Trojan:Win32/Bearfoos.B : Aide pour suprimer des trojan [résolu]

[jacker12365]

Bonjour je suis infecter par des trojan ,j'ai essayer de faire une désinfection manuel grâce a FRST mais je ne trouve pas ou analiser les rapport FRST si quelqu'un peut m'aider se serait avec grand plaisir ,je met en pièce jointes les rapports FRST. Merci.

[Malekal_morte]

Bonjour,

Ouaip ton PC est infecté par quelques trojans, tu sembles avoir tenté d'installer pas mal d'antivirus.
Probablement venu par le téléchargement de cracks

Date: 2025-02-26 19:15:47
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
Name: Trojan:Win32/Bearfoos.B!ml
Severity: Severe
Category: Trojan
Path: file:_C:\Users\Teo\Desktop\Nouveau dossier (4)\HeavyM Pro 2122 Crack\HeavyM Pro 2122 Crack .exe
Detection Origin: Local machine
Detection Type: FastPath
Detection Source: Real-Time Protection
Process Name: C:\Windows\explorer.exe

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [Creeds] => C:\Program Files (x86)\Dislocations\Sikh.exe "1b8h1b8t1b8t1b8p1b8:1b8/1b8/1b8w1b8w1b8w1b8.1b8t1b8o1b8m1b8o1b8o1b8n1b8g1b8l1b8a1b8r1b8e1b8.1b8c1b8o1b8m1b8/1b8m2o0o2o5o01b8h2h2m6moas1b8p0zEgkGJXB1b8N3NB (l'élément de données a 11 caractères en plus). (Pas de fichier)
HKLM\...\Run: [Majesties] => C:\Program Files (x86)\wolcott\Centroid.exe [16896 2025-02-26] () [Fichier non signé]
HKLM\...\Run: [Coventry] => C:\Program Files (x86)\Bondsman\Sikh.exe [16896 2025-02-26] () [Fichier non signé]
HKLM-x32\...\Run: [Vertebra] => C:\Program Files (x86)\Dislocations\Sikh.exe "1b8h1b8t1b8t1b8p1b8:1b8/1b8/1b8w1b8w1b8w1b8.1b8t1b8o1b8m1b8o1b8o1b8n1b8g1b8l1b8a1b8r1b8e1b8.1b8c1b8o1b8m1b8/1b8m2o0o2o5o01b8h2h2m6moas1b8p0zEgkGJXB1b8N3NB (l'élément de données a 11 caractères en plus). (Pas de fichier)
HKLM-x32\...\Run: [Pornos] => C:\Program Files (x86)\wolcott\Centroid.exe [16896 2025-02-26] () [Fichier non signé]
HKLM-x32\...\Run: [Vacillates] => C:\Program Files (x86)\Bondsman\Sikh.exe [16896 2025-02-26] () [Fichier non signé]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction <==== ATTENTION
C:\Program Files\Easeware\DriverEasy
C:\Program Files (x86)\wolcott
2025-02-26 19:26 - 2025-02-26 19:26 - 000000000 ____D C:\Users\Teo\AppData\Roaming\KMQ9J
2025-02-26 19:26 - 2025-02-26 19:26 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
2025-02-26 19:26 - 2025-02-26 19:26 - 000000000 ____D C:\Program Files\nodejs
2025-02-26 19:25 - 2025-02-26 19:25 - 000000000 ____D C:\Program Files (x86)\svcmgr
2025-02-26 19:12 - 2025-02-26 19:43 - 000000000 ____D C:\Program Files (x86)\Dislocations
2025-02-26 19:12 - 2025-02-26 19:20 - 000000000 ____D C:\Program Files (x86)\fortieth
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ___HD C:\ProgramData\CDPResource
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ___HD C:\Program Files (x86)\Bondsman
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\osjrem
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\nopsgz
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\la0oov
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\jfhioq
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\h98fef
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\gaj141
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\cfmhua
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\artcs2
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\9ngzox
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\8zdfpe
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\7ibktu
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\5do6r5
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\0vtf24
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\WINDOWS\runtimes
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\Users\Teo\AppData\Local\runtimes
2025-02-26 19:12 - 2025-02-26 19:12 - 000000000 ____D C:\Program Files (x86)\wolcott
2025-02-26 19:08 - 2025-02-26 19:08 - 000016896 _____ () C:\WINDOWS\oversimplifies.exe
2025-02-26 19:08 - 2025-02-26 19:08 - 000016896 _____ () C:\Users\Teo\AppData\Local\Sikh.exe
2025-02-26 19:08 - 2025-02-26 19:08 - 000016896 _____ () C:\Users\Teo\AppData\Local\Centroid.exe
2025-02-26 18:58 - 2025-02-27 02:08 - 000001623 _____ C:\WINDOWS\system32\config\VSMIDK
2025-02-26 17:38 - 2025-02-26 17:38 - 000000000 ____D C:\Users\Teo\AppData\Local\VISUTION
2025-02-26 17:27 - 2025-02-26 17:37 - 000000000 ____D C:\Users\Teo\AppData\Roaming\MapMap
2025-02-26 15:45 - 2025-02-26 15:45 - 000000000 ____D C:\Users\Teo\AppData\Local\Digital Essence
2025-02-25 23:17 - 2025-02-26 16:17 - 000000000 ____D C:\Users\Teo\Documents\HeavyM
2025-02-25 23:17 - 2025-02-25 23:17 - 000000000 __SHD C:\Users\Teo\AppData\Local\ms-drivers
2025-02-25 23:17 - 2025-02-25 23:17 - 000000000 __SHD C:\Users\Teo\AppData\Local\icsxml
2025-02-27 03:23 - 2025-02-27 03:25 - 000000000 ____D C:\Users\Teo\AppData\Roaming\AVG
2025-02-27 03:23 - 2025-02-27 03:25 - 000000000 ____D C:\Users\Teo\AppData\Local\AVG
2025-02-27 03:22 - 2025-02-27 03:25 - 000000000 ____D C:\ProgramData\AVG
2025-02-27 03:22 - 2025-02-27 03:22 - 000253712 _____ (Gen Digital Inc.) C:\Users\Teo\Downloads\avg_antivirus_free_setup.exe
2025-02-27 03:22 - 2025-02-27 03:22 - 000000000 ____D C:\Program Files\Common Files\AVG
2025-02-27 01:44 - 2025-02-27 01:58 - 000000000 ____D C:\Users\Teo\AppData\Roaming\Avast Software
2025-02-27 01:43 - 2025-02-27 01:59 - 000000000 ____D C:\Program Files\Avast Software
2025-02-27 01:43 - 2025-02-27 01:43 - 000000000 ___HD C:\$AV_ASW
2025-02-27 01:42 - 2025-02-27 01:59 - 000000000 ____D C:\ProgramData\Avast Software
HKU\S-1-5-21-2682501294-628788609-557818506-1001\...\Run: [Dehumanization] => C:\Program Files (x86)\wolcott\Centroid.exe [16896 2025-02-26] () [Fichier non signé]
HKU\S-1-5-21-2682501294-628788609-557818506-1001\...\Run: [Anaesthetic] => C:\Program Files (x86)\Bondsman\Sikh.exe [16896 2025-02-26] () [Fichier non signé]
HKU\S-1-5-21-2682501294-628788609-557818506-1001\...\Run: [Reauthorizing] => C:\Program Files (x86)\Dislocations\Sikh.exe "1b8h1b8t1b8t1b8p1b8:1b8/1b8/1b8w1b8w1b8w1b8.1b8t1b8o1b8m1b8o1b8o1b8n1b8g1b8l1b8a1b8r1b8e1b8.1b8c1b8o1b8m1b8/1b8m2o0o2o5o01b8h2h2m6moas1b8p0zEgkGJXB1b8N3NB (l'élément de données a 11 caractères en plus). (Pas de fichier)
HKU\S-1-5-21-2682501294-628788609-557818506-1001\...\Run: [Twitched] => C:\Program Files (x86)\wolcott\Centroid.exe [16896 2025-02-26] () [Fichier non signé]
HKU\S-1-5-21-2682501294-628788609-557818506-1001\...\Run: [Alternative] => C:\Program Files (x86)\Bondsman\Sikh.exe [16896 2025-02-26] () [Fichier non signé]
Task: {BEC8AAD8-0995-4958-9C5F-D162B5EBBF83} - System32\Tasks\0vtf24\7qjxe8\566kzf\znvm5d\fixxe6\p62t4n\taoqs3\gzjraq\oqley8\ci4l6i\r522d9\n8txqa\fffbt9\z194sc\czhi7p\jiadhu\l6e69n => C:\Program Files (x86)\wolcott\Centroid.exe [16896 2025-02-26] () [Fichier non signé] <==== ATTENTION
Task: {FD2F5786-B15F-4434-AE7D-769EFACBF738} - System32\Tasks\5do6r5\75datd\o4a5sb\rybeoc\wzo8rn\m4lwma\xoykv1\vlho0k\5gykui\acyewc\l32b80\61vvch\9obpgv\6xcbyc\3dexl2\xjrq9q\8q30t6 => %PROGRAMFILES(x86)%\Dislocations\pifer.exe  (Pas de fichier) <==== ATTENTION
Task: {448C0413-DD79-42B5-A58B-0BF9EB1CC204} - System32\Tasks\7ibktu\uwyimz\axgwi5\ohu70n\sygf70\5spkif\0cug3q\b1draq\lv93pl\ej2pnm\beycey\9w9z57\rtt1hu\5nm0sv\ji82zs\0px8mm\1gsb8h => %localappdata%\telemarketers.exe  "1b8h1b8t1b8t1b8p1b8:1b8/1b8/1b8w1b8w1b8w1b8.1b8t1b8o1b8m1b8o1b8o1b8n1b8g1b8l1b8a1b8r1b8e1b8.1b8c1b8o1b8m1b8/1b8m2o0o2o5o01b8h2h2m6moas1b8p0zEgkGJXB1b8N3NBFMvcZ01b8b" (Pas de fichier) <==== ATTENTION
Task: {7079AFEE-DB5E-4F1D-8B9E-E55A2C7CCD3C} - System32\Tasks\8zdfpe\7idkub\2mjfy6\jajoai\egwqaj\3s8xca\kwh3rv\ezwzob\s510a4\qf1i57\pfltux\q9n2pb\xn2q4w\q0l6ej\quahzd\599kgi\qo4e5w => %PROGRAMFILES(x86)%\fortieth\showmanship.exe  "hz7tz7tz7pz7:z7/z7/z7wz7wz7wz7.z7tz7oz7mz7oz7oz7nz7gz7lz7az7rz7ez7.z7cz7oz7mz7/z7gz7?z7iz7dz7=z70z7zz7Ez7gz7kz7Gz7Jz7Xz7Bz7Nz73z7Nz7Bz7Fz7Mz7vz7cz7Zz70z7bz7" (Pas de fichier) <==== ATTENTION
Task: {67DCF6F8-43CC-4590-BB90-E53790B91D2A} - System32\Tasks\9ngzox\u6uet2\lqmptk\rmthwh\90oyp7\vzmki2\6yj4f5\6tx0rk\n1wb95\ddf30l\sq4cml\a9f6eg\1jh7ae\jydlov\nzoqzo\24qijf\5nmpax => C:\Users\Teo\AppData\Local\Sikh.exe [16896 2025-02-26] () [Fichier non signé] <==== ATTENTION
Task: {532E4FB9-E89B-44CB-BF7E-498CD731BB65} - System32\Tasks\artcs2\r2ljlf\xu6e7r\zq3b2x\rpyiog\1c4shf\81tj14\45gg7v\a4ckuw\6zhz3w\m9xxne\8fn7z7\7vlg0t\ndtoep\yjrhy8\yjpnpv\8vwtgo => %PROGRAMFILES(x86)%\Dislocations\Sikh.exe  "1b8h1b8t1b8t1b8p1b8:1b8/1b8/1b8w1b8w1b8w1b8.1b8t1b8o1b8m1b8o1b8o1b8n1b8g1b8l1b8a1b8r1b8e1b8.1b8c1b8o1b8m1b8/1b8m2o0o2o5o01b8h2h2m6moas1b8p0zEgkGJXB1b8N3NBFMvcZ01b8b" (Pas de fichier) <==== ATTENTION
Task: {5D0E1D6C-B2A4-4545-AD51-81AB7B846FA2} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Pas de fichier)
Task: {8903C07F-69EB-4EB2-8B41-9DCF5F1599E3} - System32\Tasks\cfmhua\dojghf\6cchb2\g06ot2\hnfrcg\aqfe5v\xbl612\orqw9i\tdhjp0\86arl1\9mf0zo\orcyoy\o42bbz\5x30h4\7jpd15\9xsr8y\47w1ov => C:\Program Files (x86)\Dislocations\ramat.exe [70636 2025-02-26] () [Fichier non signé] <==== ATTENTION
Task: {E75E147F-B089-44CB-A323-109208C5B353} - System32\Tasks\Driver Easy Scheduled Scan => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe [3984136 2022-01-17] (Easeware Technology Limited -> Easeware) -> C:\Program Files\Easeware\DriverEasy\--scan
Task: {91D1E204-8EA9-445D-A6FF-CBE36CAED5CA} - System32\Tasks\gaj141\t8v7nl\2tjnx7\auokl6\87xl3z\9jmohv\r2uzp0\tybmet\xmh4v3\6hx1zo\ph9d7j\l14v5c\yhl7j1\6sw5ms\r3s5cl\h36mc9\s6hev8 => C:\Users\Teo\AppData\Local\Centroid.exe [16896 2025-02-26] () [Fichier non signé] <==== ATTENTION
Task: {EBA29586-C462-44E3-9E0D-DBDB90D720FC} - System32\Tasks\h98fef\ujthj3\kct4ut\eqzzzf\8al05d\3ukawl\k8y9ch\ly0wc1\cupuer\m4gneg\oa4vfg\mfbfps\c7t27l\nvqsag\d869kx\etdci6\eh2rtu => %localappdata%\rhome.exe  (Pas de fichier) <==== ATTENTION
Task: {250B9D48-130B-48E8-A432-C40C24B63168} - System32\Tasks\jfhioq\822ebn\x98bod\1m1nmp\gsvah5\207yg3\i3jbzz\ytgqb7\9uux9s\pk4i5r\5rshj5\c0q553\u2cqn3\yqhd76\m3qmqo\ulejgh\kdc9na => C:\Program Files (x86)\Bondsman\Centroid.exe [16896 2025-02-26] () [Fichier non signé] <==== ATTENTION
Task: {D8C8326B-B714-457D-A24F-717C53173C3A} - System32\Tasks\la0oov\3k2xnn\t1yetr\mk0701\0kax79\pi96rf\n4tboz\jx29nk\krxyfo\93w2z1\ptsz81\yb9ade\t1j7gd\rdb5dq\992l6x\gihl6v\d19y6t => C:\Program Files (x86)\Bondsman\Sikh.exe [16896 2025-02-26] () [Fichier non signé] <==== ATTENTION
Task: {59D2C2FC-D92D-42B8-947B-23A309694A3A} - System32\Tasks\Microsoft\Windows\WlanSvc\DNSSync => C:\Program Files\nodejs\node.exe [69763224 2024-07-08] (OpenJS Foundation -> Node.js) -> "C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{4ce40eb1-bd8e-4fd1-96a7-a0ed99720ac9}\28d36517-e8eb-4ca0-a899-c8c3d59e0af5" <==== ATTENTION
Task: {4774E020-D6D0-4384-BCAF-BF97158F5ECC} - System32\Tasks\nopsgz\7uy0fn\fitb6y\9h6o7x\d1az1x\4vtlq7\981gem\ift3w4\agpqeb\0k6huw\8kstn4\44vljz\3y3yj8\9tj2xw\ym1w9e\yd7iut\gwzw10 => C:\Program Files (x86)\wolcott\Centroid.exe [16896 2025-02-26] () [Fichier non signé] <==== ATTENTION
Task: {8301EC31-A70E-4137-9AB4-95E24F1163F0} - System32\Tasks\Opera scheduled Autoupdate 1645836219 => C:\Users\Teo\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Pas de fichier)
Task: {7E41CF28-AD3F-4B88-9D48-E90C5827D1A1} - System32\Tasks\osjrem\0am5af\l0j9fi\tg3t94\cwo3dh\reyo3g\hcat5z\qt7jta\zgviq7\wj9j0p\pmvk5v\dc6ity\8awzt8\7g8740\57s9va\2socn5\d9dcay => C:\Users\Teo\AppData\Local\Sikh.exe [16896 2025-02-26] () [Fichier non signé] <==== ATTENTION
Task: {510F4C8A-6EFF-436C-A3B1-E432DA8FDC46} - System32\Tasks\VideoPlayerUpdateTask => "C:\Program Files\VideoPlayer\VideoPlayerUpdate.bat"  (Pas de fichier) <==== ATTENTION
S2 svcmgr; C:\Program Files (x86)\svcmgr\svcmgr.exe [339208 2025-02-26] (SHINE YOUR GUTS (SMC-PRIVATE) LIMITED -> ) <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

Important :

Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :

Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corriger.



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[jacker12365]

Bonjour merci de votre réponse j'ai réaliser la correction sans souci, je vous fait passer le fixlog et l'analyse FRST. Par ailleurs Malwarebytes a détecter 4 menaces et les a mis en quarantaines .

addition https://pjjoint.malekal.com/files.php?r ... 10i9n125g5

FRST https://pjjoint.malekal.com/files.php?r ... l9w11t7m12

fixlog https://pjjoint.malekal.com/files.php?r ... 15p7e7d7h9

[Malekal_morte]

Réinitialise bien les navigateurs internet.
ensuite je pense que l'on a terminé dans ce cas.


Supprime C:\FRST et ses restes.

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et assure toi que Windows Defender fonctionne correctement (protections activées et qu'il n'y a pas d'exceptions ajoutées).

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?