VirTool:Win32/UACBypassExp.gen!D
bazfile Messages postés 56535 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 4 décembre 2024 - 10 janv. 2024 à 10:56
5 réponses
Modifié le 9 janv. 2024 à 09:38
Bonjour.
Quand on télécharge et que l'on installe des logiciels piratés il ne faut pas s'étonner d'avoir ce genre de problème, Windows Defender t'a pourtant prévenu à plusieurs reprises.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
VirusTotal: C:\Program Files\Adobe\Acrobat DC\Acrobat\Acrotray.exe
VirusTotal: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe
VirusTotal: C:/Users/Public/Drive/Get.vbs
HKLM\...\Run: [AdobeAAMUpdater-1.0] => "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" (Pas de fichier)
HKLM\...\Run: [] => [X]
HKLM\...\Run: [AdobeGCInvoker-1.0] => "C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe" (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Pas de fichier)
InternetURL: C:\Users\onoel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Drive.url -> URL: file:///C:/Users/Public/Drive/Get.vbs
Task: {18F248F4-4ECD-4D32-91C2-4A11B3A8EABF} - System32\Tasks\Drive => C:\Users\Public\Drive\Get.vbs [190 2024-01-03] () [Fichier non signé]
CustomCLSID: HKU\S-1-5-21-518609982-3418580726-596576354-1001_Classes\CLSID\{15e8fc68-5eff-4f7b-8cbf-dad2c02efebb}\InprocServer32 -> C:\Program Files\Mozilla Thunderbird\notificationserver.dll => Pas de fichier
FirewallRules: [TCP Query User{FC0E90F5-A82B-4131-B4FA-A344AD40AD29}D:\jeux\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Block) D:\jeux\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Pas de fichier
FirewallRules: [UDP Query User{5A9CF1E3-FFC8-478E-BC1E-026FABC31AFF}D:\jeux\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Block) D:\jeux\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Pas de fichier
C:\Users\onoel\AppData\Local\Temp\WebBrowserPassView.exe
C:\Users\Public\Drive\Get.vbs
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
Merci en tout cas et oui, ça me servira de leçon même si je suis étonné, n'ayant rien installé au moment où ce fichi virus s'est logué (en novembre).
Voici le log :
https://www.cjoint.com/c/NAji7jmwyGP
Ce satané virus est toujours présent :(
Modifié le 9 janv. 2024 à 10:15
ça me servira de leçon même si je suis étonné, n'ayant rien installé au moment où ce fichi virus s'est logué
Ce n'est pas ce que dit Windows Defender, tu as téléchargé des trucs louches sur un site probablement louche, le fait d'aller sur certains sites suffit à être infecté, exemple d'une alerte datant d'aujourd'hui:
Date: 2024-01-09 04:57:08
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool%3AWin32%2Fcrack&threatid=2147734096&enterprise=0
Nom : HackTool:Win32/crack
ID : 2147734096
Gravité : Élevée
Catégorie : Outil
Chemin : containerfile:_E:\SiemAcademy\9492-Août2023\[ Torrent911.io ] Adobe Photoshop 2023 v24.7.0.643 Win x64 Multi Préactivé\Adobe Photoshop 2023 v24.7.0.643 (fonctionnel) testé par Ank37.iso
Ce satané virus est toujours présent :(
Si c'est Windows Defender qui te dis ça, sache que beaucoup de personnes confondent l'historique de détection de Windows Defender et les nouvelles détections il faut bien regarder la date et l'heure de la détection, fait une capture d'écran de la fenêtre qui te dit que ton pc est infecté et poste-la dans ta réponse.
C'était en août effectivement ! J'avais oublié ça :(
Je relance un antivirus complet et je reviens en fin de journée sans doute.
En te remerciant encore.
Modifié le 9 janv. 2024 à 10:47
@Yored-44 StatutMembre
Je te conseille de changer tous tes mots de passe sensibles et importants pour toi, ils ont probablement été dérobés.
C'était en août effectivement ! J'avais oublié ça :(
Pas seulement en Août, dans le rapport FRST on voit qu'il y a eu pas mal de téléchargements douteux et d'alertes de Windows Defender datant d'aujourd'hui, concernant des logiciels Adobe piratés et un autokms qui sert à activer de façon non officielle des produits Microsoft, on voit aussi que Windows Defender a bloqué un trojan coin miner, la visite de sites douteux proposant ce type de téléchargement comporte un danger une simple visite sur ces sites peut infecter ton pc.
Exemple des détections récentes:
Date: 2024-01-09 04:57:08
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool%3AWin32%2Fcrack&threatid=2147734096&enterprise=0
Nom : HackTool:Win32/crack
ID : 2147734096
Gravité : Élevée
Catégorie : Outil
Chemin : containerfile:_E:\SiemAcademy\9492-Août2023\[ Torrent911.io ] Adobe Photoshop 2023 v24.7.0.643 Win x64 Multi Préactivé\Adobe Photoshop 2023 v24.7.0.643 (fonctionnel) testé par Ank37.iso; containerfile:_E:\SiemAcademy\9494-Juin2023\[ Torrent911.me ] Adobe Illustrator 2023 v27.6.1.210 Win x64 Multi Préactivé\Adobe Illustrator 2023 v27.6.1.210 x64.iso; file:_E:\SiemAcademy\9492-Août2023\[ Torrent911.io ] Adobe Photoshop 2023 v24.7.0.643 Win x64 Multi Préactivé\Adobe Photoshop 2023 v24.7.0.643 (fonctionnel) testé par Ank37.iso->Adobe 2023\packages\setup.exe; file:_E:\SiemAcademy\9494-Juin2023\[ Torrent911.me ] Adobe Illustrator 2023 v27.6.1.210 Win x64 Multi Préactivé\Adobe Illustrator 2023 v27.6.1.210 x64.iso->Adobe 2023\packages\setup.exe
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Utilisateur
Utilisateur :
Nom du processus : Unknown
Version de la veille de sécurité : AV: 1.403.1865.0, AS: 1.403.1865.0, NIS: 1.403.1865.0
Version du moteur : AM: 1.1.23110.2, NIS: 1.1.23110.2�
Date: 2024-01-09 04:57:08
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool%3AMSIL%2FAutoKms%21pz&threatid=2147890692&enterprise=0
Nom : HackTool:MSIL/AutoKms!pz
ID : 2147890692
Gravité : Élevée
Catégorie : Outil
Chemin : file:_E:\SiemAcademy\9501-Novembre2022\[ Torrent911.net ] KMSPICO v10.2.0 Portable & Install\KMSpico Portable\KMSELDI.exe; file:_E:\SiemAcademy\9504-Aout2022\[ Torrent911.net ] KMSPICO v10.2.0 Portable & Install\KMSpico Portable\KMSELDI.exe
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Utilisateur
Utilisateur :
Nom du processus : Unknown
Version de la veille de sécurité : AV: 1.403.1865.0, AS: 1.403.1865.0, NIS: 1.403.1865.0
Version du moteur : AM: 1.1.23110.2, NIS: 1.1.23110.2�
Event[0]
J'ai repris toutes les alertes et j'ai tout viré.
Je te donne plus tard le résultat du nouveau scan.
Merci.
9 janv. 2024 à 11:44
OK.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre questionHello
Si je n'ai plus de souci direct (j'ai même récupéré mes accents circonflexes), je ne suis pas tranquille. Defender se bloque parfois sur les scans et j'ai une fenêtre qui s'ouvre très brièvement au redémarrage. La liste des virus présents est toujours présente sous Defender, alors même que j'ai effacé tous les fichiers, comme s'il restait les ombres ou des artefacts. De plus, il est impossible de réparer quoi que ce soit (ce qui parait normal, vu que les fichiers n'y sont plus).
Je pense que le plus sage est de réinstaller totalement windows en formatant le disque système.
Après, c'est compliqué. Windows, par exemple, me déconseillait fortement d'utiliser FRST. Dès que c'est un truc qui sort du giron de Microsoft, ça donne l'impression qu'on fait tout pour vous décourager :(
Modifié le 10 janv. 2024 à 11:32
@Yored-44 StatutMembre
À mon avis ton pc est propre inutile de tout réinstaller, si ça peut te rassurer fait une nouvelle analyse FRST et donne les liens des rapports.
Pour l'historique de Windows Defender il est possible de le supprimer https://forums.commentcamarche.net/forum/affich-37587141-supprimer-historique-de-protection-windows-defender-w10-w11
