Infecté par Autoit V3 script virus ? [résolu]

[Zumba]

Bonjour,
Depuis quelques jours, au démarrage de mon pc, le message d'erreur

your system is not supported this version

s'affiche avec un bouton OK.
Mes recherches sur le pc aboutissent à un fichier spam.pif à cet emplacement:

C:\Users\Gerard\AppData\Local\Temp\8794

.
D'après le site, il s'agirait du virus

Autoit V3 script virus.

Pouvez-vous me dire si mon pc est infecté et si oui m'aider à le désinfecter.

Merci par avance de votre aide.

[Parisien_entraide]

Bonjour

Vu que ce n'est pas la première fois que tu es confronté à une possible infection tu connais la procédure, donc



La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :


* FRST.txt
* Shortcut
* Additionnal.txt




Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ ou https://textup.fr si cela ne passe pas et en retour donne les 3 liens qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

IMPORTANT : Une fois les rapports crées, n'installe pas de programmes, n'efface rien, ne prends pas d’initiatives, parce que tu "penses que", que "tu crois que " etc. Bref tu ne touches plus à rien

[Zumba]

Salut,
Oui ce n'est pas la première fois mais ça faisait longtemps que ça ne m'était arrivé.
Merci de me prendre en charge, je procède aux instructions dans la journée.

[Zumba]

Voici les 3 fichiers
Frst.txt : https://pjjoint.malekal.com/files.php?i ... 8c11j9p7s5
Addition.txt : https://pjjoint.malekal.com/files.php?i ... 5x13t9o7i7
Shortcut.txt : https://pjjoint.malekal.com/files.php?i ... 13k5d6d912

[Malekal_morte]

Ouaip des Trojan, donc mots de passe, serial et autres données présentes ont été pompés par un pirate, qui peut aussi contrôler le PC à distance :

(AutoIt Consulting Ltd -> AutoIt Team) C:\Users\Gerard\AppData\Local\StreamTech Dynamics LLC\StreamPulse.pif
(explorer.exe ->) (AutoIt Consulting Ltd -> AutoIt Team) C:\Users\Gerard\AppData\Local\Temp\12898\Spam.pif

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
InternetURL: C:\Users\Gerard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\StreamPulse.url -> URL: "C:\Users\Gerard\AppData\Local\StreamTech Dynamics LLC\StreamPulse.js"   <==== ATTENTION
2016-05-18 08:12 - 2017-02-06 11:46 - 000000000 _____ () C:\Users\GG-Admin\ZHPDiag3.exe
2017-06-13 15:53 - 2019-08-30 22:58 - 000029722 _____ () C:\Program Files (x86)\log.txt
2016-03-27 09:43 - 2015-08-27 14:48 - 000444283 _____ () C:\Program Files\Common Files\WinPcapNmap.exe
2017-06-11 20:29 - 2018-02-28 19:49 - 000002292 _____ () C:\Users\Gerard\AppData\Roaming\ASSDraw3.cfg
2022-12-28 18:56 - 2023-03-10 02:25 - 000000000 _____ () C:\Users\Gerard\AppData\Roaming\FileIn.cns
2022-12-28 18:56 - 2023-03-10 02:25 - 000000000 _____ () C:\Users\Gerard\AppData\Roaming\FileOut.cns
2022-12-29 23:09 - 2022-12-29 23:09 - 000000189 _____ () C:\Users\Gerard\AppData\Roaming\PC-BUREAU.MTBF.txt
2023-01-19 19:01 - 2023-01-19 19:01 - 000015233 _____ () C:\Users\Gerard\AppData\Roaming\winboard48.ini
2024-03-05 12:55 - 2024-03-14 16:53 - 000000003 _____ () C:\Users\Gerard\AppData\Local\cleanup.txt
2016-03-29 02:20 - 2016-12-17 12:40 - 000004608 _____ () C:\Users\Gerard\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2024-02-12 01:19 - 2024-02-12 01:19 - 000001721 _____ () C:\Users\Gerard\AppData\Local\recently-used.xbel
2024-03-04 23:56 - 2024-03-04 23:56 - 000000000 ____D C:\Users\Gerard\AppData\Local\StreamTech Dynamics LLC
2024-03-04 23:53 - 2024-03-04 23:53 - 000000000 ____D C:\Users\GG-Admin\AppData\Local\StreamTech Dynamics LLC
2024-03-04 23:37 - 2024-03-04 23:37 - 000000000 ____D C:\Users\Gerard\AppData\Roaming\Elcomsoft
2024-03-04 23:36 - 2024-03-04 23:55 - 000000000 ____D C:\ProgramData\Elcomsoft Password Recovery
2024-03-04 23:25 - 2024-03-04 23:25 - 000001416 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Money.lnk
2024-02-28 11:19 - 2024-02-28 11:19 - 000290816 ____N (Microsoft Corporation) C:\WINDOWS\Setup1.exe
2024-02-28 11:19 - 2024-02-28 11:19 - 000074752 _____ (Microsoft Corporation) C:\WINDOWS\ST6UNST.EXE
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

Important :

Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :

Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corriger.



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

3) Faire un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite

4) Désinstalle :

CCleaner (inutile)
iCloud (sauf si tu synchronises avec)
MEGAsync (sauf si tu synchronises avec)
Spybot - Search & Destroy (inefficace)
Wondershare (inutile)

Refais un scan FRST et donne les nouveaux rapports via pjjoint

5) Refais un scan FRST et donne à nouveau les rapports

[Zumba]

re,

La 1ere fois la correction ne s'est pas effectuée (fichier vide). J'ai donc appliqué la procédure , voici le résultat de fixlog.txt

fixlog.txt : https://pjjoint.malekal.com/files.php?i ... 7r8p7z15r8

NB Le message d'erreur du début s'affiche toujours.

Je relance Frst ?

[Malekal_morte]

Oui il faut aller au bout.

[Zumba]

Oui il faut aller au bout.

ok, voici les 3 fichiers:

https://pjjoint.malekal.com/files.php?i ... 5f11i7p7e5
https://pjjoint.malekal.com/files.php?i ... 15f58f12z7
https://pjjoint.malekal.com/files.php?i ... 9z5y8z13u7

NB Le message d'erreur du début s'affiche toujours de façon cyclique

[Malekal_morte]

Désinstalle WebAdvisor par McAfee et Opera.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKLM\...\RunOnce: [!BingChatInstaller] => "C:\WINDOWS\Temp\MUBSTemp\BingChatInstaller.EXE" bgaupmi=5183CDD385D54F6B8C73D1A18C6F9069 (Pas de fichier) <==== ATTENTION
HKLM\...\RunOnce: [!BCILauncher] => "C:\WINDOWS\Temp\MUBSTemp\BCILauncher.EXE" bgaupmi=06AD527E3571423A85D43285E92270F0 (Pas de fichier) <==== ATTENTION
InternetURL: C:\Users\GG-Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\StreamPulse.url -> URL: "C:\Users\GG-Admin\AppData\Local\StreamTech Dynamics LLC\StreamPulse.js"   <==== ATTENTION
Task: {A4DFB0D3-8F36-4C8E-B863-10BD26D529CE} - System32\Tasks\October => C:\Windows\system32\wscript.exe [170496 2023-10-11] (Microsoft Windows -> Microsoft Corporation) -> "C:\Users\Gerard\AppData\Local\StreamTech Dynamics LLC\StreamPulse.js"
Task: {22754999-7C44-42CC-A9B3-11BAEB900B7E} - System32\Tasks\CrystalDiskInfo => "C:\Program Files (x86)\CrystalDiskInfo\DiskInfo32.exe"  /Startup (Pas de fichier)
R2 McAfee WebAdvisor; C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe [889400 2024-03-14] (McAfee, LLC -> McAfee, LLC)
2024-03-05 00:51 - 2024-03-05 00:55 - 000000000 ____D C:\Program Files (x86)\Accent Money Password Recovery
2024-03-05 00:51 - 2024-03-05 00:51 - 000000000 ____D C:\Users\GG-Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accent Money Password Recovery
2024-03-04 23:53 - 2024-03-14 16:46 - 000003674 _____ C:\WINDOWS\system32\Tasks\October
2024-03-04 23:53 - 2024-03-14 00:15 - 000000000 ____D C:\Users\GG-Admin\Documents\GuardFox
2024-03-04 23:36 - 2024-03-04 23:55 - 000000000 ____D C:\WINDOWS\system32\Tasks\Elcomsoft
2024-03-08 01:06 - 2024-03-08 01:07 - 000000000 ____D C:\Users\Gerard\AppData\Local\Temporary Projects
C:\Users\GG-Admin\AppData\Local\StreamTech Dynamics LLC
C:\Program Files\McAfee
reg: reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
reg: reg add "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
2024-03-14 22:19 - 2020-11-23 19:58 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2024-03-14 22:19 - 2020-11-23 19:58 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

Important :

Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :

Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corriger.

[Zumba]

Bonjour,

Voici le fichier fixlog : https://pjjoint.malekal.com/files.php?i ... 13i5w8o6d9

J'ai désinstallé spybot mais opera ne se trouve pas dans la liste des programmes installés.

Nouveauté: après chaque redémarrage du pc cette fenêtre s'ouvre:

[Parisien_entraide]

Bonjour

Dans ton dernier rapport FRST, OPERA figure bien en tant que navigateur par défaut
Regarde ce que raconte RevoUninstaller
https://www.malekal.com/revo-uninstalle ... acilement/

Pour ce qui ressemble à une alerte, c'est lié au nettoyage
Le message est idiot, parce que la suite en fait est une généralité (surtout que tu as 344 Mo de libre sur 500 Mo)

Par contre je pense tu devrais te pencher sur les disques "E" et surtout "X" et "Z" et c'est peut etre pour cela que le message revient (bug ?)

Il faut savoir que pour que Windows effectue une maintenance, comme par ex une défragmentation sur un disque dur, il faut au minima 10% d'espace libre (en fait idéalement entre 15 et 20%)
C'est la même chose pour les SSD et c'est même peut etre pire, car les fonctions de maintenance (Trim, Garbage Collector etc) ne peuvent s'activer
Le résultat étant que ce sont les TOUJOURS mêmes cellules qui sont utilisées, et cela diminue grandement leur durée de vie
Au delà de cela la vitesse peut etre réduite fortement (lecture/écriture)

Sur la défragmentation (qui est en fait une optimisation sur les SSD)
https://forum.malekal.com/viewtopic.php ... 22#p519922

Il te va donc falloir faire le ménage

Drive c: () (Fixed) (Total:464.96 GB) (Free:343.38 GB) (Model: ST4000DM004-2CV104) NTFS ==>[système avec composants d'amorçage (obtenu depuis lecteur)]
Drive e: (Disk-Sav1) (Fixed) (Total:1855.47 GB) (Free:131.03 GB) (Model: ST4000DM004-2CV104) NTFS
Drive f: (Disk-Sav2) (Fixed) (Total:1870.55 GB) (Free:400.22 GB) (Model: ST4000DM004-2CV104) NTFS
Drive x: (Disque11) (Fixed) (Total:931.51 GB) (Free:21.81 GB) NTFS
Drive z: (Seagate1Go A) (Fixed) (Total:931.51 GB) (Free:35.05 GB) (Model: Samsung SSD 860 EVO 500GB) NTFS

[Malekal_morte]

A la limite pour la notification, faudrait créer un autre sujet, concentrons nous sur les malwares.
Faudrait déjà être sûr qu'ils ne reviennent pas.

[Zumba]

Bonjour,
Tout à fait d'accord Malekal_morte.
Pour info, le message d'erreur du début ne revient plus.
Est-ce fini pour l'éradication ?

Concernant les données et mots de passe potentiellement volés à cause du trojan que tu as détecté, sachant que je met tous mes mot de passe sur un fichier texte que je compresse avec winrar + mot de passe.
Est-ce suffisant comme sécurité selon toi ?

[Parisien_entraide]

Bonjour

Tu disposes de la version de WinRAR 5.71 (64-bit)
Déjà il faut savoir qu'il y avait au moins 3 failles dans la version 2023 d'avant l'été (qui était en version 6.x) exploitées par les "malfaisants" qui permettent d'ouvrir les anciennes archives mais pire de véroler une archive si on l'ouvre avec une version ancienne
donc là avec une version qui date d'il y a 5 ans il ne peut qu'y en avoir d'autres failles

Ensuite il faut savoir que les malwares actuels type stealer, volent toutes les données de compte login et mot de passe, les documents, vidéos, photos qu'ils peuvent trouver
Cela peut servir

Voir ce qui peut etre volé et les conséquences :
https://forum.malekal.com/viewtopic.php ... 90#p544690

Il y a plus simple pour stocker les login et mots de passe
https://www.malekal.com/keepassxc-le-ge ... piratages/
et un rappel des conseils à la fin de ce message https://forum.malekal.com/viewtopic.php ... 54#p552254

Ensuite il n'y a pas de "potentiellement volées"

"'Concernant les données et mots de passe potentiellement volés à cause du trojan

TES DONNEES SONT VOLEES et en plus il y avait un accès à distance

[Malekal_morte]

oui après encore quelques trucs à faire.

Supprime C:\FRST et ses restes.

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com