Sujet Précédent Sujet Suivant

Virus mail.ru

Résolu/Fermé
nat769 Messages postés 1 Date d'inscription mercredi 13 février 2019 Statut Membre Dernière intervention 13 février 2019 - 13 févr. 2019 à 21:09
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 13 févr. 2019 à 22:56
Bonjour,

J'ai été infecté par un virus "mail.ru", pourriez-vous m'aider svp?

J'ai voulu télécharger un keygen pour un crack de la suite Adobe mais il contenait un virus "mail.ru". Malgré Adblock mon navigateur Google Chrome était bourré de pubs. J'ai voulu le désinstaller pour le réinstaller mais lors de l'installation j'ai eu ce message d'erreur : "Votre administrateur réseau a appliqué une stratégie de groupe qui empêche de procéder à l'installation"

J'ai vu qu'il fallait utiliser l'application FRST et faire une analyse, voici les liens :

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20190213_13z11t7f9u7
Additionnal.txt : https://pjjoint.malekal.com/files.php?id=20190213_n14t12j6i12z8
Shortcut : https://pjjoint.malekal.com/files.php?id=20190213_e8m6l8t15s5

Merci pour votre aide


Configuration: Windows / Internet Explorer 11.0

2 réponses

Réponse 1 / 2
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
Modifié le 13 févr. 2019 à 21:24
Bonsoir,


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci. 

Start
CloseProcesses:
CreateRestorePoint:
Task: C:\WINDOWS\Tasks\OzfDTgOTfyJcugt.job => C:\Users\natha\AppData\Local\Temp\ybiOfpzFNQxramOiC\MZnIyfIwWBaDFWSw\mPhjOCh.dll <==== ATTENTION
Task: {1C9E2F5C-8648-4653-9A52-22C346AAED0C} - System32\Tasks\EveryDayHoliday2 => C:\Users\natha\AppData\Roaming\EveryDayHoliday\python\pythonw.exe <==== ATTENTION
Task: {27EE9FC9-921E-4A11-B506-033079F044BA} - System32\Tasks\Kodobi2 => C:\Users\natha\AppData\Roaming\Kodobi\python\pythonw.exe <==== ATTENTION
Task: {8C079086-FD35-496C-AB55-EBDB0D90492C} - System32\Tasks\EveryDayHoliday => C:\Users\natha\AppData\Roaming\EveryDayHoliday\python\pythonw.exe <==== ATTENTION
Task: {C612672E-F488-497E-9287-247BAB18F278} - System32\Tasks\MaxiBuy => C:\Users\natha\AppData\Roaming\MaxiBuy\python\pythonw.exe <==== ATTENTION
Task: {DFECE868-6B35-4DED-805F-DAF6E4597947} - System32\Tasks\MaxiBuy2 => C:\Users\natha\AppData\Roaming\MaxiBuy\python\pythonw.exe <==== ATTENTION
Task: {EEF58853-B108-4794-8FFB-16190F374F30} - System32\Tasks\OzfDTgOTfyJcugt => rundll32 "C:\Users\natha\AppData\Local\Temp\ybiOfpzFNQxramOiC\MZnIyfIwWBaDFWSw\mPhjOCh.dll",#1 /adp IWXF6JYXF3HXXF5DWXF9TWXF4GXXF3IWXF4TWXF1HXXF0KYXF2NWXF2KXXF5YXXF0GXXF9ZXXF3 /site_id 722 <==== ATTENTION
Task: {FCA613ED-A8A7-4650-96EB-892F8AC98017} - System32\Tasks\Kodobi => C:\Users\natha\AppData\Roaming\Kodobi\python\pythonw.exe <==== ATTENTION
AppInit_DLLs: C:\ProgramData\AppmallosayoV\Doublecom.dll => C:\ProgramData\AppmallosayoV\Doublecom.dll [342528 2019-02-13] ()
AppInit_DLLs-x32: C:\ProgramData\AppmallosayoV\Dripfind.dll => C:\ProgramData\AppmallosayoV\Dripfind.dll [460800 2019-02-13] ()
HKLM\...\RunOnce: [0jfyfg32y3b] => C:\Program Files (x86)\AGZ\263884827.exe [676864 2019-02-13] () [Fichier non signé]
R2 YmRiYzBjOTQ2N2I1; rundll32.exe C:\WINDOWS\hwjwe.hwjce CtNDJdwD [X]
R2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [43520 2019-02-13] () [Fichier non signé] <==== ATTENTION
S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [2285664 2017-02-22] (GOLD CLICK LIMITED -> Gold Click Ltd) <==== ATTENTION
R1 YmRjZTA5YThiMDRh; \??\C:\WINDOWS\system32\drivers\YmRjZTA5YThiMDRh [X]
2019-02-13 15:22 - 2019-02-13 15:40 - 000000000 ____D C:\Program Files (x86)\Multitimer
2019-02-13 15:21 - 2019-02-13 20:39 - 000000000 ____D C:\WINDOWS\SysWOW64\SSL
2019-02-13 15:21 - 2019-02-13 19:42 - 000015607 _____ C:\WINDOWS\SysWOW64\findit.xml
2019-02-13 15:21 - 2019-02-13 15:21 - 001507328 _____ C:\WINDOWS\hwjwe.hwjce
2019-02-13 15:21 - 2019-02-13 15:21 - 000000000 ____D C:\ProgramData\Voyasollams
2019-02-13 15:21 - 2019-02-13 15:21 - 000000000 ____D C:\ProgramData\Logic Cramble
2019-02-13 15:21 - 2019-02-13 15:21 - 000000000 ____D C:\Program Files (x86)\AGZ
2019-02-13 15:20 - 2019-02-13 19:41 - 000000000 ____D C:\ProgramData\PrefsSecure
2019-02-13 15:20 - 2019-02-13 15:32 - 000000000 ____D C:\ProgramData\Voyasollam
2019-02-13 15:20 - 2019-02-13 15:32 - 000000000 ____D C:\ProgramData\boost_interprocess
2019-02-13 15:20 - 2019-02-13 15:21 - 001895384 _____ C:\Users\natha\AppData\Local\Unazap.bin
2019-02-13 15:20 - 2019-02-13 15:21 - 000000000 ____D C:\Program Files\MTJhOD
2019-02-13 15:20 - 2019-02-13 15:20 - 007881728 _____ C:\Users\natha\AppData\Local\agent.dat
2019-02-13 15:20 - 2019-02-13 15:20 - 002038468 _____ C:\Users\natha\AppData\Local\ApQuadron.tst
2019-02-13 15:20 - 2019-02-13 15:20 - 000722944 _____ C:\Users\natha\AppData\Local\sha.db
2019-02-13 15:20 - 2019-02-13 15:20 - 000278508 _____ C:\Users\natha\AppData\Local\Alpha-Find.bin
2019-02-13 15:20 - 2019-02-13 15:20 - 000140800 _____ C:\Users\natha\AppData\Local\installer.dat
2019-02-13 15:20 - 2019-02-13 15:20 - 000126464 _____ C:\Users\natha\AppData\Local\noah.dat
2019-02-13 15:20 - 2019-02-13 15:20 - 000070896 _____ C:\Users\natha\AppData\Local\Config.xml
2019-02-13 15:20 - 2019-02-13 15:20 - 000018432 _____ C:\Users\natha\AppData\Local\Main.dat
2019-02-13 15:20 - 2019-02-13 15:20 - 000016080 _____ C:\Users\natha\AppData\Local\InstallationConfiguration.xml
2019-02-13 15:20 - 2019-02-13 15:20 - 000005568 _____ C:\Users\natha\AppData\Local\md.xml
2019-02-13 15:19 - 2019-02-13 15:32 - 000000000 ____D C:\Users\natha\AppData\Roaming\rgclppc1uq3
2019-02-13 15:19 - 2019-02-13 15:32 - 000000000 ____D C:\Users\natha\AppData\Roaming\og22buxa3wz
2019-02-13 15:19 - 2019-02-13 15:24 - 000000582 _____ C:\WINDOWS\Tasks\OzfDTgOTfyJcugt.job
2019-02-13 15:19 - 2019-02-13 15:19 - 000003014 _____ C:\WINDOWS\System32\Tasks\OzfDTgOTfyJcugt
2019-02-13 15:18 - 2019-02-13 15:44 - 000000000 ____D C:\Program Files (x86)\bestDownloader
2019-02-13 15:18 - 2019-02-13 15:32 - 000000000 ____D C:\Users\natha\AppData\Roaming\Kodobi
2019-02-13 15:18 - 2019-02-13 15:32 - 000000000 ____D C:\Users\natha\AppData\Roaming\ckh1nbg1kkm
2019-02-13 15:18 - 2019-02-13 15:32 - 000000000 ____D C:\Program Files (x86)\ljeesbvluth
2019-02-13 15:18 - 2019-02-13 15:30 - 000000000 ____D C:\Program Files\SV3KQS52LM
2019-02-13 15:18 - 2019-02-13 15:18 - 000003464 _____ C:\WINDOWS\System32\Tasks\Kodobi
2019-02-13 15:18 - 2019-02-13 15:18 - 000003462 _____ C:\WINDOWS\System32\Tasks\Kodobi2
2019-02-13 15:17 - 2019-02-13 20:44 - 000000000 ____D C:\Program Files (x86)\ProxyGate
2019-02-13 15:17 - 2019-02-13 15:24 - 000000290 __RSH C:\Users\natha\ntuser.pol
2019-02-13 15:17 - 2019-02-13 15:24 - 000000290 __RSH C:\ProgramData\ntuser.pol
2019-02-13 15:17 - 2019-02-13 15:22 - 000000000 ____D C:\Users\natha\AppData\Roaming\YoutubeDownloader_upd
2019-02-13 15:16 - 2019-02-13 15:30 - 000000000 ____D C:\Users\natha\AppData\Roaming\WidModule
2019-02-13 15:15 - 2019-02-13 15:31 - 000000000 ____D C:\Users\natha\AppData\Roaming\MaxiBuy
2019-02-13 15:15 - 2019-02-13 15:15 - 000003518 _____ C:\WINDOWS\System32\Tasks\EveryDayHoliday
2019-02-13 15:15 - 2019-02-13 15:15 - 000003516 _____ C:\WINDOWS\System32\Tasks\EveryDayHoliday2
2019-02-13 15:15 - 2019-02-13 15:15 - 000003470 _____ C:\WINDOWS\System32\Tasks\MaxiBuy
2019-02-13 15:15 - 2019-02-13 15:15 - 000003468 _____ C:\WINDOWS\System32\Tasks\MaxiBuy2
2019-02-13 15:15 - 2019-02-13 15:15 - 000000000 ____D C:\Users\natha\AppData\Roaming\Python
2019-02-13 15:15 - 2019-02-13 15:15 - 000000000 ____D C:\Program Files (x86)\SmartData
2019-02-13 15:14 - 2019-02-13 15:32 - 000000000 ____D C:\Users\natha\AppData\Roaming\EveryDayHoliday
2019-02-13 15:14 - 2019-02-13 15:21 - 000000000 ____D C:\Users\natha\AppData\Local\Mail.Ru
2019-02-13 15:14 - 2019-02-13 15:21 - 000000000 ____D C:\Program Files (x86)\Mail.Ru
R2 AppmallosayoV; C:\ProgramData\\AppmallosayoV\\AppmallosayoV.exe [1632256 2019-02-13] (TODO: <Company name>) [Fichier non signé]
R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2019-02-13] () [Fichier non signé] <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

3°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

4°)
Vois ce que cela donne et si des améliorations ont eu lieu.
Si ce n'est pas le cas, si tu as encore des pages de pubs intempestives, précise sur quel navigateur WEB.
Refais un scan FRST et donne les nouveaux rapports via pjjoint.



1
nat769
13 févr. 2019 à 22:37
Bonsoir,

Ca a marché, merci beaucoup!
0
Réponse 2 / 2
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
13 févr. 2019 à 22:56
de rien,

Supprime le dossier C:\FRST

et stop les cracks.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
mail.ru
mjaM -
adam -

10 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses