RegAsm.exe me spamRésolu/Fermé

Question

Bonjour,

J'ai la fenêtre de la console du PC avec indiqué "Regasm" qui n’arrête pas de poper. j'ai vu plusieurs messages similaires qui font état d'un trojan. Afin de résoudre mon problème via votre aide j'ai vu qui fallait établir un scan avec FRST vous trouverez les lien ci-dessous. encore merci

fichier addiction: https://pjjoint.malekal.com/files.php?id=20180514_m5q6k6x6m9
fichier shorcut: https://pjjoint.malekal.com/files.php?id=20180514_x15x9l14j12p6
fichier FRST: https://pjjoint.malekal.com/files.php?id=FRST_20180514_u5f8h1015x11

Je reste à disposition pour plus de détails

Malekal_morte- · Answer

Bonsoir,

C'est lié à un Trojan RAT 



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:CloseProcesses: 2018-05-07 21:02 - 2018-05-07 21:02 - 000000000 ____D C:\Users\daoub\AppData\Roaming\kilometrrfgvdte Task: {5FCC09F8-0E3D-42FF-B1C4-F0FDC9722AB9} - System32\Tasks\vhost => C:\Users\daoub\AppData\Roaming\regasm.exe [2017-09-22] (Microsoft Corporation) <==== ATTENTION Startup: C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\google.lnk [2018-05-14]   Startup: C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Samsung Magician.lnk [2014-11-17]  C:\DAOUB-PC\ 2018-05-09 20:52 - 2018-05-09 20:55 - 000000000 ____D C:\ProgramData\OrrO  2018-05-09 20:42 - 2018-05-09 20:42 - 000000000 ____D C:\Users\daoub\AppData\Roaming\UjLoKiKjOlKI 2016-01-03 16:24 - 2016-01-03 16:51 - 000000402 ____C () C:\Users\daoub\AppData\Roaming\DAOUB-PC.MTBF.txt  2018-04-03 19:44 - 2018-05-13 23:45 - 000060787 _____ () C:\Users\daoub\AppData\Roaming\logs.tmp   2018-04-03 19:44 - 2017-09-22 19:19 - 000053248 ____H (Microsoft Corporation) C:\Users\daoub\AppData\Roaming\regasm.exe  2017-04-06 19:58 - 2017-04-06 19:58 - 000000000 ____C () C:\Users\daoub\AppData\Local\{3751557A-FDB2-4712-A5E8-F092DAA11654}  2015-04-18 19:13 - 2015-04-18 19:13 - 000000000 ____C () C:\Users\daoub\AppData\Local\{3B9A6FC2-5E98-46D1-B321-F4EA0A16EA46}  2015-04-05 04:18 - 2015-04-05 04:18 - 000000000 ____C () C:\Users\daoub\AppData\Local\{683543B5-33E8-4F2B-9B68-A062420DFDD2}  2016-09-25 10:03 - 2016-09-25 10:03 - 000000000 ____C () C:\Users\daoub\AppData\Local\{8B9C1131-2805-4D81-9CA0-3C803194D224}  2015-03-23 20:56 - 2015-03-23 20:56 - 000000000 ____C () C:\Users\daoub\AppData\Local\{CE8E5DB0-7C71-406D-8286-CE669BE97DAE} Hosts:RemoveProxy:Reboot:

Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2)


Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST" 
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/

daoub · Answer

Bonjour,

déjà un grand merci pour la rapidité de la réponse, voici le contenu du fichier Fixlog:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 12.05.2018
Exécuté par daoub (15-05-2018 20:34:40) Run:1
Exécuté depuis C:\Users\daoub\Desktop
Profils chargés: daoub (Profils disponibles: daoub & OVRLibraryService)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


CreateRestorePoint:
CloseProcesses:
Task: {5FCC09F8-0E3D-42FF-B1C4-F0FDC9722AB9} - System32\Tasks\vhost => C:\Users\daoub\AppData\Roamingegasm.exe [2017-09-22] (Microsoft Corporation) <==== ATTENTION
 Startup: C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\google.lnk [2018-05-14]  
 Startup: C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Samsung Magician.lnk [2014-11-17] 
 C:\DAOUB-PC\
 2018-05-09 20:52 - 2018-05-09 20:55 - 000000000 ____D C:\ProgramData\OrrO 
 2018-05-09 20:42 - 2018-05-09 20:42 - 000000000 ____D C:\Users\daoub\AppData\Roaming\UjLoKiKjOlKI 
2016-01-03 16:24 - 2016-01-03 16:51 - 000000402 ____C () C:\Users\daoub\AppData\Roaming\DAOUB-PC.MTBF.txt 
 2018-04-03 19:44 - 2018-05-13 23:45 - 000060787 _____ () C:\Users\daoub\AppData\Roaming\logs.tmp  
 2018-04-03 19:44 - 2017-09-22 19:19 - 000053248 ____H (Microsoft Corporation) C:\Users\daoub\AppData\Roamingegasm.exe 
 2017-04-06 19:58 - 2017-04-06 19:58 - 000000000 ____C () C:\Users\daoub\AppData\Local\{3751557A-FDB2-4712-A5E8-F092DAA11654} 
 2015-04-18 19:13 - 2015-04-18 19:13 - 000000000 ____C () C:\Users\daoub\AppData\Local\{3B9A6FC2-5E98-46D1-B321-F4EA0A16EA46} 
 2015-04-05 04:18 - 2015-04-05 04:18 - 000000000 ____C () C:\Users\daoub\AppData\Local\{683543B5-33E8-4F2B-9B68-A062420DFDD2} 
 2016-09-25 10:03 - 2016-09-25 10:03 - 000000000 ____C () C:\Users\daoub\AppData\Local\{8B9C1131-2805-4D81-9CA0-3C803194D224} 
 2015-03-23 20:56 - 2015-03-23 20:56 - 000000000 ____C () C:\Users\daoub\AppData\Local\{CE8E5DB0-7C71-406D-8286-CE669BE97DAE} 
Hosts:
RemoveProxy:
Reboot:



Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5FCC09F8-0E3D-42FF-B1C4-F0FDC9722AB9}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5FCC09F8-0E3D-42FF-B1C4-F0FDC9722AB9}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\vhost => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\vhost" => supprimé(es) avec succès
C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\google.lnk => déplacé(es) avec succès
C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Samsung Magician.lnk => déplacé(es) avec succès
C:\DAOUB-PC => déplacé(es) avec succès
C:\ProgramData\OrrO => déplacé(es) avec succès
C:\Users\daoub\AppData\Roaming\UjLoKiKjOlKI => déplacé(es) avec succès
C:\Users\daoub\AppData\Roaming\DAOUB-PC.MTBF.txt => déplacé(es) avec succès
C:\Users\daoub\AppData\Roaming\logs.tmp => déplacé(es) avec succès
C:\Users\daoub\AppData\Roamingegasm.exe => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{3751557A-FDB2-4712-A5E8-F092DAA11654} => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{3B9A6FC2-5E98-46D1-B321-F4EA0A16EA46} => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{683543B5-33E8-4F2B-9B68-A062420DFDD2} => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{8B9C1131-2805-4D81-9CA0-3C803194D224} => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{CE8E5DB0-7C71-406D-8286-CE669BE97DAE} => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\S-1-5-21-1159574614-2105646799-639916625-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1159574614-2105646799-639916625-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========



Le système a dû redémarrer.
 Fin de Fixlog 20:34:56

Malekal_morte- · Answer

Change tous tes mots de passe puis :

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

Malekal_morte- · Answer

non c'est pour être sûr =)

Je pense que l'on a terminé,
Supprime le dossier C:\FRST

Attention à ce que tu télécharges.

RegAsm.exe me spam

4 réponses

Fin de Fixlog 20:34:56

Discussions similaires

Newsletters