Infecté par Trojan:Win32/Mamson.A!ac et Program:Win32/Uwamson.A!ml

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Solestra
Messages : 2
Inscription : 18 mai 2022 18:25

Infecté par Trojan:Win32/Mamson.A!ac et Program:Win32/Uwamson.A!ml

par Solestra »

Malekal_morte
Messages : 110631
Inscription : 10 sept. 2005 13:57

Re: Infecté par Trojan:Win32/Mamson.A!ac et Program:Win32/Uwamson.A!ml

par Malekal_morte »

Salut,

Oui tu sembles avoir infecté ton PC le 14/05 en voulant peut-être cracker AutoDesk.
Une partie est détectée par Windows Defender :
Date: 2022-05-18 17:22:51
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
Nom : Program:Win32/Uwamson.A!ml
ID : 250070
Gravité : Faible
Catégorie : Logiciel potentiellement non désiré
Chemin : amsi:_\Device\HarddiskVolume9\Boot\sm_da\conhost.exe; amsi:_\Device\HarddiskVolume9\config\msedge.exe; amsi:_\Device\HarddiskVolume9\Icons\PNG\RuntimeBroker.exe; amsi:_\Device\HarddiskVolume9\Riot Games\League of Legends\locales\steamwebhelper.exe; amsi:_\Device\HarddiskVolume9\Users\Public\Documents\iCUEDevicePluginHost.exe
Origine de la détection : Inconnu
Type de détection : Concret
Source de détection : AMSI
Utilisateur :
Nom du processus : C:\config\msedge.exe

Date: 2022-05-17 16:37:31
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
Nom : Trojan:Win32/Mamson.A!ac
ID : 2147749144
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : amsi:_\Device\HarddiskVolume9\Icons\PNG\RuntimeBroker.exe; amsi:_\Device\HarddiskVolume9\Riot Games\League of Legends\locales\steamwebhelper.exe
Origine de la détection : Inconnu
Type de détection : Chemin rapide
Source de détection : AMSI
Utilisateur : SOSO\Soso
Nom du processus : C:\Riot Games\League of Legends\locales\steamwebhelper.exe
Version de la veille de sécurité : AV: 1.363.2053.0, AS: 1.363.2053.0, NIS: 1.363.2053.0
Version du moteur : AM: 1.1.19200.5, NIS: 1.1.19200.5

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {018C617A-62A4-405D-B610-40E3262F011D} - System32\Tasks\RuntimeBroker => C:\Icons\PNG\RuntimeBroker.exe [1631232 2022-05-14] () [Fichier non signé] <==== ATTENTION
Task: {15A8D4CE-BD2C-48D2-A291-5CDD46CCFE4C} - System32\Tasks\RuntimeBrokerR => C:\Icons\PNG\RuntimeBroker.exe [1631232 2022-05-14] () [Fichier non signé] <==== ATTENTION
Task: {32AEFC73-E1C4-4C4C-A789-5828D5EE4C88} - System32\Tasks\GoogleUpdate => C:\WINDOWS\system32\config\systemprofile\Chrome\updater.exe  <==== ATTENTION
Task: {4AC9CDCA-D39E-4ABC-BCA8-77B3112FE717} - System32\Tasks\ViGEmBusUpdater => "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\Romai\AppData\Roaming\Webgard\cor.ps1
Task: {5240A881-A0D9-4DB6-91ED-8B6217749211} - System32\Tasks\msedgem => C:\config\msedge.exe [1631232 2022-05-14] () [Fichier non signé]
Task: {CC4F7621-78C5-4944-B12A-E5CFCE354AAE} - System32\Tasks\conhost => C:\Boot\sm_da\conhost.exe [1631232 2022-05-14] () [Fichier non signé]
Task: {CE7C7B10-11F7-4650-89D8-263C64B30D15} - System32\Tasks\msedge => C:\config\msedge.exe [1631232 2022-05-14] () [Fichier non signé]
Task: {B51788BB-914A-43A5-BBD5-D98C48E0960B} - System32\Tasks\conhostc => C:\Boot\sm_da\conhost.exe [1631232 2022-05-14] () [Fichier non signé]
Task: {B51788BB-914A-43A5-BBD5-D98C48E0960B} - System32\Tasks\conhostc => C:\Boot\sm_da\conhost.exe [1631232 2022-05-14] () [Fichier non signé]
2022-05-14 21:41 - 2022-05-14 21:41 - 000000000 ____D C:\Users\Romai\Chrome
2022-05-14 21:40 - 2022-05-14 21:48 - 001934336 _____ (Chrome) C:\Users\Romai\AppData\Roaming\conhost_rem.exe
C:\Icons\PNGN
C:\Users\Romai\AppData\Roaming\Webgard
C:\Boot
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

2) Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

3) Refais un scan FRST et donne les rapports.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Solestra
Messages : 2
Inscription : 18 mai 2022 18:25

Re: Infecté par Trojan:Win32/Mamson.A!ac et Program:Win32/Uwamson.A!ml

par Solestra »

Bonjour, merci pour la rapidité. Cependant je ne suis pas parvenue à faire le scan avec nod32 car j'ai un soucis avec n'importe quel navigateur internet je m'explique.
Lorsque j'ouvre le lien que vous m'avez envoyer le navigateur ce ferme, lorsque j'écris (eset, reset) dans la barre de recherche j'ai mon navigateur qui ce referme. Donc impossible d'accèder à la suite de la procédure. J'ai reinstalé mes navigateurs mais toujours ce petit problème, j'ai désactiver certaine application comme AdBlock mais toujours le cas. Je ne sais pas ci vous pourriez m'aider mais ça serais avec plasir.

Je vous fais parvenir le reste de la procèdure

FRST = https://pjjoint.malekal.com/files.php?i ... k11c9t9l15

Addition = https://pjjoint.malekal.com/files.php?i ... 0j6n12j105

Shortcut = https://pjjoint.malekal.com/files.php?i ... 14v9i13o10

FixLog = https://pjjoint.malekal.com/files.php?i ... 12x13k6k14

Merci de votre compréhension.
Malekal_morte
Messages : 110631
Inscription : 10 sept. 2005 13:57

Re: Infecté par Trojan:Win32/Mamson.A!ac et Program:Win32/Uwamson.A!ml

par Malekal_morte »

Il reste des Trojans, ils doivent empêcher l'accès au site des antivirus.




Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {0672F5EF-011B-40A0-897F-080CB7AB2631} - System32\Tasks\iCUEDevicePluginHosti => C:\Users\Public\Documents\iCUEDevicePluginHost.exe [1631232 2022-05-14] () [Fichier non signé]
C:\Users\Public\Documents\iCUEDevicePluginHost.exe
Task: {36441C74-D4E2-4BC1-AB34-CC6636F44B15} - System32\Tasks\RamCleaner => C:\RamCleaner\EmptyStandbyList.exe [139424 2022-05-12] (Wen Jia Liu -> )
C:\RamCleaner
Task: {25F7D545-4414-4C07-9E60-307B4D43B09C} - System32\Tasks\steamwebhelpers => C:\Riot Games\League of Legends\locales\steamwebhelper.exe [1631232 2022-05-14] () [Fichier non signé]
C:\Riot Games\League of Legends\locales\steamwebhelper.exe
Task: {B6F901BE-2362-42C7-9691-1EB30699D836} - System32\Tasks\ASUS\ArmouryAIOFanServer => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\AIOFanSDK\ArmouryAIOFanServer.exe [1039360 2020-11-10] (TODO: <Company name>) [Fichier non signé]
Task: {F1520ACF-700C-44CD-A2B3-7E5250C8BD10} - System32\Tasks\iCUEDevicePluginHost => C:\Users\Public\Documents\iCUEDevicePluginHost.exe [1631232 2022-05-14] () [Fichier non signé]
Task: {BA4B80BF-25FC-4922-AD4C-D3657F4DB620} - System32\Tasks\steamwebhelper => C:\Riot Games\League of Legends\locales\steamwebhelper.exe [1631232 2022-05-14] () [Fichier non signé]
2022-05-12 17:03 - 2022-05-12 17:03 - 000000000 ____D C:\RamCleaner
2022-05-11 16:29 - 2022-05-19 17:46 - 000003118 _____ C:\WINDOWS\system32\Tasks\MSIAfterburner
2022-05-10 22:44 - 2022-05-10 22:48 - 000000000 ____D C:\Users\Romai\Heaven
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)




Remets/Vérifie que tous les serveurs de noms (DNS) sont automatiques.
Suivre le paragraphe "Comment modifier les serveurs DNS sur Windows" de la page suivante : https://www.malekal.com/comment-changer ... s-windows/

Vois ensuite si le scan ESET est possible.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »