Vérification des fichiers FRST.

Fermé
Shady - Modifié le 28 juil. 2022 à 22:12
bazfile Messages postés 56495 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 novembre 2024 - 28 juil. 2022 à 22:03

Bonjour, Je souhaiterai vérifier mes deux fichiers FRST par quelqu'un. J'ai été infecté par un cheval de troie.

Voici les liens :

FRST.TXT : https://www.cjoint.com/c/LGCtF2MnVLc
Additional.txt : https://www.cjoint.com/c/LGCtGSnfdLc


Merci d'avance pour vos réponse.

Cordialement, Shady.

A voir également:

1 réponse

bazfile Messages postés 56495 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 novembre 2024 19 303
Modifié le 28 juil. 2022 à 22:10

Bonjour.

Ton pc est très infecté.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
(explorer.exe ->) (Microsoft® Windows® Operating System) [Accès refusé] C:\ProgramData\Dllhost\dllhost.exe
(www.xmrig.com) [Accès refusé] C:\ProgramData\Dllhost\winlogson.exe
HKU\S-1-5-21-1989516710-727397532-1651064546-1001\...\Run: [dllhost] => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
Task: {23106D7B-16BE-4763-8554-E234B10CC986} - System32\Tasks\SecurityHealthSystray => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {26FE3FC2-C95E-47D8-B8B6-1B24F8981072} - System32\Tasks\AntiMalwareSericeExecutable\AntiMalwareSericeExecutableService_bk3796 => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {4E793885-574D-4955-A631-740E17A4F14E} - System32\Tasks\OneDriveService => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {6907F92A-0AF2-49F9-A92F-9CE8BBC9FD0B} - System32\Tasks\WindowsDefenderServices\WindowsDefenderServicesService_bk1021 => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {8B7A67C2-9DDD-4367-8635-D8AA0436788A} - System32\Tasks\MicrosoftEdgeUpd => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {8BA6E4AF-F695-45C2-B699-5735DFD76CAD} - System32\Tasks\AntiMalwareServiceExecutable => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {8C43A798-9678-432D-AEE7-6B8217C76531} - System32\Tasks\WindowsDefenderServices\WindowsDefenderServicesService_bk6344 => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {8EDF70E5-BA1C-454E-8B5F-C16F18C0C793} - System32\Tasks\WindowsDefender => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {9C7754BB-1613-4A24-B004-5BC37B6816A8} - System32\Tasks\SettingSysHost\SettingSysHostService_bk1492 => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {B56F233E-2091-4B32-A198-21C208848F4A} - System32\Tasks\MicrosoftUpdateServices\MicrosoftUpdateServicesService_bk2477 => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {B671708C-64D5-4873-B06E-B3C21BD7EE29} - System32\Tasks\AntiMalwareSericeExecutable\AntiMalwareSericeExecutableService_bk911 => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {B7D6077B-DF18-4F02-A5B9-902160EE631C} - System32\Tasks\dllhost => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {B912AD32-C1DC-4CDB-A8EA-D2B972581604} - System32\Tasks\MicrosoftUpdateServices\MicrosoftUpdateServicesService_bk8360 => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {CB14FA39-7986-449B-A967-22E1C0650DDD} - System32\Tasks\NvStray => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {DBDBEE28-DEE4-4E61-8D69-217B56931C49} - System32\Tasks\WmiPrvSE => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
Task: {F9F424ED-0681-431D-8D95-5D47D07863FB} - System32\Tasks\SettingSysHost\SettingSysHostService_bk645 => C:\ProgramData\Dllhost\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
C:\ProgramData\Dllhost
HKU\S-1-5-21-1989516710-727397532-1651064546-1001\...\Run: [Cortana] => C:\Program Files\WindowsApps\Microsoft.x64__8wekyb3gfdfdgd8bbwe\Cortana.exe (Pas de fichier)
HKU\S-1-5-21-1989516710-727397532-1651064546-1001\...\Run: [AntiMalwareServiceExecutable] => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2111.5-0\MsMpEng.exe (Pas de fichier)
HKU\S-1-5-21-1989516710-727397532-1651064546-1001\...\Run: [MicrosoftEdgeUpd] => C:\Program Files\WindowsApps\Microsoft.x64__8wekyb3gfdfdgd8bbwe/file.exe (Pas de fichier)
HKU\S-1-5-21-1989516710-727397532-1651064546-1001\...\Run: [OneDriveService] => C:\Program Files\WindowsApps\Microsoft.x64__8wekyb3gfdfdgd8bbwe/file.exe (Pas de fichier)
HKU\S-1-5-21-1989516710-727397532-1651064546-1001\...\Run: [NvStray] => C:\Program Files\WindowsApps\Microsoft.x64__8wekyb3gfdfdgd8bbwe / file.exe (Pas de fichier)
HKU\S-1-5-21-1989516710-727397532-1651064546-1001\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\yayam\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Pas de fichier)
HKU\S-1-5-21-1989516710-727397532-1651064546-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\yayam\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Pas de fichier)
HKU\S-1-5-21-1989516710-727397532-1651064546-1001\...\RunOnce: [Uninstall 22.131.0619.0001\i386] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\yayam\AppData\Local\Microsoft\OneDrive\22.131.0619.0001\i386" (Pas de fichier)
HKU\S-1-5-21-1989516710-727397532-1651064546-1001\...\RunOnce: [Uninstall 22.131.0619.0001] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\yayam\AppData\Local\Microsoft\OneDrive\22.131.0619.0001" (Pas de fichier)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Pas de fichier)
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
FF Homepage: Mozilla\Firefox\Profiles\y3jjmk3t.default -> hxxps://mysearchengine.co/homepage?hp=1&bitmask=9996&pId=IC150206&iDate=2021-05-02 05:27:47&bName=
FF NewTab: Mozilla\Firefox\Profiles\y3jjmk3t.default -> hxxps://mysearchengine.co/homepage?hp=1&bitmask=9996&pId=IC150206&iDate=2021-05-02 05:27:47&bName=
FF NewTab: Mozilla\Firefox\Profiles\nd3tobxk.default-release -> hxxps://mysearchengine.co/homepage?hp=1&bitmask=9996&pId=IC150206&iDate=2021-05-02 05:27:47&bName=
FF Notifications: Mozilla\Firefox\Profiles\nd3tobxk.default-release -> hxxps://aternos.org; hxxps://www1p.moshemartin.pro
CHR Notifications: Default -> hxxps://linkvertise.com; hxxps://www17.davisonbarker.pro; hxxps://www17.freddyoctavio.pro; hxxps://www20.nathanaeldan.pro; hxxps://www28.nathanaeldan.pro; hxxps://www29.freddyoctavio.pro; hxxps://www57.todhamilton.pro; hxxps://www63.alfonzoheriberto.pro; hxxps://www71.nathanaeldan.pro; hxxps://www89.alfonzoheriberto.pro; hxxps://www91.alfonzoheriberto.pro
SearchScopes: HKU\S-1-5-21-1989516710-727397532-1651064546-1001 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxps://fr.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_nptdwxol_20_44_ssg01¶m1=1¶m2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1Qzu0F0AtCtByCyDtAzztDtAzytAtDyC0A0DtN0D0Tzu0StAtBtByDtN1L2XzuyDtFtBtFtDtFtCyBtAtN1L1Czu1BtCtN1L1G1B1V1N2Y1L1Qzu2SyB0AtCtDyE0F0AyBtGtDyC0D0CtG0D0DtBzztGyB0D0AzytGyBtDyDzztC0DtDyDtCyD0B0D2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyC1R1OtBtAyD1SyDtG1SyBtDtAtGyE1RzztDtGzz1RyEtCtGyEyEyEyEtCyEtDtAtDtCtB1O2QtN0A0LzutBtN1B2Z1V1T1S1NzutN1Q2Z1B1P1RzutCyCtDyEtDzytDyDtBtD%26cr%3D83050018%26a%3Dwbf_nptdwxol_20_44_ssg01%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKU\S-1-5-21-1989516710-727397532-1651064546-1001 -> {993F5746-4C15-42BC-99C1-064A1764271B} URL = hxxps://securesearch.org?q={searchTerms}
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3356]
cmd: netsh advfirewall reset
Hosts:
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- Fait une nouvelle analyse FRST et donne les liens des rapports.


0