Sujet Précédent Sujet Suivant

Outfit.exe

Fermé
bengain2845 Messages postés 12 Date d'inscription lundi 3 février 2020 Statut Membre Dernière intervention 7 février 2024 - 3 févr. 2020 à 21:42
bazfile Messages postés 53733 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 26 avril 2024 - 5 févr. 2020 à 11:54
Bonjour,

Depuis quelques jours, je remarque dans le gestionnaire de tâches, après quelques minutes d'utilisation de mon PC la présence de plusieurs lignes "Outfit". Plus j'utilise mon PC et plus j'ai de lignes qui apparaissent.
Si je fais dans le gestionnaire des tâches un clic droit, propriétés, j'ai l'infos suivante : c:\Users\mon nom\AppData\Local
Dans ce répertoire je retrouve bien un fichier Outfix.exe
Si je passe toutes les lignes Outfix du gestionnaire de tâches à fin de tâche
Je peux supprimer le fichier outfix.exe du répertoire "Local"
Mais on redémarrage du PC, cela recommence

Savez-vous de quoi il s'agit ?
Quel est le programme qui produit cela ?
Est-ce un virus et si oui comment puis-je m'en débarrasser ?

Merci pour votre aide. Cordialement

Configuration: Windows / Firefox 72.0

3 réponses

Réponse 1 / 3
bazfile Messages postés 53733 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 26 avril 2024 18 482
3 févr. 2020 à 22:46
Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci :

Puis coche la case shortcut comme ceci :

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.
1
bengain2845 Messages postés 12 Date d'inscription lundi 3 février 2020 Statut Membre Dernière intervention 7 février 2024
4 févr. 2020 à 22:17
Bonsoir
Merci Bazfile
Désolé, je n'ai pas répondu de suite, j'ai eu une grosse journée de boulot
Je viens de faire la manip et d'envoyer les fichiers
voici les liens
https://pjjoint.malekal.com/files.php?id=FRST_20200204_d105u14y7i8
https://pjjoint.malekal.com/files.php?id=20200204_l11q11z5p14l6
https://pjjoint.malekal.com/files.php?id=20200204_5e14m6l6n6
Merci à vous
Bonne soirée
0
bazfile Messages postés 53733 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 26 avril 2024 18 482 > bengain2845 Messages postés 12 Date d'inscription lundi 3 février 2020 Statut Membre Dernière intervention 7 février 2024
Modifié le 5 févr. 2020 à 07:54
Bonsoir,

Quand ton pc sera désinfecté et pour l'instant ce n'est pas le cas, par prudence tu devras changer tous tes mots de passe sans exception (email, sites internet, site de banque en ligne, réseaux sociaux etc etc......) il est possible qu'ils aient été dérobés.

Procédure à faire dans l'ordre indiqué :

En premier désinstalle CloudNet.

En second:
1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Pastas] => "C:\Program Files (x86)\Jurist\Outfit.exe" yavovwyavovwyavovwyavov.yavovayavovwyavovryavov.yavovpyavovwyavov/yavovib2yi0yi2yyavovi0yi0le1leyavov3ib1ibyihtyavovm0FvsQntCByavovskXN1aAbCeyavovJ
C:\Program Files (x86)\Jurist
HKLM\...\Run: [Finnish] => "C:\Program Files (x86)\pals\Reykjavik.exe" yavovwyavovwyavovwyavov.yavovayavovwyavovryavov.yavovpyavovwyavov/yavovib2yi0yi2yyavovi0yi0le1leyavov3ib1ibyihtyavovm0FvsQntCByavovskXN1aAbCeyavovJ
C:\Program Files (x86)\pals
HKLM\...\Run: [Cablegram] => "C:\Program Files (x86)\Geck\Outfit.exe" yavovwyavovwyavovwyavov.yavovayavovwyavovryavov.yavovpyavovwyavov/yavovib2yi0yi2yyavovi0yi0le1leyavov3ib1ibyihtyavovm0FvsQntCByavovskXN1aAbCeyavovJ
C:\Program Files (x86)\Geck
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [1679360 2012-02-28] (Wondershare) [Fichier non signé]
HKLM-x32\...\Run: [Abd] => "C:\Program Files (x86)\Jurist\Outfit.exe" yavovwyavovwyavovwyavov.yavovayavovwyavovryavov.yavovpyavovwyavov/yavovib2yi0yi2yyavovi0yi0le1leyavov3ib1ibyihtyavovm0FvsQntCByavovskXN1aAbCeyavovJ
HKLM-x32\...\Run: [Counterpoint] => "C:\Program Files (x86)\pals\Reykjavik.exe" yavovwyavovwyavovwyavov.yavovayavovwyavovryavov.yavovpyavovwyavov/yavovib2yi0yi2yyavovi0yi0le1leyavov3ib1ibyihtyavovm0FvsQntCByavovskXN1aAbCeyavovJ
HKLM-x32\...\Run: [Raucous] => "C:\Program Files (x86)\Geck\Outfit.exe" yavovwyavovwyavovwyavov.yavovayavovwyavovryavov.yavovpyavovwyavov/yavovib2yi0yi2yyavovi0yi0le1leyavov3ib1ibyihtyavovm0FvsQntCByavovskXN1aAbCeyavovJ
HKU\S-1-5-21-1699453359-3069123609-124839749-1001\...\Run: [HiddenFlower] => C:\WINDOWS\rss\csrss.exe [3900416 2020-01-31] () [Fichier non signé]
HKU\S-1-5-21-1699453359-3069123609-124839749-1001\...\Run: [Silvestre] => "C:\Program Files (x86)\Jurist\Outfit.exe" yavovwyavovwyavovwyavov.yavovayavovwyavovryavov.yavovpyavovwyavov/yavovib2yi0yi2yyavovi0yi0le1leyavov3ib1ibyihtyavovm0FvsQntCByavovskXN1aAbCeyavovJ
HKU\S-1-5-21-1699453359-3069123609-124839749-1001\...\Run: [Characteristics] => "C:\Program Files (x86)\pals\Reykjavik.exe" yavovwyavovwyavovwyavov.yavovayavovwyavovryavov.yavovpyavovwyavov/yavovib2yi0yi2yyavovi0yi0le1leyavov3ib1ibyihtyavovm0FvsQntCByavovskXN1aAbCeyavovJ
HKU\S-1-5-21-1699453359-3069123609-124839749-1001\...\Run: [Etzioni] => "C:\Program Files (x86)\Geck\Outfit.exe" yavovwyavovwyavovwyavov.yavovayavovwyavovryavov.yavovpyavovwyavov/yavovib2yi0yi2yyavovi0yi0le1leyavov3ib1ibyihtyavovm0FvsQntCByavovskXN1aAbCeyavovJ
HKU\S-1-5-21-1699453359-3069123609-124839749-1001\...\Run: [Drunks] => "C:\Program Files (x86)\Jurist\Outfit.exe" yavovwyavovwyavovwyavov.yavovayavovwyavovryavov.yavovpyavovwyavov/yavovib2yi0yi2yyavovi0yi0le1leyavov3ib1ibyihtyavovm0FvsQntCByavovskXN1aAbCeyavovJ
HKU\S-1-5-21-1699453359-3069123609-124839749-1001\...\Run: [Harting] => "C:\Program Files (x86)\pals\Reykjavik.exe" yavovwyavovwyavovwyavov.yavovayavovwyavovryavov.yavovpyavovwyavov/yavovib2yi0yi2yyavovi0yi0le1leyavov3ib1ibyihtyavovm0FvsQntCByavovskXN1aAbCeyavovJ
HKU\S-1-5-21-1699453359-3069123609-124839749-1001\...\Run: [Legislates] => "C:\Program Files (x86)\Geck\Outfit.exe" yavovwyavovwyavovwyavov.yavovayavovwyavovryavov.yavovpyavovwyavov/yavovib2yi0yi2yyavovi0yi0le1leyavov3ib1ibyihtyavovm0FvsQntCByavovskXN1aAbCeyavovJ
HKU\S-1-5-21-1699453359-3069123609-124839749-1001\...\Run: [tobie] => C:\Program Files (x86)\limey\tobie.exe [37230 2020-01-31] () [Fichier non signé]
 C:\Program Files (x86)\limey
HKU\S-1-5-21-1699453359-3069123609-124839749-1001\...\Run: [reiterate] => "C:\Program Files (x86)\Jurist\Outfit.exe" yavovwyavovwyavovwyavov.yavovayavovwyavovryavov.yavovpyavovwyavov/yavovib2yi0yi2yyavovi0yi0le1leyavov3ib1ibyihtyavovm0FvsQntCByavovskXN1aAbCeyavovJ
HKU\S-1-5-21-1699453359-3069123609-124839749-1001\...\Run: [CloudNet] => C:\Users\genea\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2020-02-03] (EpicNet Inc.) [Fichier non signé]
Startup: C:\Users\genea\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ates.lnk [2020-01-31]
ShortcutTarget: ates.lnk -> C:\Program Files (x86)\Jurist\Outfit.exe (Pas de fichier)
Startup: C:\Users\genea\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\atesates.lnk [2020-01-31]
ShortcutTarget: atesates.lnk -> C:\Program Files (x86)\pals\Reykjavik.exe (Pas de fichier)
Task: {125447E6-170A-42B7-8D77-3B6DFCA79F1B} - System32\Tasks\antic epigrammatic soakedantic epigrammatic soaked => C:\Users\genea\AppData\Local\Outfit.exe [12288 2020-01-31] () [Fichier non signé]
C:\Users\genea\AppData\Local\Outfit.exe 
Task: {13242EAE-E892-4F9E-8D01-E3F1EB3E16EA} - System32\Tasks\phrasesphrases => C:\Program Files (x86)\observatories\observatories.exe
Task: {2A85C17C-61F8-4432-BE16-E6404935EB8E} - System32\Tasks\bankroll_circulatorbankroll_circulator => C:\Users\genea\AppData\Local\Reykjavik.exe
Task: {36D39A80-CFF6-4989-9CCC-2037B3AFA8BE} - System32\Tasks\leasingleasing => C:\Program Files (x86)\Jurist\Outfit.exe
Task: {4DADD534-3AAC-4DCE-9E4E-51D037FFFDE2} - System32\Tasks\scourscour => C:\Program Files (x86)\Paull\scarecrow.exe
Task: {606551F6-5926-41F1-BB3D-90B31BBB7598} - System32\Tasks\klansman_osbklansman_osb => C:\Program Files (x86)\Geck\Outfit.exe
Task: {96C771D8-E19C-4187-B27B-CE2F22437BAD} - System32\Tasks\csrss => C:\WINDOWS\rss\csrss.exe [3900416 2020-01-31] () [Fichier non signé]
Task: {F0AABEAB-C11F-481B-9E55-B57CC4722FD6} - System32\Tasks\holies-finalizeholies-finalize => C:\Program Files (x86)\pals\Reykjavik.exe
Task: {FACA783B-D166-4ED1-B850-BBCFDF216C2E} - System32\Tasks\grad eatsgrad eats => C:\Program Files (x86)\Geck\Reykjavik.exe
U3 wuauserv; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
U3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
C:\Users\genea\AppData\Local\Outfit.exe
FirewallRules: [{E9897E0D-7F79-426B-8C33-3665F871AD68}] => (Allow) C:\WINDOWS\rss\csrss.exe () [Fichier non signé]
FirewallRules: [{F1B0DB90-E749-4E43-B21D-9375774FB496}] => (Allow) C:\Users\genea\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [Fichier non signé]
FirewallRules: [{4D0AFB66-7B64-4D02-8B16-D6E07C7F008A}] => (Allow) C:\Program Files (x86)\Jurist\Outfit.exe Pas de fichier
FirewallRules: [{C31BBD26-251C-46B6-AF79-D3F085D790FF}] => (Allow) C:\Program Files (x86)\Geck\Outfit.exe Pas de fichier
FirewallRules: [{D9EE6FE0-AC17-42DC-AC1A-C9073CBA3989}] => (Allow) C:\Program Files (x86)\pals\Reykjavik.exe Pas de fichier
FirewallRules: [{9EA2F010-07E8-4AAB-A724-788006D0F1E2}] => (Allow) C:\Program Files (x86)\Geck\Reykjavik.exe Pas de fichier
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise tes navigateurs internet https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur
6- VÉRIFIE ET DIT-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
7- Fait un nouveau rapport FRST et poste les trois liens pour vérification.
0
Réponse 2 / 3
bengain2845
5 févr. 2020 à 08:35
Bonjour
Merci pour toute cette aide
Le CloudNet ne veut pas se désinstaller :
https://pjjoint.malekal.com/files.php?id=20200205_r10g6o15o9b14
Voici le Fixlog après l'étape de correction :
https://pjjoint.malekal.com/files.php?id=20200205_g12g5j9v5w10

Je vais faire la suite

Cordialement
0
bazfile Messages postés 53733 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 26 avril 2024 18 482
Modifié le 5 févr. 2020 à 08:51
Pour CloudNet ne t'en fait pas je l'avais ajouté au script il est désactivé.
Renvoie moi le fixlog je n'ai que la fin voir ci-dessous, si tu ne le retrouves pas ce n'est pas grave envoie moi les 3 nouveaux rapports FRST je verrai si le script a fonctionné: 
RecycleBin => 25619935 B
EmptyTemp: => 720.1 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 08:25:31 ====
0
Réponse 3 / 3
bengain2845
5 févr. 2020 à 11:09
Le Fixlog ne contient effectivement rien de plus
J'ai réinitialisé les navigateurs
Après ouverture de Chrome, je retrouve la ligne outfit dans le gestionnaire de tâches
Je viens de refaire tourner FRST
Il a seulement généré Addition et FRST que voici :
https://pjjoint.malekal.com/files.php?id=20200205_t13w13n13v8g12
https://pjjoint.malekal.com/files.php?id=FRST_20200205_b7z14n8d7b13

Je me demande si je ne vais pas devoir reformater et réinstaller ?

Cordialement
0
bazfile Messages postés 53733 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 26 avril 2024 18 482
Modifié le 5 févr. 2020 à 12:03
C'est beaucoup mieux et non ce n'est pas utile de formater.

Procédure à faire dans l'ordre indiqué :
ATTENTION pour que la désinfection fonctionne il faut démarrer ton pc en mode sans échec avec prise en charge du réseau.
Pour le démarrage en mode sans échec il suffit de lire attentivement cette page et faire ce qui est indiqué au paragraphe Démarrer en mode sans échec depuis Windows.
Tu peux imprimer les pages ou prendre des notes car à partir du paragraphe Les options de récupération tu ne seras plus sous Windows tu n'y reviendras qu'une fois en mode sans échec.
1- Ouvre FRST
2- Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CloseProcesses:
() [Fichier non signé] C:\Users\genea\AppData\Local\Outfit.exe
(Accès refusé)  [Fichier non signé] C:\Windows\windefender.exe
C:\Users\genea\AppData\Local\Outfit.exe
HKLM-x32\...\Run: [] => [X]
R2 WinDefender; C:\WINDOWS\windefender.exe [2079744 2020-02-03] () [Fichier non signé]
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- VÉRIFIE ET DIT-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
Redémarre en mode normal et fait un nouveau rapport (FRST et Addition).
0