Virus windows script host, amuleC, UCBrowser

simofers Messages postés 1 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -

1 réponse

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bonjour,

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:
    Task: {24AC8338-E6F1-498D-8B55-750D1CBED2D8} - System32\Tasks\Driver Booster SkipUAC (HP) => C:\Program Files (x86)\IObit\Driver Booster\4.2.0\DriverBooster.exe
    2017-03-04 22:33 - 2017-03-04 22:33 - 00000000 ____D C:\Windows\IObit
    2017-03-04 22:33 - 2017-03-04 22:33 - 00000000 ____D C:\Users\HP\AppData\Roaming\IObit
    2017-03-04 22:33 - 2017-03-04 22:33 - 00000000 ____D C:\ProgramData\IObit
    2017-03-04 22:29 - 2017-03-04 22:29 - 00000000 ____D C:\Users\HP\AppData\Roaming\Softlink
    2017-03-04 22:28 - 2017-03-06 23:05 - 00000000 __SHD C:\Users\HP\AppData\Local\svchost
    2017-03-04 22:27 - 2017-03-06 23:09 - 00000000 ___HD C:\ProgramData\8133e4621e5295d8466
    2017-03-04 22:27 - 2017-03-06 23:07 - 00016726 _____ C:\Windows\System32\Tasks\8133e4621e5295d8466
    2017-03-04 22:26 - 2017-03-08 08:21 - 00000000 ____D C:\Program Files (x86)\Reawerghtraserph
    2017-03-04 22:26 - 2017-03-06 09:45 - 00000000 ____D C:\Users\HP\AppData\Roaming\Drequghqocisy
    2017-03-04 22:26 - 2017-03-04 22:31 - 00000000 ____D C:\Users\HP\AppData\Local\Nererryphoneck
    2017-03-04 22:26 - 2017-03-04 22:26 - 00006018 _____ C:\Windows\System32\Tasks\Berlosquguge Reports
    2017-03-04 22:25 - 2017-03-04 22:25 - 00005050 _____ C:\Windows\System32\Tasks\Nmolevuperward
    2017-03-04 22:21 - 2017-03-04 22:21 - 00000000 ____D C:\Users\HP\AppData\Roaming\Novicorp
    2017-03-04 20:54 - 2017-03-04 20:54 - 00001799 _____ C:\Users\postgres\Desktop\MagicISO.lnk
    2017-03-04 20:14 - 2017-03-04 20:14 - 00000000 ____D C:\Users\HP\AppData\Local\Novicorp
    2017-03-08 08:23 - 2017-03-08 08:23 - 00000451 _____ C:\Windows\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat
    2017-03-08 08:12 - 2017-03-08 08:12 - 00000000 ____D C:\SWSetup
    2017-03-08 08:04 - 2017-03-08 08:10 - 00000000 ____D C:\Users\HP\AppData\Roaming\SogouExplorer
    2017-03-08 08:04 - 2017-03-08 08:04 - 00000000 ____D C:\Users\HP\AppData\Local\SogouExplorer
    2017-03-07 10:32 - 2017-03-08 00:36 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BikaQ
    2017-03-07 08:46 - 2017-03-07 08:46 - 00000000 ____D C:\Users\HP\AppData\Local\Crossbrowse
    2017-03-07 08:45 - 2017-03-07 08:45 - 00000000 ____D C:\Users\HP\AppData\Local\Xpom
    2017-03-07 08:45 - 2017-03-07 08:45 - 00000000 ____D C:\Users\HP\AppData\Local\Torch
    2017-03-07 08:45 - 2017-03-07 08:45 - 00000000 ____D C:\Users\HP\AppData\Local\Orbitum
    2017-03-07 08:45 - 2017-03-07 08:45 - 00000000 ____D C:\Users\HP\AppData\Local\Nichrome
    2017-03-07 08:45 - 2017-03-07 08:45 - 00000000 ____D C:\Users\HP\AppData\Local\Kometa
    2017-03-07 08:45 - 2017-03-07 08:45 - 00000000 ____D C:\Users\HP\AppData\Local\Amigo
    2017-03-07 01:11 - 2017-03-07 01:11 - 00000000 ___HD C:\OneDriveTemp
    2017-03-06 23:55 - 2017-03-06 01:05 - 00516072 _____ (深圳市史宾赛科技有限公司) C:\Users\HP\AppData\Local\uninst.tmp
    2017-03-06 23:14 - 2017-03-08 00:36 - 00000000 ____D C:\Users\HP\AppData\Roaming\zk-lycq
    2017-03-06 23:08 - 2017-03-06 23:08 - 00001514 _____ C:\Windows\Tasks\8133e4621e5295d8466.job
    2017-03-06 16:26 - 2017-03-06 16:26 - 00000000 ____D C:\Program Files (x86)\ds47u2no
    2017-03-06 14:01 - 2017-03-06 14:01 - 00000000 _____ C:\Windows\SysWOW64\4
    2017-03-06 14:01 - 2017-03-06 14:01 - 00000000 _____ C:\Windows\SysWOW64\3
    2017-03-06 13:59 - 2017-03-08 00:36 - 00000000 ____D C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\amuleC
    2017-03-06 13:59 - 2017-03-08 00:36 - 00000000 ____D C:\Program Files (x86)\amulell
    2017-03-06 11:19 - 2017-03-06 11:19 - 00000180 _____ C:\Windows\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
    2017-03-06 10:52 - 2017-03-06 10:52 - 00000000 ____D C:\ProgramData\dbg
    2017-03-06 10:25 - 2017-03-06 10:25 - 00001498 _____ C:\Windows\Tasks\1-0-9.job
    2017-03-06 10:25 - 2017-03-06 10:25 - 00001498 _____ C:\Windows\Tasks\1-0.job
    2017-03-06 10:25 - 2017-03-06 10:25 - 00001498 _____ C:\Windows\Tasks\1.job
    2017-03-06 10:09 - 2017-03-06 10:09 - 00000037 _____ C:\Windows\wininit.ini
    2017-03-06 10:03 - 2017-03-06 11:15 - 00374180 _____ C:\Windows\ntbtlog.txt
    2017-03-06 09:57 - 2017-03-06 14:47 - 00016726 _____ C:\Windows\System32\Tasks\8133e4621e5295d8466-dll
    2017-03-06 01:39 - 2017-03-06 01:39 - 00000000 ____D C:\Users\HP\AppData\LocalLow\jyrl
    2017-03-06 01:32 - 2017-03-08 00:36 - 00000000 ____D C:\Program Files (x86)\PPKantu
    2017-03-06 01:27 - 2017-03-06 01:27 - 00000000 ____D C:\Users\HP\AppData\LocalLow\MiNiNews
    2017-03-06 01:19 - 2017-03-06 01:19 - 00000000 ____D C:\Users\HP\AppData\Roaming\360se6
    2017-03-06 01:19 - 2017-03-06 01:19 - 00000000 ____D C:\Users\HP\AppData\Local\Tencent
    2017-03-06 01:19 - 2017-03-06 01:19 - 00000000 ____D C:\Users\HP\AppData\Local\360chrome
    2017-03-06 01:17 - 2017-03-06 01:17 - 00000000 ____D C:\Users\HP\AppData\Roaming\Tencent
    2017-03-06 01:15 - 2017-03-06 01:17 - 00000000 ____D C:\Users\HP\AppData\LocalLow\SmartCloudIME.users
    2017-03-06 01:15 - 2017-03-06 01:15 - 00000000 ____D C:\Users\HP\AppData\LocalLow\SmartCloudIME
    2017-03-06 01:15 - 2017-03-06 01:15 - 00000000 ____D C:\Program Files (x86)\SmartCloudInput
    2017-03-06 01:04 - 2017-03-06 01:04 - 00000977 _____ C:\Users\postgres\Desktop\³àÔ´«Ëµ2.lnk
    2017-03-06 01:02 - 2017-03-06 23:05 - 00000000 ____D C:\Users\HP\AppData\Roaming\TFEIMLPE
    2017-03-06 00:59 - 2017-03-08 00:36 - 00000000 ____D C:\Program Files (x86)\FlowSprit
    2017-03-06 00:59 - 2017-03-06 00:59 - 00155168 _____ C:\Windows\system32\Drivers\flowhlp.dat
    2017-03-06 00:57 - 2017-03-06 00:57 - 00000000 ____D C:\Users\HP\AppData\Local\UCBrowser
    2017-03-06 00:29 - 2017-03-06 10:52 - 00000000 ____D C:\ProgramData\Logic Cramble
    2017-03-06 00:28 - 2017-03-06 00:28 - 00018432 _____ C:\Users\HP\AppData\Roaming\Main.dat
    2017-03-06 00:27 - 2017-03-06 11:14 - 00000000 ____D C:\ProgramData\PrefersSecure
    2017-03-06 00:27 - 2017-03-06 00:27 - 00003022 _____ C:\Windows\System32\Tasks\hostTask
    2017-03-06 00:26 - 2017-03-06 23:05 - 00000000 ____D C:\ProgramData\PrefsSecure
    2017-03-06 00:26 - 2017-03-06 00:26 - 01120768 _____ C:\Users\HP\AppData\Roaming\Trippleair.exe
    2017-03-06 00:26 - 2017-03-06 00:26 - 00140288 _____ C:\Users\HP\AppData\Roaming\Installer.dat
    2017-03-06 00:26 - 2017-03-06 00:26 - 00000000 ____D C:\Program Files (x86)\fff
    2017-03-06 00:14 - 2017-03-06 16:51 - 00000000 ____D C:\Users\HP\AppData\Local\app
    2017-03-05 23:54 - 2017-03-06 10:09 - 00000000 ____D C:\Program Files (x86)\a7e785db-9c57-4815-982f-1ce800f7a5271488754496
    2017-03-05 23:54 - 2017-03-05 23:54 - 00000000 _____ C:\TOSTACK
    2017-03-05 11:56 - 2017-03-07 16:27 - 00000000 ____D C:\Program Files (x86)\MK
    2017-03-05 11:54 - 2017-03-05 11:54 - 00000000 ____D C:\Program Files\ds47u2no
    Task: C:\Windows\Tasks\8133e4621e5295d8466.job => rundll32.exe � C:\ProgramData\8133e4621e5295d8466\8133e4621e5295d8466.dll <==== ATTENTION
    Task: {D390EB03-0356-4100-8353-985A3E936DFE} - System32\Tasks\Nmolevuperward => "msiexec" /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel.php?u=ST500DM002-1BD142_W3TCAP0M&v=201734 /q
    Task: {DA35370C-353C-42D6-833D-A8DF189E9FA1} - pas de chemin du fichier
    Task: {F0C112D1-AFFC-41D0-84AE-9FA3404F7A2E} - System32\Tasks\hostTask => C:\ProgramData\PrefsSecure\tree.exe
    Task: {264EC31D-C791-4387-8127-1D64592E3B57} - System32\Tasks\8133e4621e5295d8466-dll => Rundll32.exe "C:\ProgramData\8133e4621e5295d8466\8133e4621e5295d8466.dll",edGsMtn
    Task: {3D4F1B2D-AF1F-4C51-BD3B-709E9D80EA0B} - System32\Tasks\8133e4621e5295d8466 => Rundll32.exe "C:\ProgramData\8133e4621e5295d8466\8133e4621e5295d8466.dll",edGsMtn <==== ATTENTION
    Task: {63A05C34-AA5B-4FE2-A995-7C37F580EB9C} - pas de chemin du fichier
    Task: {6968C0A1-7D2D-44BD-8F8A-7798293E738B} - System32\Tasks\BitX Updater Service => C:\Program Files (x86)\BitX\BitXUpdaterService.exe [2016-08-22] ()
    Task: {6C39D2ED-CCE9-44B1-94DD-73B02934D23B} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\HP\AppData\Roaming\Adobe\Manager.exe
    ShellExecuteHooks: Pas de nom - {58DC7C7E-FF2D-11E6-B9AE-64006A5CFC23} - C:\Users\HP\AppData\Roaming\Drequghqocisy\Shazckfqick.dll -> Pas de fichier
    HKLM\...\RunOnce: [WinSat] => winsat dwm -xml results.xml
    S2 Droid4XService; C:\Program Files (x86)\Droid4X\Droid4XService.exe [X]
    S2 Mongoose; C:\Users\HP\AppData\Local\Temp\Rar$EXa0.724\CCNA 1 Introduction to Networks\mongoose-4.1.exe -- [X] <==== ATTENTION
    R2 ihctrl32; C:\Windows\SysWOW64\ihctrl32.dll [222208 2015-05-25] () [Fichier non signé]
    R2 ed2kidle; C:\Program Files (x86)\amulell\ed2k.exe [238080 2017-03-06] (hxxp://www.amuleall.org/) [Fichier non signé]
    C:\Program Files (x86)\amulell
    HKLM\...\Winlogon: [Userinit] wscript, <==== ATTENTION
    HKLM-x32\...\Winlogon: [Userinit] wscript, <==== ATTENTION
    Hosts:
    EmptyTemp:
    RemoveProxy:
    Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    2°)
    Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

    3°)
    Fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

    4°)

    Refais un scan FRST et donne les rapports via pjjoint.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    0