Bonjour,
J'ai été infecté par une attaque virale. Plusieurs virus ont été installés suite à un téléchargement de ma part (même mon compte Facebook a été piraté...)
Le plus gros a été enlevé grâce à Kaspersky, RogueKiller, Malwarebytes Anti-Malware (MBAM), etc.
Cependant il y a toujours des fichiers cachés qui se créent automatiquement dans ProgramData et créent ensuite des extensions Chromes indésirables. J'imagine qu'il y a d'autres fichiers de ce type installés un peu partout que je n'ai pas identifié. J'ai également des messages d'erreurs C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe qui pop up de temps en temps.
J'ai installé FRST64 et uploadé les rapports sur https://pjjoint.malekal.com/.
Voici les liens:
FRST.txt : https://pjjoint.malekal.com/files.php?i ... 3v11q15n15
Addition.txt : https://pjjoint.malekal.com/files.php?i ... 8p14l13c10
Shortcut.txt : https://pjjoint.malekal.com/files.php?i ... 11q12r12k6
Quelqu'un pourrait-il me venir en aide pour la suite ?
Merci par avance
Virus : PUA:Win64/CoinMiner, Trojan:Win32/Caynamer.A!ml, Trojan:MSIL/Formbookinj.GL!MTB
Modérateurs : Mods Windows, Helper
- Messages : 3
- Inscription : 14 avr. 2021 12:31
- Messages : 110327
- Inscription : 10 sept. 2005 13:57
Re: Virus : PUA:Win64/CoinMiner, Trojan:Win32/Caynamer.A!ml, Trojan:MSIL/Formbookinj.GL!MTB
Bonjour,
Effectivement, plusieurs malwares :
Date: 2021-04-11 15:58:31
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
Nom : Trojan:MSIL/Formbookinj.GL!MTB
ID : 2147778575
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : amsi:_C:\ProgramData\5880230.exe
Origine de la détection : Inconnu
Type de détection : Concret
Source de détection : AMSI
Utilisateur : LAPTOP-TVN1FBVB\xavie
Nom du processus : C:\ProgramData\5880230.exe
Version de la veille de sécurité : AV: 1.335.613.0, AS: 1.335.613.0, NIS: 1.335.613.0
Version du moteur : AM: 1.1.18000.5, NIS: 1.1.18000.5[/code]
Désinstalle tout ça, ça ne sert à rien :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Internet Explorer
(Ne pas utiliser Zeok)
Effectivement, plusieurs malwares :
Code : Tout sélectionner
Date: 2021-04-11 16:18:31
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : PUA:Win64/CoinMiner
ID : 238862
Gravité : Faible
Catégorie : Logiciel potentiellement non désiré
Chemin : file:_C:\Users\AppData\Local\Temp\csrss\wup\e\ee.exe.tmp; process:_pid:23564,ProcessStart:132626233000924804
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Utilisateur
Utilisateur : LAPTOP-TVN1FBVB\xavie
Nom du processus : C:\Users\AppData\Local\Temp\csrss\wup\e\ee.exe.tmp
Version de la veille de sécurité : AV: 1.335.613.0, AS: 1.335.613.0, NIS: 1.335.613.0
Version du moteur : AM: 1.1.18000.5, NIS: 1.1.18000.5
Date: 2021-04-11 16:00:40
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Caynamer.A!ml
ID : 2147749819
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\xavie\AppData\Roaming\gacaijw
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : LAPTOP-TVN1FBVB\xavie
Nom du processus : C:\Windows\explorer.exe
Version de la veille de sécurité : AV: 1.335.613.0, AS: 1.335.613.0, NIS: 1.335.613.0
Version du moteur : AM: 1.1.18000.5, NIS: 1.1.18000.5Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
Nom : Trojan:MSIL/Formbookinj.GL!MTB
ID : 2147778575
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : amsi:_C:\ProgramData\5880230.exe
Origine de la détection : Inconnu
Type de détection : Concret
Source de détection : AMSI
Utilisateur : LAPTOP-TVN1FBVB\xavie
Nom du processus : C:\ProgramData\5880230.exe
Version de la veille de sécurité : AV: 1.335.613.0, AS: 1.335.613.0, NIS: 1.335.613.0
Version du moteur : AM: 1.1.18000.5, NIS: 1.1.18000.5[/code]
Désinstalle tout ça, ça ne sert à rien :
CCleaner
CCleaner Browser
DAEMON Tools Lite
Spybot
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Code : Tout sélectionner
Start:
CloseProcesses:
2021-04-08 23:43 - 2021-04-08 23:43 - 000321226 ___SH C:\Users\xavie\AppData\Roaming\sgaajuj
2021-04-11 15:57 - 2021-04-11 15:57 - 000000000 ____D C:\Users\xavie\AppData\LocalLow\cR1dL5pE5dG6mD5k
Task: {14DE281A-3CB9-4501-A7CD-0110B76B368A} - System32\Tasks\Lenovo\BatteryGauge\mqmtAnm => C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe "C:\Program Files (x86)\CastMode\DfflikwStructure\wppm_Drvtmov.dll"
"C:\Program Files (x86)\CastMode
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Internet Explorer
(Ne pas utiliser Zeok)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 3
- Inscription : 14 avr. 2021 12:31
Re: Virus : PUA:Win64/CoinMiner, Trojan:Win32/Caynamer.A!ml, Trojan:MSIL/Formbookinj.GL!MTB
Bonjour,
Déjà un énorme merci pour on temps et ton aide.
Voici ci-dessous le contenu du fichier Fixlog. J'ai également réinitialisé Chrome. Il y a également un folder caché qui se créer dans ProgramData à intervalle régulier qui s'appelle Wqxrde et qui m'installe une extension Chrome indésirable (uBlockWeb). Penses-tu que le code que tu m'as fait rentrer dans FRST s'est également occupé de son cas ?
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 14-04-2021
Exécuté par xavie (14-04-2021 16:44:30) Run:2
Exécuté depuis C:\Users\xavie\OneDrive\Desktop
Profils chargés: xavie
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
Start:
CloseProcesses:
2021-04-08 23:43 - 2021-04-08 23:43 - 000321226 ___SH C:\Users\xavie\AppData\Roaming\sgaajuj
2021-04-11 15:57 - 2021-04-11 15:57 - 000000000 ____D C:\Users\xavie\AppData\LocalLow\cR1dL5pE5dG6mD5k
Task: {14DE281A-3CB9-4501-A7CD-0110B76B368A} - System32\Tasks\Lenovo\BatteryGauge\mqmtAnm => C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe "C:\Program Files (x86)\CastMode\DfflikwStructure\wppm_Drvtmov.dll"
"C:\Program Files (x86)\CastMode
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************
Processus fermé avec succès.
C:\Users\xavie\AppData\Roaming\sgaajuj => déplacé(es) avec succès
C:\Users\xavie\AppData\LocalLow\cR1dL5pE5dG6mD5k => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{14DE281A-3CB9-4501-A7CD-0110B76B368A}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{14DE281A-3CB9-4501-A7CD-0110B76B368A}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Lenovo\BatteryGauge\mqmtAnm => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo\BatteryGauge\mqmtAnm" => supprimé(es) avec succès
C:\Program Files (x86)\CastMode => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-778224054-3299598918-271868620-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-778224054-3299598918-271868620-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 9199616 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 15802056 B
Java, Flash, Steam htmlcache => 315567502 B
Windows/system/drivers => 5412779 B
Edge => 134669 B
Chrome => 168275076 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 24170 B
NetworkService => 24170 B
xavie => 32012511 B
RecycleBin => 4084690 B
EmptyTemp: => 525 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
==== Fin de Fixlog 16:44:44 ====
Déjà un énorme merci pour on temps et ton aide.
Voici ci-dessous le contenu du fichier Fixlog. J'ai également réinitialisé Chrome. Il y a également un folder caché qui se créer dans ProgramData à intervalle régulier qui s'appelle Wqxrde et qui m'installe une extension Chrome indésirable (uBlockWeb). Penses-tu que le code que tu m'as fait rentrer dans FRST s'est également occupé de son cas ?
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 14-04-2021
Exécuté par xavie (14-04-2021 16:44:30) Run:2
Exécuté depuis C:\Users\xavie\OneDrive\Desktop
Profils chargés: xavie
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
Start:
CloseProcesses:
2021-04-08 23:43 - 2021-04-08 23:43 - 000321226 ___SH C:\Users\xavie\AppData\Roaming\sgaajuj
2021-04-11 15:57 - 2021-04-11 15:57 - 000000000 ____D C:\Users\xavie\AppData\LocalLow\cR1dL5pE5dG6mD5k
Task: {14DE281A-3CB9-4501-A7CD-0110B76B368A} - System32\Tasks\Lenovo\BatteryGauge\mqmtAnm => C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe "C:\Program Files (x86)\CastMode\DfflikwStructure\wppm_Drvtmov.dll"
"C:\Program Files (x86)\CastMode
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************
Processus fermé avec succès.
C:\Users\xavie\AppData\Roaming\sgaajuj => déplacé(es) avec succès
C:\Users\xavie\AppData\LocalLow\cR1dL5pE5dG6mD5k => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{14DE281A-3CB9-4501-A7CD-0110B76B368A}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{14DE281A-3CB9-4501-A7CD-0110B76B368A}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Lenovo\BatteryGauge\mqmtAnm => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo\BatteryGauge\mqmtAnm" => supprimé(es) avec succès
C:\Program Files (x86)\CastMode => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-778224054-3299598918-271868620-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-778224054-3299598918-271868620-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 9199616 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 15802056 B
Java, Flash, Steam htmlcache => 315567502 B
Windows/system/drivers => 5412779 B
Edge => 134669 B
Chrome => 168275076 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 24170 B
NetworkService => 24170 B
xavie => 32012511 B
RecycleBin => 4084690 B
EmptyTemp: => 525 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
==== Fin de Fixlog 16:44:44 ====
- Messages : 110327
- Inscription : 10 sept. 2005 13:57
Re: Virus : PUA:Win64/CoinMiner, Trojan:Win32/Caynamer.A!ml, Trojan:MSIL/Formbookinj.GL!MTB
Bien =)
Refais un scan MBAM puis FRST
et donne à nouveau les rapports.
Refais un scan MBAM puis FRST
et donne à nouveau les rapports.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 3
- Inscription : 14 avr. 2021 12:31
Re: Virus : PUA:Win64/CoinMiner, Trojan:Win32/Caynamer.A!ml, Trojan:MSIL/Formbookinj.GL!MTB
J'ai refait un scan MBAM, aucune détection.
Voici les rapports:
FRST.txt : https://pjjoint.malekal.com/files.php?i ... 13g8r14n12
Addition.txt : https://pjjoint.malekal.com/files.php?i ... w7g11y1515
Shortcut.txt : https://pjjoint.malekal.com/files.php?i ... 2f6q12u7j5
Voici les rapports:
FRST.txt : https://pjjoint.malekal.com/files.php?i ... 13g8r14n12
Addition.txt : https://pjjoint.malekal.com/files.php?i ... w7g11y1515
Shortcut.txt : https://pjjoint.malekal.com/files.php?i ... 2f6q12u7j5
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 3 Réponses
- 490 Vues
-
Dernier message par Yann PM
-
- 1 Réponses
- 198 Vues
-
Dernier message par Malekal_morte
-
- 1 Réponses
- 22 Vues
-
Dernier message par Malekal_morte
-
- 7 Réponses
- 408 Vues
-
Dernier message par Malekal_morte
-
- 1 Réponses
- 333 Vues
-
Dernier message par Malekal_morte