Sujet Précédent Sujet Suivant

Virus ? Niu.exe

Résolu
FireUnik Messages postés 8 Date d'inscription vendredi 27 mai 2022 Statut Membre Dernière intervention 29 juin 2023 - Modifié le 13 mai 2023 à 23:04
bazfile Messages postés 53724 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 - 14 mai 2023 à 17:39

Bonjour

Depuis quelques heures, mon pc execute sans que le lui demande un fichier "niu.exe" que je n'ai pas installé.

Lors des executions, cela lance une pub sonore.

Que faire et comment l'enlever ?

Au cas où, je met en pièce jointe le mixeur de volume lors des interruptions.

Merci,

Cordialement

4 réponses

Réponse 1 / 4
bazfile Messages postés 53724 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 18 480
13 mai 2023 à 23:10

Bonjour.

Si c'est ce que je pense tu as chopé ça via un disque dur externe ou une clé USB.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur PJJOINT puis donne les deux liens générés par PJJOINT dans ta réponse. 
0
Réponse 2 / 4
FireUnik Messages postés 8 Date d'inscription vendredi 27 mai 2022 Statut Membre Dernière intervention 29 juin 2023
Modifié le 14 mai 2023 à 17:15

Bonjour,

Voici les 2 liens que tu m'a demandés :

https://pjjoint.malekal.com/files.php?id=FRST_20230514_z6m12e7j13y13 

https://pjjoint.malekal.com/files.php?id=20230514_y12y5r13b15o11 
0
Réponse 3 / 4
bazfile Messages postés 53724 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 18 480
14 mai 2023 à 14:32

Ton pc est très infecté je m'absente je te reprendrais en fin d'après-midi.
0
Réponse 4 / 4
bazfile Messages postés 53724 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 18 480
Modifié le 23 mai 2023 à 22:11

@FireUnik StatutMembre

Procédure à faire dans l'ordre indiqué :

Désinstalle WeatherZero et  WebAdvisor par McAfee ce sont des adwares.


1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [LaveryLavery] => "C:\Program Files (x86)\Zeiger\touro.exe" (Pas de fichier)
HKLM-x32\...\Run: [BreastsBreasts] => "C:\Program Files (x86)\Zeiger\touro.exe" (Pas de fichier)
Task: {87370488-5EE0-452E-BB28-E18E26D109D4} - System32\Tasks\PC HelpSoft Driver Updater notifications => D:\DU\PC HelpSoft Driver Updater\Extra\HDMSchedule.exe (Pas de fichier) 
Task: {A73DBF2A-5ABC-47ED-AAC1-0DECFA676DFC} - System32\Tasks\PC Cleaner automatic scan and notifications => D:\DU\PC Cleaner\PCCNotifications.exe (Pas de fichier)
Task: {CEB2A820-FBE3-472A-80B6-876852F08471} - System32\Tasks\PC HelpSoft Driver Updater automatic scan and new device notifications => D:\DU\PC HelpSoft Driver Updater\HDMTray.exe (Pas de fichier) 
U1 aswbdisk; pas de ImagePath
S3 GPU-Z-v2; \??\C:\Users\pagui\AppData\Local\Temp\GPU-Z-v2.sys [X] 
S3 GPUZ-v2; \??\C:\WINDOWS\TEMP\GPUZ-v2.sys [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
HKLM\SOFTWARE\Policies\Google: Restriction 
HKU\S-1-5-21-2220694238-3252654848-2662784780-1001\SOFTWARE\Policies\Microsoft\Edge: Restriction 
Task: {19BB36E2-173F-4435-8784-8916C2B33FA2} - System32\Tasks\t8v7nl\2tjnx7\auokl6\87xl3z\9jmohv\r2uzp0\tybmet\xmh4v3\6hx1zo\ph9d7j\l14v5c\yhl7j1\6sw5ms\r3s5cl\h36mc9\s6hev8\nlq4nw => C:\Users\pagui\AppData\Local\Thornberry.exe [313344 2023-05-12] () [Fichier non signé] 
Task: {3855187F-9817-435C-A86D-B80C890C9B9D} - System32\Tasks\dinmeq\3ambzi\twk4jm\t5lbp8\ne09ce\ooqhs7\82jd2q\59wq41\edtbbe\kdgrzn\ah251m\okab1m\tnqenz\gu6wde\3cnhb8\wyq1nd\a5qyeb => C:\Users\pagui\AppData\Local\Thornberry.exe [313344 2023-05-12] () [Fichier non signé] 
Task: {3E3C70E6-3B58-4DCE-91CF-B4AC3A883167} - System32\Tasks\r2ljlf\xu6e7r\zq3b2x\rpyiog\1c4shf\81tj14\45gg7v\a4ckuw\6zhz3w\m9xxne\8fn7z7\7vlg0t\ndtoep\yjrhy8\yjpnpv\8vwtgo\x53m8o => C:\Program Files (x86)\Tuke\Thornberry.exe [313344 2023-05-12] () [Fichier non signé] 
Task: {574AC34E-ACD7-490C-BDC1-D3BA5EED04DF} - System32\Tasks\qlv93p\lej2pn\mbeyce\y9w9z5\7rtt1h\u5nm0s\vji82z\s0px8m\m1gsb8\hg5j5q\yh98fe\fujthj\3kct4u\teqzzz\f8al05\d3ukaw\lk8y9c => C:\Program Files (x86)\Kapuscinski\bedard.exe [63710 2023-05-12] () [Fichier non signé] 
Task: {70BCA33A-9A74-4275-84E7-EBD1E5B16646} - System32\Tasks\1cupue\rm4gne\goa4vf\gmfbfp\sc7t27\lnvqsa\gd869k\xetdci\6eh2rt\u1qpmm\i8zdfp\e7idku\b2mjfy\6jajoa\iegwqa\j3s8xc\akwh3r => C:\Program Files (x86)\Zeiger\Thornberry.exe [313344 2023-05-12] () [Fichier non signé] 
Task: {892C78CE-C886-43B5-AC52-4FCB6397A947} - System32\Tasks\7uy0fn\fitb6y\9h6o7x\d1az1x\4vtlq7\981gem\ift3w4\agpqeb\0k6huw\8kstn4\44vljz\3y3yj8\9tj2xw\ym1w9e\yd7iut\gwzw10\lr01r4 => C:\Program Files (x86)\Zeiger\muscovite.exe [37658 2023-05-12] () [Fichier non signé]
Task: {8D45CB00-B16D-4F67-8AC2-BA3E768E0B7A} - System32\Tasks\bs510a\4qf1i5\7pfltu\xq9n2p\bxn2q4\wq0l6e\jquahz\d599kg\iqo4e5\wcgh0n\0beyxl\17rri7\xunupd\5182xx\sll6xd\ybjjrc\jc3p5i => C:\Program Files (x86)\sld\Nonbiological.exe [313344 2023-05-12] () [Fichier non signé] 
Task: {B43EE378-90FD-4242-AE86-541133642A73} - System32\Tasks\y9tkh3\6e33fi\btci11\h6zxyp\a0wx3q\5dppmp\3l0yak\io5dbc\4cpzxp\58jjjo\i7zs9j\zbwys0\h4hwql\qxsfxq\trdd3i\jgy211\g3io60 => C:\Users\pagui\AppData\Local\yoho.exe [46182 2023-05-12] () [Fichier non signé] 
Task: {BB1399A3-9AB1-4FD2-A65E-2E49237C6CF0} - System32\Tasks\7qjxe8\566kzf\znvm5d\fixxe6\p62t4n\taoqs3\gzjraq\oqley8\ci4l6i\r522d9\n8txqa\fffbt9\z194sc\czhi7p\jiadhu\l6e69n\6t0xdf => C:\Program Files (x86)\Tuke\Nonbiological.exe [313344 2023-05-12] () [Fichier non signé] 
Task: {C514161D-4970-40CC-B6D5-C9B9E3840729} - System32\Tasks\7y138g\5wfwm1\mxo3dp\i9gzuo\l4mldq\hlrg1s\adcaoo\durhkc\l6znou\q0wygv\bbkrm8\s91foa\pxj4qg\dulwor\h5dz6f\avkfbc\pb5f6e => C:\Users\pagui\AppData\Local\Nonbiological.exe [313344 2023-05-12] () [Fichier non signé] 
Task: {C5B3515F-583A-4B31-A4A3-2C5218A43A32} - System32\Tasks\0am5af\l0j9fi\tg3t94\cwo3dh\reyo3g\hcat5z\qt7jta\zgviq7\wj9j0p\pmvk5v\dc6ity\8awzt8\7g8740\57s9va\2socn5\d9dcay\ydm4mj => C:\Program Files (x86)\sld\Nonbiological.exe [313344 2023-05-12] () [Fichier non signé]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
HKLM\...\Run: [Synched] => C:\Program Files (x86)\Zeiger\Thornberry.exe [313344 2023-05-12] () [Fichier non signé]
HKLM\...\Run: [Kates] => C:\Program Files (x86)\sld\Nonbiological.exe [313344 2023-05-12] () [Fichier non signé]
HKLM\...\Run: [Lavery] => C:\Program Files (x86)\Tuke\Thornberry.exe [313344 2023-05-12] () [Fichier non signé]
HKLM-x32\...\Run: [Dunton] => C:\Program Files (x86)\Zeiger\Thornberry.exe [313344 2023-05-12] () [Fichier non signé]
HKLM-x32\...\Run: [Beecham] => C:\Program Files (x86)\sld\Nonbiological.exe [313344 2023-05-12] () [Fichier non signé]
HKLM-x32\...\Run: [Breasts] => C:\Program Files (x86)\Tuke\Thornberry.exe [313344 2023-05-12] () [Fichier non signé]
HKU\S-1-5-21-2220694238-3252654848-2662784780-1001\...\Run: [Crossbill] => C:\Program Files (x86)\Zeiger\Thornberry.exe [313344 2023-05-12] () [Fichier non signé]
HKU\S-1-5-21-2220694238-3252654848-2662784780-1001\...\Run: [Threadgill] => C:\Program Files (x86)\sld\Nonbiological.exe [313344 2023-05-12] () [Fichier non signé]
HKU\S-1-5-21-2220694238-3252654848-2662784780-1001\...\Run: [Josey] => C:\Program Files (x86)\Tuke\Thornberry.exe [313344 2023-05-12] () [Fichier non signé]
HKU\S-1-5-21-2220694238-3252654848-2662784780-1001\...\Run: [Subscriber] => C:\Program Files (x86)\Zeiger\Thornberry.exe [313344 2023-05-12] () [Fichier non signé]
HKU\S-1-5-21-2220694238-3252654848-2662784780-1001\...\Run: [Hogs] => C:\Program Files (x86)\sld\Nonbiological.exe [313344 2023-05-12] () [Fichier non signé]
HKU\S-1-5-21-2220694238-3252654848-2662784780-1001\...\Run: [Kissinger] => C:\Program Files (x86)\Tuke\Thornberry.exe [313344 2023-05-12] () [Fichier non signé]
ShortcutTarget: equivalents.lnk -> C:\Program Files (x86)\Zeiger\Thornberry.exe () [Fichier non signé]
CHR DefaultSearchURL: Profile 4 -> hxxps://yandex.ru/search/?__PARAM__from=chromesearch&text={searchTerms}
CHR DefaultSearchKeyword: Profile 4 -> yandex.ru
CHR DefaultSuggestURL: Profile 4 -> hxxps://suggest.yandex.net/suggest-ff.cgi?uil=ru&part={searchTerms}
ShortcutTarget: equivalentsequivalents.lnk -> C:\Program Files (x86)\sld\Nonbiological.exe () [Fichier non signé]
Edge HomeButtonPage: HKU\S-1-5-21-2220694238-3252654848-2662784780-1001 -> hxxps://www.ya.ru/?win=592&clid=2361864-24
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://www.ya.ru/?win=592&clid=2361864-24
C:\Program Files (x86)\Zeiger
C:\Program Files (x86)\wordperfect
C:\Program Files (x86)\Tuke
2023-05-12 19:20 - 2023-05-12 19:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\y9tkh3
2023-05-12 19:20 - 2023-05-12 19:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\u6uet2
2023-05-12 19:20 - 2023-05-12 19:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\t8v7nl
2023-05-12 19:20 - 2023-05-12 19:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\r2ljlf
2023-05-12 19:20 - 2023-05-12 19:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\qlv93p
2023-05-12 19:20 - 2023-05-12 19:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\dinmeq
2023-05-12 19:20 - 2023-05-12 19:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\bs510a
2023-05-12 19:20 - 2023-05-12 19:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\822ebn
2023-05-12 19:20 - 2023-05-12 19:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\7y138g
2023-05-12 19:20 - 2023-05-12 19:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\7uy0fn
2023-05-12 19:20 - 2023-05-12 19:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\7qjxe8
2023-05-12 19:20 - 2023-05-12 19:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\1cupue
2023-05-12 19:20 - 2023-05-12 19:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\0am5af
C:\Program Files (x86)\sld
C:\Program Files (x86)\prepaying
C:\Program Files (x86)\Kapuscinski
C:\WINDOWS\hydraulic.exe
C:\Users\pagui\AppData\Local\Thornberry.exe
C:\Users\pagui\AppData\Local\Nonbiological.exe
C:\WINDOWS\yoho.exe
C:\Users\pagui\AppData\Local\yoho.exe
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Pas de fichier
cmd: netsh advfirewall reset
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses
je viens de recevoir une alerte aux virus sur mon iphone
Hugoboss23 -
zoulou33 -

6 réponses