besoin d'aide pour désinfection de virus et trojan

[Demsolo]

Bonjour j'ai été infecter en installant un jeu, j'ai effectuer une analyse a l'aide de malwarebytes qui a détecter des trojan et les a mis en quarantaine et je ne sait ce que je doit faire pour être sur que mon pc soit désinfecter.

[Parisien_entraide]

Bonjour

Evidemment on ne sait RIEN de ce qui a été trouvé par MalwareBytes puisque tu ne dis.. RIEN

boule cristal.jpg

Au passage on n' attrape pas une infection avec un jeu, mais seulement avec les jeux crackés ou avec des cheats



Donc donne le rapport MalwareBytes et


La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :


* FRST.txt
* Shortcut
* Additionnal.txt




Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ ou https://textup.fr si cela ne passe pas et en retour donne les 3 liens qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

IMPORTANT : Une fois les rapports crées, n'installe pas de programmes, n'efface rien, ne prends pas d’initiatives, parce que tu "penses que", que "tu crois que " etc. Bref tu ne touches plus à rien

[Demsolo]

bonjour merci de m'accorder de votre temps et désoler d'avoir mal préciser c'est un jeu sur itch.io qu'on télécharge en format compresser et je n'ai pas penser a screen les trojan.
et voici les rapport:
FRST: https://pjjoint.malekal.com/files.php?i ... 8w12z12q10
Addition: https://pjjoint.malekal.com/files.php?i ... 8m7n515o12
Shortcut: https://pjjoint.malekal.com/files.php?i ... b11r5n8h15

[Parisien_entraide]

Tu as le rapport MBAM ? (tu peux le poster sur pjoint.malekal.com)
Tu peux préciser le jeu ?

Y aurait pas plutot un lien avec ce "jeu" "Office Is My Harem" (je savais meme pas que cela existait ce genre de truc)
En plus le firewall de Windows l'avait bloqué

[Demsolo]

comment j'ai le rapport mbam ?
et le nom du jeu m'en rappel plus du tout un truc d'horreur je croit, je l'ai suppr

[Parisien_entraide]

Tu disais

"j'ai effectuer une analyse a l'aide de malwarebytes qui a détecter des trojan et les a mis en quarantaine "

MBAM a un rapport (fichier log)
Tu as la procédure ici pour le récupérer
https://www.malekal.com/malwarebyte-ant ... du_journal

[Demsolo]

screen.png.png

j'ai retrouver l'historique de quarentaine de malwarebytes le voici joint

[Demsolo]

voici le mbam: https://pjjoint.malekal.com/files.php?i ... 4x12o13b13

[Parisien_entraide]

Ok merci :-)

Ce qui donne

Clé du registre: 3
Trojan.PowerShell, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\OneDrive Reporting Task-849198189673, En quarantaine, 9019, 1217351, , , , , ,
Trojan.PowerShell, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{4B8A26BE-C41A-4FFB-AA23-D6FDEA40EF6A}, En quarantaine, 9019, 1217351, , , , , ,
Trojan.PowerShell, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\LOGON\{4B8A26BE-C41A-4FFB-AA23-D6FDEA40EF6A}, En quarantaine, 9019, 1217351, , , , , ,

Fichier: 3
Trojan.PowerShell.E.Generic, C:\USERS\DEFD0\APPDATA\ROAMING\PROFESSIONALSINGLELANGUAGE.DAT, En quarantaine, 12779, 1217350, 1.0.80961, , ame, , 534126B89D2BE0EB8F6265C6EF4813B9, 84D4192D7EA80BA861D370FBBA93CCDC503621E2024267007705512036BB4371
Trojan.PowerShell, C:\WINDOWS\SYSTEM32\TASKS\OneDrive Reporting Task-849198189673, En quarantaine, 9019, 1217351, , , , , 73390FD141B35FC5F0090409913C5D0E, 74705DEEFC8D1FE5BA0A84B5CC7B8F7EB187E0CFFA4538B72D193E4FC8B49D05
Trojan.PowerShell, C:\USERS\DEFD0\.STEAM\STEAM_849198189673.CSPROJ, En quarantaine, 9019, 1217351, 1.0.80961, , ame, , E88C28235C36A8BBA21435F3D91C1A14, CED372ACAE0EBBE27B0C546AFFFD9818CB7D155037F6CF1CB41FD88E03A8C7B8


Malekal ou Angélique jetteront un oeil dès qu'ils auront 5 minutes

[Demsolo]

je me rappel pas avoir dl ce jeu "Office Is My Harem"

[Parisien_entraide]

Voila tout ce qui est en lien

ATTENTION, je ne dis pas que c'est en lien avec ce qu'a trouvé MBAM, mais le contenu peut etre suspect, d'autant plus que sur le site le .rar est AUSSI en relation avec des images et animations (j'avoue que je n'ai pas trop poussé la recherche mais le jeu a été dégagé de Steam et on le trouve sur des sites foireux
Donc soit ce sont les images (cela dit qu'il y a 1,4Go d'image.. Ce qui est curieux) soit le jeu qui a été téléchargé

Par contre, vu qu'il y a une faille dans WinRar, (comblée depuis) l'archive peut contenir autre chose qu'une anim etc (En plus une animation ne s'installe pas et et n'a pas de .exe)



C:\Users\defd0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OfficeIsMyHarem
C:\Users\defd0\Downloads\OfficeIsMyHarem.rar


PROGRAMME INSTALLE
OfficeIsMyHarem (HKLM-x32\...\{4272AAAF-7132-4122-950E-4342A7E3575F}) (Version: 1.0.0 - Office Is My Harem)


FIREWALL
FirewallRules: [TCP Query User{FFE1848C-D62A-490A-969E-77F80C83FFAF}C:\users\defd0\appdata\local\programs\office is my harem\officeismyharem\officeismyharem.exe] => (Block) C:\users\defd0\appdata\local\programs\office is my harem\officeismyharem\officeismyharem.exe () [Fichier non signé]
FirewallRules: [UDP Query User{6B21B25E-FFC8-4F78-8579-9A37AF9B0E9B}C:\users\defd0\appdata\local\programs\office is my harem\officeismyharem\officeismyharem.exe] => (Block) C:\users\defd0\appdata\local\programs\office is my harem\officeismyharem\officeismyharem.exe () [Fichier non signé]


==================== Points de restauration =========================

11-02-2024 12:12:59 Windows Update
14-02-2024 12:31:19 Windows Update
14-02-2024 21:02:36 Installed OfficeIsMyHarem

[Demsolo]

ok merci, du coup il faudrait que je reset mon pc et autre appareil du réseaux ou pas ?

[Malekal_morte]

Je ne pense pas que ce soit nécessaire, par contre tu devrais changer tous tes mots de passe.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2024-02-14 21:03 - 2024-02-14 21:03 - 000000000 ____D C:\Users\defd0\AppData\Roaming\Goldberg SteamEmu Saves
2024-02-14 21:03 - 2024-02-14 21:03 - 000000000 ____D C:\Users\defd0\AppData\Local\Yandex
2024-02-14 21:02 - 2024-02-14 21:02 - 000000000 ____D C:\Users\defd0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OfficeIsMyHarem
2024-02-14 20:49 - 2024-02-14 20:49 - 1617974470 _____ C:\Users\defd0\Downloads\OfficeIsMyHarem.rar
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)