PC infecté: encore un KMSpico foireux
MERRiii
Messages postés
53
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Le destin a fait que j'ai du encore une fois croiser la route de KMSpico... Le fait est que je n'arrive toujours pas à trouver une version qui ne soit pas un troyen.
Mon PC est infecté: un programme tourne en permanence et fait apparaître des pages google chrome avec des gifs ou des vidéos bizarres. Ce programme s'appelle "Carrere.exe", et ses fenêtres s'appellent "Iqamazn" (jsp)
Je détecte aussi la présence de deux autres programmes qui eux ont l'air d'être inactifs: "Pommel" et "Kras"
J'ai déja fait un nettoyage du plus gros avec Malwarebyte et Raptor.
Quelqu'un peux m'aider ? Je suis prêt à faire la manip avec FRST.
Le destin a fait que j'ai du encore une fois croiser la route de KMSpico... Le fait est que je n'arrive toujours pas à trouver une version qui ne soit pas un troyen.
Mon PC est infecté: un programme tourne en permanence et fait apparaître des pages google chrome avec des gifs ou des vidéos bizarres. Ce programme s'appelle "Carrere.exe", et ses fenêtres s'appellent "Iqamazn" (jsp)
Je détecte aussi la présence de deux autres programmes qui eux ont l'air d'être inactifs: "Pommel" et "Kras"
J'ai déja fait un nettoyage du plus gros avec Malwarebyte et Raptor.
Quelqu'un peux m'aider ? Je suis prêt à faire la manip avec FRST.
A voir également:
- Kmspico ccm
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
2 réponses
Salut,
Bha ouais, vous téléchargez le premier truc venu et forcément il est malveillant.
Pour vérifier l'ordinateur, je t'invite à faire cette analyse FRST et donner les rapports en retour :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Bha ouais, vous téléchargez le premier truc venu et forcément il est malveillant.
Pour vérifier l'ordinateur, je t'invite à faire cette analyse FRST et donner les rapports en retour :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :
3°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
4°)
Vois ce que cela donne et si des améliorations ont eu lieu.
Si ce n'est pas le cas, si tu as encore des pages de pubs intempestives, précise sur quel navigateur WEB.
Refais un scan FRST et donne les nouveaux rapports via pjjoint.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
CreateRestorePoint:
CloseProcesses:
Task: {233E87D9-F308-45B5-BF33-8589C98D3E8C} - System32\Tasks\businesswomanbusinesswoman => C:\Program Files (x86)\Conflagrations\Carrere.exe
Task: {7A00BA19-A517-40D2-B9F5-BAE8BE22E8ED} - System32\Tasks\impudent-gerlingimpudent-gerling => C:\Program Files (x86)\cabezas\Pommel.exe
Task: {81A076EC-760E-43D3-AC65-FCFF30CADF1F} - System32\Tasks\preferred kirby combustedpreferred kirby combusted => C:\Users\User\AppData\Local\Carrere.exe [2018-05-29] ()
Task: {8F255F88-A87A-495F-B828-A4AFEC70BDB0} - System32\Tasks\Microsoft\Windows\DirectX\DXGIAdapterCache => C:\WINDOWS\system32\dxgiadaptercache.exe [2018-04-12] (Microsoft Corporation)
Task: {CC19792C-55E8-4804-81EF-D1994593C6C6} - System32\Tasks\inhibitinhibit => C:\Program Files (x86)\tangibly\tangibly.exe
Task: {EB9B0A4F-5132-44DA-9722-F0C7604348A5} - System32\Tasks\calvinistic_schillacicalvinistic_schillaci => C:\Users\User\AppData\Local\Pommel.exe
Task: {F2B34012-5D06-4EDC-B3B4-76D224D6E9F5} - System32\Tasks\mckibbenmckibben => C:\Program Files (x86)\Electroshock\devastate.exe
HKLM\...\Run: [Copying] => C:\Program Files (x86)\Conflagrations\Carrere.exe qama
HKLM\...\Run: [Matsui] => C:\Program Files (x86)\cabezas\Pommel.exe qama
HKLM-x32\...\Run: [Wf] => C:\Program Files (x86)\Conflagrations\Carrere.exe qama
HKLM-x32\...\Run: [Spookily] => C:\Program Files (x86)\cabezas\Pommel.exe qama
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-2840759790-1414840127-3362442589-1001\...\Run: [Steam] => C:\Program Files (x86)\Steam\steam.exe [3200800 2018-05-16] (Valve Corporation)
HKU\S-1-5-21-2840759790-1414840127-3362442589-1001\...\Run: [EADM] => C:\Program Files (x86)\Origin\Origin.exe [3106600 2018-05-10] (Electronic Arts)
HKU\S-1-5-21-2840759790-1414840127-3362442589-1001\...\Run: [uTorrent] => C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe [1983672 2018-04-22] (BitTorrent Inc.)
HKU\S-1-5-21-2840759790-1414840127-3362442589-1001\...\Run: [Spotify Web Helper] => C:\Users\User\AppData\Roaming\Spotify\SpotifyWebHelper.exe [782736 2018-05-09] (Spotify Ltd)
HKU\S-1-5-21-2840759790-1414840127-3362442589-1001\...\Run: [Herb] => C:\Program Files (x86)\Conflagrations\Carrere.exe qama
HKU\S-1-5-21-2840759790-1414840127-3362442589-1001\...\Run: [Dogfish] => C:\Program Files (x86)\cabezas\Pommel.exe qama
HKU\S-1-5-21-2840759790-1414840127-3362442589-1001\...\Run: [Potentialities] => C:\Program Files (x86)\Conflagrations\Carrere.exe qama
HKU\S-1-5-21-2840759790-1414840127-3362442589-1001\...\Run: [Prestigious] => C:\Program Files (x86)\cabezas\Pommel.exe qama
HKU\S-1-5-21-2840759790-1414840127-3362442589-1001\...\Run: [responder] => C:\Program Files (x86)\centrepiece\responder.exe [51988 2018-05-29] ()
HKU\S-1-5-21-2840759790-1414840127-3362442589-1001\...\Run: [kras] => C:\Program Files (x86)\Conflagrations\Carrere.exe qama
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\moulton.lnk [2018-05-29]
ShortcutTarget: moulton.lnk -> C:\Program Files (x86)\Conflagrations\Carrere.exe (Pas de fichier)
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\moultonmoulton.lnk [2018-05-29]
ShortcutTarget: moultonmoulton.lnk -> C:\Program Files (x86)\cabezas\Pommel.exe (Pas de fichier)
2018-05-29 21:26 - 2018-05-29 18:38 - 000039424 _____ C:\Users\User\AppData\Local\Carrere.exe
2018-05-29 20:53 - 2018-05-29 20:53 - 000000000 ____D C:\Users\User\AppData\Local\D3DSCache
2018-05-29 20:25 - 2018-05-29 20:59 - 000000000 ___HD C:\Program Files (x86)\Koreans
2018-05-29 20:25 - 2018-05-29 20:25 - 000003734 _____ C:\WINDOWS\System32\Tasks\preferred kirby combustedpreferred kirby combusted
2018-05-29 20:25 - 2018-05-29 20:25 - 000003716 _____ C:\WINDOWS\System32\Tasks\calvinistic_schillacicalvinistic_schillaci
2018-05-29 20:25 - 2018-05-29 20:25 - 000003706 _____ C:\WINDOWS\System32\Tasks\businesswomanbusinesswoman
2018-05-29 20:25 - 2018-05-29 20:25 - 000003702 _____ C:\WINDOWS\System32\Tasks\impudent-gerlingimpudent-gerling
2018-05-29 20:25 - 2018-05-29 20:25 - 000003686 _____ C:\WINDOWS\System32\Tasks\mckibbenmckibben
2018-05-29 20:25 - 2018-05-29 20:25 - 000003672 _____ C:\WINDOWS\System32\Tasks\inhibitinhibit
2018-05-29 20:25 - 2018-05-29 20:25 - 000000012 _____ C:\WINDOWS\b79491925
2018-05-29 20:25 - 2018-05-29 20:25 - 000000000 ___HD C:\Program Files (x86)\centrepiece
2018-05-29 18:38 - 2018-05-29 18:38 - 000039424 _____ C:\WINDOWS\omelettes.exe
2018-05-29 21:26 - 2018-05-29 18:38 - 000039424 _____ () C:\Users\User\AppData\Local\Carrere.exe
2018-04-16 20:25 - 2018-04-16 20:25 - 000000071 _____ () C:\Users\User\AppData\Local\emaildefaults
2018-05-16 17:57 - 2018-05-16 17:57 - 000000109 _____ () C:\Users\User\AppData\Local\kritadisplayrc
2018-04-16 20:21 - 2018-05-22 21:37 - 000025625 _____ () C:\Users\User\AppData\Local\kritarc
2018-05-02 19:24 - 2018-05-14 14:00 - 000000100 _____ () C:\Users\User\AppData\Local\kritashortcutsrc
EmptyTemp:
RemoveProxy:
Reboot:
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :
- Réparer Mozilla Firefox (premier paragraphe)
- Réparer Google Chrome (seulement le premier paragraphe).
- Réinitialiser et réparer Internet Explorer
3°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
4°)
Vois ce que cela donne et si des améliorations ont eu lieu.
Si ce n'est pas le cas, si tu as encore des pages de pubs intempestives, précise sur quel navigateur WEB.
Refais un scan FRST et donne les nouveaux rapports via pjjoint.
Je te préviens, c'est la dernière fois que je t'aide.
Vu que tu n'as toujours pas compris qu'il faut faire attention à ce que tu télécharges.
Addition: https://pjjoint.malekal.com/files.php?id=20180529_t6k9z9p7v12
FRST: https://pjjoint.malekal.com/files.php?id=FRST_20180529_e14z12c10i148
Shortcut: https://pjjoint.malekal.com/files.php?id=20180529_i6f14v14s11p8