Supprimer virus WDCloud.exe msil/ducksteal.sk!mtb .

Résolu/Fermé
jus2mandarine Messages postés 220 Date d'inscription vendredi 5 juin 2015 Statut Membre Dernière intervention 1 décembre 2023 - Modifié le 8 janv. 2023 à 13:30
bazfile Messages postés 52783 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 février 2024 - 17 nov. 2022 à 14:05

Bonjour Chers tous,

Pouvez-vous m'aider un supprimer un cheval de Troie à partir d'un utilitaire que je pourrais télécharger sur Internet ?

Merci pour votre support

Cdt /-  

A voir également:

15 réponses

bazfile Messages postés 52783 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 février 2024 18 327
14 nov. 2022 à 14:38

Bonjour.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser


Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.

0
jus2mandarine Messages postés 220 Date d'inscription vendredi 5 juin 2015 Statut Membre Dernière intervention 1 décembre 2023
14 nov. 2022 à 15:33

Bonjour Bazfile,

J'ai quelques dffiicultés avec la toute dernière partie de ton message.

Ci-dessous le lien du fichier FRST.txt :

https://www.cjoint.com/c/LKooDv50Wwl

Ci-dessous, le lien du fichier Addition.txt :

https://www.cjoint.com/c/LKooGUc6i2l

Dans l'attente de votre feed-back

Cdt/-

0
bazfile Messages postés 52783 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 février 2024 18 327
Modifié le 14 nov. 2022 à 16:25

Tu as utilisé le crack KMSpico tu as essayé de le désinstaller mais il est toujours présent il faut éviter les cracks ils sont source d'infection.
 

Il y a pas mal de politiques de restrictions logicielles qui ont été mises en place sur ton pc est-ce toi qui les a configuré ?
 

Ton disque C est presque plein il va falloir faire de la place car cela ralenti ton pc qui doit être assez lent vu que c'est un pc très peu puissant d'entrée de gamme.
 

Fait un scan et un nettoyage avec Malwarebytes en version gratuite bien lire cette page transmet moi via PJJOINT le rapport de Malwarebytes tout est expliqué sur la page.
 

Puis fait une nouvelle analyse FRST et donne les liens des rapports.

0
jus2mandarine Messages postés 220 Date d'inscription vendredi 5 juin 2015 Statut Membre Dernière intervention 1 décembre 2023
14 nov. 2022 à 17:25

Ci-dessous le rapport de l'analyse avec Malwarebytes :

https://www.cjoint.com/c/LKoqxmRegIl

Cordiale réception /-

0
bazfile Messages postés 52783 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 février 2024 18 327
Modifié le 14 nov. 2022 à 17:30

OK, met en quarantaine ce que Malwarebytes a détecté puis supprime les éléments en quarantaine termine par une nouvelle analyse FRST et donne les liens des rapports.

0
jus2mandarine Messages postés 220 Date d'inscription vendredi 5 juin 2015 Statut Membre Dernière intervention 1 décembre 2023
14 nov. 2022 à 18:17

Ci-dessous, le nouveau rapport FRST.txt

https://www.cjoint.com/c/LKornT0XIwl

Ci-dessous, le nouveau rapport Addition.txt

https://www.cjoint.com/c/LKorq3iUgkl

Cordialement /-

0
bazfile Messages postés 52783 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 février 2024 18 327
Modifié le 14 nov. 2022 à 18:48

Tu n'as pas répondu à ma question posée plus haut je te la rappelle :

Il y a pas mal de politiques de restrictions logicielles qui ont été mises en place sur ton pc est-ce toi qui les a configuré ?

Une fois que tu auras répondu à ma question je ferais un script de désinfection car ton pc est encore bien infecté.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
jus2mandarine Messages postés 220 Date d'inscription vendredi 5 juin 2015 Statut Membre Dernière intervention 1 décembre 2023
15 nov. 2022 à 09:24

Bonjour Bazfile,

Oui, c'est bien moi qui ai configuré  ces restrictions.

Cdt /-

0
bazfile Messages postés 52783 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 février 2024 18 327
Modifié le 15 nov. 2022 à 10:23

ATTENTION :

Une fois la désinfection terminée tu devras changer tous tes mots de passe en ligne ils ont été dérobés, ton pc était infecté par le malware Ducktail.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction
HKU\S-1-5-21-2987775730-2434628737-2840101130-3813\...\Run: [GoogleDriveSync] => "C:\Program Files\Google\Drive\googledrivesync.exe" /autostart (Pas de fichier)
Task: {364FAA22-D350-412B-BC22-E016C31C8EA5} - System32\Tasks\VSPXService_LG => WDCloud.exe t (Pas de fichier)
Task: {49293829-21C5-4C64-AA0C-1E36BF4BE9E0} - System32\Tasks\Microsoft\Windows\UpdateAssistant\UpdateAssistantAllUsersRun => C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:NHV20:{} /AllUsersRun (Pas de fichier)
Task: {71B7C2A7-9F5A-4432-8CF4-A4FA261291F7} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask => C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Disable (Pas de fichier)
Task: {88F21920-2667-4A67-8C1C-160F9D9472F1} - System32\Tasks\Microsoft\Windows\UpdateAssistant\UpdateAssistantCalendarRun => C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:NHV20:{} /CalendarRun (Pas de fichier)
Task: {B5B8DFF3-C121-4300-83F7-F140030317F1} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\UpdateAssistantCalendarRun => C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:EosWu:{} /CalendarRun (Pas de fichier)
Task: {C62E6FB7-3F1D-4BA6-B745-66D4B50FC411} - System32\Tasks\Microsoft\Windows\UpdateAssistant\UpdateAssistantWakeupRun => C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:NHV20:{} /WakeupRun (Pas de fichier)
Task: {C7D1AD23-77ED-4EC0-A990-B9D3D7C6A9F5} - System32\Tasks\VSPXService => WDCloud.exe s (Pas de fichier)
Task: {CF0CC787-B1F6-4E8D-AB37-B785EF029CA1} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\UpdateAssistant => C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:EosWu:{} (Pas de fichier)
Task: {E38C5BCE-16F6-4211-B0F0-1AF2C39DEA2A} - System32\Tasks\Microsoft\Windows\UpdateAssistant\UpdateAssistant => C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:NHV20:{} (Pas de fichier)
S2 AvastWscReporter; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver [X]
C:\Users\gide.nkouka\Desktop\avast_one_free_antivirus.exe
U4 npcap_wifi; pas de ImagePath
Task: {E75FF40D-17F3-4C0B-BE4E-A87E8EA08881} - System32\Tasks\RSS Feed PTX => C:\Users\gide.nkouka\AppData\Local\Packages\PXT\v1-0\rhc.exe [1536 2022-08-14] () [Fichier non signé]
Task: {EBD09F1C-F628-47D7-B2EF-8A5715F10808} - System32\Tasks\RSS Feed PTX UD => C:\Users\gide.nkouka\AppData\Local\Packages\PXT\v1-0\rhc.exe [1536 2022-08-14] () [Fichier non signé]
ShellIconOverlayIdentifiers: [   IDM Shell Extension] -> {CDC95B92-E27C-4745-A8C5-64A52A78855D} =>  -> Pas de fichier
FirewallRules: [{DC51B973-ADDE-4670-9828-0BF33E8A2B38}] => (Allow) C:\Program Files\KMSpico\AutoPico.exe => Pas de fichier
FirewallRules: [{C34EE03D-47E6-4177-A299-92285F8B1A60}] => (Allow) C:\Program Files\KMSpico\AutoPico.exe => Pas de fichier
FirewallRules: [{49771026-82A6-4630-9A5C-A58B2D61896E}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe => Pas de fichier
FirewallRules: [{DD350771-26B1-4C54-93B8-26DE7EFCAB76}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe => Pas de fichier
C:\Users\gide.nkouka\AppData\Local\Packages\PXT
C:\Users\gide.nkouka\AppData\Local\AVAST Software
C:\ProgramData\AVAST Software
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Ta version de Windows 10 n'est pas à jour :

Tu peux le vérifier soit en allant dans Windows Update la version 22H2 doit y être disponible.

OU

Tu peux aussi le vérifier le vérifier via cette page clique pour cela sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps.


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.

0
jus2mandarine Messages postés 220 Date d'inscription vendredi 5 juin 2015 Statut Membre Dernière intervention 1 décembre 2023
15 nov. 2022 à 10:18

Quelqu'un peux m'aider à modifier le mot de passe de mon compte Comment ça marche ? Je ne retrouve pas l'endroit où il faut le modifier.

Merci de votre aide 

0
bazfile Messages postés 52783 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 février 2024 18 327
Modifié le 15 nov. 2022 à 10:26

Tu vas sur ton profil https://forums.commentcamarche.net/profile/user/jus2mandarine

Puis tu cliques sur modifier mon profil et tu changes ton mot de passe.

Ne change tes mots de passe qu'une fois la désinfection terminée.

0
jus2mandarine Messages postés 220 Date d'inscription vendredi 5 juin 2015 Statut Membre Dernière intervention 1 décembre 2023
15 nov. 2022 à 11:58

Ci-dessous, le lien du fichier Fixlog.txt :

https://www.cjoint.com/c/LKpk4IAFKhS

Par ailleurs, après avoir désinstaller Malwarebytes, je remarque à nouveau la présence d'une croix rouge sur mon Windows defender.

Merci pour le feedback

0
bazfile Messages postés 52783 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 février 2024 18 327
Modifié le 15 nov. 2022 à 12:01

Que dit Windows defender via cette croix rouge ?

Fait une nouvelle analyse FRST et donne les liens des rapports.

0
jus2mandarine Messages postés 220 Date d'inscription vendredi 5 juin 2015 Statut Membre Dernière intervention 1 décembre 2023
15 nov. 2022 à 12:17

La machine est infectée

0
jus2mandarine Messages postés 220 Date d'inscription vendredi 5 juin 2015 Statut Membre Dernière intervention 1 décembre 2023
15 nov. 2022 à 16:58

Ci-dessous, le nouveau fichier FRST.txt après la nouvelle analyse :

https://www.cjoint.com/c/LKpp3cN3MFy

Ci-dessous, le nouveau fichier Addition.txt après la nouvelle analyse :

https://www.cjoint.com/c/LKpp5XTtc2y

Merci pour le feedback

0
bazfile Messages postés 52783 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 février 2024 18 327
Modifié le 15 nov. 2022 à 22:46

Le rapport FRST n'est pas complet il manque le début.

Tu me dis que Windows Defender dit que "La machine est infectée" oui mais normalement il doit y avoir une description de ce qui est trouvé fichier ou dossier, dit moi ce que Windows Defender a trouvé en cliquant sur l'historique d'analyse, quand Windows Defender trouve quelque chose il y a aussi la possibilité de cliquer sur supprimer les menaces.

Dans le rapport FRST il n'y a plus d'infection qui apparaît, on voit que Windows Defender a trouvé hier un problème dans le dossier temporaire qui normalement a été vidé par le script FRST pour être certain que ce fichier présent dans le dossier temporaire n'est plus présent comme tu l'as fait précédemment, fait la correction FRST qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
C:\Windows\Temp\asw.7ed4db4eb1b5c38f\avast_one_essential_setup_online_x64.exe
EmptyTemp:
End::

Pour terminer fait un scan avec Kaspersky Virus Removal Tool ce logiciel est portable c'est à dire sans installation, pour savoir comment l'utiliser voici un tutoriel.

0
jus2mandarine Messages postés 220 Date d'inscription vendredi 5 juin 2015 Statut Membre Dernière intervention 1 décembre 2023
Modifié le 16 nov. 2022 à 13:39

Voici le lien relatif à ce qui s'affiche sur Windows defender :

https://www.cjoint.com/c/LKqmA08r1Vt

Cdt /-

0
bazfile Messages postés 52783 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 février 2024 18 327
16 nov. 2022 à 14:19

Cette détection a été faite le 9 novembre aujourd'hui nous sommes le 16 cela m'étonnerait qu'un scan de Windows Defender trouve toujours cette infection, vu que ton pc a été désinfecté, fait un scan avec Windows Defender et vérifie s'il trouve toujours cette infection.

0
jus2mandarine Messages postés 220 Date d'inscription vendredi 5 juin 2015 Statut Membre Dernière intervention 1 décembre 2023
16 nov. 2022 à 15:59

Ci-dessous, une capture de Windows defender actualisée

https://www.cjoint.com/c/LKqo6B1A5Et

Cdt /-

0
bazfile Messages postés 52783 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 février 2024 18 327
Modifié le 16 nov. 2022 à 16:13

Clique sur intervenir et dis-moi ce qui se passe.

As-tu fait le scan avec Kaspersky Virus Removal Tool que je t'ai demandé dans mon message n°16 ?

0
jus2mandarine Messages postés 220 Date d'inscription vendredi 5 juin 2015 Statut Membre Dernière intervention 1 décembre 2023
17 nov. 2022 à 12:48

Bonjour Bazfie,

J'ai supprimé les virus avec Kaspersky Virus Removal. J'ai refait une nouvelle analyse pour voir ce que ça donne.

Cdt /-

0
bazfile Messages postés 52783 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 février 2024 18 327
17 nov. 2022 à 12:50

OK dis moi si c'est bon ou pas.

0
jus2mandarine Messages postés 220 Date d'inscription vendredi 5 juin 2015 Statut Membre Dernière intervention 1 décembre 2023
17 nov. 2022 à 12:53

Pour l'instant la croix rouge de Windows defender est toujours là. J'attends la fin de l'analyse pour conclure.

0
bazfile Messages postés 52783 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 février 2024 18 327
17 nov. 2022 à 12:56

Avant de faire le scan avec Windows Defender, as-tu essayé de cliquer sur "intervenir" ? Si oui qu'est ce que cela a donné ?

0
jus2mandarine Messages postés 220 Date d'inscription vendredi 5 juin 2015 Statut Membre Dernière intervention 1 décembre 2023
17 nov. 2022 à 12:59

J'avoue que je n'ai plus fait cette opération, car après l'avoir effectuée plusieurs fois, ça ne donnait rien. C'est pourquoi j'ai directement lancé une analyse avec Kaspersky. 

0
bazfile Messages postés 52783 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 février 2024 18 327
17 nov. 2022 à 14:05

Ok 

Afin d'être certain que cette détection ne soit pas une détection restée dans l'historique et qui revient comme la marée, supprime l'historique de Windows Defender lire très attentivement CETTE PAGE.

0