Supprimer virus WDCloud.exe msil/ducksteal.sk!mtb .
Résolu/Fermébazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 - 17 nov. 2022 à 14:05
- Wdcloud virus
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Tinyurl.com virus - Forum Virus
- Virus mcafee - Accueil - Piratage
15 réponses
14 nov. 2022 à 14:38
Bonjour.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Clique sur Analyser
Attention, attendre que les messages disant que l'analyse est terminée s'affichent.
À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.
Ensuite envoie les rapports FRST et ADDITION sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.
14 nov. 2022 à 15:33
Bonjour Bazfile,
J'ai quelques dffiicultés avec la toute dernière partie de ton message.
Ci-dessous le lien du fichier FRST.txt :
https://www.cjoint.com/c/LKooDv50Wwl
Ci-dessous, le lien du fichier Addition.txt :
https://www.cjoint.com/c/LKooGUc6i2l
Dans l'attente de votre feed-back
Cdt/-
Modifié le 14 nov. 2022 à 16:25
Tu as utilisé le crack KMSpico tu as essayé de le désinstaller mais il est toujours présent il faut éviter les cracks ils sont source d'infection.
Il y a pas mal de politiques de restrictions logicielles qui ont été mises en place sur ton pc est-ce toi qui les a configuré ?
Ton disque C est presque plein il va falloir faire de la place car cela ralenti ton pc qui doit être assez lent vu que c'est un pc très peu puissant d'entrée de gamme.
Fait un scan et un nettoyage avec Malwarebytes en version gratuite bien lire cette page transmet moi via PJJOINT le rapport de Malwarebytes tout est expliqué sur la page.
Puis fait une nouvelle analyse FRST et donne les liens des rapports.
14 nov. 2022 à 17:25
Ci-dessous le rapport de l'analyse avec Malwarebytes :
https://www.cjoint.com/c/LKoqxmRegIl
Cordiale réception /-
Modifié le 14 nov. 2022 à 17:30
OK, met en quarantaine ce que Malwarebytes a détecté puis supprime les éléments en quarantaine termine par une nouvelle analyse FRST et donne les liens des rapports.
14 nov. 2022 à 18:17
Ci-dessous, le nouveau rapport FRST.txt
https://www.cjoint.com/c/LKornT0XIwl
Ci-dessous, le nouveau rapport Addition.txt
https://www.cjoint.com/c/LKorq3iUgkl
Cordialement /-
Modifié le 14 nov. 2022 à 18:48
Tu n'as pas répondu à ma question posée plus haut je te la rappelle :
Il y a pas mal de politiques de restrictions logicielles qui ont été mises en place sur ton pc est-ce toi qui les a configuré ?
Une fois que tu auras répondu à ma question je ferais un script de désinfection car ton pc est encore bien infecté.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question15 nov. 2022 à 09:24
Bonjour Bazfile,
Oui, c'est bien moi qui ai configuré ces restrictions.
Cdt /-
Modifié le 15 nov. 2022 à 10:23
ATTENTION :
Une fois la désinfection terminée tu devras changer tous tes mots de passe en ligne ils ont été dérobés, ton pc était infecté par le malware Ducktail.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction
HKU\S-1-5-21-2987775730-2434628737-2840101130-3813\...\Run: [GoogleDriveSync] => "C:\Program Files\Google\Drive\googledrivesync.exe" /autostart (Pas de fichier)
Task: {364FAA22-D350-412B-BC22-E016C31C8EA5} - System32\Tasks\VSPXService_LG => WDCloud.exe t (Pas de fichier)
Task: {49293829-21C5-4C64-AA0C-1E36BF4BE9E0} - System32\Tasks\Microsoft\Windows\UpdateAssistant\UpdateAssistantAllUsersRun => C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:NHV20:{} /AllUsersRun (Pas de fichier)
Task: {71B7C2A7-9F5A-4432-8CF4-A4FA261291F7} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask => C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Disable (Pas de fichier)
Task: {88F21920-2667-4A67-8C1C-160F9D9472F1} - System32\Tasks\Microsoft\Windows\UpdateAssistant\UpdateAssistantCalendarRun => C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:NHV20:{} /CalendarRun (Pas de fichier)
Task: {B5B8DFF3-C121-4300-83F7-F140030317F1} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\UpdateAssistantCalendarRun => C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:EosWu:{} /CalendarRun (Pas de fichier)
Task: {C62E6FB7-3F1D-4BA6-B745-66D4B50FC411} - System32\Tasks\Microsoft\Windows\UpdateAssistant\UpdateAssistantWakeupRun => C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:NHV20:{} /WakeupRun (Pas de fichier)
Task: {C7D1AD23-77ED-4EC0-A990-B9D3D7C6A9F5} - System32\Tasks\VSPXService => WDCloud.exe s (Pas de fichier)
Task: {CF0CC787-B1F6-4E8D-AB37-B785EF029CA1} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\UpdateAssistant => C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:EosWu:{} (Pas de fichier)
Task: {E38C5BCE-16F6-4211-B0F0-1AF2C39DEA2A} - System32\Tasks\Microsoft\Windows\UpdateAssistant\UpdateAssistant => C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:NHV20:{} (Pas de fichier)
S2 AvastWscReporter; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver [X]
C:\Users\gide.nkouka\Desktop\avast_one_free_antivirus.exe
U4 npcap_wifi; pas de ImagePath
Task: {E75FF40D-17F3-4C0B-BE4E-A87E8EA08881} - System32\Tasks\RSS Feed PTX => C:\Users\gide.nkouka\AppData\Local\Packages\PXT\v1-0\rhc.exe [1536 2022-08-14] () [Fichier non signé]
Task: {EBD09F1C-F628-47D7-B2EF-8A5715F10808} - System32\Tasks\RSS Feed PTX UD => C:\Users\gide.nkouka\AppData\Local\Packages\PXT\v1-0\rhc.exe [1536 2022-08-14] () [Fichier non signé]
ShellIconOverlayIdentifiers: [ IDM Shell Extension] -> {CDC95B92-E27C-4745-A8C5-64A52A78855D} => -> Pas de fichier
FirewallRules: [{DC51B973-ADDE-4670-9828-0BF33E8A2B38}] => (Allow) C:\Program Files\KMSpico\AutoPico.exe => Pas de fichier
FirewallRules: [{C34EE03D-47E6-4177-A299-92285F8B1A60}] => (Allow) C:\Program Files\KMSpico\AutoPico.exe => Pas de fichier
FirewallRules: [{49771026-82A6-4630-9A5C-A58B2D61896E}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe => Pas de fichier
FirewallRules: [{DD350771-26B1-4C54-93B8-26DE7EFCAB76}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe => Pas de fichier
C:\Users\gide.nkouka\AppData\Local\Packages\PXT
C:\Users\gide.nkouka\AppData\Local\AVAST Software
C:\ProgramData\AVAST Software
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
Ta version de Windows 10 n'est pas à jour :
Tu peux le vérifier soit en allant dans Windows Update la version 22H2 doit y être disponible.
OU
Tu peux aussi le vérifier le vérifier via cette page clique pour cela sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps.
15 nov. 2022 à 10:18
Quelqu'un peux m'aider à modifier le mot de passe de mon compte Comment ça marche ? Je ne retrouve pas l'endroit où il faut le modifier.
Merci de votre aide
Modifié le 15 nov. 2022 à 10:26
Tu vas sur ton profil https://forums.commentcamarche.net/profile/user/jus2mandarine
Puis tu cliques sur modifier mon profil et tu changes ton mot de passe.
Ne change tes mots de passe qu'une fois la désinfection terminée.
15 nov. 2022 à 11:58
Ci-dessous, le lien du fichier Fixlog.txt :
https://www.cjoint.com/c/LKpk4IAFKhS
Par ailleurs, après avoir désinstaller Malwarebytes, je remarque à nouveau la présence d'une croix rouge sur mon Windows defender.
Merci pour le feedback
Modifié le 15 nov. 2022 à 12:01
Que dit Windows defender via cette croix rouge ?
Fait une nouvelle analyse FRST et donne les liens des rapports.
15 nov. 2022 à 12:17
La machine est infectée
15 nov. 2022 à 16:58
Ci-dessous, le nouveau fichier FRST.txt après la nouvelle analyse :
https://www.cjoint.com/c/LKpp3cN3MFy
Ci-dessous, le nouveau fichier Addition.txt après la nouvelle analyse :
https://www.cjoint.com/c/LKpp5XTtc2y
Merci pour le feedback
Modifié le 15 nov. 2022 à 22:46
Le rapport FRST n'est pas complet il manque le début.
Tu me dis que Windows Defender dit que "La machine est infectée" oui mais normalement il doit y avoir une description de ce qui est trouvé fichier ou dossier, dit moi ce que Windows Defender a trouvé en cliquant sur l'historique d'analyse, quand Windows Defender trouve quelque chose il y a aussi la possibilité de cliquer sur supprimer les menaces.
Dans le rapport FRST il n'y a plus d'infection qui apparaît, on voit que Windows Defender a trouvé hier un problème dans le dossier temporaire qui normalement a été vidé par le script FRST pour être certain que ce fichier présent dans le dossier temporaire n'est plus présent comme tu l'as fait précédemment, fait la correction FRST qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
C:\Windows\Temp\asw.7ed4db4eb1b5c38f\avast_one_essential_setup_online_x64.exe
EmptyTemp:
End::
Pour terminer fait un scan avec Kaspersky Virus Removal Tool ce logiciel est portable c'est à dire sans installation, pour savoir comment l'utiliser voici un tutoriel.
Modifié le 16 nov. 2022 à 13:39
Voici le lien relatif à ce qui s'affiche sur Windows defender :
https://www.cjoint.com/c/LKqmA08r1Vt
Cdt /-
16 nov. 2022 à 14:19
Cette détection a été faite le 9 novembre aujourd'hui nous sommes le 16 cela m'étonnerait qu'un scan de Windows Defender trouve toujours cette infection, vu que ton pc a été désinfecté, fait un scan avec Windows Defender et vérifie s'il trouve toujours cette infection.
16 nov. 2022 à 15:59
Ci-dessous, une capture de Windows defender actualisée
https://www.cjoint.com/c/LKqo6B1A5Et
Cdt /-
Modifié le 16 nov. 2022 à 16:13
Clique sur intervenir et dis-moi ce qui se passe.
As-tu fait le scan avec Kaspersky Virus Removal Tool que je t'ai demandé dans mon message n°16 ?
17 nov. 2022 à 12:48
Bonjour Bazfie,
J'ai supprimé les virus avec Kaspersky Virus Removal. J'ai refait une nouvelle analyse pour voir ce que ça donne.
Cdt /-
17 nov. 2022 à 12:50
OK dis moi si c'est bon ou pas.
17 nov. 2022 à 12:53
Pour l'instant la croix rouge de Windows defender est toujours là. J'attends la fin de l'analyse pour conclure.
17 nov. 2022 à 12:56
Avant de faire le scan avec Windows Defender, as-tu essayé de cliquer sur "intervenir" ? Si oui qu'est ce que cela a donné ?
17 nov. 2022 à 12:59
J'avoue que je n'ai plus fait cette opération, car après l'avoir effectuée plusieurs fois, ça ne donnait rien. C'est pourquoi j'ai directement lancé une analyse avec Kaspersky.
17 nov. 2022 à 14:05
Ok
Afin d'être certain que cette détection ne soit pas une détection restée dans l'historique et qui revient comme la marée, supprime l'historique de Windows Defender lire très attentivement CETTE PAGE.