Infecté par Trojan:Win32/Mamson.A!ac et Program:Win32/Uwamson.A!ml

[Solestra]

Bonsoir et merci de votre compréhension pour m'aider.

Frst: https://pjjoint.malekal.com/files.php?i ... p15w9f8d13

Addition: https://pjjoint.malekal.com/files.php?i ... 7i10u14h13

Shortcut: https://pjjoint.malekal.com/files.php?i ... r13e14m7f6

[Malekal_morte]

Salut,

Oui tu sembles avoir infecté ton PC le 14/05 en voulant peut-être cracker AutoDesk.
Une partie est détectée par Windows Defender :

Date: 2022-05-18 17:22:51
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
Nom : Program:Win32/Uwamson.A!ml
ID : 250070
Gravité : Faible
Catégorie : Logiciel potentiellement non désiré
Chemin : amsi:_\Device\HarddiskVolume9\Boot\sm_da\conhost.exe; amsi:_\Device\HarddiskVolume9\config\msedge.exe; amsi:_\Device\HarddiskVolume9\Icons\PNG\RuntimeBroker.exe; amsi:_\Device\HarddiskVolume9\Riot Games\League of Legends\locales\steamwebhelper.exe; amsi:_\Device\HarddiskVolume9\Users\Public\Documents\iCUEDevicePluginHost.exe
Origine de la détection : Inconnu
Type de détection : Concret
Source de détection : AMSI
Utilisateur :
Nom du processus : C:\config\msedge.exe

Date: 2022-05-17 16:37:31
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
Nom : Trojan:Win32/Mamson.A!ac
ID : 2147749144
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : amsi:_\Device\HarddiskVolume9\Icons\PNG\RuntimeBroker.exe; amsi:_\Device\HarddiskVolume9\Riot Games\League of Legends\locales\steamwebhelper.exe
Origine de la détection : Inconnu
Type de détection : Chemin rapide
Source de détection : AMSI
Utilisateur : SOSO\Soso
Nom du processus : C:\Riot Games\League of Legends\locales\steamwebhelper.exe
Version de la veille de sécurité : AV: 1.363.2053.0, AS: 1.363.2053.0, NIS: 1.363.2053.0
Version du moteur : AM: 1.1.19200.5, NIS: 1.1.19200.5

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {018C617A-62A4-405D-B610-40E3262F011D} - System32\Tasks\RuntimeBroker => C:\Icons\PNG\RuntimeBroker.exe [1631232 2022-05-14] () [Fichier non signé] <==== ATTENTION
Task: {15A8D4CE-BD2C-48D2-A291-5CDD46CCFE4C} - System32\Tasks\RuntimeBrokerR => C:\Icons\PNG\RuntimeBroker.exe [1631232 2022-05-14] () [Fichier non signé] <==== ATTENTION
Task: {32AEFC73-E1C4-4C4C-A789-5828D5EE4C88} - System32\Tasks\GoogleUpdate => C:\WINDOWS\system32\config\systemprofile\Chrome\updater.exe  <==== ATTENTION
Task: {4AC9CDCA-D39E-4ABC-BCA8-77B3112FE717} - System32\Tasks\ViGEmBusUpdater => "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\Romai\AppData\Roaming\Webgard\cor.ps1
Task: {5240A881-A0D9-4DB6-91ED-8B6217749211} - System32\Tasks\msedgem => C:\config\msedge.exe [1631232 2022-05-14] () [Fichier non signé]
Task: {CC4F7621-78C5-4944-B12A-E5CFCE354AAE} - System32\Tasks\conhost => C:\Boot\sm_da\conhost.exe [1631232 2022-05-14] () [Fichier non signé]
Task: {CE7C7B10-11F7-4650-89D8-263C64B30D15} - System32\Tasks\msedge => C:\config\msedge.exe [1631232 2022-05-14] () [Fichier non signé]
Task: {B51788BB-914A-43A5-BBD5-D98C48E0960B} - System32\Tasks\conhostc => C:\Boot\sm_da\conhost.exe [1631232 2022-05-14] () [Fichier non signé]
Task: {B51788BB-914A-43A5-BBD5-D98C48E0960B} - System32\Tasks\conhostc => C:\Boot\sm_da\conhost.exe [1631232 2022-05-14] () [Fichier non signé]
2022-05-14 21:41 - 2022-05-14 21:41 - 000000000 ____D C:\Users\Romai\Chrome
2022-05-14 21:40 - 2022-05-14 21:48 - 001934336 _____ (Chrome) C:\Users\Romai\AppData\Roaming\conhost_rem.exe
C:\Icons\PNGN
C:\Users\Romai\AppData\Roaming\Webgard
C:\Boot
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

2) Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

3) Refais un scan FRST et donne les rapports.

[Solestra]

Bonjour, merci pour la rapidité. Cependant je ne suis pas parvenue à faire le scan avec nod32 car j'ai un soucis avec n'importe quel navigateur internet je m'explique.
Lorsque j'ouvre le lien que vous m'avez envoyer le navigateur ce ferme, lorsque j'écris (eset, reset) dans la barre de recherche j'ai mon navigateur qui ce referme. Donc impossible d'accèder à la suite de la procédure. J'ai reinstalé mes navigateurs mais toujours ce petit problème, j'ai désactiver certaine application comme AdBlock mais toujours le cas. Je ne sais pas ci vous pourriez m'aider mais ça serais avec plasir.

Je vous fais parvenir le reste de la procèdure

FRST = https://pjjoint.malekal.com/files.php?i ... k11c9t9l15

Addition = https://pjjoint.malekal.com/files.php?i ... 0j6n12j105

Shortcut = https://pjjoint.malekal.com/files.php?i ... 14v9i13o10

FixLog = https://pjjoint.malekal.com/files.php?i ... 12x13k6k14

Merci de votre compréhension.

[Malekal_morte]

Il reste des Trojans, ils doivent empêcher l'accès au site des antivirus.




Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {0672F5EF-011B-40A0-897F-080CB7AB2631} - System32\Tasks\iCUEDevicePluginHosti => C:\Users\Public\Documents\iCUEDevicePluginHost.exe [1631232 2022-05-14] () [Fichier non signé]
C:\Users\Public\Documents\iCUEDevicePluginHost.exe
Task: {36441C74-D4E2-4BC1-AB34-CC6636F44B15} - System32\Tasks\RamCleaner => C:\RamCleaner\EmptyStandbyList.exe [139424 2022-05-12] (Wen Jia Liu -> )
C:\RamCleaner
Task: {25F7D545-4414-4C07-9E60-307B4D43B09C} - System32\Tasks\steamwebhelpers => C:\Riot Games\League of Legends\locales\steamwebhelper.exe [1631232 2022-05-14] () [Fichier non signé]
C:\Riot Games\League of Legends\locales\steamwebhelper.exe
Task: {B6F901BE-2362-42C7-9691-1EB30699D836} - System32\Tasks\ASUS\ArmouryAIOFanServer => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\AIOFanSDK\ArmouryAIOFanServer.exe [1039360 2020-11-10] (TODO: <Company name>) [Fichier non signé]
Task: {F1520ACF-700C-44CD-A2B3-7E5250C8BD10} - System32\Tasks\iCUEDevicePluginHost => C:\Users\Public\Documents\iCUEDevicePluginHost.exe [1631232 2022-05-14] () [Fichier non signé]
Task: {BA4B80BF-25FC-4922-AD4C-D3657F4DB620} - System32\Tasks\steamwebhelper => C:\Riot Games\League of Legends\locales\steamwebhelper.exe [1631232 2022-05-14] () [Fichier non signé]
2022-05-12 17:03 - 2022-05-12 17:03 - 000000000 ____D C:\RamCleaner
2022-05-11 16:29 - 2022-05-19 17:46 - 000003118 _____ C:\WINDOWS\system32\Tasks\MSIAfterburner
2022-05-10 22:44 - 2022-05-10 22:48 - 000000000 ____D C:\Users\Romai\Heaven
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)




Remets/Vérifie que tous les serveurs de noms (DNS) sont automatiques.
Suivre le paragraphe "Comment modifier les serveurs DNS sur Windows" de la page suivante : https://www.malekal.com/comment-changer ... s-windows/

Vois ensuite si le scan ESET est possible.