Protocole de suppression PHOTO 018.exe

Bonjour @fatcookie StatutMembre.

Ton problème date de plus d'un an le fichier infectieux est sur ton pc depuis le 9 janvier 2023.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2281274065-122363012-1904882405-1001\...\Run: [Poisson18] => C:\ProgramData\Systeme\Systeme.exe [742871 2012-08-02] () [Fichier non signé] [Fichier en cours d'utilisation] 
HKU\S-1-5-21-2281274065-122363012-1904882405-1001\...\Run: [Avast Browser] => C:\Users\cloti\AppData\Local\AVAST Software\Browser\Update\1.8.1653.5\AvastBrowserUpdateCore.exe (Pas de fichier)
Task: {A6EA333C-85AF-42A0-99DE-804C33FB25E5} - System32\Tasks\Meta\Messenger-WSP-Helper-S-1-5-21-2281274065-122363012-1904882405-1001 => MessengerHelper.exe  --lassie (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
Task: {80680206-2FA2-4BD4-B9C4-C9618C1BE677} - System32\Tasks\Samsung\SamsungUpdate\UserModeWorker => C:\Program Files\Samsung\SamsungUpdate\SUUserModeWorker.exe  (Pas de fichier)
FF Plugin HKU\S-1-5-21-2281274065-122363012-1904882405-1001: @update.avastbrowser.com/Avast Browser;version=3 -> C:\Users\cloti\AppData\Local\AVAST Software\Browser\Update\1.8.1653.5\npAvastBrowserUpdate3.dll [Pas de fichier]
FF Plugin HKU\S-1-5-21-2281274065-122363012-1904882405-1001: @update.avastbrowser.com/Avast Browser;version=9 -> C:\Users\cloti\AppData\Local\AVAST Software\Browser\Update\1.8.1653.5\npAvastBrowserUpdate3.dll [Pas de fichier]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
CustomCLSID: HKU\S-1-5-21-2281274065-122363012-1904882405-1001_Classes\CLSID\{10564456-C142-4E56-9531-06CCCA12F812}\InprocServer32 -> C:\Users\cloti\AppData\Local\AVAST Software\Browser\Update\1.8.1653.5\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2281274065-122363012-1904882405-1001_Classes\CLSID\{167FD956-39C3-374C-927A-1D3C47CB6663}\InprocServer32 -> C:\Users\cloti\AppData\Local\AVAST Software\Browser\Update\1.8.1653.5\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2281274065-122363012-1904882405-1001_Classes\CLSID\{28A80003-18FD-411D-B0A3-3C81F618E22B}\InprocServer32 -> C:\Users\cloti\AppData\Local\Kingsoft\WPS Office\11.2.0.11417\office6\kwpsmenushellext64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2281274065-122363012-1904882405-1001_Classes\CLSID\{f9458f9f-5ee9-d43c-187e-8cc1f751cd69}\localserver32 -> "C:\Users\cloti\AppData\Local\OneLaunch\5.22.2\onelaunch.exe" -ToastActivated => Pas de fichier
ContextMenuHandlers1_S-1-5-21-2281274065-122363012-1904882405-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\cloti\AppData\Local\Kingsoft\WPS Office\11.2.0.11417\office6\kwpsmenushellext64.dll -> Pas de fichier
ContextMenuHandlers4_S-1-5-21-2281274065-122363012-1904882405-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\cloti\AppData\Local\Kingsoft\WPS Office\11.2.0.11417\office6\kwpsmenushellext64.dll -> Pas de fichier
FirewallRules: [{001C3D5F-C45F-474D-87D6-AB173A942A20}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\outlook.exe => Pas de fichier
FirewallRules: [{D3C3DC96-2202-41E3-B0E8-A813086E8CEE}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\Tenorshare 4DDiG.exe => Pas de fichier
FirewallRules: [{DB627038-8152-42C3-95B0-CE7693A10302}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\Tenorshare 4DDiG.exe => Pas de fichier
FirewallRules: [{15F3FAA4-2C2E-42C6-89C5-AB16AA8855B3}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\NetFrameCheck.exe => Pas de fichier
FirewallRules: [{0690ABDE-3355-495C-82A9-ED5E3868F112}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\NetFrameCheck.exe => Pas de fichier
FirewallRules: [{A892B005-86EF-411A-BCEB-BE6BF2D8BD6D}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\Monitor\Monitor.exe => Pas de fichier
FirewallRules: [{27356081-F1FE-4982-8928-7AD57D665D01}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\Monitor\Monitor.exe => Pas de fichier
FirewallRules: [{4C5C390C-0387-4230-A8A8-3E597D42581B}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\ParseRecord.exe => Pas de fichier
FirewallRules: [{FEC5EF23-77A4-43E3-9E25-78B0D512CE34}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\ParseRecord.exe => Pas de fichier
FirewallRules: [{3E328E19-F7E9-47C7-8ADD-19E3F04A9547}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\UpdateService.exe => Pas de fichier
FirewallRules: [{4AE5998D-0640-4BFD-8C60-06C21A3B4CB4}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\UpdateService.exe => Pas de fichier
FirewallRules: [{85743DD4-7E85-496E-9A8B-561E0C9E9B06}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\preuninstall.exe => Pas de fichier
FirewallRules: [{A6106F05-B5D1-4050-A1B8-40B4582FD16E}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\preuninstall.exe => Pas de fichier
FirewallRules: [{33BA05E9-17F5-425D-BF04-59437D8C1666}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\DeviceViewerService.exe => Pas de fichier
FirewallRules: [{2F81F692-A53A-47D5-80DB-8C4AAC3B72F3}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\DeviceViewerService.exe => Pas de fichier
FirewallRules: [{8CA35349-9B5C-463A-8681-7880EFD4FDFF}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\NASConnecter.exe => Pas de fichier
FirewallRules: [{EEC44952-6A2E-4C2C-8A81-6355A1BCD848}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\NASConnecter.exe => Pas de fichier
FirewallRules: [{6088DAFD-F5E1-44BF-A9DB-F14841BA8AAF}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\DataScanService.exe => Pas de fichier
FirewallRules: [{F9CB5522-F77F-429C-9E47-68F19763BC3B}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\DataScanService.exe => Pas de fichier
FirewallRules: [{EC4ADA9F-AE20-4FD9-9A8A-079C53BF7626}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\DataRecoveryService.exe => Pas de fichier
FirewallRules: [{C5212E72-C812-40D1-9FD6-04E594718E6F}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\DataRecoveryService.exe => Pas de fichier
FirewallRules: [{9CFC8526-E83B-4286-8D9B-19CFF9F31A37}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\MsgSupport\MsgSupportService.exe => Pas de fichier
FirewallRules: [{47B11B7D-F272-4CEE-9BAD-FAD685B8B6F6}] => (Allow) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\MsgSupport\MsgSupportService.exe => Pas de fichier
C:\ProgramData\Systeme
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ ou https://pixeldrain.com/ 
 

Puis donne le lien généré par https://www.cjoint.com/ ou https://pixeldrain.com/ dans ta réponse.

5- Attention ne pas ouvrir les clés USB et disques durs externes infectés sinon ton pc sera instantanément réinfecté.

6- Pour désinfecter les clés USB et disques durs infectés.

DEUX SOLUTIONS:

- Soit tu utilises KVRT pour savoir comment l'utiliser voir cette page paragraphe Kaspersky Virus Removal Tool (KVRT), attention de bien cocher les lettres des clés USB et disques durs externes infectés dans all volumes.

- Soit tu télécharges Remediate VBS WORM ouvre Remediate VBS WORM prend l'option B comme ceci :

Puis appuie sur la touche Entrée, une fenêtre apparaît met la lettre de ta clé USB ou  du disque dur externe à désinfecter attention ne jamais mettre le disque C :

Appuie sur la touche Entrée, quand la désinfection sera terminée ouvre le disque C tu y trouveras un fichier nommé Rem-VBS.log envoie-le sur https://www.cjoint.com/ met le lien généré dans ta réponse.

Recommence pour chaque périphérique USB infecté.

7- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.

Bonjour @bazfile StatutModérateur, Contributeur sécurité,

Tout d'abord, merci énormément pour le temps que vous consacrez à mon souci, et pour la rapidité de votre réponse.

Ci-suit le cjoint du fixlog : https://www.cjoint.com/c/NIctEWBQ4sl 

Quant aux clés et disques vérolés, je passe par votre solution n°1, KVRT, le scan n'est pas encore terminé mais pour l'analyse continue parfaitement.

Merci encore pour votre temps,

@bazfile StatutModérateur, Contributeur sécurité Génial ! Un immense merci pour votre temps consacré !

En parallèle le scan KVRT est terminé et a pu détruire le virus sur les disques dur et clé, tout est ok de ce côté là aussi !

J'avoue être extrêmement curieux, et j'aimerais pouvoir également réparer tous les ordinateurs infectés dans mon entourage par ce même virus. De fait, j'aimerais vous demander comment avez-vous procéder pour rédiger ce script de désinfection à partir du rapport FRST ?

Si vous ne désirez/pouvez pas me partager votre protocole pour des raisons qui vous sont propres, comment voudriez-vous que je procède pour vous amener toutes les personnes infectés sans devoir créer mille doublons de cette discussion ? par mp peut-être ?

Merci encore pour votre travail,

@fatcookie StatutMembre .

Si c'est la même infection, pour les ordinateurs clés USB et disque externes infectés dans ton entourage, je pense qu'un scan avec KVRT suffira, il désinfectera l'ensemble (pc et USB) car cette infection est dans ses bases, tous les antivirus n'étant pas tous efficaces sur cette infection c'est une chose que j'avais vérifiée avant de te le proposer.

Si ça ne fonctionnait pas fait des analyses FRST des pc et continue sur ce post.

Pour information :

KVRT a l'avantage d'être un logiciel portable (sans installation) il n'interfère donc pas avec l'antivirus résident, car il ne faut jamais avoir deux antivirus en protection résidente sur un pc cela produit de forts ralentissements et des bugs pouvant aller jusqu'au blocage du pc.

Sache que tu peux aussi vacciner tes périphériques USB voir cette page.

Pour ce qui est de FRST il permet de voir ce qui ne va pas sur le pc notamment les infections mais pas que, il permet l'optimisation du pc et de supprimer des choses que les antivirus ne supprimeront pas forcément.

Se servir de FRST n'est pas possible sans une formation car il faut très bien connaitre le système afin de ne pas faire de bêtises car FRST supprime tout ce qu'on lui dit de supprimer et on peut facilement planter un pc.

Pour ce qui est de ton infection elle était lancée au démarrage du pc via le fichier exécutable Systeme.exe qui est  dans C:\ProgramData\Systeme\Systeme.exe dés qu'un périphérique USB est connecté à un pc infecté, le périphérique USB est automatiquement infecté et dés que ce périphérique USB infecté est connecté à un pc et ouvert le pc est automatiquement infecté, c'est sans fin.

Sur les autres pc infectés je pense que ce fichier et ce dossier doivent être présents. 

Important:

Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.