Plusieurs VirusRésolu/Fermé

Question

Bonjour, 
 
Suite à l'installation d'un logiciel , Windows defender c'est emballé , plusieurs virus ont étaient detectés et il m'a été compliqué de les supprimer. 

Cependant depuis , il y'a une sorte de virus qui mine ou je sais en fond. 
C'est à dire que le processeur tourne à fond mes ventillos sont à fond mais quand je le lance le gestionnaire de taches tout redevient normal.

J'ai aussi perdu quelques droit admin sur des fichiers, je ne peux plus restaurer , et renitaliser le pc etc etc que des soucis quoi.

Voici la liste des virus que Defender à trouvé : 

 1: rojan:Script/Phonzy.C!ml
Element affecté : amsiuac: pid:00003A70 
---------------------------------------------------------------------------
2: Trojan:Win32/Tilevn.A
Element affecté : amsiuac: pid:00003A70
---------------------------------------------------------------------------
3: Trojan:Win32/Azorult.RW!MTB
Element affecté : AppData\Local\Microsoft\Windows\INetCache\IE\KSOWCZC1\app24[1].bmp
---------------------------------------------------------------------------
4 : Trojan:Win32/Tnega!ml
Element affecté : AppData\Local\Microsoft\Windows\INetCache\IE\B3YFNMTD\sfx_123_201[1].bmp
---------------------------------------------------------------------------
5 : PWS:Win32/Fareit!ml
Element affecté : \AppData\Local\Temp\~IWm4wh.I
---------------------------------------------------------------------------
 6: Trojan:Win32/Sabsik.FL.A!ml
Element affecté : AppData\Local\Microsoft\Windows\INetCache\IE\0AFU8MN6\Real27[1].bmp
 ---------------------------------------------------------------------------
7: Trojan:Win32/Sabsik.FL.B!ml
Element Affecté : AppData\Roaming\irbacue
 ---------------------------------------------------------------------------
8 : VirTool:Win32/DefenderTamperingRestore
Element Affecté : regkeyvalue: hklm\software\policies\microsoft\windows defender\DisableAntiSpyware
 ---------------------------------------------------------------------------
9: Trojan:MSIL/AgentTesla!MSR
Element Affecté : AppData\Local\Microsoft\Windows\INetCache\IE\KSOWCZC1\0[2]
 ---------------------------------------------------------------------------
10 : rojan:Win32/Wacatac.B!ml
Element Affecté : AppData\Local\Temp\aipancjl.exe.dll
 ---------------------------------------------------------------------------

11 : Trojan:Win32/Trickbot
Element Affecté : AppData\Local\Temp\csrss
upload05053.exe
 ---------------------------------------------------------------------------

12 : Trojan:Win32/Sabsik.FL.B!ml
Element Affectés : 

AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartClock.lnk

AppData\Roaming\Smart Clock\SmartClock.exe

C:\WINDOWSss\csrss.exe

C:\WINDOWS\System32\Tasks\csrss->(UTF-16LE)

C:\WINDOWS\System32\Tasks\Smart Clock->(UTF-16LE)

process: pid:9052,ProcessStart:132744599950668045

regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{90133524-E3FA-4345-88EC-DDADD992FEF3}

regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C4C7072D-45FF-4D0D-B727-1BDD71FDD5BB}

regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss

regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Smart Clock

startup: AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartClock.lnk

taskscheduler: C:\WINDOWS\System32\Tasks\csrss

askscheduler: C:\WINDOWS\System32\Tasks\Smart Clock
 ---------------------------------------------------------------------------

13 : Trojan:Win32/Tnega!ml
Element Affecté : AppData\Roaming\eaV9JGe.sys
 ---------------------------------------------------------------------------

14 : Trojan:Win32/CryptInject!MSR  
Element Affecté : AppData\Local\Temp\csrss\ww31.exe
Peut être le logicièle qui mine en fond ? 
 ---------------------------------------------------------------------------

15 : Trojan:Script/Phonzy.A!ml
Element Affectés : 
AppData\Local\Temp\csrss\mg20201223-1.exe 
AppData\Local\Temp\csrss\ml20201223.exe
 ---------------------------------------------------------------------------

16 :Trojan:Win32/RanumBot!MSR
Element Affectés : C:\Windows\windefender.exe 
process: pid:5816,ProcessStart:132744604860246454
service: WinDefender

17 : Trojan:Win32/Tiggre!rfn
Éléments affectés :
service: AppServicea
service: AppServiceb
service: AppServicec
service: AppServiced
service: AppServicee
service: AppServicef
service: AppServiceg
service: AppServiceh
service: AppServicei
service: AppServicej
service: AppServicek
service: AppServicel
service: AppServicem
service: AppServicen
service: AppServiceo
service: AppServicep

-------------------------------

Avez vous une solution ? 
J'ai regarde si je trouvé les Element affecté mais sans succès. 

Je suis à votre disposition pour toutes questions 
Merci

Betoma765 · Answer

Je sais pas si c'est autorisé mais je laisse mon Discord c'est peut etre plus simple.
: Tarômaru#1606

MisteryBean · Answer

Bonjour,


On va commencer par un diagnostic du PC :
Bien lire toute la procédure avant de poster les rapports
Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse  

---------------------------------------------------------------------------------------------

--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Betoma765 · Answer

Bonjour ! 

Merci pour votre réponse 
J'ai du passé par un deuxieme pc pour upload les résultat car quand je clique sur " Choisir un fichier" le navigateur ne répond plus: 

Voici donc le résultat : 
https://up.security-x.fr/file.php?h=R5ab791531dc3a17080bc0f41d26c147d
https://up.security-x.fr/file.php?h=Rfb19ce33e392b93b44a3164ff6e1a863

Meric de votre aide, en espérant trouvé la solution

Betoma765 · Answer

Si cela peut aider  , j'ai les virus depuis le 26/08/2021 vers 15h.

MisteryBean · Answer

RE_

Windows defender a fait le boulot , il a bloqué l'infection , il ne reste que quelques fichiers à nettoyer .

Avant de te donner un correctif , est ce toi qui a installé Hola VPN ?

Betoma765 · Answer

Re ! 

Merci de répondre aussi vite 

Oui j'ai vu ça , mais bon mon pc est encore vraiment très lent , et si je laisse fermer le gestionnaire de taches c'est horrible. 


Oui c'est bien moi , je m'en sers comme VPN pour certains sites , je n'ai jamais eu de soucis avec ça.

Betoma765 · Answer

Et j'ai oublié de le dire , je sais pas si c'est lié mais depuis l'infection j'ai dans ma liste de programme installé , Utorrent mais je ne peux le déinstaller car c'est grisé , aucune idée si c'est lié ou pas.

Betoma765 · Answer

Voici à chaque fois le service qui utilie mon processeur quand je ferme le gestionnaire de tache. 
Bizarrement quand je lance le jeu "Fortnite" malgrès le gestionnaire de tache le service reste en cours , j'ai donc pu prendre un screen de ce qui je pense est la cause 
https://ibb.co/4mq7DFj

MisteryBean · Answer

RE_

Désolé du retard , j'avais de la famille :-)

Ta capture n'est pas représentative , on ne voit pas grand chose .

--> Copie ce qui se trouve ici : https://textup.fr/578811AB de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Un fichier fixlog est créé au même endroit que FRST , postes le

--> Dis moi si tu as toujours le problème .

MisteryBean · Answer

Il n'y a pas d'infections dans les rapports .

Vu que tu as Malwarebytes , lances le par clic droit et administrateur => Cliques sur paramètres (roues crantées en haut à droite) => Cliques sur l'onglet Sécurité => Dans options d'analyse , Coches  rechercher les rootkits => Reviens sur la fenêtre principale et lances une analyse .

Procédure:
=> Lance la détection par Analyser Maintenant=> A la fin du scan, si des infections ont été trouvées , clique sur Quarantaine sélectionnée=> Le PC va redémarrer=> Après le redémarrage, ouvres à nouveau MBAM.=> Clique sur l'onglet Compte-rendu=> Sélectionne le fichier correspondant --> Clic sur afficher le compte rendu=> Clique sur exporter --> Fichier Texte (TXT)=> La boîte de dialogue Enregistrer le fichier s'ouvre=> Donne un nom et enregistre le sur le Bureau=> Héberge le rapport et poste le lien dans ta prochaine réponse.

MisteryBean · Answer

RE_

Je suis en train d'essayé reinstaller Windows en conservant mes fichiers via une clé bootable, je suis à 4% j'attends de voir le résultat.  

Il y avait plus simple que de réinstaller Windows 

Si le problème est toujours présent, je referais une analyse MalwareBytes comme décrit plus haut.En tout cas merci de ton aide, c'est la première fois que je suis face à ce genre de cas, le virus semble invisible mais est bien réel. 
 
Encore une fois , il n'y a pas d'infection sur les rapports . Les virus invisible , c'est une légende urbaine , il y a toujours un indice visible. 
Malwarebytes aurait pu révéler quelque chose , mais tu n'as pas fait ce que je demandé.

De toute façon , vu que tu réinstalle Windows , si virus il y avais , virus ne sera plus , donc , pour moi , c'est terminé . 

S'il y a encore des problèmes , il te faudra poster dans la section Wndows 10

Bonne continuation .

Betoma765 · Answer

Suite à la réinstallation le problème semble ne plus être la. 

Merci de votre aide et bonne continuation à vous aussi !

Betoma765 · Answer

Bonjour !

Je reviens vers vous pour une questions , j'ai remarqué que depuis le jour de "l'infection" quelqu'un accès à mes comptes.

Et encore aujourd'hui je reçois des notifications de connexions, changements de mots de passe , ma photo Instagram à été modifiée , etc j'ai changé plusieurs fois de mots de passe mais il semblerait que malgré ça, quelque chose récupère encore les mots de passes.



J'ai vu qu'il existait des virus capable de prendre l'apparence d'un fichier normal et qui malgré une suppression se copie ailleurs.

Que me conseillez-vous ? 

Merci

Plusieurs Virus

13 réponses

Bien lire toute la procédure avant de poster les rapports

Discussions similaires

Newsletters