Suppression cr*ck et virus ?

Résolu
Arthru Messages postés 10 Statut Membre -  
 Arthru -
Bonjour,

Hier, j'ai voulu téléchargé le crack d'un logiciel de mixage son et peu après un dossier au nom 'étrange' s'est créé dans C:\Program Files
Le dossier s'appelle : 746ca64598f3240fc6a1a2a2f42034b0
et contient un fichier nommé : 1c3e291bed22c94beb2ddb81989305f1.exe
J'avais déjà rencontré ce type d'objet sur mon ordinateur précédent mais je ne m'en étais pas inquiété. Depuis j'ai du changer de machine...
Cette fois je m'en inquiète donc plus tôt mais impossible de supprimer le dossier (ni le fichier):
un 'shift + suppr' annonce que le fichier ne peut pas être supprimé car il est ouvert dans
le destructeur de fichier de Bitdefender (mon antivir) ignore le fichier
J'ai essayé d'autres méthodes indiquées sur des forums, en vain (modifications des paramètres de sécurité du fichier, de l'héritage, des paramètres de partages,...).
De plus, impossible de lancer le mode sans échec quelque soit la méthode utilisée (Microsoft en propose 3 pour Windows 10)
Je voudrais donc savoir si ce fichier est un virus ? si oui comment l'éliminer ? si non qu'est ce que c'est ? dois je le supprimer S'IL VOUS PLAIT?

Merci beaucoup.

PS: je n'ai pas d'énormes connaissances en info mais là je suis prêt à y passer des heures !

4 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Pour voir si infecté déjà :

    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Fais ces deux étapes :

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fixnote explicative avec des captures d'écran].

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:
    S2 746ca64598f3240fc6a1a2a2f42034b0; C:\Program Files\746ca64598f3240fc6a1a2a2f42034b0\1c3e291bed22c94beb2ddb81989305f1.exe [4836864 2016-05-27] () [Fichier non signé]
    C:\WINDOWS\e5218f139c5a25e8d0ef629dc65b8ab9.ps1
    C:\Program Files\746ca64598f3240fc6a1a2a2f42034b0
    2016-05-30 06:11 - 2016-05-30 06:52 - 00003738 _____ C:\WINDOWS\System32\Tasks\e5218f139c5a25e8d0ef629dc65b8ab9
    Task: {FB4BD8B5-5794-45A0-8E8C-7976EEC00DEB} - System32\Tasks\e5218f139c5a25e8d0ef629dc65b8ab9 => powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File C:\WINDOWS\e5218f139c5a25e8d0ef629dc65b8ab9.ps1
    Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    puis :

    Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
    Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
    Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
    Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/

    Veuillez appuyer sur une touche pour continuer la désinfection...
    1
    1. Arthru Messages postés 10 Statut Membre
       
      Résultats de correction de Farbar Recovery Scan Tool (x64) Version:29-05-2016 02
      Exécuté par gaill (2016-05-30 21:10:25) Run:1
      Exécuté depuis C:\Users\gaill\Desktop
      Profils chargés: gaill (Profils disponibles: gaill)
      Mode d'amorçage: Normal
      ==============================================

      fixlist contenu:

      CreateRestorePoint:
      CloseProcesses:
      S2 746ca64598f3240fc6a1a2a2f42034b0; C:\Program Files\746ca64598f3240fc6a1a2a2f42034b0\1c3e291bed22c94beb2ddb81989305f1.exe [4836864 2016-05-27] () [Fichier non signé]
      C:\WINDOWS\e5218f139c5a25e8d0ef629dc65b8ab9.ps1
      C:\Program Files\746ca64598f3240fc6a1a2a2f42034b0
      2016-05-30 06:11 - 2016-05-30 06:52 - 00003738 _____ C:\WINDOWS\System32\Tasks\e5218f139c5a25e8d0ef629dc65b8ab9
      Task: {FB4BD8B5-5794-45A0-8E8C-7976EEC00DEB} - System32\Tasks\e5218f139c5a25e8d0ef629dc65b8ab9 => powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File C:\WINDOWS\e5218f139c5a25e8d0ef629dc65b8ab9.ps1
      Reboot:


      Le Point de restauration a été créé avec succès.
      Processus fermé avec succès.
      746ca64598f3240fc6a1a2a2f42034b0 => service supprimé(es) avec succès
      C:\WINDOWS\e5218f139c5a25e8d0ef629dc65b8ab9.ps1 => déplacé(es) avec succès
      C:\Program Files\746ca64598f3240fc6a1a2a2f42034b0 => déplacé(es) avec succès
      C:\WINDOWS\System32\Tasks\e5218f139c5a25e8d0ef629dc65b8ab9 => déplacé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FB4BD8B5-5794-45A0-8E8C-7976EEC00DEB}" => clé supprimé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FB4BD8B5-5794-45A0-8E8C-7976EEC00DEB}" => clé supprimé(es) avec succès
      C:\WINDOWS\System32\Tasks\e5218f139c5a25e8d0ef629dc65b8ab9 => non trouvé(e).
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\e5218f139c5a25e8d0ef629dc65b8ab9" => clé supprimé(es) avec succès


      Le système a dû redémarrer.

      Fin de Fixlog 21:11:21

      0
    2. Arthru Messages postés 10 Statut Membre
       
      J'ai mis le .zip sur http://upload.malekal.com/

      PS: c'est normal que j'ai du modifié les paramètres d'héritages et de sécurité du dossier FRST ?
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Possible :)

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fixnote explicative avec des captures d'écran].

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:
    R1 4fc386f64ac36be6aef0e0cc390aa3bc; C:\WINDOWS\system32\drivers\4fc386f64ac36be6aef0e0cc390aa3bc.sys [84992 2016-05-27] (IF7924)
    C:\WINDOWS\system32\drivers\4fc386f64ac36be6aef0e0cc390aa3bc.sys
    S2 KutoghSystemService; C:\Program Files (x86)\Kutogh\KutoghSystemService.exe [991384 2016-05-27] ()
    C:\Program Files (x86)\Kutogh
    2016-05-27 03:55 - 2016-03-30 19:52 - 00000000 ____D C:\Users\gaill\AppData\Local\Microsoft Help
    Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    ton Firefox est un peu pourrite par des adwares :

    Réinitialise manuellement tes navigateurs :

    Refais un scan FRST et donne les rapports via pjjoint
    voir s'il reste des trucs.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    1
    1. Arthru Messages postés 10 Statut Membre
       
      Salut !

      Désolé je viens juste de voir ton dernier message.
      Voici donc le lien pour addition.txt : https://pjjoint.malekal.com/files.php?id=20160601_n10h6p12j12b14
      celui pour FRST : https://pjjoint.malekal.com/files.php?id=FRST_20160601_b14t11k98v7
      et celui des shortcut : https://pjjoint.malekal.com/files.php?id=20160601_o10b9s9v5f6

      Avant de voir ton message, j'ai aussi supprimer avec ADW cleaner un 'truc' (adware ? je ne sais pas comment on appelle ça) qui plombait Firefox : ca s'appelait YesSearch et j'ai lu que c'etait pas bon (Tu peux m'en dire un peux plus STP? )
      et en me baladant sur ton site j'avais vu comment réparer firefox donc j'ai aussi reinitialisé le navigateur ce qui m'a permis de supprimer un truc qui s'appelait YourGSearch (qui apparemment n'etait pas top non plus. quest ce que c'est exactement ?)

      Est ce que ma machine est clean maintenant ?

      En tout cas, merci beaucoup pour ton aide et toutes les infos et tutos que l'on trouve sur ton site ! MERCI
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Arthru Messages postés 10 Statut Membre
         
        il y a des restes après cela, ça devrait être bon :)


        Voici la correction à effectuer avec FRST. Tu peux t'aider de cette https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fixnote explicative avec des captures d'écran].

        Ouvre le bloc-notes : Touche Windows + R,
        Dans le champs "Exécuter", saisir notepad et OK.
        Copie/Colle dedans ce qui suit :

        CreateRestorePoint:
        CloseProcesses:
        ShellExecuteHooks: - {7AD1C0F5-07A2-40E5-8608-C6EAA0FF362F} - C:\Users\gaill\AppData\Local\Microsoft\Windows\INetCookies\x64explibss.dll [418496 2016-05-27] ()
        C:\Users\gaill\AppData\Local\Microsoft\Windows\INetCookies\
        2016-05-30 06:14 - 2016-05-30 06:22 - 00000000 ____D C:\Program Files (x86)\Rritckesock
        2016-05-30 06:14 - 2016-05-30 06:15 - 00008918 _____ C:\WINDOWS\System32\Tasks\Kutogh System
        2016-05-30 06:14 - 2016-05-30 06:15 - 00000000 ____D C:\Program Files (x86)\Thdush
        EmptyTemp:
        Reboot:


        Une fois, le texte collé dans le Bloc-notes,
        Menu "Fichier" puis "Enregistrer sous",
        A gauche, place toi sur le Bureau,
        Dans le champs en bas, nom du fichier mets : fixlist.txt
        Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

        Relance FRST et clique sur le bouton "Corriger / Fix"
        Un redémarrage sera peut-être nécessaire ( pas obligatoire )
        Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

        Redémarre l'ordinateur.
        0
      2. Arthru Messages postés 10 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        Voici la copie du fichier fixlog.txt créé suite à la correction que tu m'as indiquée :

        Résultats de correction de Farbar Recovery Scan Tool (x64) Version:29-05-2016 02
        Exécuté par gaill (2016-06-01 14:52:47) Run:3
        Exécuté depuis C:\Users\gaill\Desktop
        Profils chargés: gaill (Profils disponibles: gaill)
        Mode d'amorçage: Normal
        ==============================================

        fixlist contenu:

        CreateRestorePoint:
        CloseProcesses:
        ShellExecuteHooks: - {7AD1C0F5-07A2-40E5-8608-C6EAA0FF362F} - C:\Users\gaill\AppData\Local\Microsoft\Windows\INetCookies\x64explibss.dll [418496 2016-05-27] ()
        C:\Users\gaill\AppData\Local\Microsoft\Windows\INetCookies\
        2016-05-30 06:14 - 2016-05-30 06:22 - 00000000 ____D C:\Program Files (x86)\Rritckesock
        2016-05-30 06:14 - 2016-05-30 06:15 - 00008918 _____ C:\WINDOWS\System32\Tasks\Kutogh System
        2016-05-30 06:14 - 2016-05-30 06:15 - 00000000 ____D C:\Program Files (x86)\Thdush
        EmptyTemp:
        Reboot:


        Le Point de restauration a été créé avec succès.
        Processus fermé avec succès.
        HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{7AD1C0F5-07A2-40E5-8608-C6EAA0FF362F} => valeur supprimé(es) avec succès
        "HKCR\CLSID\{7AD1C0F5-07A2-40E5-8608-C6EAA0FF362F}" => clé supprimé(es) avec succès
        C:\Users\gaill\AppData\Local\Microsoft\Windows\INetCookies => déplacé(es) avec succès
        C:\Program Files (x86)\Rritckesock => déplacé(es) avec succès
        C:\WINDOWS\System32\Tasks\Kutogh System => déplacé(es) avec succès
        C:\Program Files (x86)\Thdush => déplacé(es) avec succès
        EmptyTemp: => 86.5 MB données temporaires supprimées.


        Le système a dû redémarrer.

        Fin de Fixlog 14:53:43

        0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ca doit être bon, termine par un nettoyage Malwarebytes Anti-Maware ( Tutoriel Malwarebytes Anti-Malware version gratuite).

    Quelques conseils :

    Pour tenter de prévenir les sites malicieux, tu peux installer Blockulicious.

    Pour ne plus te faire avoir.
    A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
    (Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

    Veuillez appuyer sur une touche pour continuer la désinfection...
    0
    1. Arthru
       
      Salut,

      Désolé pour ma réponse tardive mais je voulais te dire un grand merci pour tous les tutos et conseils que tu m'as donnée pour régler mon problème.

      Bonne continuation !
      0