Besoin d'aide pour éradiquer un virus "Photo 018.exe"
Résolubazfile Messages postés 56620 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 13 décembre 2024 - 13 déc. 2024 à 21:44
- Besoin d'aide pour éradiquer un virus "Photo 018.exe"
- .Exe - Télécharger - Divers Utilitaires
- Partage photo - Guide
- Photo aérienne de ma maison - Guide
- Traduction photo gratuit - Guide
- Photo filtre 7 gratuit - Télécharger - Retouche d'image
3 réponses
Modifié le 13 déc. 2024 à 18:10
Bonjour.
Tu as bien fait de suivre mes indications dans les autres posts, Kaspersky Virus Removal Tool a bien supprimé l'infection.
Il ne reste que quelques restes inactifs de l'infection et quelques processus orphelins/obsolètes, si tu souhaites les supprimer fait ce qui suit :
Pour information : désinstalle Wondershare Helper Compact c'est un adware.
Puis:
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start:: CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2133728 2017-09-12] (Wondershare Technology Co.,Ltd -> Wondershare) HKLM\...\RunOnce: [e323ed41-70f1-4565-8001-2cf08176f2e2] => "C:\Users\hugov\AppData\Local\Temp\{89b84009-b3c5-433d-bdf8-787def80d4de}\e323ed41-70f1-4565-8001-2cf08176f2e2.cmd" (Pas de fichier) HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction S3 EasyAntiCheat; "C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe" [X] S3 EpicOnlineServices; "C:\Program Files (x86)\Epic Games\Epic Online Services\service\EpicOnlineServicesHost.exe" [X] S3 UElevationService; "C:\Program Files\Ultra\Application\8.0.1.18\elevation_service.exe" [X] U4 AppMgmt; pas de ImagePath U3 aswArDisk; pas de ImagePath U4 CscService; pas de ImagePath U4 napagent; pas de ImagePath U4 PeerDistSvc; pas de ImagePath CustomCLSID: HKU\S-1-5-21-3636227605-4139202428-2108584352-1001_Classes\CLSID\{2F81B25E-7507-4844-BFF2-77D2CC24CED4}\localserver32 -> "C:\Program Files\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe" -ToastActivated => Pas de fichier CustomCLSID: HKU\S-1-5-21-3636227605-4139202428-2108584352-1001_Classes\CLSID\{d1b22d3d-8585-53a6-acb3-0e803c7e8d2a}\localserver32 -> "C:\Users\hugov\AppData\Local\Microsoft\Teams\current\Teams.exe" --toast => Pas de fichier AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [5170] AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [5170] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5170] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [5170] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2022.lnk:638138415C [5170] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AdsPower Browser.lnk:E9BD082F00 [5170] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [5170] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast One.lnk:BA4BA832A4 [5170] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [5170] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [5170] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KeePass 2.lnk:CF2917E869 [5170] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [5170] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook (classic).lnk:5465085A2F [5170] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook (classic).lnk:BE800952D3 [5170] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [5170] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [4314] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk:104946E0EA [4314] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype Entreprise.lnk:127DED20AD [4314] cmd: netsh advfirewall reset End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ ou https://pixeldrain.com/
Puis donne le lien généré par https://www.cjoint.com/ ou https://pixeldrain.com/ dans ta réponse.
Bonsoir,
Merci infiniment pour ta réponse et ta réactivité !
Après de multiples analyses de mes supports externes et de mes ordinateurs, il semblerait que tout soit rentré dans l'ordre. J'ai également désinstallé manuellement l'adware, merci de me l'avoir indiqué ! J'espère que le dossier pirate ne réapparaîtra pas lors d'une nouvelle connexion à mes disques durs.
Tu trouveras ici l'accès au fichier fixlog : https://www.cjoint.com/c/NLnuqNz4fTs
Autre question, si je peux me permettre : ce genre d'attaque est-il susceptible d’avoir fait fuiter mes documents ? Serait-il plus prudent de changer l’intégralité de mes accès et de procéder à une analyse plus approfondie, ou bien une simple suppression du fichier pirate suffit-elle à se sécuriser à nouveau ?
Dans l'attente de ton retour, je te remercie encore une fois pour ton temps et ton assistance.
Bonne soirée,
Hugo
Modifié le 13 déc. 2024 à 21:46
Le fixlog est OK.
Pour ce qui est de l'infection par prudence change tes mots de passe en ligne qui sont sensibles et importants pour toi.
Pas besoin d'analyse plus approfondie, FRST suffit car il est très complet et il n'y a plus rien d'infectieux sur ton pc.
Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
.