Infection JS:ScriptIP-inf [Trj] Résolu/Fermé

Question

Bonjour, 
Depuis hier avast m'interpelle souvent pour me dire qu'une menace a été bloquée :

Pour le processus le mot manquant est "wintool.exe"
Je vous fourni également mon rapport ZHPDiag :
http://www.cjoint.com/c/FEokGfxwr86
Apperemment il aurait trouvé CrossRider
J'ai déjà passé un coup avec MalwareByte qui m'a trouver quelque 1355 virus (première fois de ma vie ^^') mais essentiellement des pub (apportées par ce trojan ?).
Deux autre chose étrange étaient arrivée à mon PC précédemment (peut-être sans aucun lien) :
- Le message  "Windows s'éteindra dans moins d'une minute" qui n'est arrivé qu'une seule fois (j'ai pensée a une mise à jour)
- Une attaque de pub ninja ^^', des pubs audio qui se sont lancées en boucle via le processus IExplorer, ce n'est arrivée qu'une seule fois aussi
S'il vous plaît pouvez vous m'aider à suivre une démarche de désinfection ? Merci d'avance et bonne journée.

Configuration: Windows 7 / Firefox 46.0

Malekal_morte- · Answer

Salut,


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Hedgehog0 · Answer

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20160514_h15l6r8s7i12
Shortcut : https://pjjoint.malekal.com/files.php?id=20160514_x8b5u10v15z13
Additionnal : https://pjjoint.malekal.com/files.php?id=20160514_r12g5w12z10x6

Merci de m'aider ^^

Malekal_morte- · Answer

Envoie /C:\Users\Mathieu\AppData\Roaming\Microsoft\SysHex.exe sur http://upload.malekal.com

puis :


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fixnote explicative avec des captures d'écran].

Ouvre le bloc-notes : Touche Windows + R, 
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:CloseProcesses:Task: {48D08E39-059E-4F0B-9EED-C6FF38DCB819} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\BB6454C76913E04F50976847F78F2C0A\Update\BrowserUpdate.exe [2016-03-17] (Tencent) <==== ATTENTIONTask: {55840610-7EBD-42BE-9058-4D60358AABCE} - System32\Tasks\WinTOOL => C:\Program Files (x86)\Google\Update\Download\{547E7482-8018-4F97-BB55-7E67427FE96D}\UpdateModule.exe [2016-05-11] ()InternetURL: C:\Users\Mathieu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\atieclxx.url -> file:///C:\Users\Mathieu\AppData\Roaming\Microsoft\SysHex.exe2015-11-14 16:06 - 2015-11-14 16:06 - 0015856 _____ (AMD) C:\Users\Mathieu\AppData\Roaming\Microsoft\SysHex.exe2015-11-14 16:06 - 2015-11-16 20:16 - 0000942 _____ () C:\Users\Mathieu\AppData\Roaming\Microsoft\SysHex.exe.config2015-11-14 16:06 - 2015-11-16 20:16 - 0023864 _____ (TechSmith Corporation) C:\Users\Mathieu\AppData\Roaming\Microsoft\SysTskEdit.exe2015-11-14 16:06 - 2015-11-16 20:16 - 0580608 _____ () C:\Users\Mathieu\AppData\Roaming\Microsoft\youtube.txt2015-11-25 21:21 - 2015-11-25 21:21 - 0004418 _____ () C:\Users\Mathieu\AppData\Local\recently-used.xbel2015-11-14 16:09 - 2015-11-14 16:09 - 0000006 ____S () C:\ProgramData\7deb20d34559016bd60c2e57072d0de6dc6e9757C:\Program Files (x86)\Google\Update\Download\{547E7482-8018-4F97-BB55-7E67427FE96D}RemoveProxy:Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
 
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST" 
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
 
Veuillez appuyer sur une touche pour continuer la désinfection...

Hedgehog0 · Answer

Joie , un vieux bug récurrent sur mon PC au démarrage N'A PAS EU LIEU ^^
J'ai vu que vous vous intéressiez au fichier infecté pour plus d'info sur ce bug qui n'a pas eu lieu : https://forums.commentcamarche.net/forum/affich-32782806-werfault-exe-erreur-d-application
J'ai envoyé les deux fichier au passage
Merci beaucoup ^^, reste t'il des étapes ?
N'oubliez pas de mettre le sujet en résolu quand le problème est réglé ;)

Hedgehog0 · Answer

Deuxième correction : https://pjjoint.malekal.com/files.php?id=20160514_x14u7h11y6q8

Hedgehog0 · Answer

Merci beaucoup pour cette désinfection, qui a d'ailleur corrigé de vieux problème (mon PC devait être infecté depuis un moment) si tout est bon je passe le sujet en Résolu

Malekal_morte- · Answer

De rien =)

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

Infection JS:ScriptIP-inf [Trj]

7 réponses

Discussions similaires