Petite vérification... merci :-)
Résolu
bazfile Messages postés 56441 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 novembre 2024 - 16 oct. 2024 à 19:13
- Petite vérification... merci :-)
- Vérification lien - Guide
- Petite amie virtuelle en français - Accueil - Intelligence artificielle
- Classez ces fichiers de la plus petite taille (1) à la plus grande (4). - Forum Bases de données
- Petite croix snap - Forum Snapchat
- Sms tiktok verification code ✓ - Forum Mail
3 réponses
Modifié le 29 oct. 2024 à 09:00
Bonjour @Fildyr StatutMembre.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Users\fabri\AppData\Roaming\ServiceData\Rukevar.exe
HKU\S-1-5-21-2656899499-1837897708-1944210386-1001\Software\Classes\regfile:
HKU\S-1-5-21-2656899499-1837897708-1944210386-1001\Software\Classes\.reg: =>
HKU\S-1-5-21-2656899499-1837897708-1944210386-1001\Software\Classes\.bat: =>
HKU\S-1-5-21-2656899499-1837897708-1944210386-1001\Software\Classes\.cmd: =>
CustomCLSID: HKU\S-1-5-21-2656899499-1837897708-1944210386-1001_Classes\CLSID\{976b5fb9-ccc4-8a36-7672-1cab63a65df0}\localserver32 -> "C:\Users\fabri\AppData\Local\PowerToys\modules\launcher\PowerToys.PowerLauncher.exe" -ToastActivated => Pas de fichier
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6836]
HKU\S-1-5-21-2656899499-1837897708-1944210386-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-2656899499-1837897708-1944210386-1001\...\Run: [fabri] => cmd.exe /c start www.dinoklafbzor.org (Pas de fichier)
HKU\S-1-5-21-2656899499-1837897708-1944210386-1001\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\fabri\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Pas de fichier)
Task: {FFF24E0B-BCF8-440B-80FC-9FDB43335AAF} - System32\Tasks\Service\Data => "C:\Users\fabri\AppData\Roaming\ServiceData\Rukevar.exe" -> "C:\Users\fabri\AppData\Roaming\ServiceData\Rukevar.jpg"
Task: {EF79F69F-4425-4FDE-8D0A-62DB58512002} - System32\Tasks\fabri => C:\Windows\system32\cmd.exe [323584 2024-05-30] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v fabri /t REG_SZ /d "cmd.exe /c start www.dinoklafbzor.org"
Task: {7EA87CE4-DF2A-455B-B87A-2AFA5998585E} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe --automatic (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Pas de fichier)
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 Netwtw10; \SystemRoot\System32\DriverStore\FileRepository\netwtw6e.inf_amd64_1000547336ad8b60\Netwtw10.sys [X]
S3 SIUSBXP; \??\C:\Windows\system32\drivers\SiUSBXp.sys [X]
C:\Users\fabri\AppData\Roaming\ServiceData\Rukevar.exe
C:\Users\fabri\AppData\Roaming\ServiceData\Rukevar.jpg
cmd: netsh advfirewall reset
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ ou https://pixeldrain.com/
Puis donne le lien généré par https://www.cjoint.com/ ou https://pixeldrain.com/ dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
Modifié le 16 oct. 2024 à 18:12
re bazfile :-)
voici le fichier demandé : https://www.cjoint.com/c/NJqqbSI6KfE
ça m'a effacé tous mes mots de passes... pas bien grave...
sinon ça a l'air d'aller maintenant mais c'est un peu tôt pour le dire...
merci pour ton aide et bonne journée :-)
..
Modifié le 16 oct. 2024 à 18:17
Salut,
Je ne vois pas dans le scipt quoi que ce soit qui pourrait supprimer des mots de passe ?!?
Ou étaient-ils stockés ?
Mais il y avait bien quelques saletés qui n'avaient pas d'affaire dans ton système.
@+
16 oct. 2024 à 18:18
salut fabul,
les mp sont stockés ici :
Modifié le 16 oct. 2024 à 18:25
Il ne sembe pas avoir touché au profil Firefox.
Tu peux peut être retrouver une ancienne version du profil Firefox avec Shadow Explorer 0.9 portable
https://www.shadowexplorer.com/downloads.html
Dans C:\Users\Fabri\AppData\Roamnig\Mozilla (Dossier caché)
Mais après des infections, c'est mieux de changer les mots de passe.
16 oct. 2024 à 18:30
non fabul, pas besoin... ce n'est pas bien grave, je ne suis de toute façon connecté sur pas beaucoup de sites...
merci pour ton aide :-)
16 oct. 2024 à 18:37
Ok, Bonne soirée.
@+
Modifié le 16 oct. 2024 à 19:18
@Fildyr StatutMembre .
Le fixlog est OK.
Ton pc est désinfecté, si tes problèmes ont été réglés par la correction FRST n'oublie pas de mettre le post en résolu .
La commande "emptytemp" supprime entre autre les cookies, cette commande est obligatoire afin de ne rien laisser de néfaste dans les temporaires, si certains de tes mots de passe étaient enregistrés dans les cookies au lieu du gestionnaire de mots de passe du navigateur ils ont été supprimés, les cookies n'étant pas très secure privilégier toujours le gestionnaire de mots de passe du navigateur qui n'est pas touché par la commande "emptytemp".
Je te conseille de changer tes mots de passe en ligne qui sont sensibles et importants pour toi, ils ont pu être dérobés par le malware qui infectait ton pc.
Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
