Virus IMGBurn - Scan FRST Fermé

Question

Bonjour,

J'ai voulu installer IMGBurn, et il se trouve que c'était un virus.
Depuis, il m'a installé des software comme Chromium, Opera, Masson, Winzip, et des tas de processus fol.exe, 1bBotProDa.exe que je n'arrive pas à désactiver. J'ai voulu faire une restauration windows, mais elle a échoué. J'ai entre temps installé Avast et ai lancé un scan, mais sans résoudre le problème. 

Voici le résultat d'un scan FRST.

https://pjjoint.malekal.com/files.php?id=FRST_20181012_t11i13s13d14y6
https://pjjoint.malekal.com/files.php?id=20181012_67w7c14v10
https://pjjoint.malekal.com/files.php?id=20181012_t7z14k11m15g11

Je n'avais rien installé depuis plus d'un mois. Est-ce que vous pourriez me conseiller sur la procédure à réaliser ?

Merci d'avance,
Ludovic

Malekal_morte- · Answer

Salut,


Tu t'es fait avoir par un installer InstallCore, une plateforme de PUP (programmes potentiellement indésirables) qui est proposé sur des sites de téléchargement ou à travers de fausses mises à jour Java, Flash.
Cela propose d'installer Chromium pour forcer Yahoo!, ByteFence, Avast!, McAfee Security Advisor ou McAfee LiveSafe.
Pour ne plus te faire avoir à lire : PUPs InstallCore

Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

ByteFence Anti-Malware
Chromium
Online Application
Web Bar
WinZip Driver Updater


2)

Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :

 Tutoriel MBAM version gratuite pour t'aider à suivre toutes les étapes.

Mettre à jour MBAM à jour puis lancer une analyse.
A la fin du scan, clique sur "Mettre en quarantaine" en bas à droite.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.

Vas chercher le rapport dans l'onglet "Compte-Rendus".
A gauche "Compte Rendus d'analyses", double-clique sur l'examen dans la liste.
Puis en bas "Exporter fichier texte", enregistre sur le bureau.
Va sur https://pjjoint.malekal.com/, clic sur Parcourir, vas chercher le rapprot Malwarebytes engistré.
Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.


3) Refais un scan FRST et donne les rapports via pjjoint.

Malekal_morte- · Answer

J'imagine qu'il vide la quarantaine quand tu le désinstalles.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:CloseProcesses: 2018-10-10 22:49 - 2018-10-12 17:19 - 000000000 ____D C:\Program Files (x86)\fang2018-10-10 22:49 - 2018-10-12 17:18 - 000000000 ___HD C:\Program Files (x86)\Molinari2018-10-10 22:49 - 2018-10-12 17:18 - 000000000 ____D C:\Program Files (x86)\Shits2018-10-10 22:49 - 2018-10-12 16:54 - 000003250 _____ C:\WINDOWS\System32\Tasks\orrisorris2018-10-10 22:49 - 2018-10-12 12:11 - 000000000 ____D C:\Program Files (x86)\cuervo2018-10-10 22:49 - 2018-10-12 11:57 - 000000000 ___HD C:\Program Files (x86)\alerts2018-10-10 22:49 - 2018-10-12 11:36 - 000000000 ____D C:\Program Files (x86)\Florist2018-10-10 22:49 - 2018-10-10 22:49 - 000000012 _____ C:\WINDOWS\b256970592018-10-10 22:47 - 2018-10-10 23:34 - 000000000 ____D C:\WINDOWS\SysWOW64\SSL2018-10-10 22:46 - 2018-10-12 11:36 - 000000000 ____D C:\ProgramData\Caphyon2018-10-10 22:46 - 2018-10-12 11:36 - 000000000 ____D C:\Program Files (x86)\1BTC Software2018-10-10 22:45 - 2018-10-12 16:57 - 000000000 ____D C:\Users\Lauriane\AppData\Local\chromium2018-10-10 22:45 - 2018-10-10 22:45 - 000000000 ____D C:\Users\Lauriane\AppData\Local\Opera Software2018-10-10 22:44 - 2018-10-10 22:44 - 000000000 ____D C:\Users\Lauriane\AppData\Roaming\Opera Software2018-10-10 22:43 - 2018-10-10 22:43 - 000394727 _____ ( ) C:\Users\Lauriane\Downloads\imgburn_1538792425.exe2018-10-10 21:30 - 2018-10-12 16:58 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiniDVDSoft Task: {EF458C8D-3765-421E-AA8E-9D953B8034C9} - System32\Tasks\orrisorris => C:\Program Files (x86)\Florist\remaking.exe [2018-10-10] ()Task: {12E0FE6C-8566-4298-8478-A9DE42DC26E1} - \handing_iodidehanding_iodide -> Pas de fichier <==== ATTENTION HKU\S-1-5-21-36413011-1473462110-2942251180-1002\...\Run: [Chromium] => c:\users\lauriane\appdata\local\chromium\application\chrome.exe [828416 2017-01-21] (The Chromium Authors)HKU\S-1-5-21-36413011-1473462110-2942251180-1002\...\Run: [Colonic] => C:\Program Files (x86)\Shits\Fol.exe aaqdiwaaqdiwaaqdiwaaqdi.aaqdidaaqdigaaqdilaaqdi.aaqdipaaqdiwaaqdi/aaqdiqb2ju0ju1jaaqdiu8ju1hf0hfaaqdi1qb0qbjuhtaaqdimaJiNsRPSkaaqdiiK52GFtpYaaaqdi9HKU\S-1-5-21-36413011-1473462110-2942251180-1002\...\Run: [Aras] => C:\Program Files (x86)\Molinari\Fol.exe aaqdiwaaqdiwaaqdiwaaqdi.aaqdidaaqdigaaqdilaaqdi.aaqdipaaqdiwaaqdi/aaqdiqb2ju0ju1jaaqdiu8ju1hf0hfaaqdi1qb0qbjuhtaaqdimaJiNsRPSkaaqdiiK52GFtpYaaaqdi9HKU\S-1-5-21-36413011-1473462110-2942251180-1002\...\Run: [Ween] => C:\Program Files (x86)\Shits\Fol.exe aaqdiwaaqdiwaaqdiwaaqdi.aaqdidaaqdigaaqdilaaqdi.aaqdipaaqdiwaaqdi/aaqdiqb2ju0ju1jaaqdiu8ju1hf0hfaaqdi1qb0qbjuhtaaqdimaJiNsRPSkaaqdiiK52GFtpYaaaqdi9HKU\S-1-5-21-36413011-1473462110-2942251180-1002\...\Run: [Rogers] => C:\Program Files (x86)\Molinari\Fol.exe aaqdiwaaqdiwaaqdiwaaqdi.aaqdidaaqdigaaqdilaaqdi.aaqdipaaqdiwaaqdi/aaqdiqb2ju0ju1jaaqdiu8ju1hf0hfaaqdi1qb0qbjuhtaaqdimaJiNsRPSkaaqdiiK52GFtpYaaaqdi9HKU\S-1-5-21-36413011-1473462110-2942251180-1002\...\Run: [krups] => C:\Program Files (x86)\Shits\Fol.exe aaqdiwaaqdiwaaqdiwaaqdi.aaqdidaaqdigaaqdilaaqdi.aaqdipaaqdiwaaqdi/aaqdiqb2ju0ju1jaaqdiu8ju1hf0hfaaqdi1qb0qbjuhtaaqdimaJiNsRPSkaaqdiiK52GFtpYaaaqdi9 C:\Program Files (x86)\Shitsc:\users\lauriane\appdata\local\chromiumHosts:EmptyTemp:RemoveProxy:Reboot:

Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

 Réparer Mozilla Firefox (premier paragraphe)
 Réparer Google Chrome (seulement le premier paragraphe).

Virus IMGBurn - Scan FRST

2 réponses

Discussions similaires