Virus trojan a chaque démarrage [résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

RMSK
Messages : 4
Inscription : 09 déc. 2022 21:21

Virus trojan a chaque démarrage [résolu]

par RMSK »

Bonjour, cela fait plusieurs semaine qu'un virus c'est introduit dans mon pc via un crack de plugin, j'arrive a le supprimer grace a spybot mais il revient a chaque fois...

J'ai utiliser FRST pour faire un rapport comme demander voici les deux lien des fichiers obtenus:

https://pjjoint.malekal.com/files.php?i ... y7u9w11o12

https://pjjoint.malekal.com/files.php?i ... j5n9p13o12

Merci infiniment pour votre aide

RMSK
Avatar de l’utilisateur
Parisien_entraide
Messages : 16288
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Virus trojan a chaque démarrage

par Parisien_entraide »

Bonsoir

Malekal ou Angélique te diront ce qu'il en est mais :


Déjà vire Spybot.. Ce truc a eu ses heures de gloire y a 15 ans maintenant c'est terminé
En plus tu n'as meme pas d'Anti virus actif (peut etre désactivé par une infection) et pas de protection pour la navigation

Adobe première pro, ils sort d'où ? parce que le programme est en erreur
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
angelique
Messages : 32168
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Virus trojan a chaque démarrage

par angelique »

En plus tu n'as meme pas d'Anti virus actif (peut etre désactivé par une infection)
Oui mon avis c'est lui Task: {BB7CD235-913A-44FF-AB45-A2AC8C0F8EFF} - System32\Tasks\Microsoft\Windows\Windows Setting Factory\Microsoft Recovery\Common System File\Defender Setting => C:\ProgramData\WindowsTasksService\winserv.exe [10675712 2021-05-28] (tox) [Fichier non signé]

qui l'a désactivé



Salut,

Analyse ce fichier C:\ProgramData\WindowsTasksService\winserv.exe chez https://www.virustotal.com/gui/ et donne dans ta prochaine réponse le résultat du lien d' analyse.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
RMSK
Messages : 4
Inscription : 09 déc. 2022 21:21

Re: Virus trojan a chaque démarrage

par RMSK »

Merci de vos réponses rapide!

Je pensais que Windows defender suffisait:

Adobe premiere pro est buggé mais vient de la suite adobe, abonnement sans crack (mais buggé en ce moment...)
Voici le résultat en PJ
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avatar de l’utilisateur
Parisien_entraide
Messages : 16288
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Virus trojan a chaque démarrage

par Parisien_entraide »

Tu n'as pas compris...

Windows defender suffit (du moins si on ne télécharge pas de cracks)
Là il a été désactivé par l'infection

Et oui les infections que l'on place "volontairement ", parce qu'un crack c'est volontaire, désactivent les anti virus
Ce n'est pas Spybot car il ne se prend pas pour un antivirus, au contraire de MBAM qui se permet lui de désactiver Windows Defender
Donc il ne reste plus que l'infection

Donc je vais poser la question autrement : Tu as des programmes crackés ? (Maxon cinema par ex)
Tu parles d'un plugin dans le premier message, et je vois pas mal de fichiers en .zip etc que tu télécharges
Ca été téléchargé où ? (si tu mets un lien par ex https://www.plugincrackes.com renomme l'adresse en htxxx://www.plugincrackes.com )
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
angelique
Messages : 32168
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Virus trojan a chaque démarrage

par angelique »

Bonjour/Bonsoir





Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
RMSK
Messages : 4
Inscription : 09 déc. 2022 21:21

Re: Virus trojan a chaque démarrage

par RMSK »

Bonjour!

Voici le résultat Angelique :)

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 04-12-2022
Exécuté par Romain (11-12-2022 14:16:32) Run:1
Exécuté depuis C:\Users\Romain\Desktop\FRST.EXE
Profils chargés: Romain
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Task: {3C50E058-1D49-4E57-8810-696137B4E4AA} - System32\Tasks\Microsoft\Windows\Windows Setting Factory\Microsoft Recovery\Common System File\Library Security => C:\Users\Public\Library\Windows\stp.vbs -NoLogo -NoExit (Pas de fichier)
Task: {53C0ECBF-9FF6-47E8-8E29-0AC5C6FD8397} - System32\Tasks\Microsoft\Windows\Windows Setting Factory\Microsoft Recovery\Common System File\Common Factory => C:\Users\Public\Library\Windows\stp.bat [Argument = -NoLogo -NoExit]
Task: {BB7CD235-913A-44FF-AB45-A2AC8C0F8EFF} - System32\Tasks\Microsoft\Windows\Windows Setting Factory\Microsoft Recovery\Common System File\Defender Setting => C:\ProgramData\WindowsTasksService\winserv.exe [10675712 2021-05-28] (tox) [Fichier non signé]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKU\S-1-5-21-2994765892-1861652317-3331205143-1001\...\Run: [ASRock A-Tuning] => [X]
HKU\S-1-5-21-2994765892-1861652317-3331205143-1001\...\Run: [ASRockRuefi] => [X]
2022-11-21 22:40 - 2022-12-07 13:21 - 000000000 ____D C:\Windows\Microsoft Antimalware
2022-11-21 21:25 - 2022-11-21 22:37 - 000000000 ____D C:\ProgramData\WindowsTasksService
2022-11-21 21:25 - 2022-11-21 21:25 - 000000000 ____D C:\Users\Romain\AppData\Roaming\RMS_settings
2022-11-21 21:17 - 2022-11-21 21:17 - 000000000 ____D C:\Users\Public\Library
2022-11-21 21:15 - 2022-11-21 21:15 - 105227638 _____ C:\Users\Romain\Downloads\TradingView.zip
2022-11-21 21:15 - 2022-11-21 21:15 - 000000000 ____D C:\Users\Romain\AppData\Local\AdvinstAnalytics
2022-11-21 21:15 - 2022-11-21 21:15 - 000000000 ____D C:\Program Files (x86)\Tradingview Desktop
2022-11-21 21:11 - 2022-11-21 21:56 - 000000000 ____D C:\Users\Romain\AppData\Roaming\MetaQuotes
2022-11-21 21:11 - 2022-11-21 21:56 - 000000000 ____D C:\Program Files\MetaTrader
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
StartPowershell:
sfc /scannow
EndPowershell:
Hosts:
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3C50E058-1D49-4E57-8810-696137B4E4AA}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3C50E058-1D49-4E57-8810-696137B4E4AA}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Microsoft\Windows\Windows Setting Factory\Microsoft Recovery\Common System File\Library Security => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Windows Setting Factory\Microsoft Recovery\Common System File\Library Security" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{53C0ECBF-9FF6-47E8-8E29-0AC5C6FD8397}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{53C0ECBF-9FF6-47E8-8E29-0AC5C6FD8397}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Microsoft\Windows\Windows Setting Factory\Microsoft Recovery\Common System File\Common Factory => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Windows Setting Factory\Microsoft Recovery\Common System File\Common Factory" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BB7CD235-913A-44FF-AB45-A2AC8C0F8EFF}" => non trouvé(e)
"C:\Windows\System32\Tasks\Microsoft\Windows\Windows Setting Factory\Microsoft Recovery\Common System File\Defender Setting" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Windows Setting Factory\Microsoft Recovery\Common System File\Defender Setting" => non trouvé(e)
HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiSpyware"="0" => valeur restauré(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiVirus"="0" => valeur restauré(es) avec succès
"HKU\S-1-5-21-2994765892-1861652317-3331205143-1001\Software\Microsoft\Windows\CurrentVersion\Run\\ASRock A-Tuning" => supprimé(es) avec succès
"HKU\S-1-5-21-2994765892-1861652317-3331205143-1001\Software\Microsoft\Windows\CurrentVersion\Run\\ASRockRuefi" => supprimé(es) avec succès
C:\Windows\Microsoft Antimalware => déplacé(es) avec succès
C:\ProgramData\WindowsTasksService => déplacé(es) avec succès
C:\Users\Romain\AppData\Roaming\RMS_settings => déplacé(es) avec succès
C:\Users\Public\Library => déplacé(es) avec succès
C:\Users\Romain\Downloads\TradingView.zip => déplacé(es) avec succès
C:\Users\Romain\AppData\Local\AdvinstAnalytics => déplacé(es) avec succès
C:\Program Files (x86)\Tradingview Desktop => déplacé(es) avec succès
C:\Users\Romain\AppData\Roaming\MetaQuotes => déplacé(es) avec succès
C:\Program Files\MetaTrader => déplacé(es) avec succès

========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "C:\Windows\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= Powershell: =========




D Ú b u t d e l a n a l y s e d u s y s t Þ m e . C e t t e o p Ú r a t i o n p e u t n Ú c e s s i t e r u n c e r t a i n t e m p s .





D Ú m a r r a g e d e l a p h a s e d e v Ú r i f i c a t i o n d e l a n a l y s e d u s y s t Þ m e .



L a v Ú r i f i c a t i o n e s t Ó 0 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 1 0 0 % t e r m i n Ú e .




L a P r o t e c t i o n d e s r e s s o u r c e s W i n d o w s a d Ú t e c t Ú d e s f i c h i e r s c o r r o m p u s e t l e s a r Ú p a r Ú s .


P o u r l e s r Ú p a r a t i o n s e n l i g n e , l e s d Ú t a i l s s o n t i n c l u s d a n s l e f i c h i e r j o u r n a l d e C B S s i t u Ú Ó l ' e m p l a c e m e n t s u i v a n t á :


w i n d i r \ L o g s \ C B S \ C B S . l o g . E x e m p l e á : C : \ W i n d o w s \ L o g s \ C B S \ C B S . l o g . P o u r l e s r Ú p a r a t i o n s


h o r s c o n n e x i o n , l e s d Ú t a i l s s o n t i n c l u s d a n s l e f i c h i e r j o u r n a l f o u r n i p a r l ' i n d i c a t e u r / O F F L O G F I L E .




========= Fin de Powershell: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 1835008 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 276505588 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 800635266 B
Windows/system/drivers => 8647607 B
Edge => 0 B
Chrome => 2022051 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 514 B
LocalService => 414316 B
NetworkService => 613636 B
Romain => 164184400295 B

RecycleBin => 182996 B
EmptyTemp: => 153.9 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 14:23:22 ====
Avatar de l’utilisateur
angelique
Messages : 32168
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Virus trojan a chaque démarrage

par angelique »

Le job a été fait, c'est OK

Suppression de FRST

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage


~~

Réinitialise/Répare les navigateurs WEB concerné(s) par les problèmes :


~~

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
RMSK
Messages : 4
Inscription : 09 déc. 2022 21:21

Re: Virus trojan a chaque démarrage [résolu]

par RMSK »

Merci beaucoup pour ton aide!
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »