Analyse FRST pour PC infecté
Résolu/Fermé
Master_M
-
25 juin 2022 à 18:14
bazfile Messages postés 56668 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 décembre 2024 - 26 juin 2022 à 15:58
bazfile Messages postés 56668 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 décembre 2024 - 26 juin 2022 à 15:58
A voir également:
- Analyse FRST pour PC infecté
- Test performance pc - Guide
- Google meet pour pc - Télécharger - Messagerie
- Reinitialiser pc - Guide
- Telecharger whatsapp pour pc - Télécharger - Messagerie
- Pc lent - Guide
6 réponses
bazfile
Messages postés
56668
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 décembre 2024
19 336
25 juin 2022 à 18:21
25 juin 2022 à 18:21
Bonjour.
Si pjjoint ne fonctionne pas utilise https://www.cjoint.com/ sans oublier d'expliquer précisément pourquoi tu penses que ton pc est infecté.
Si pjjoint ne fonctionne pas utilise https://www.cjoint.com/ sans oublier d'expliquer précisément pourquoi tu penses que ton pc est infecté.
Bonjour bazfile,
Merci de la prise en charge.
1) La synchronisation de mon compte google avec mes navigateurs a été stoppé car une menace a été détectée. J'ai reçu des mails avec du chantage et qui contenaient les mots de passe de mes comptes Google et Outlook. A chaque fois que j'essaie d'ouvrir google drive je reçois des messages d'avertissement encore.
2) Avant cela j'avais été victime du ramsomware hermes qui a crypté mes données sur ma 2nde partition (H:)
3) J'ai récemment lancé une analyse avec GridinSoft Anti-Malware qui a détecté plein de trucs pour finir par me faire savoir que la prise en charge n'est pas gratuite
J'aimerais donc me rassurer que toute trace d'infection est partie.
Liens pour les fichiers de l'analyse FRST
Addition.txt ==> https://www.cjoint.com/c/LFztNKC64M2
Shortcut.txt ==> https://www.cjoint.com/c/LFztO7GlNm2
FRST.txt ==> https://www.cjoint.com/c/LFztP2IlkC2
Merci de la prise en charge.
1) La synchronisation de mon compte google avec mes navigateurs a été stoppé car une menace a été détectée. J'ai reçu des mails avec du chantage et qui contenaient les mots de passe de mes comptes Google et Outlook. A chaque fois que j'essaie d'ouvrir google drive je reçois des messages d'avertissement encore.
2) Avant cela j'avais été victime du ramsomware hermes qui a crypté mes données sur ma 2nde partition (H:)
3) J'ai récemment lancé une analyse avec GridinSoft Anti-Malware qui a détecté plein de trucs pour finir par me faire savoir que la prise en charge n'est pas gratuite
J'aimerais donc me rassurer que toute trace d'infection est partie.
Liens pour les fichiers de l'analyse FRST
Addition.txt ==> https://www.cjoint.com/c/LFztNKC64M2
Shortcut.txt ==> https://www.cjoint.com/c/LFztO7GlNm2
FRST.txt ==> https://www.cjoint.com/c/LFztP2IlkC2
bazfile
Messages postés
56668
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 décembre 2024
19 336
Modifié le 25 juin 2022 à 23:07
Modifié le 25 juin 2022 à 23:07
J'ai reçu des mails avec du chantage et qui contenaient les mots de passe de mes comptes Google et Outlook.
Ils ont simplement récupéré tes identifiants via un site où tu t'étais inscrit et qui a été piraté ou qui était véreux (site téléchargement illégal ou autre) c'est pour cela qu'il ne faut jamais utiliser le même mot de passe pour tout, comme tu peux le voir cela n'a rien à voir avec un piratage de ton pc ce n'est qu'une arnaque très connue c'est la même chose que ceci, tu peux vérifier quel email a été récupéré et quand cela s'est produit en testant tes emails sur ce site.
'ai récemment lancé une analyse avec GridinSoft Anti-Malware qui a détecté plein de trucs pour finir par me faire savoir que la prise en charge n'est pas gratuite
En cherchant des solutions à ton problème tu es allé sur de faux sites de désinfection qui mettent en avant des bouses comme GridinSoft Anti-Malware qui t'a fait croire que ton pc était infecté pour de te faire peur afin que tu achètes la version payante GridinSoft Anti-Malware, tout ça c'est encore de l'arnaque et rien d'autre.
Pour ce qui est du rapport FRST tu as un proxy qui est configuré sur ton pc est-ce toi qui l'a configuré ou si tu n'es pas au courant de sa présence veux-tu que je le supprime ?
Bonne nuit.
Le proxy est celui de mon entreprise. C'est moi qui l'ai configuré.
Pour ce qui de la vérification, pour mes 2 mails il y'a "no pawnage found". En effet c'est le même style de message au quel j'ai pas vraiment prêté attention.
Ce qui me préoccupe c'est plus le message qui apparait quand j'essaie de me connecter à google drive. Du coup tu me conseilles de resynchroniser mon compte google avec mes navigateurs et aller sur google drive malgré le message demandant de faire attention ?
Merci et bonne nuit à toi aussi.
Pour ce qui de la vérification, pour mes 2 mails il y'a "no pawnage found". En effet c'est le même style de message au quel j'ai pas vraiment prêté attention.
Ce qui me préoccupe c'est plus le message qui apparait quand j'essaie de me connecter à google drive. Du coup tu me conseilles de resynchroniser mon compte google avec mes navigateurs et aller sur google drive malgré le message demandant de faire attention ?
Merci et bonne nuit à toi aussi.
bazfile
Messages postés
56668
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 décembre 2024
19 336
Modifié le 26 juin 2022 à 11:21
Modifié le 26 juin 2022 à 11:21
Tu as utilisé des cracks évite de faire ça tu éviteras les problèmes.
Pour Google Chrome et sa synchronisation, réinitialise Chrome voir cette page
Une fois Chrome réinitialisé va sur cette page fait la réparation de la synchronisation tout est expliqué dans le paragraphe Réparer Google Chrome avec la synchronisation active paragraphe que je te conseille de lire attentivement.
Tu te sers de Windows Defender et Malwarebytes comme antivirus il y a des restrictions sur Windows Defender, tu as désinstallé Avira mais il reste des traces, il y a aussi quelques processus orphelins.
Si tu souhaites corriger tout ça fait ce qui suit :
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
Voilà ce sera tout il n'y aura rien de plus à faire.
Pour Google Chrome et sa synchronisation, réinitialise Chrome voir cette page
Une fois Chrome réinitialisé va sur cette page fait la réparation de la synchronisation tout est expliqué dans le paragraphe Réparer Google Chrome avec la synchronisation active paragraphe que je te conseille de lire attentivement.
Tu te sers de Windows Defender et Malwarebytes comme antivirus il y a des restrictions sur Windows Defender, tu as désinstallé Avira mais il reste des traces, il y a aussi quelques processus orphelins.
Si tu souhaites corriger tout ça fait ce qui suit :
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
GroupPolicy: Restriction - Windows Defender
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3373700318-2277539620-1870361017-1000\...\Run: [Anticache] => C:\Users\user\AppData\Roaming\Anticache\AntiRaccourcies.exe (Pas de fichier)
Task: {4DFB453C-162E-49F1-9586-3FE36F961A2E} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Pas de fichier
Task: {A66F9371-0DC6-46E5-BA6E-8D738989F7D3} - \AutoPico Daily Restart -> Pas de fichier
Task: {B8C7255B-6AFE-4678-AA1F-21A29D3D2D32} - \{73BC909A-D208-41A4-84AE-4A119A5E44E4} -> Pas de fichier
Task: {C6602039-95FD-4F0F-9E68-A3B77B1557AA} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-3373700318-2277539620-1870361017-1000UA => C:\Users\user\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (Pas de fichier)
Task: {CCE79BCB-5E0A-426C-8F33-FF3EC9274749} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier
Task: {D70CBD8B-0059-420B-930B-D4C6BB34BBEC} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-3373700318-2277539620-1870361017-1000Core => C:\Users\user\AppData\Local\Google\Update\GoogleUpdate.exe /c (Pas de fichier)
Task: {D8A462AA-22EE-43EA-A524-83FC5797B880} - System32\Tasks\Avira_Antivirus_Systray => C:\Program Files (x86)\Avira\Antivirus\avgnt.exe /min (Pas de fichier)
Task: {DAC6D097-5921-4641-9A76-D4774CBEE87E} - \Microsoft\Windows\Setup\EOSNotify -> Pas de fichier
AS: Avira Antivirus (Enabled - Up to date) {33CF8AA2-FA06-4AD4-98AB-332D53DD7FFB}
Task: {E7CDA1A1-4CA7-43E9-AA49-2992FD8B0F9A} - \SoftwareInformerService -> Pas de fichier
S4 GSDriver; \SystemRoot\System32\drivers\GSDriver64.sys [X]
U4 idsvc; pas de ImagePath
CustomCLSID: HKU\S-1-5-21-3373700318-2277539620-1870361017-1000_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2021\acad.exe => Pas de fichier
CustomCLSID: HKU\S-1-5-21-3373700318-2277539620-1870361017-1000_Classes\CLSID\{87dea7ed-699d-5460-0659-5bd2d1a58c373}\InprocServer32 -> 0x555455552D335533392D555532552D4D52474E2D453153532D475559552D553355462D555555552D555555412D314A4E382D434345302D4331514E => Pas de fichier
CustomCLSID: HKU\S-1-5-21-3373700318-2277539620-1870361017-1000_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2021\acad.exe /Automation => Pas de fichier
CustomCLSID: HKU\S-1-5-21-3373700318-2277539620-1870361017-1000_Classes\CLSID\{afafe584-f41d-6a50-99f3-983522dd73bf6}\InprocServer32 -> 0x50C0801278EAD5015FB1851278EAD501010000000100000000000000 => Pas de fichier
AlternateDataStreams: C:\Windows:CM_36faabd924501fcd2f743302621d89eb425ec11f74fef19a5e0fe69c3f0b5201 [74]
AlternateDataStreams: C:\Windows:CM_e0501b65315a77c6cde279a3a8d62a1a6c48bf2c2e353a3654218165115f1673 [74]
SearchScopes: HKU\S-1-5-21-3373700318-2277539620-1870361017-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
Voilà ce sera tout il n'y aura rien de plus à faire.
J'ai réinitialisé google chrome et edge.
La synchro a été redémarrée pour google chrome. Le lien pour le dashbord par contre ne mène pas vers la page sur l'image. Il n'y a pas de bouton "redémarrer la synchronisation"
Fixlog.txt ===> https://www.cjoint.com/c/LFAmTDaEQW2
P.S : Je viens de me rendre compte que je n'ai pas ouvert FRST en admin. J'espère que ça n'a pas eu d'impact sur la procédure ..?
La synchro a été redémarrée pour google chrome. Le lien pour le dashbord par contre ne mène pas vers la page sur l'image. Il n'y a pas de bouton "redémarrer la synchronisation"
Fixlog.txt ===> https://www.cjoint.com/c/LFAmTDaEQW2
P.S : Je viens de me rendre compte que je n'ai pas ouvert FRST en admin. J'espère que ça n'a pas eu d'impact sur la procédure ..?
bazfile
Messages postés
56668
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 décembre 2024
19 336
Modifié le 26 juin 2022 à 15:12
Modifié le 26 juin 2022 à 15:12
Le fixlog est OK il n'y a rien de plus à faire.
Pour Chrome effectivement désormais c'est Effacer les données qui remplace le précédent bouton tout ce qui sera effacé est clairement expliqué.
Voilà je crois que l'on a fait le tour de la question, ton pc n'est plus infecté et donc de mon côté je ne peux rien faire de plus.
Pour Chrome effectivement désormais c'est Effacer les données qui remplace le précédent bouton tout ce qui sera effacé est clairement expliqué.
Voilà je crois que l'on a fait le tour de la question, ton pc n'est plus infecté et donc de mon côté je ne peux rien faire de plus.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci beaucoup et bon aprem!
bazfile
Messages postés
56668
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 décembre 2024
19 336
26 juin 2022 à 15:44
26 juin 2022 à 15:44
Bon après-midi à toi aussi.
@+ sur CCM.
@+ sur CCM.
Une toute dernière chose que j'avais oublié. Mon fichier d'échange n'est pas C:\Windows\pagefile.sys mais un doc avec des "caractères chinois". Est-ce inquiétant?
bazfile
Messages postés
56668
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 décembre 2024
19 336
26 juin 2022 à 15:58
26 juin 2022 à 15:58
Comment sais-tu que c'est pagefile.sys s'il porte un nom chinois ?