Virus mail.ru

Résolu
nat769 Messages postés 6 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai été infecté par un virus "mail.ru", pourriez-vous m'aider svp?

J'ai voulu télécharger un keygen pour un crack de la suite Adobe mais il contenait un virus "mail.ru". Malgré Adblock mon navigateur Google Chrome était bourré de pubs. J'ai voulu le désinstaller pour le réinstaller mais lors de l'installation j'ai eu ce message d'erreur : "Votre administrateur réseau a appliqué une stratégie de groupe qui empêche de procéder à l'installation"

J'ai vu qu'il fallait utiliser l'application FRST et faire une analyse, voici les liens :

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20190213_13z11t7f9u7
Additionnal.txt : https://pjjoint.malekal.com/files.php?id=20190213_n14t12j6i12z8
Shortcut : https://pjjoint.malekal.com/files.php?id=20190213_e8m6l8t15s5

Merci pour votre aide

Configuration: Windows / Internet Explorer 11.0

2 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bonsoir,

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
    Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
    Le bloc-note va s'ouvrir, copie/colle ceci.

    Start
    CloseProcesses:
    CreateRestorePoint:
    Task: C:\WINDOWS\Tasks\OzfDTgOTfyJcugt.job => C:\Users\natha\AppData\Local\Temp\ybiOfpzFNQxramOiC\MZnIyfIwWBaDFWSw\mPhjOCh.dll <==== ATTENTION
    Task: {1C9E2F5C-8648-4653-9A52-22C346AAED0C} - System32\Tasks\EveryDayHoliday2 => C:\Users\natha\AppData\Roaming\EveryDayHoliday\python\pythonw.exe <==== ATTENTION
    Task: {27EE9FC9-921E-4A11-B506-033079F044BA} - System32\Tasks\Kodobi2 => C:\Users\natha\AppData\Roaming\Kodobi\python\pythonw.exe <==== ATTENTION
    Task: {8C079086-FD35-496C-AB55-EBDB0D90492C} - System32\Tasks\EveryDayHoliday => C:\Users\natha\AppData\Roaming\EveryDayHoliday\python\pythonw.exe <==== ATTENTION
    Task: {C612672E-F488-497E-9287-247BAB18F278} - System32\Tasks\MaxiBuy => C:\Users\natha\AppData\Roaming\MaxiBuy\python\pythonw.exe <==== ATTENTION
    Task: {DFECE868-6B35-4DED-805F-DAF6E4597947} - System32\Tasks\MaxiBuy2 => C:\Users\natha\AppData\Roaming\MaxiBuy\python\pythonw.exe <==== ATTENTION
    Task: {EEF58853-B108-4794-8FFB-16190F374F30} - System32\Tasks\OzfDTgOTfyJcugt => rundll32 "C:\Users\natha\AppData\Local\Temp\ybiOfpzFNQxramOiC\MZnIyfIwWBaDFWSw\mPhjOCh.dll",#1 /adp IWXF6JYXF3HXXF5DWXF9TWXF4GXXF3IWXF4TWXF1HXXF0KYXF2NWXF2KXXF5YXXF0GXXF9ZXXF3 /site_id 722 <==== ATTENTION
    Task: {FCA613ED-A8A7-4650-96EB-892F8AC98017} - System32\Tasks\Kodobi => C:\Users\natha\AppData\Roaming\Kodobi\python\pythonw.exe <==== ATTENTION
    AppInit_DLLs: C:\ProgramData\AppmallosayoV\Doublecom.dll => C:\ProgramData\AppmallosayoV\Doublecom.dll [342528 2019-02-13] ()
    AppInit_DLLs-x32: C:\ProgramData\AppmallosayoV\Dripfind.dll => C:\ProgramData\AppmallosayoV\Dripfind.dll [460800 2019-02-13] ()
    HKLM\...\RunOnce: [0jfyfg32y3b] => C:\Program Files (x86)\AGZ\263884827.exe [676864 2019-02-13] () [Fichier non signé]
    R2 YmRiYzBjOTQ2N2I1; rundll32.exe C:\WINDOWS\hwjwe.hwjce CtNDJdwD [X]
    R2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [43520 2019-02-13] () [Fichier non signé] <==== ATTENTION
    S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [2285664 2017-02-22] (GOLD CLICK LIMITED -> Gold Click Ltd) <==== ATTENTION
    R1 YmRjZTA5YThiMDRh; \??\C:\WINDOWS\system32\drivers\YmRjZTA5YThiMDRh [X]
    2019-02-13 15:22 - 2019-02-13 15:40 - 000000000 ____D C:\Program Files (x86)\Multitimer
    2019-02-13 15:21 - 2019-02-13 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\SSL
    2019-02-13 15:21 - 2019-02-13 19:42 - 000015607 _____ C:\WINDOWS\SysWOW64\findit.xml
    2019-02-13 15:21 - 2019-02-13 15:21 - 001507328 _____ C:\WINDOWS\hwjwe.hwjce
    2019-02-13 15:21 - 2019-02-13 15:21 - 000000000 ____D C:\ProgramData\Voyasollams
    2019-02-13 15:21 - 2019-02-13 15:21 - 000000000 ____D C:\ProgramData\Logic Cramble
    2019-02-13 15:21 - 2019-02-13 15:21 - 000000000 ____D C:\Program Files (x86)\AGZ
    2019-02-13 15:20 - 2019-02-13 19:41 - 000000000 ____D C:\ProgramData\PrefsSecure
    2019-02-13 15:20 - 2019-02-13 15:32 - 000000000 ____D C:\ProgramData\Voyasollam
    2019-02-13 15:20 - 2019-02-13 15:32 - 000000000 ____D C:\ProgramData\boost_interprocess
    2019-02-13 15:20 - 2019-02-13 15:21 - 001895384 _____ C:\Users\natha\AppData\Local\Unazap.bin
    2019-02-13 15:20 - 2019-02-13 15:21 - 000000000 ____D C:\Program Files\MTJhOD
    2019-02-13 15:20 - 2019-02-13 15:20 - 007881728 _____ C:\Users\natha\AppData\Local\agent.dat
    2019-02-13 15:20 - 2019-02-13 15:20 - 002038468 _____ C:\Users\natha\AppData\Local\ApQuadron.tst
    2019-02-13 15:20 - 2019-02-13 15:20 - 000722944 _____ C:\Users\natha\AppData\Local\sha.db
    2019-02-13 15:20 - 2019-02-13 15:20 - 000278508 _____ C:\Users\natha\AppData\Local\Alpha-Find.bin
    2019-02-13 15:20 - 2019-02-13 15:20 - 000140800 _____ C:\Users\natha\AppData\Local\installer.dat
    2019-02-13 15:20 - 2019-02-13 15:20 - 000126464 _____ C:\Users\natha\AppData\Local\noah.dat
    2019-02-13 15:20 - 2019-02-13 15:20 - 000070896 _____ C:\Users\natha\AppData\Local\Config.xml
    2019-02-13 15:20 - 2019-02-13 15:20 - 000018432 _____ C:\Users\natha\AppData\Local\Main.dat
    2019-02-13 15:20 - 2019-02-13 15:20 - 000016080 _____ C:\Users\natha\AppData\Local\InstallationConfiguration.xml
    2019-02-13 15:20 - 2019-02-13 15:20 - 000005568 _____ C:\Users\natha\AppData\Local\md.xml
    2019-02-13 15:19 - 2019-02-13 15:32 - 000000000 ____D C:\Users\natha\AppData\Roaming\rgclppc1uq3
    2019-02-13 15:19 - 2019-02-13 15:32 - 000000000 ____D C:\Users\natha\AppData\Roaming\og22buxa3wz
    2019-02-13 15:19 - 2019-02-13 15:24 - 000000582 _____ C:\WINDOWS\Tasks\OzfDTgOTfyJcugt.job
    2019-02-13 15:19 - 2019-02-13 15:19 - 000003014 _____ C:\WINDOWS\System32\Tasks\OzfDTgOTfyJcugt
    2019-02-13 15:18 - 2019-02-13 15:44 - 000000000 ____D C:\Program Files (x86)\bestDownloader
    2019-02-13 15:18 - 2019-02-13 15:32 - 000000000 ____D C:\Users\natha\AppData\Roaming\Kodobi
    2019-02-13 15:18 - 2019-02-13 15:32 - 000000000 ____D C:\Users\natha\AppData\Roaming\ckh1nbg1kkm
    2019-02-13 15:18 - 2019-02-13 15:32 - 000000000 ____D C:\Program Files (x86)\ljeesbvluth
    2019-02-13 15:18 - 2019-02-13 15:30 - 000000000 ____D C:\Program Files\SV3KQS52LM
    2019-02-13 15:18 - 2019-02-13 15:18 - 000003464 _____ C:\WINDOWS\System32\Tasks\Kodobi
    2019-02-13 15:18 - 2019-02-13 15:18 - 000003462 _____ C:\WINDOWS\System32\Tasks\Kodobi2
    2019-02-13 15:17 - 2019-02-13 20:44 - 000000000 ____D C:\Program Files (x86)\ProxyGate
    2019-02-13 15:17 - 2019-02-13 15:24 - 000000290 __RSH C:\Users\natha\ntuser.pol
    2019-02-13 15:17 - 2019-02-13 15:24 - 000000290 __RSH C:\ProgramData\ntuser.pol
    2019-02-13 15:17 - 2019-02-13 15:22 - 000000000 ____D C:\Users\natha\AppData\Roaming\YoutubeDownloader_upd
    2019-02-13 15:16 - 2019-02-13 15:30 - 000000000 ____D C:\Users\natha\AppData\Roaming\WidModule
    2019-02-13 15:15 - 2019-02-13 15:31 - 000000000 ____D C:\Users\natha\AppData\Roaming\MaxiBuy
    2019-02-13 15:15 - 2019-02-13 15:15 - 000003518 _____ C:\WINDOWS\System32\Tasks\EveryDayHoliday
    2019-02-13 15:15 - 2019-02-13 15:15 - 000003516 _____ C:\WINDOWS\System32\Tasks\EveryDayHoliday2
    2019-02-13 15:15 - 2019-02-13 15:15 - 000003470 _____ C:\WINDOWS\System32\Tasks\MaxiBuy
    2019-02-13 15:15 - 2019-02-13 15:15 - 000003468 _____ C:\WINDOWS\System32\Tasks\MaxiBuy2
    2019-02-13 15:15 - 2019-02-13 15:15 - 000000000 ____D C:\Users\natha\AppData\Roaming\Python
    2019-02-13 15:15 - 2019-02-13 15:15 - 000000000 ____D C:\Program Files (x86)\SmartData
    2019-02-13 15:14 - 2019-02-13 15:32 - 000000000 ____D C:\Users\natha\AppData\Roaming\EveryDayHoliday
    2019-02-13 15:14 - 2019-02-13 15:21 - 000000000 ____D C:\Users\natha\AppData\Local\Mail.Ru
    2019-02-13 15:14 - 2019-02-13 15:21 - 000000000 ____D C:\Program Files (x86)\Mail.Ru
    R2 AppmallosayoV; C:\ProgramData\\AppmallosayoV\\AppmallosayoV.exe [1632256 2019-02-13] (TODO: <Company name>) [Fichier non signé]
    R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2019-02-13] () [Fichier non signé] <==== ATTENTION
    Hosts:
    EmptyTemp:
    RemoveProxy:
    Reboot:
    End


    Enregistre le contenu par le menu fichier puis enregistrer.

    Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire et automatique.
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    2°)
    Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

    3°)
    Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

    4°)
    Vois ce que cela donne et si des améliorations ont eu lieu.
    Si ce n'est pas le cas, si tu as encore des pages de pubs intempestives, précise sur quel navigateur WEB.
    Refais un scan FRST et donne les nouveaux rapports via pjjoint.

    1
    1. nat769
       
      Bonsoir,

      Ca a marché, merci beaucoup!
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    de rien,

    Supprime le dossier C:\FRST

    et stop les cracks.
    0