VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
roms14
Messages : 16
Inscription : 12 sept. 2024 12:37

VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

par roms14 »

Bonjour,

Pouvez vous m'aider car depuis 2 jours je me suis fait attaqué par des trojans sur mon pc portable, j'ai réussi a supprimer de nombreux processus qui s'exécutaient en arrière plan. Il faisait monter mon HDD à 100 %, au maximum ..

Aujourd'hui j'ai un problème majeur, c'est ce que le centre de sécurité Windows est désactivé et je peux pas le réactiver, apparition de messages d'erreur dans les services Windows.

Avis aux expert de malekal, j'ai fais une analyse FRST (FRST, Shortcut et addition.txt), ils sont protégés par un mot de passe, merci de venir vers moi.

https://pjjoint.malekal.com/files.php?i ... z5v8u9b9k5
https://pjjoint.malekal.com/files.php?i ... c12w105z10
https://pjjoint.malekal.com/files.php?i ... 11u14h7q14
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Je me suis fait attaquer par des trojans sur mon pc

par Parisien_entraide »

Bonjour

Cela ne sert à rien de mettre un mot de passe
Les fichiers en lien ne sont pas scannés par google

En plus cela oblige à t'écrire, attendre une réponse de ta part, sans compter que c'est un forum par une hotline, ce qui fait que Malekal, Angélique, ... répondent sur leur temps libre (et on doit attendre également que tu sois disponible pour une réponse)
Bref une perte de temps
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

par Malekal_morte »

Ouaip belle infection de Trojan.
Donc tes mots de passe ont été pompés.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {877FF028-BD62-4751-B7A8-066A52FDF12A} - System32\Tasks\553u2c\qn3yqh\d76m3q\mqoule\jghkdc\9nakhs\o82nop\sgz7uy\0fnfit\b6y9h6\o7xd1a\z1x4vt\lq7981\gemift\3w4agp\qeb0k6\huw8ks => %PROGRAMFILES(x86)%\Amish\Wonderfully.exe  "tgbnhyhtgbnhyttgbnhyttgbnhyptgbnhy:tgbnhy/tgbnhy/tgbnhywtgbnhywtgbnhywtgbnhy.tgbnhyftgbnhyotgbnhyntgbnhyttgbnhyetgbnhyntgbnhyotgbnhyttgbnhystgbnhyutgbnhy.tgbnhyctgbnhyotgbnhymtgbnhy/tgbnhyzt2cr0cr2ctgbnhyr4cr0qs9qstgbnhy1zt0ztcrhttgbnhymlkuOJiZ29tgbnhyUsgW1FavGGtgbnhydl" (Pas de fichier) <==== ATTENTION
Task: {FA7E7C98-9645-4A8A-A4A8-2965EDFD5220} - System32\Tasks\6eg1jh\7aejyd\lovnzo\qzo24q\ijf5nm\paxno7\il65gc\qkmy9t\kh36e3\3fibtc\i11h6z\xypa0w\x3q5dp\pmp3l0\yakio5\dbc4cp\zxp58j => %PROGRAMFILES(x86)%\favour\Averting.exe  "tgbnhyhtgbnhyttgbnhyttgbnhyptgbnhy:tgbnhy/tgbnhy/tgbnhywtgbnhywtgbnhywtgbnhy.tgbnhyftgbnhyotgbnhyntgbnhyttgbnhyetgbnhyntgbnhyotgbnhyttgbnhystgbnhyutgbnhy.tgbnhyctgbnhyotgbnhymtgbnhy/tgbnhyzt2cr0cr2ctgbnhyr4cr0qs9qstgbnhy1zt0ztcrhttgbnhymlkuOJiZ29tgbnhyUsgW1FavGGtgbnhydl" (Pas de fichier) <==== ATTENTION
Task: {12980EA5-0286-4C3B-9111-691A9A5E934F} - System32\Tasks\ity8aw\zt87g8\74057s\9va2so\cn5d9d\cayydm\4mjgaj\141t8v\7nl2tj\nx7auo\kl687x\l3z9jm\ohvr2u\zp0tyb\metxmh\4v36hx\1zoph9 => %PROGRAMFILES(x86)%\favour\Averting.exe  "tgbnhyhtgbnhyttgbnhyttgbnhyptgbnhy:tgbnhy/tgbnhy/tgbnhywtgbnhywtgbnhywtgbnhy.tgbnhyftgbnhyotgbnhyntgbnhyttgbnhyetgbnhyntgbnhyotgbnhyttgbnhystgbnhyutgbnhy.tgbnhyctgbnhyotgbnhymtgbnhy/tgbnhyzt2cr0cr2ctgbnhyr4cr0qs9qstgbnhy1zt0ztcrhttgbnhymlkuOJiZ29tgbnhyUsgW1FavGGtgbnhydl" (Pas de fichier) <==== ATTENTION
Task: {BADFA8A3-0B42-4CEA-A82B-DD53FF1E058B} - System32\Tasks\xqafff\bt9z19\4scczh\i7pjia\dhul6e\69n6t0\xdfosj\rem0am\5afl0j\9fitg3\t94cwo\3dhrey\o3ghca\t5zqt7\jtazgv\iq7wj9\j0ppmv => %PROGRAMFILES(x86)%\Shrieks\Wonderfully.exe  "tgbnhyhtgbnhyttgbnhyttgbnhyptgbnhy:tgbnhy/tgbnhy/tgbnhywtgbnhywtgbnhywtgbnhy.tgbnhyftgbnhyotgbnhyntgbnhyttgbnhyetgbnhyntgbnhyotgbnhyttgbnhystgbnhyutgbnhy.tgbnhyctgbnhyotgbnhymtgbnhy/tgbnhyzt2cr0cr2ctgbnhyr4cr0qs9qstgbnhy1zt0ztcrhttgbnhymlkuOJiZ29tgbnhyUsgW1FavGGtgbnhydl" (Pas de fichier) <==== ATTENTION
Task: {B3D98F81-3126-4869-B671-50E11EBE1A2C} - System32\Tasks\z57rtt\1hu5nm\0svji8\2zs0px\8mm1gs\b8hg5j\5qyh98\fefujt\hj3kct\4uteqz\zzf8al\05d3uk\awlk8y\9chly0\wc1cup\uerm4g\negoa4 => %PROGRAMFILES(x86)%\Shrieks\poles.exe  (Pas de fichier) <==== ATTENTION
Task: {59607DC2-E880-4FFB-B463-802D9213AF58} - System32\Tasks\ljz3y3\yj89tj\2xwym1\w9eyd7\iutgwz\w10lr0\1r49ng\zoxu6u\et2lqm\ptkrmt\hwh90o\yp7vzm\ki26yj\4f56tx\0rkn1w\b95ddf\30lsq4 => %PROGRAMFILES(x86)%\Amish\Averting.exe  "tgbnhyhtgbnhyttgbnhyttgbnhyptgbnhy:tgbnhy/tgbnhy/tgbnhywtgbnhywtgbnhywtgbnhy.tgbnhyftgbnhyotgbnhyntgbnhyttgbnhyetgbnhyntgbnhyotgbnhyttgbnhystgbnhyutgbnhy.tgbnhyctgbnhyotgbnhymtgbnhy/tgbnhyzt2cr0cr2ctgbnhyr4cr0qs9qstgbnhy1zt0ztcrhttgbnhymlkuOJiZ29tgbnhyUsgW1FavGGtgbnhydl" (Pas de fichier) <==== ATTENTION
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\z57rtt
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\yoyo42
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\xqafff
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\v5cyhl
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\s9jzbw
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\ljz3y3
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\ity8aw
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\fpsc7t
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\adet1j
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\6eg1jh
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\553u2c
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\2pbxn2
2024-09-10 23:09 - 2024-09-11 14:28 - 000000000 ____D C:\AdwCleaner
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKU\S-1-5-21-1076472326-3853061870-681089717-500\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction <==== ATTENTION
2024-09-10 17:30 - 2024-09-10 17:30 - 000004344 _____ C:\WINDOWS\system32\Tasks\Opera GX scheduled Autoupdate 1725982192
2024-09-10 16:25 - 2024-09-10 16:29 - 000000000 _____ C:\WINDOWS\system32\powershell
2024-09-10 15:37 - 2024-08-31 00:36 - 000000000 ____D C:\Users\Administrateur\Documents\.github
2024-09-10 14:35 - 2024-09-10 14:35 - 000106496 _____ (Yes) C:\WINDOWS\bordello.exe
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

Important :

Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :

Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corriger.

~~

Désinstalle les programmes inutiles :
DAEMON Tools Lite (sert à rien)
AnyDesk + Teamviewer, tu as vraiment besoin des deux ?

~~

Fais du ménage dans les cracks :
Date: 2024-09-10 17:30:45
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Script/Phonzy.B!ml
ID : 2147772967
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_E:\SOFTWARE\Malwarebytes Premium 5.1.2.109\f_2.exe
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Système
Utilisateur : AUTORITE NT\Système
Nom du processus : E:\SOFTWARE\Malwarebytes Premium 5.1.2.109\f_2.exe
Version de la veille de sécurité : AV: 1.417.621.0, AS: 1.417.621.0, NIS: 1.417.621.0
Version du moteur : AM: 1.1.24070.3, NIS: 1.1.24070.3

Date: 2024-09-10 14:53:00
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : HackTool:Win32/Crack!MTB
ID : 2147745913
Gravité : Élevée
Catégorie : Outil
Chemin : file:_E:\SOFTWARE\Malwarebytes Premium 5.1.2.109\Patch.7z
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Protection en temps réel
Utilisateur : PC-ROMAIN\Administrateur
Nom du processus : C:\Windows\explorer.exe
Version de la veille de sécurité : AV: 1.417.572.0, AS: 1.417.572.0, NIS: 1.417.572.0
Version du moteur : AM: 1.1.24070.3, NIS: 1.1.24070.3
~~

L'attaque a désactivé Windows Defender, c'est la détection VirTool:Win32/DefenderTamperingRestore.
Je pense que tu l'as vu car tu as téléchargé le script du site.
Après tu as installé ESET qui désactive aussi Windows Defender.
Si tu le désinstalles, il faudra bien t'assurer que Windows Defender fonctionne correctement.
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : VirTool:Win32/DefenderTamperingRestore
ID : 2147741622
Gravité : Grave
Catégorie : Outil
Chemin : regkeyvalue:_hklm\software\policies\microsoft\windows defender\\DisableAntiSpyware
Origine de la détection : Inconnu
Type de détection : Concret
Source de détection : Système
Utilisateur : AUTORITE NT\Système
Nom du processus : Unknown
Version de la veille de sécurité : AV: 1.417.621.0, AS: 1.417.621.0, NIS: 1.417.621.0
Version du moteur : AM: 1.1.24070.3, NIS: 1.1.24070.3

Concernant le problème de forte utilisation du processeur.
Quel processus utilise beaucoup la CPU ?
Tu peux aller dans le gestionnaire de tâches et trier la liste sur la colonne CPU et regarder.
Éventuellement donne une capture d'écran.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
roms14
Messages : 16
Inscription : 12 sept. 2024 12:37

Re: VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

par roms14 »

Merci pour ce résultat que vous avez trouvé.

Je viens de corriger le fichier bloc note avec le code que vous m'avez donner en haut, voici le résultat obtenu :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 09-09-2024
Exécuté par Administrateur (12-09-2024 17:00:01) Run:2
Exécuté depuis C:\Users\Administrateur\Downloads
Profils chargés: defaultuser0 & Administrateur
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
Task: {877FF028-BD62-4751-B7A8-066A52FDF12A} - System32\Tasks\553u2c\qn3yqh\d76m3q\mqoule\jghkdc\9nakhs\o82nop\sgz7uy\0fnfit\b6y9h6\o7xd1a\z1x4vt\lq7981\gemift\3w4agp\qeb0k6\huw8ks => %PROGRAMFILES(x86)%\Amish\Wonderfully.exe "tgbnhyhtgbnhyttgbnhyttgbnhyptgbnhy:tgbnhy/tgbnhy/tgbnhywtgbnhywtgbnhywtgbnhy.tgbnhyftgbnhyotgbnhyntgbnhyttgbnhyetgbnhyntgbnhyotgbnhyttgbnhystgbnhyutgbnhy.tgbnhyctgbnhyotgbnhymtgbnhy/tgbnhyzt2cr0cr2ctgbnhyr4cr0qs9qstgbnhy1zt0ztcrhttgbnhymlkuOJiZ29tgbnhyUsgW1FavGGtgbnhydl" (Pas de fichier) <==== ATTENTION
Task: {FA7E7C98-9645-4A8A-A4A8-2965EDFD5220} - System32\Tasks\6eg1jh\7aejyd\lovnzo\qzo24q\ijf5nm\paxno7\il65gc\qkmy9t\kh36e3\3fibtc\i11h6z\xypa0w\x3q5dp\pmp3l0\yakio5\dbc4cp\zxp58j => %PROGRAMFILES(x86)%\favour\Averting.exe "tgbnhyhtgbnhyttgbnhyttgbnhyptgbnhy:tgbnhy/tgbnhy/tgbnhywtgbnhywtgbnhywtgbnhy.tgbnhyftgbnhyotgbnhyntgbnhyttgbnhyetgbnhyntgbnhyotgbnhyttgbnhystgbnhyutgbnhy.tgbnhyctgbnhyotgbnhymtgbnhy/tgbnhyzt2cr0cr2ctgbnhyr4cr0qs9qstgbnhy1zt0ztcrhttgbnhymlkuOJiZ29tgbnhyUsgW1FavGGtgbnhydl" (Pas de fichier) <==== ATTENTION
Task: {12980EA5-0286-4C3B-9111-691A9A5E934F} - System32\Tasks\ity8aw\zt87g8\74057s\9va2so\cn5d9d\cayydm\4mjgaj\141t8v\7nl2tj\nx7auo\kl687x\l3z9jm\ohvr2u\zp0tyb\metxmh\4v36hx\1zoph9 => %PROGRAMFILES(x86)%\favour\Averting.exe "tgbnhyhtgbnhyttgbnhyttgbnhyptgbnhy:tgbnhy/tgbnhy/tgbnhywtgbnhywtgbnhywtgbnhy.tgbnhyftgbnhyotgbnhyntgbnhyttgbnhyetgbnhyntgbnhyotgbnhyttgbnhystgbnhyutgbnhy.tgbnhyctgbnhyotgbnhymtgbnhy/tgbnhyzt2cr0cr2ctgbnhyr4cr0qs9qstgbnhy1zt0ztcrhttgbnhymlkuOJiZ29tgbnhyUsgW1FavGGtgbnhydl" (Pas de fichier) <==== ATTENTION
Task: {BADFA8A3-0B42-4CEA-A82B-DD53FF1E058B} - System32\Tasks\xqafff\bt9z19\4scczh\i7pjia\dhul6e\69n6t0\xdfosj\rem0am\5afl0j\9fitg3\t94cwo\3dhrey\o3ghca\t5zqt7\jtazgv\iq7wj9\j0ppmv => %PROGRAMFILES(x86)%\Shrieks\Wonderfully.exe "tgbnhyhtgbnhyttgbnhyttgbnhyptgbnhy:tgbnhy/tgbnhy/tgbnhywtgbnhywtgbnhywtgbnhy.tgbnhyftgbnhyotgbnhyntgbnhyttgbnhyetgbnhyntgbnhyotgbnhyttgbnhystgbnhyutgbnhy.tgbnhyctgbnhyotgbnhymtgbnhy/tgbnhyzt2cr0cr2ctgbnhyr4cr0qs9qstgbnhy1zt0ztcrhttgbnhymlkuOJiZ29tgbnhyUsgW1FavGGtgbnhydl" (Pas de fichier) <==== ATTENTION
Task: {B3D98F81-3126-4869-B671-50E11EBE1A2C} - System32\Tasks\z57rtt\1hu5nm\0svji8\2zs0px\8mm1gs\b8hg5j\5qyh98\fefujt\hj3kct\4uteqz\zzf8al\05d3uk\awlk8y\9chly0\wc1cup\uerm4g\negoa4 => %PROGRAMFILES(x86)%\Shrieks\poles.exe (Pas de fichier) <==== ATTENTION
Task: {59607DC2-E880-4FFB-B463-802D9213AF58} - System32\Tasks\ljz3y3\yj89tj\2xwym1\w9eyd7\iutgwz\w10lr0\1r49ng\zoxu6u\et2lqm\ptkrmt\hwh90o\yp7vzm\ki26yj\4f56tx\0rkn1w\b95ddf\30lsq4 => %PROGRAMFILES(x86)%\Amish\Averting.exe "tgbnhyhtgbnhyttgbnhyttgbnhyptgbnhy:tgbnhy/tgbnhy/tgbnhywtgbnhywtgbnhywtgbnhy.tgbnhyftgbnhyotgbnhyntgbnhyttgbnhyetgbnhyntgbnhyotgbnhyttgbnhystgbnhyutgbnhy.tgbnhyctgbnhyotgbnhymtgbnhy/tgbnhyzt2cr0cr2ctgbnhyr4cr0qs9qstgbnhy1zt0ztcrhttgbnhymlkuOJiZ29tgbnhyUsgW1FavGGtgbnhydl" (Pas de fichier) <==== ATTENTION
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\z57rtt
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\yoyo42
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\xqafff
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\v5cyhl
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\s9jzbw
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\ljz3y3
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\ity8aw
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\fpsc7t
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\adet1j
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\6eg1jh
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\553u2c
2024-09-10 17:31 - 2024-09-10 17:31 - 000000000 ____D C:\WINDOWS\system32\Tasks\2pbxn2
2024-09-10 23:09 - 2024-09-11 14:28 - 000000000 ____D C:\AdwCleaner
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKU\S-1-5-21-1076472326-3853061870-681089717-500\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction <==== ATTENTION
2024-09-10 17:30 - 2024-09-10 17:30 - 000004344 _____ C:\WINDOWS\system32\Tasks\Opera GX scheduled Autoupdate 1725982192
2024-09-10 16:25 - 2024-09-10 16:29 - 000000000 _____ C:\WINDOWS\system32\powershell
2024-09-10 15:37 - 2024-08-31 00:36 - 000000000 ____D C:\Users\Administrateur\Documents\.github
2024-09-10 14:35 - 2024-09-10 14:35 - 000106496 _____ (Yes) C:\WINDOWS\bordello.exe
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corri̩
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{877FF028-BD62-4751-B7A8-066A52FDF12A}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{877FF028-BD62-4751-B7A8-066A52FDF12A}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\553u2c\qn3yqh\d76m3q\mqoule\jghkdc\9nakhs\o82nop\sgz7uy\0fnfit\b6y9h6\o7xd1a\z1x4vt\lq7981\gemift\3w4agp\qeb0k6\huw8ks" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\553u2c\qn3yqh\d76m3q\mqoule\jghkdc\9nakhs\o82nop\sgz7uy\0fnfit\b6y9h6\o7xd1a\z1x4vt\lq7981\gemift\3w4agp\qeb0k6\huw8ks" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{FA7E7C98-9645-4A8A-A4A8-2965EDFD5220}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FA7E7C98-9645-4A8A-A4A8-2965EDFD5220}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\6eg1jh\7aejyd\lovnzo\qzo24q\ijf5nm\paxno7\il65gc\qkmy9t\kh36e3\3fibtc\i11h6z\xypa0w\x3q5dp\pmp3l0\yakio5\dbc4cp\zxp58j" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\6eg1jh\7aejyd\lovnzo\qzo24q\ijf5nm\paxno7\il65gc\qkmy9t\kh36e3\3fibtc\i11h6z\xypa0w\x3q5dp\pmp3l0\yakio5\dbc4cp\zxp58j" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{12980EA5-0286-4C3B-9111-691A9A5E934F}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{12980EA5-0286-4C3B-9111-691A9A5E934F}" => supprimé(es) avec succès
"C:\WINDOWS\System32\Tasks\ity8aw\zt87g8\74057s\9va2so\cn5d9d\cayydm\4mjgaj\141t8v\7nl2tj\nx7auo\kl687x\l3z9jm\ohvr2u\zp0tyb\metxmh\4v36hx\1zoph9" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ity8aw\zt87g8\74057s\9va2so\cn5d9d\cayydm\4mjgaj\141t8v\7nl2tj\nx7auo\kl687x\l3z9jm\ohvr2u\zp0tyb\metxmh\4v36hx\1zoph9" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{BADFA8A3-0B42-4CEA-A82B-DD53FF1E058B}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BADFA8A3-0B42-4CEA-A82B-DD53FF1E058B}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\xqafff\bt9z19\4scczh\i7pjia\dhul6e\69n6t0\xdfosj\rem0am\5afl0j\9fitg3\t94cwo\3dhrey\o3ghca\t5zqt7\jtazgv\iq7wj9\j0ppmv" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\xqafff\bt9z19\4scczh\i7pjia\dhul6e\69n6t0\xdfosj\rem0am\5afl0j\9fitg3\t94cwo\3dhrey\o3ghca\t5zqt7\jtazgv\iq7wj9\j0ppmv" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B3D98F81-3126-4869-B671-50E11EBE1A2C}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B3D98F81-3126-4869-B671-50E11EBE1A2C}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\z57rtt\1hu5nm\0svji8\2zs0px\8mm1gs\b8hg5j\5qyh98\fefujt\hj3kct\4uteqz\zzf8al\05d3uk\awlk8y\9chly0\wc1cup\uerm4g\negoa4" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\z57rtt\1hu5nm\0svji8\2zs0px\8mm1gs\b8hg5j\5qyh98\fefujt\hj3kct\4uteqz\zzf8al\05d3uk\awlk8y\9chly0\wc1cup\uerm4g\negoa4" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{59607DC2-E880-4FFB-B463-802D9213AF58}" => supprimé(es) avec succès
"C:\WINDOWS\System32\Tasks\ljz3y3\yj89tj\2xwym1\w9eyd7\iutgwz\w10lr0\1r49ng\zoxu6u\et2lqm\ptkrmt\hwh90o\yp7vzm\ki26yj\4f56tx\0rkn1w\b95ddf\30lsq4" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ljz3y3\yj89tj\2xwym1\w9eyd7\iutgwz\w10lr0\1r49ng\zoxu6u\et2lqm\ptkrmt\hwh90o\yp7vzm\ki26yj\4f56tx\0rkn1w\b95ddf\30lsq4" => non trouvé(e)
"C:\WINDOWS\system32\Tasks\z57rtt" => non trouvé(e)
"C:\WINDOWS\system32\Tasks\yoyo42" => non trouvé(e)
"C:\WINDOWS\system32\Tasks\xqafff" => non trouvé(e)
"C:\WINDOWS\system32\Tasks\v5cyhl" => non trouvé(e)
"C:\WINDOWS\system32\Tasks\s9jzbw" => non trouvé(e)
"C:\WINDOWS\system32\Tasks\ljz3y3" => non trouvé(e)
"C:\WINDOWS\system32\Tasks\ity8aw" => non trouvé(e)
"C:\WINDOWS\system32\Tasks\fpsc7t" => non trouvé(e)
"C:\WINDOWS\system32\Tasks\adet1j" => non trouvé(e)
"C:\WINDOWS\system32\Tasks\6eg1jh" => non trouvé(e)
"C:\WINDOWS\system32\Tasks\553u2c" => non trouvé(e)
"C:\WINDOWS\system32\Tasks\2pbxn2" => non trouvé(e)

"C:\AdwCleaner" Dossier déplacer:

C:\AdwCleaner => déplacé(es) avec succès
HKLM\SOFTWARE\Policies\Mozilla => supprimé(es) avec succès
HKU\S-1-5-21-1076472326-3853061870-681089717-500\SOFTWARE\Policies\Microsoft\Edge => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => impossible à supprimer, clé était peut-être protégé(e)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center => supprimé(es) avec succès
"C:\WINDOWS\system32\Tasks\Opera GX scheduled Autoupdate 1725982192" => non trouvé(e)
C:\WINDOWS\system32\powershell => déplacé(es) avec succès

"C:\Users\Administrateur\Documents\.github" Dossier déplacer:

C:\Users\Administrateur\Documents\.github => déplacé(es) avec succès
"C:\WINDOWS\bordello.exe" => non trouvé(e)

========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1076472326-3853061870-681089717-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1076472326-3853061870-681089717-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1076472326-3853061870-681089717-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1076472326-3853061870-681089717-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corri => Erreur: Pas de correction automatique trouvée pour cet élément.

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 12-09-2024 17:07:55)


Résultats de la suppression planifiée des clés après redémarrage:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => supprimé(es) avec succès

==== Fin de Fixlog 17:07:56 ====

Par contre je ne peux pas retrouver les 2 crack de Malwarebytes, car le lecteur E correspond a une clés USB et il y a pas de cracks d'installé.

Je viens de supprimer Daemon tools lite + Teamviewer.

Sinon j'ai encore le souci avec le service centre de sécurité Microsoft qui est désactivé.

Le processeur ne surchauffe plus depuis que j'ai supprimé pleins de virus dans la table Regedit.

Sinon a quoi ça lui sert de me pomper tout mes mots de passe ? sachant qu'une grande partie j'utilise l'A2F
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

par Malekal_morte »

roms14 a écrit : 12 sept. 2024 17:47Sinon a quoi ça lui sert de me pomper tout mes mots de passe ? sachant qu'une grande partie j'utilise l'A2F
Parce que l'A2F est relativement nouveau.
Cela fait 20 ans que ces trojans existent, donc ça permettrait d'accéder à des comptes internet ; notamment mail ou type paypal.
De plus, tout le monde n'active pas encore la double authentification.

Du coup, tout est bon.

Supprime C:\FRST et ses restes.

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et assure toi que Windows Defender fonctionne correctement.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
roms14
Messages : 16
Inscription : 12 sept. 2024 12:37

Re: VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

par roms14 »

mais donc ça reste normal que le centre de sécurité Windows est désactivé vu que j'ai ESET d'installé ?

Après bien sûr toutes les sites application n'utilisent pas l' A2F, mais j'espère ne pas avoir de répercussion.

Comment vous avez su qu'il m'a pompé mes mot de passe alors que j'utilise un coffre fort indépendant ?

Merci
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

par Parisien_entraide »

Bonsoir

Si tu veux connaitre comment et les conséquences sur les cracks infectés, lis le lien ci dessous
Donc part du principe que TOUT est volé (Et si en plus tu as des documents avec ton identité, num de tph etc.. C'est parti aussi. Là y a pas de 2FA)
viewtopic.php?p=544690#p544690


Certains stealer sont très perfectionnés
viewtopic.php?t=73525

Ensuite le 2FA a ses limites en terme de sécurité (dont la réception par SMS) ou sur une adresse mail.. Déjà volée
Sur le forum de jeux EA il y a eu pas mal de cas de vol de comptes alors que le détenteur avait mis en place le 2FA

Quant au centre de sécurité il a peut etre été mis en croix par une infection (ils s attaquent en général à l' AV en place et même pire, vont l'amuser avec une infection que l'AV détectera ce qui va rassurer l'utilisateur, pour passer dans son dos, le désactiver et mettre en place une autre infection

On est en 2024 avec l'apport de l'intelligence artificielle, et plus en 2010
Utiliser des cracks c'est suicidaire, sans compter le trou dans la raquette comme évoqué ici

viewtopic.php?p=541514#p541514
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

par Malekal_morte »

roms14 a écrit : 12 sept. 2024 18:14mais donc ça reste normal que le centre de sécurité Windows est désactivé vu que j'ai ESET d'installé ?
Faudra vérifier quand tu l'auras désinstallé.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
roms14
Messages : 16
Inscription : 12 sept. 2024 12:37

Re: VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

par roms14 »

Bonjour,

C'est une version d’évaluation que j'ai installé pour avoir un anti-virus en attendant, vous pensez que ça peut être un des antivirus qui se place dans le top 3 qui désactiverai le centre de sécurité windows ? j'ai du mal a y croire je fais comment sinon ?

Je suis obligé d'avoir un anti virus installé sur mon pc portable, de plus mon pc portable mais du temps au 1er démarrage, il met bien 4 min a se lancer sur le bureau alors qu'avant c'était plutôt 2 min pour arriver sur le bureau.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

par Malekal_morte »

Les antivirus tiers désactivent Windows Defender.
Donc encore une fois, il faudra voir si Windows Defender fonctionne à nouveau correctement quand tu l'auras désinstallé (si tu ne comptes pas le garder).
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
roms14
Messages : 16
Inscription : 12 sept. 2024 12:37

Re: VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

par roms14 »

J'ai une autre question il m'est impossible d'ouvrir chat GPT (l'application depuis que je me suis mangé les virus), la fenêtre essaye de s'ouvrir mais rien ne s'affiche au final, le processus est bien lancé pourtant, comme le montre la capture d'écran.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

par Parisien_entraide »

Bonjour

Avant d'enchainer les questions commence par répondre à ce que demande Malekal (cela fait 2 fois qu'il demande de désinstaller ESET)
Cela permettra de savoir ce qu'il en est

Et si tu lis les liens déjà donné, tu sauras que les malwares actuels désactivent, mettent le bazar etc et.. TOUT n'est pas réparable
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
roms14
Messages : 16
Inscription : 12 sept. 2024 12:37

Re: VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

par roms14 »

voilà ESET désinstallé et le résultat reste le même, c'est bien ce que je pensais.

PC long au redémarrage + apparition du service centre de sécurité Windows désactivé.

C'est quoi cet anti-malware qui s’exécute au démarrage de ma machine ?
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
roms14
Messages : 16
Inscription : 12 sept. 2024 12:37

Re: VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

par roms14 »

capture d'écran quand je vais dans la sécurité de Windows
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: VirTool:Win32/DefenderTamperingRestore et Trojan:Script/Phonzy.B!ml et autres Trojan et forte CPU

par Parisien_entraide »

Essaie en commande powershell
https://www.malekal.com/comment-reiniti ... indows-10/

Néanmoins si tout est cassé... (WMI a réparer aussi .. Mais y a pas que cela)
https://www.malekal.com/impossible-dema ... e-reparer/

Quant à Msmpeng.exe (Antimalware Service Excutable) il fait partie de Defender
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »