAlert => moved successfully
C:\Users\Niawe\AppData\Local\7F68A003.il => moved successfully
C:\Users\Niawe\AppData\Local\IndexIE_7F68A003.il => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A3E75CA9-B334-4C8E-910A-BBE4E3CA49A1}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A3E75CA9-B334-4C8E-910A-BBE4E3CA49A1}" => key removed successfully
C:\Windows\System32\Tasks\Jraufuavko => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Jraufuavko" => key removed successfully
C:\ProgramData\Jraufuavko => moved successfully
The system needed a reboot.
J'ai besoin de faire autre chose?
ca m'a demandé de redémarrer windows, je l'ai fait.
Et voilà le rapport auto crée par FRST :
Fix result of Farbar Recovery Scan Tool (x64) Version:26-11-2015
Ran by Niawe (2015-11-27 14:36:07) Run:1
Running from C:\Users\Niawe\Desktop
Loaded Profiles: Niawe (Available Profiles: Niawe)
Boot Mode: Normal
==============================================
fixlist content:
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\...\CurrentVersion\Windows: [Load] C:\Users\Niawe\LOCALS~1\Temp\mstvpuaai.pif <===== ATTENTION
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\...\Winlogon: [Shell] explorer.exe,C:\Users\Niawe\AppData\Local\Temp\.exe <==== ATTENTION
R2 NaBFXuxHPy; C:\ProgramData\mPoDyoM\NaBFXuxHPy.exe [2726776 2014-12-14] (Rational Thought Solutions)
2015-11-23 09:07 - 2015-11-23 12:37 - 00000000 ____D C:\Users\Niawe\AppData\Local\StormAlert
2015-11-07 20:17 - 2014-12-09 01:07 - 00000946 _____ C:\Users\Niawe\AppData\Local\7F68A003.il
2015-11-07 20:17 - 2014-12-09 01:07 - 00000280 _____ C:\Users\Niawe\AppData\Local\IndexIE_7F68A003.il
Task: {A3E75CA9-B334-4C8E-910A-BBE4E3CA49A1} - System32\Tasks\Jraufuavko => C:\ProgramData\Jraufuavko\1.0.6.1\nnafofob.exe [2015-09-29] ()
C:\ProgramData\Jraufuavko
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load => value removed successfully
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value removed successfully
NaBFXuxHPy => Unable to stop service.
NaBFXuxHPy => service removed successfully
C:\Users\Niawe\AppData\Local\StormAlert => moved successfully
C:\Users\Niawe\AppData\Local\7F68A003.il => moved successfully
C:\Users\Niawe\AppData\Local\IndexIE_7F68A003.il => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A3E75CA9-B334-4C8E-910A-BBE4E3CA49A1}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A3E75CA9-B334-4C8E-910A-BBE4E3CA49A1}" => key removed successfully
C:\Windows\System32\Tasks\Jraufuavko => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Jraufuavko" => key removed successfully
C:\ProgramData\Jraufuavko => moved successfully
The system needed a reboot.
End of Fixlog 14:36:12
Je vais maintenant installer malware bytes et faire un scanJ'ai besoin de faire autre chose?
Malwarebyte ne m'a pas donné de rapport suite à la suppression des 13 dossier/fichiers infectés... il m'a juste demandé de redémarrer, ce que j'ai fait.
Le rapport suite au fix FRST est posté ci-dessus : mais je te le remets ici au cas où :
Fix result of Farbar Recovery Scan Tool (x64) Version:26-11-2015
Ran by Niawe (2015-11-27 14:36:07) Run:1
Running from C:\Users\Niawe\Desktop
Loaded Profiles: Niawe (Available Profiles: Niawe)
Boot Mode: Normal
==============================================
fixlist content:
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\...\CurrentVersion\Windows: [Load] C:\Users\Niawe\LOCALS~1\Temp\mstvpuaai.pif <===== ATTENTION
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\...\Winlogon: [Shell] explorer.exe,C:\Users\Niawe\AppData\Local\Temp\.exe <==== ATTENTION
R2 NaBFXuxHPy; C:\ProgramData\mPoDyoM\NaBFXuxHPy.exe [2726776 2014-12-14] (Rational Thought Solutions)
2015-11-23 09:07 - 2015-11-23 12:37 - 00000000 ____D C:\Users\Niawe\AppData\Local\StormAlert
2015-11-07 20:17 - 2014-12-09 01:07 - 00000946 _____ C:\Users\Niawe\AppData\Local\7F68A003.il
2015-11-07 20:17 - 2014-12-09 01:07 - 00000280 _____ C:\Users\Niawe\AppData\Local\IndexIE_7F68A003.il
Task: {A3E75CA9-B334-4C8E-910A-BBE4E3CA49A1} - System32\Tasks\Jraufuavko => C:\ProgramData\Jraufuavko\1.0.6.1\nnafofob.exe [2015-09-29] ()
C:\ProgramData\Jraufuavko
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load => value removed successfully
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value removed successfully
NaBFXuxHPy => Unable to stop service.
NaBFXuxHPy => service removed successfully
C:\Users\Niawe\AppData\Local\StormAlert => moved successfully
C:\Users\Niawe\AppData\Local\7F68A003.il => moved successfully
C:\Users\Niawe\AppData\Local\IndexIE_7F68A003.il => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A3E75CA9-B334-4C8E-910A-BBE4E3CA49A1}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A3E75CA9-B334-4C8E-910A-BBE4E3CA49A1}" => key removed successfully
C:\Windows\System32\Tasks\Jraufuavko => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Jraufuavko" => key removed successfully
C:\ProgramData\Jraufuavko => moved successfully
The system needed a reboot.
End of Fixlog 14:36:12
Le rapport suite au fix FRST est posté ci-dessus : mais je te le remets ici au cas où :
Fix result of Farbar Recovery Scan Tool (x64) Version:26-11-2015
Ran by Niawe (2015-11-27 14:36:07) Run:1
Running from C:\Users\Niawe\Desktop
Loaded Profiles: Niawe (Available Profiles: Niawe)
Boot Mode: Normal
==============================================
fixlist content:
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\...\CurrentVersion\Windows: [Load] C:\Users\Niawe\LOCALS~1\Temp\mstvpuaai.pif <===== ATTENTION
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\...\Winlogon: [Shell] explorer.exe,C:\Users\Niawe\AppData\Local\Temp\.exe <==== ATTENTION
R2 NaBFXuxHPy; C:\ProgramData\mPoDyoM\NaBFXuxHPy.exe [2726776 2014-12-14] (Rational Thought Solutions)
2015-11-23 09:07 - 2015-11-23 12:37 - 00000000 ____D C:\Users\Niawe\AppData\Local\StormAlert
2015-11-07 20:17 - 2014-12-09 01:07 - 00000946 _____ C:\Users\Niawe\AppData\Local\7F68A003.il
2015-11-07 20:17 - 2014-12-09 01:07 - 00000280 _____ C:\Users\Niawe\AppData\Local\IndexIE_7F68A003.il
Task: {A3E75CA9-B334-4C8E-910A-BBE4E3CA49A1} - System32\Tasks\Jraufuavko => C:\ProgramData\Jraufuavko\1.0.6.1\nnafofob.exe [2015-09-29] ()
C:\ProgramData\Jraufuavko
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load => value removed successfully
HKU\S-1-5-21-2001166768-1330366274-3730789983-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value removed successfully
NaBFXuxHPy => Unable to stop service.
NaBFXuxHPy => service removed successfully
C:\Users\Niawe\AppData\Local\StormAlert => moved successfully
C:\Users\Niawe\AppData\Local\7F68A003.il => moved successfully
C:\Users\Niawe\AppData\Local\IndexIE_7F68A003.il => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A3E75CA9-B334-4C8E-910A-BBE4E3CA49A1}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A3E75CA9-B334-4C8E-910A-BBE4E3CA49A1}" => key removed successfully
C:\Windows\System32\Tasks\Jraufuavko => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Jraufuavko" => key removed successfully
C:\ProgramData\Jraufuavko => moved successfully
The system needed a reboot.
End of Fixlog 14:36:12
Refais un scan FRST comme au départ et donne les rapports via pjjoint.
Voilà les nouveaux lien du scan FRST
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20151127_h14l8o6s15m8
Addition : https://pjjoint.malekal.com/files.php?id=20151127_e9k8t13w12z8
Shortcut : https://pjjoint.malekal.com/files.php?id=20151127_t12h11h5k11w7
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20151127_h14l8o6s15m8
Addition : https://pjjoint.malekal.com/files.php?id=20151127_e9k8t13w12z8
Shortcut : https://pjjoint.malekal.com/files.php?id=20151127_t12h11h5k11w7
ok c'est bon.
Pour les lenteurs Firefox, Réinitialise Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
Utilise Speedyfox : Optimiser Mozilla Firefox et Google Chrome
Change tous tes mots de passe.
~~
Voila, c'est terminé, tu peux supprimer les programmes utilisés.
Quelques conseils :
Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=
Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Pour les lenteurs Firefox, Réinitialise Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
Utilise Speedyfox : Optimiser Mozilla Firefox et Google Chrome
Change tous tes mots de passe.
~~
Voila, c'est terminé, tu peux supprimer les programmes utilisés.
Quelques conseils :
Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=
Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html