Virus suite à un dossier zip de "Mondial Relay"

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

DineMaéPhil
newbie
newbie
Messages : 8
Inscription : 07 août 2018 15:17

Virus suite à un dossier zip de "Mondial Relay"

Message par DineMaéPhil » 07 août 2018 15:46

Bonjour,

Je viens vers vous car je me suis laissée avoir par un mail de "Mondial relay" me disant que mon colis était en relais. Pour obtenir toutes les informations, je devais dézipper un dossier... contenant un cheval de Troie !
Coïncidence : mon mari attendait effectivement un colis et un livreur est apparemment passé hier... Je ne me suis pas méfiée (alors que ce n'est pas mon adresse mail qu'il a renseigné !!!)...
Après maintes recherches, j'ai téléchargé FRST et voici les trois liens que j'ai obtenus :


https://pjjoint.malekal.com/files.php?i ... 5q9y14l813 (FRST)
https://pjjoint.malekal.com/files.php?i ... 14m13y5d11 (addition)
https://pjjoint.malekal.com/files.php?i ... e7k14m7v11 (shortcut)

D'avance, merci beaucoup pour votre aide ! PDT_015




Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92733
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus suite à un dossier zip de "Mondial Relay"

Message par Malekal_morte » 07 août 2018 15:52

Salut,

oui, infecté.

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

CCleaner
CyberLink
Dropbox (sauf si tu synchronises avec)
Java
QuickTime


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-cclea ... e-windows/

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Task: {656EABF8-42A9-48EB-84AA-04C5140775F5} - \Skype -> Pas de fichier <==== ATTENTION
 Startup: C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ID-RelaiscolisFR2018.vbs [2018-08-07] () 
 HKU\S-1-5-21-3165760113-2449747232-352984982-1000\...\Run: [FLTP6RLOG3] => C:\Users\hp\AppData\Roaming\ID-RelaiscolisFR2018.vbs [44277 2018-08-07] () 
 2018-08-07 10:21 - 2018-08-07 10:21 - 000044277 _____ C:\Users\hp\AppData\Roaming\ID-RelaiscolisFR2018.vbs 
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2)
Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

3)
Pour nettoyer les disques amovibles infecté par un virus par clé USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lance Remediate VBS Worm puis choisis l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

DineMaéPhil
newbie
newbie
Messages : 8
Inscription : 07 août 2018 15:17

Re: Virus suite à un dossier zip de "Mondial Relay"

Message par DineMaéPhil » 07 août 2018 16:09

Re Malekal !

Merci beaucoup pour ta réponse, voici le fichier texte :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02.08.2018
Exécuté par hp (07-08-2018 15:52:18) Run:1
Exécuté depuis C:\Users\hp\Downloads
Profils chargés: hp & DefaultAppPool (Profils disponibles: hp & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************

*****************


==== Fin de Fixlog 15:52:18 ====

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92733
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus suite à un dossier zip de "Mondial Relay"

Message par Malekal_morte » 07 août 2018 16:18

Le rapport de correct est vide, donc rien n'a été fait.
Retente ou comme ceci :

Place le programme FRST sur le bureau
ouvre le bloc-note
colle le script donné plus haut
enregistre le fichier sur le bureau sous le nom de fixlist.txt
Relance FRST puis Corriger.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

DineMaéPhil
newbie
newbie
Messages : 8
Inscription : 07 août 2018 15:17

Re: Virus suite à un dossier zip de "Mondial Relay"

Message par DineMaéPhil » 07 août 2018 16:43

J'ai recommencé la manip', voici le contenu du Fixlog :



Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02.08.2018
Exécuté par hp (07-08-2018 16:16:36) Run:2
Exécuté depuis C:\Users\hp\Desktop
Profils chargés: hp & DefaultAppPool (Profils disponibles: hp & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Task: {656EABF8-42A9-48EB-84AA-04C5140775F5} - \Skype -> Pas de fichier <==== ATTENTION
Startup: C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ID-RelaiscolisFR2018.vbs [2018-08-07] ()
HKU\S-1-5-21-3165760113-2449747232-352984982-1000\...\Run: [FLTP6RLOG3] => C:\Users\hp\AppData\Roaming\ID-RelaiscolisFR2018.vbs [44277 2018-08-07] ()
2018-08-07 10:21 - 2018-08-07 10:21 - 000044277 _____ C:\Users\hp\AppData\Roaming\ID-RelaiscolisFR2018.vbs
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{656EABF8-42A9-48EB-84AA-04C5140775F5}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{656EABF8-42A9-48EB-84AA-04C5140775F5}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype" => supprimé(es) avec succès
"C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ID-RelaiscolisFR2018.vbs" => non trouvé(e)
"HKU\S-1-5-21-3165760113-2449747232-352984982-1000\Software\Microsoft\Windows\CurrentVersion\Run\\FLTP6RLOG3" => non trouvé(e)
"C:\Users\hp\AppData\Roaming\ID-RelaiscolisFR2018.vbs" => non trouvé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3165760113-2449747232-352984982-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3165760113-2449747232-352984982-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 82920474 B
Java, Flash, Steam htmlcache => 18645116 B
Windows/system/drivers => 252226 B
Edge => 18944 B
Chrome => 176816 B
Firefox => 92474645 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 1892 B
LocalService => 0 B
NetworkService => 1536 B
NetworkService => 0 B
hp => 47998733 B
DefaultAppPool => 33058 B

RecycleBin => 0 B
EmptyTemp: => 238.8 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 16:22:20 ====


DineMaéPhil
newbie
newbie
Messages : 8
Inscription : 07 août 2018 15:17

Re: Virus suite à un dossier zip de "Mondial Relay"

Message par DineMaéPhil » 07 août 2018 17:45

En tout cas, un grand merci pour votre aide ! Non seulement votre réponse a été rapide mais aussi efficace (de ce que j'ai compris du fichier envoyé ;) )

Je vous ferai de la bonne pub :)

Bonne fin de journée !

DineMaéPhil PDT_012

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92733
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus suite à un dossier zip de "Mondial Relay"

Message par Malekal_morte » 07 août 2018 19:39

Merci !

Tu peux supprimer le dossier C:\FRST =)


Termine par un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.


Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »