Trojan a cause d une installation de virus

Résolu/Fermé
Moha123 - Modifié le 21 déc. 2022 à 10:14
bazfile Messages postés 52690 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 23 février 2024 - 7 janv. 2023 à 20:34

Bonjour, j ai le même problème j attend votre réponse

j'ai lancé un scan Farbar Recovery Scan Tool (FRST), dont voici les fichiers de résultat:
shortcut : https://pjjoint.malekal.com/files.php?id=20221215_p11k138w11j11 
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20221215_u7o6y10y6e13 
Addition : https://pjjoint.malekal.com/files.php?id=20221215_r7e8u8z5f13

j ai fais ca :

 
Start:
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-3468617430-44159972-251295365-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:

est le resultat ici:

https://pjjoint.malekal.com/files.php?id=20221215_i13h9s10o7f11 

j ai fais aussi ca :

 
CreateRestorePoint:
CloseProcesses:
 2019-01-08 21:44 - 2019-01-08 22:05 - 000000000 ____D C:\Users\midri\AppData\Roaming\dsngqbt35ew 
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-2026604856-2064188759-876609455-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize 
 C:\Program Files (x86)\Lavasoft
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

est le résultat ici:

https://pjjoint.malekal.com/files.php?id=20221215_g13t7t13u13u8 .


Windows / Chrome 108.0.0.0

A voir également:

21 réponses

bazfile Messages postés 52690 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 23 février 2024 18 313
16 déc. 2022 à 11:51

tout ca a cause d une fichier malware que j ai installé

Quel logiciel as-tu installé pour avoir ce problème est-ce le plugin Red Giant ?

À l'avenir arrête de télécharger des logiciels crackés tu éviteras d'avoir ce genre de problème, divers renseignements ont pu être dérobées (mot de passe , numéro de carte bleue etc etc.....).

J'attends une réponse précise et détaillée.

bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.

1
bazfile Messages postés 52690 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 23 février 2024 18 313
16 déc. 2022 à 19:39

Le script qui suit va analyser certains fichiers suspects.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
VirusTotal: D:\Games 2\fdm.exe; C:\Users\user\AppData\Local\Google\Update\1.3.36.152\GoogleUpdateCore.exe; C:\Program Files (x86)\Red Giant Link\Red Giant Link.exe; D:\Games 2\helperservice.exe; C:\Users\user\AppData\Local\Google\Update\GoogleUpdate.exe
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.

1
bazfile Messages postés 52690 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 23 février 2024 18 313
16 déc. 2022 à 21:25

Fait une désinfection avec Kaspersky Virus Removal Tool pour l'utiliser regarde ce tutoriel.


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.

1
bazfile Messages postés 52690 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 23 février 2024 18 313
Modifié le 15 déc. 2022 à 13:30

Bonjour.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4071545948-2669487297-3283753599-1001\...\Run: [EADM] => "D:\Games\Origin\Origin.exe" -AutoStart (Pas de fichier)
HKU\S-1-5-21-4071545948-2669487297-3283753599-1001\...\Run: [sila.exe] => C:\Users\user\Desktop\1000017053\sila.exe (Pas de fichier)
Task: {036898D1-5867-4F0C-96E2-5B20EB730A1C} - \Firefox Default Browser Agent 71538395FC0152F6 -> Pas de fichier 
Task: {0D8A5762-B69B-4950-A029-E0593F4BDA56} - \Windows Service Task -> Pas de fichier 
Task: {145DC112-FAEA-458C-8E98-01748B9BB3F1} - \Firefox Default Browser Agent 4DF55D14A58A467D -> Pas de fichier 
Task: {3D6EAA17-CA2E-4D40-9EC1-B52729910F5D} - \Firefox Default Browser Agent 2DCDF0D1E99D82CA -> Pas de fichier 
Task: {4E0ABBC1-A0AA-4E87-93C6-82D0D09502B4} - \Azure-Update-Task -> Pas de fichier 
Task: {6A419C07-3D2C-48BC-8360-B14DA6698E56} - \Time Trigger Task -> Pas de fichier 
Task: {8AF3E92A-768C-42B4-B956-93A74795EAD3} - \PowerControl LG -> Pas de fichier 
Task: {910517D1-4229-466E-93AD-2D3D84D25141} - \MicrosoftEdgeUpdateTaskMachineCore -> Pas de fichier 
Task: {A0B5AA99-A5D3-437E-B68C-34E168C5A2E2} - \PowerControl HR -> Pas de fichier 
Task: {B46DDEC7-EC1D-4413-BC74-7FE275D7C0AC} - System32\Tasks\gntuud.exe => C:\Users\user\AppData\Local\Temp\613bae0a89\gntuud.exe (Pas de fichier) 
Task: {B9628B49-0D3C-4854-9324-BDCDA76712E2} - \Firefox Default Browser Agent 6E9370E0BE86E5EC -> Pas de fichier 
Task: {E4727DCD-14EE-4510-BA46-359F6A407C7B} - \Firefox Default Browser Agent 27678E0D0D314602 -> Pas de fichier 
Task: {E9AA4E80-82F1-4308-AAF7-0A2795548CC5} - \Microsoft\Office\proupc -> Pas de fichier 
FF Plugin HKU\S-1-5-21-4071545948-2669487297-3283753599-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [Pas de fichier]
S2 egGetSvc; "C:\Program Files (x86)\EagleGet\EGMonitor.exe" /svc [X]
S2 HotKeyServiceUWP; %SystemRoot%\System32\DriverStore\FileRepository\hpqkbsoftwarecompnent.inf_amd64_5c0b90ae6269072a\HotKeyServiceUWP.exe [X]
S2 LanWlanWwanSwitchingServiceUWP; %SystemRoot%\System32\DriverStore\FileRepository\hpqkbsoftwarecompnent.inf_amd64_5c0b90ae6269072a\LanWlanWwanSwitchingServiceUWP.exe [X]
S2 luminati_net_updater_win_eagleget_com; "C:/Program Files (x86)/EagleGet/net_updater32.exe" --updater win_eagleget.com [X]
S2 valWBFPolicyService; %SystemRoot%\system32\valWBFPolicyService.exe [X]
S4 WdNisSvc; "%ProgramData%\Microsoft\Windows Defender\Platform\4.18.2209.7-0\NisSrv.exe" [X]
S4 WinDefend; "C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2209.7-0\MsMpEng.exe" [X]
U4 MsSecFlt; pas de ImagePath
U4 Sense; pas de ImagePath
U4 SgrmAgent; pas de ImagePath
U4 SgrmBroker; pas de ImagePath
S4 WdBoot; \SystemRoot\system32\drivers\wd\WdBoot.sys [X]
S4 WdFilter; \SystemRoot\system32\drivers\wd\WdFilter.sys [X]
S4 WdNisDrv; system32\drivers\wd\WdNisDrv.sys [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
HKU\S-1-5-21-4071545948-2669487297-3283753599-1001\...\Run: [ChromeUpdaters] => C:\ProgramData\updwin.exe [6808203 2022-12-14] () [Fichier non signé] 
Task: {98DB8151-B418-4D78-8EC6-BE17222EDEA3} - System32\Tasks\Window Update => C:\Users\user\AppData\Local\Updates\Run.vbs [1015 2022-05-09] () [Fichier non signé] 
S2 AppServiceq; C:\Windows\system32\KXPKDP0MCL.tmp [6144 2022-12-15] (Microsoft Corporation) [Fichier non signé] 
C:\ProgramData\updwin.exe
C:\Users\user\AppData\Local\Updates\Run.vbs
C:\Windows\system32\KXPKDP0MCL.tmp
CustomCLSID: HKU\S-1-5-21-4071545948-2669487297-3283753599-1001_Classes\CLSID\{041F9391-C79D-44EE-AA4E-AF4E029C4B47}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.36.112\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4071545948-2669487297-3283753599-1001_Classes\CLSID\{69545769-8D02-4B07-A481-AD374CD8D5D1}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.36.132\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-4071545948-2669487297-3283753599-1001_Classes\CLSID\{75399D28-E622-4973-8752-BC0F7DC47AF3}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.36.122\psuser_64.dll => Pas de fichier
C:\Users\user\AppData\Roaming\********-****-****-****-************
RemoveProxy:
cmd: netsh advfirewall reset
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Non le probleme n est pas resolus  ca c est le fichier :

https://pjjoint.malekal.com/files.php?id=20221215_t9h10k7x11p5

0
bazfile Messages postés 52690 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 23 février 2024 18 313
Modifié le 15 déc. 2022 à 19:55

Qu'est qui te fait dire que ce n'est pas résolu, explique clairement ce que tu constates, car tu n'as pas décrit ton problème tu as juste dit "j'ai le même problème" de quel problème s'agit-il ? 

Fait une nouvelle analyse FRST et donne les liens des rapports FRST et Addition.

1
Moha1234mldmflsdmfl Messages postés 7 Date d'inscription jeudi 15 décembre 2022 Statut Membre Dernière intervention 3 janvier 2023
15 déc. 2022 à 21:52

j ai le meme probleme , mon windows defender ne s affiche pas et me dis "votre administrateur informatique a limité l'accée a certaines zones , et aussi mon email en ete attacke mais j ai changer les mot de passe maintenant je cherche a ejecter le virus de mon laptop , et un autre probleme que chrome se ferme soudainment. j' ai fais tous ce que vous faite et j ai envoyer un forum de mon laptop mais maintenant je ne le trouve  pas , aussi tant que je le envoyer chrome arrete soudainement , et je etais obliges de le ecrire plusieur fois je pense que c est un pirate qui attack mon laptop .

 j ai fais l'analyse et les lienes sont au dessus

0
Moha1234mldmflsdmfl Messages postés 7 Date d'inscription jeudi 15 décembre 2022 Statut Membre Dernière intervention 3 janvier 2023
15 déc. 2022 à 21:53

tout ca a cause d une fichier malware que j ai installé

0
bazfile Messages postés 52690 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 23 février 2024 18 313
Modifié le 15 déc. 2022 à 23:59

Fait une nouvelle analyse FRST et donne les liens des rapports frst et addition pour que je puisse voir ce qui reste, il y a 2 tâches planifiées de Chrome qui me semble suspectes.

1
Moha1234mldmflsdmfl Messages postés 7 Date d'inscription jeudi 15 décembre 2022 Statut Membre Dernière intervention 3 janvier 2023
Modifié le 16 déc. 2022 à 10:46
0
Moha1234mldmflsdmfl Messages postés 7 Date d'inscription jeudi 15 décembre 2022 Statut Membre Dernière intervention 3 janvier 2023
16 déc. 2022 à 14:15

celui la 

c est ca le lien :

https://www.google.com/search?q=super+morphing+script+free+download&oq=script+morphin&aqs=chrome.1.69i57j0i22i30l2j0i22i30i455.13889j1j7&sourceid=chrome&ie=UTF-8

0
Moha1234mldmflsdmfl Messages postés 7 Date d'inscription jeudi 15 décembre 2022 Statut Membre Dernière intervention 3 janvier 2023
Modifié le 16 déc. 2022 à 19:57
0
bazfile Messages postés 52690 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 23 février 2024 18 313
16 déc. 2022 à 20:10

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
S2 AppServicef; C:\Windows\system32\KXPKDP0MCL.tmp
C:\Windows\system32\KXPKDP0MCL.tmp
AutoConfigURL: [S-1-5-21-4071545948-2669487297-3283753599-1001] => hxxp://34.80.59.191/win.pac
ManualProxies: 0hxxp://34.80.59.191/win.pac 
HKLM-x32\...\Run: [QuickTime Task] => "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime (Pas de fichier)
HKU\S-1-5-21-4071545948-2669487297-3283753599-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (Pas de fichier)
HKU\S-1-5-21-4071545948-2669487297-3283753599-1001\...\Run: [Adobe Acrobat Synchronizer] => "C:\Program Files\Adobe\Acrobat DC\Acrobat\AdobeCollabSync.exe" (Pas de fichier)
C:\Program Files (x86)\Lavasoft\Web Companion
Task: {3B4AC239-C3E2-42B5-AF07-E61C7BBEA9E9} - System32\Tasks\Red Giant Link => C:\Program [Argument = Files (x86)\Red Giant Link\Red Giant Link.exe]
CHR DefaultSearchURL: Default -> hxxps://feed.streambeesearch.com/?q={searchTerms}&publisher=streambeesearch&barcodeid=578230000000000
CHR DefaultSearchKeyword: Default -> StreamBeeSearch
CHR DefaultSuggestURL: Default -> hxxps://api.streambeesearch.com/suggest/get?q={searchTerms}
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.

0

ca c est le lien le probleme n est pas resolu:

https://pjjoint.malekal.com/files.php?id=20221216_e12w11b5s6l13

0

j ai lancer le scan je vous repond des que possible , Merci Beaucoup!

0
bazfile Messages postés 52690 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 23 février 2024 18 313
Modifié le 17 déc. 2022 à 00:36

Free download manager (FDM) est installé dans un dossier qui n'est pas le dossier d'installation normal, est-ce toi qui l'a installé dans  D:\Games 2 si ce n'est pas toi qui l'a installé à cet endroit et seulement dans ce cas fait la correction FRST qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
S2 AppServicef; C:\Windows\system32\KXPKDP0MCL.tmp
C:\Windows\system32\KXPKDP0MCL.tmp
AutoConfigURL: [S-1-5-21-4071545948-2669487297-3283753599-1001] => hxxp://34.80.59.191/win.pac
ManualProxies: 0hxxp://34.80.59.191/win.pac 
HKU\S-1-5-21-4071545948-2669487297-3283753599-1001\...\Run: [Free Download Manager] => D:\Games 2\fdm.exe [5654016 2022-08-18] (Softdeluxe) [Fichier non signé]
Task: {D1AFFB09-82AA-4E8B-B3FC-DEA9C64E18AC} - System32\Tasks\FreeDownloadManagerHelperService => D:\Games 2\helperservice.exe [128000 2022-08-18] (Softdeluxe) [Fichier non signé]
D:\Games 2\helperservice.exe
D:\Games 2\fdm.exe
RemoveProxy:
EmptyTemp:
End::
0

j ai fais mais pas de resultat je veut le repeter une autre fois ,

pour le FDM tu as raison car je trouve une erreur de l application j ai fais ce que vous demandez.

mais aussi j ai un probleme lorsque je telecharge un logiciel sur chrome , apres une moment je ne le trouve pas!

0
bazfile Messages postés 52690 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 23 février 2024 18 313
Modifié le 17 déc. 2022 à 00:29

Vu que Kaspersky Virus Removal Tool n'a rien trouvé et que la suppression de FDM ne résout pas le problème, possible que le malware ait pris le nom d'un logiciel valide, je pense à Chrome car les tâches planifiées se font via un dossier qui n'est pas le dossier habituel.

Fait une nouvelle analyse et donne les liens des deux rapports.

0

est ce que je fais maintenant?

0
bazfile Messages postés 52690 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 23 février 2024 18 313
Modifié le 11 janv. 2023 à 18:10

Il n'y a plus d'infection sur ton pc, il y avait entre autre un proxy infectieux et il n'est plus présent le dernier script FRST a tout supprimé, il y a pas mal de choses à faire dans l'ordre indiqué :
 

Tu as trois antivirus sur ton pc, Windows Defender ça c'est normal il est inclus avec Windows 10 il  est efficace et suffisant il s'active automatiquement dés qu'aucun autre antivirus n'est installé.
 

Mais tu as aussi Kaspersky et Bitdefender il y a aussi Malwarebytes mais pour lui c'est différent, il ne faut jamais avoir plusieurs antivirus sur un pc cela provoque des bugs pouvant aller jusqu'au blocage du pc.
 

Kaspersky et Bitdefender sont désactivés mais ils lancent pas mal de processus.
 

1-Désinstalle "Bitdefender Agent" avec Revo Uninstaller en mode scan avancé.

Tutoriel Revo Uninstaller à lire attentivement.

Accepter la désinstallation du programme que l'on souhaite désinstaller et si il y a un message d'erreur disant que la désinstallation est impossible fermer le message d'erreur et continuer la procédure.

Cocher "Scan avancé" puis cliquer sur "Scan".

Cliquer sur "Sélectionner tout" puis sur "Supprimer" si une deuxième liste apparaît faire de même puis une fois que tout est supprimé cliquer sur "Fini" un redémarrage sera peut-être demandé.

2- Désinstalle "Kaspersky" avec cet utilitaire de Kaspersky.

3- Réinitialise "Google Chrome" voir cette page.

Cela aurait été mieux de désinstaller Google Chrome avec RevoUninstaller et de le réinstaller au propre mais cette désinstallation supprime tout donc si tu choisis cette option pense à sauvegarder tes favoris paragraphe Déplacer les favoris vers un autre navigateur.

4- ta version de Windows 10 n'est pas à jour va dans Windows Update pour la mettre à jour vers la version  22H2.

IMPORTANT:

Une fois la désinfection terminée il faudra changer tous tes mots de passe en ligne ils ont pu être dérobés.

1

Merci Beaucoup!

mais pour windows lorsque je veut install la mise a jour il me dit que touts mes donnes seront supprimes! c est le seul choix est-ce qur je peu faire?

0

est ce que tu peut me donner la meme page mais pour windows 11 parceque j ai windows 11.

la 1 er methode ne fonctionne pas :

0
bazfile Messages postés 52690 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 23 février 2024 18 313
Modifié le 11 janv. 2023 à 18:11

C'est ta version de Windows 11 qui n'est pas à jour tu devrais être en version 22H2.

Enfin elle n'est pas à jour si tu ne l'as pas mis à jour entre temps car cela fait 3 jours que tu n'as pas donné de nouvelles, donc appuie simultanément sur les touches Windows et R une fenêtre apparaît copie/colle ceci winver puis clique sur OK donne moi la version de Windows 11 qui  apparait.

0

je m excuse pour le retard c est ca se qui affiche :

0

j attend votre repense 

0