Analiser un fichier avec FRST64

Résolu
jus2mandarine Messages postés 258 Statut Membre -  
bazfile Messages postés 58490 Date d'inscription   Statut Modérateur Dernière intervention   -

Bonjour,

Quelqu'un pourrait-il m'aider à interpréter l'état de mon ordinateur avec un rapport généré par le logiciel FRST ? Mon ordinateur est infecté et cela me pose de sérieux problèmes.

Ci-dessous, les liens des fichiers FRST.txt et Addition.txt

https://www.cjoint.com/c/MKDmBUFcJAQ

 https://www.cjoint.com/c/MKDmDgX7ssQ

Dernièrement j'ai échangé avec bazfile. Merci de m'aider si tu as lu cette publication.

Cordialement /-


Windows / Edge 117.0.2045.47

6 réponses

  1. bazfile Messages postés 58490 Date d'inscription   Statut Modérateur Dernière intervention   20 266
     

    Bonjour.

    Dernièrement j'ai échangé avec bazfile.

    C'était il y a un an et tu n'as pas suuivi mes conseils vu que tu as recommencé avec kmsPICO que tu as réinstallé.

    Procédure à faire dans l'ordre indiqué :

    1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
    2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

     
    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction 
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction 
    HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
    HKU\S-1-5-21-3239584733-2071816809-1449778513-1001\...\Run: [DigitalPulse] => C:\Users\hp\AppData\Roaming\DigitalPulse\DigitalPulseService.exe [10453760 2023-08-10] (Digital Pulse -> ) <==== ATTENTION
    HKU\S-1-5-21-3239584733-2071816809-1449778513-1001\...\Run: [imon] => wscript.exe "C:\Users\hp\AppData\Roaming\Microsoft\Windows NT\imon.js" [176 2023-10-02] () [File not signed]
    GroupPolicy: Restriction - Edge 
    Policies: C:\ProgramData\NTUSER.pol: Restriction 
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction
    Task: {E0ACD587-8CEF-41FD-8453-EF7A8665008D} - System32\Tasks\DigitalPulseUpdateTask => C:\Users\hp\AppData\Roaming\DigitalPulse\DigitalPulseUpdate.exe [4906752 2023-08-10] (Digital Pulse -> )
    Task: {E2CC767F-BE1B-47C6-8F60-A65A02FB2E9D} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe  (No File)
    Task: {03DDD375-0563-4A04-A786-784D1CEE4033} - System32\Tasks\Microsoft\OneCore\DirectX\LXPCworking => C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\regasm.exe [58864 2022-06-25] (Microsoft Corporation -> Microsoft Corporation) -> /unregister "C:\Program Files (x86)\KeysHttp\DarkTranj\cscapnzswsBKEY61.dll"
    Task: {620E2238-D4EA-4489-A678-2941A3DFFA44} - System32\Tasks\Microsoft\Windows\CUAssistant\CULauncher => %ProgramFiles%\CUAssistant\culauncher.exe  (No File)
    Task: {F0B3786F-512A-47E2-A6E8-3DC36EEF03E8} - System32\Tasks\nhdues.exe => C:\Users\hp\AppData\Local\Temp\1ff8bec27e\nhdues.exe 
    Task: {615A0CFC-5522-4F82-8DED-936948F840C1} - System32\Tasks\VOauExQRhSdgJhJ2 => C:\WINDOWS\system32\rundll32.exe [71680 2023-05-18] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\pLEtgnEXU\UsQgAc.dll",#1 
    Task: {166C760B-5B19-4567-83DF-21FC3F5F8553} - System32\Tasks\WindowsAppPool\sUaud76NdhgaHbd => C:\Users\hp\AppData\Local\Temp\sUaud76NdhgaHbd.exe  (No File)
    Task: C:\WINDOWS\Tasks\VOauExQRhSdgJhJ.job => C:\Program Files (x86)\pLEtgnEXU\dFYzCK.dll 
    Edge Extension: (No Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [not found]
    Edge Extension: (No Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [not found]
    Edge Notifications: Default -> hxxps://captchaone.lm.r.appspot.com; hxxps://cleancaptcha.lm.r.appspot.com; hxxps://vipcaptchanow.ew.r.appspot.com; hxxps://web.whatsapp.com; hxxps://www.facebook.com
    Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
    Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
    Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms}
    Edge DefaultSearchKeyword: Default -> x-finder.pro
    Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
    U3 wuauserv; C:\WINDOWS\system32\svchost.exe [55320 2023-05-18] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    U3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [46504 2023-05-18] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S4 VBoxGuest; VBoxGuest [X]
    S4 VBoxMouse; VBoxMouse [X]
    S4 VBoxService; VBoxService [X]
    S4 VBoxSF; VBoxSF [X]
    S4 VBoxVideo; VBoxVideo [X]
    S4 VBoxWddm; VBoxWddm [X]
    C:\Program Files (x86)\VBMsLqLYwDUn
    C:\Program Files (x86)\bjiixYyONUZU2
    C:\WINDOWS\system32\Tasks\VOauExQRhSdgJhJ2
    C:\ProgramData\qpWiLFLNAyPZgwVB
    C:\Users\hp\AppData\Roaming\DigitalPulse
    C:\Program Files (x86)\KeysHttp
    C:\Program Files (x86)\pLEtgnEXU
    cmd: netsh advfirewall reset
    EmptyTemp:
    End::

    3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
     


    Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

    Puis une fois ton ordinateur redémarré :
    4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

    5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


    0
  2. jus2mandarine Messages postés 258 Statut Membre 1
     

    Bonjour Bazfile,

    Ce n'est pas mon ordinateur :) . C'est celui d'un ami 

    Merci pour d'avoir répondu à mon message

    Cdt /-

    0
  3. bazfile Messages postés 58490 Date d'inscription   Statut Modérateur Dernière intervention   20 266
     

    Le fixlog est OK as-tu encore des problèmes ?


    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. jus2mandarine Messages postés 258 Statut Membre 1
     

    Voici le message d'erreur qui s'affiche

    0
    1. bazfile Messages postés 58490 Date d'inscription   Statut Modérateur Dernière intervention   20 266
       

      Le pc de ton ami a été infecté par un crypto-ransomware, tous les documents .pdf, .doc .JPEG etc etc.... ont été cryptés, ce qui n'est pas étonnant vu que ton ami télécharge et installe n'importe quoi sur son pc, le pc est désinfecté mais pour ce qui des fichiers cryptés ils le resteront, car il ne faut pas confondre désinfection et décryptage.

      Tu peux essayer de récupérer tes fichiers avec ShadowExplorer.

      Si la récupération est impossible met-les de côté en attendant une "éventuelle solution", mais à mon avis il ne fait pas trop y compter vu que les clés de cryptage sont désormais quasiment toutes online, le décryptage des fichiers est donc la plupart du temps impossible.

      Quelques liens utiles:

      L'outil de décryptage d'Emisoft et son mode d'emploi

      https://www.bleepingcomputer.com/forums/t/712909/stop-djvu-alka-ransomware/?p=4945134

      https://id-ransomware.malwarehunterteam.com/

      https://www.nomoreransom.org/fr/decryption-tools.html

      https://forum.malekal.com/viewtopic.php?f=98&t=57145

      https://www.malekal.com/ransomware-solutions-recuperer-fichiers/
      .

      0
  6. jus2mandarine Messages postés 258 Statut Membre 1
     

    Ok, merci beaucoup. Je vais essayer ShadowExplorer et je te t'informe de la suite .

    Cdt /-

    0
    1. bazfile Messages postés 58490 Date d'inscription   Statut Modérateur Dernière intervention   20 266
       

      OK.

      0