plein de chevaux de troie

[flam07]

Bonjour,

j'ai fait le "con" j'ai ouvert un logiciel qu'un "ami" m'a transmis Un activateur d'office 2016. Et mon antivirus m'avait prévenu de ne pas l'ouvrir et j'ai fait confiance à l'ami en question et du coup plein de trucs se sont installés des chevaux de troie par dizaines et des logiciels de! Du coup, impossible de reprendre le controle demon ordi (je suis sur un autre pc là). Je ne pouvais même par lancer malware antimalware je n'avais plus les droits administrateur. Il y a même des fichiers espions dans ma partition de données. Mon antivirus kaperski n'arrivait pas à tout supprimer.
Une aide ? Avant de tout formater ?
merci,

Flam,

[Malekal_morte]

Bonjour,


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[flam07]

Merci pour ton aide :

(addition) https://pjjoint.malekal.com/files.php?i ... 13n15m14n7

(Frst ) https://pjjoint.malekal.com/files.php?i ... u6l12c12f9

(shortcut) https://pjjoint.malekal.com/files.php?i ... y13k10h612

[Malekal_morte]

Ouaip un beau KMSPico vérolé.

A désinstaller - inutile :

CCleaner
Wondershare Helper Compact

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start
CloseProcesses:
CreateRestorePoint:
2019-05-08 11:43 - 2019-05-08 11:43 - 001388544 _____ C:\WINDOWS\pltennigu.phte
2019-05-08 11:40 - 2019-05-08 11:40 - 000000000 ____D C:\ProgramData\{608BBD3E-B9AF-332E-D7A4-ADBFD743F4EE}
2019-05-08 11:40 - 2019-05-08 11:40 - 000000000 ____D C:\ProgramData\{0035D02B-D4BA-5390-C2C9-13DFC22E4A8E}
2019-05-08 11:37 - 2019-05-08 11:38 - 000000000 ____D C:\ProgramData\{D8019C49-98D8-8BA4-A085-2707A0627E56}
2019-05-08 11:37 - 2019-05-08 11:38 - 000000000 ____D C:\ProgramData\{70FE7968-7DF9-235B-8160-D8AF818781FE}
2019-05-08 11:37 - 2019-05-08 11:37 - 000000290 __RSH C:\Users\David\ntuser.pol
2019-05-08 11:08 - 2019-05-08 11:10 - 000003552 _____ C:\WINDOWS\System32\Tasks\Opera scheduled Autoupdate 2796787680
2019-05-08 11:08 - 2019-05-08 11:08 - 084482694 ____T C:\WINDOWS\SysWOW64\mfs357B.tmp
2019-05-08 11:08 - 2019-05-08 11:08 - 000000000 ____D C:\Users\Public\Thunder Network
2019-05-08 11:08 - 2019-05-08 11:08 - 000000000 ____D C:\ProgramData\Thunder Network
2019-05-08 11:07 - 2019-05-08 11:43 - 000000000 ___HD C:\Program Files (x86)\Herewith
2019-05-08 11:07 - 2019-05-08 11:42 - 000000000 ____D C:\Program Files (x86)\rwSoHhuEU
2019-05-08 11:07 - 2019-05-08 11:42 - 000000000 ____D C:\Program Files (x86)\PKSPZIJWJEbMzGbJleR
2019-05-08 11:07 - 2019-05-08 11:42 - 000000000 ____D C:\Program Files (x86)\KRKjRhKedFYZC
2019-05-08 11:07 - 2019-05-08 11:42 - 000000000 ____D C:\Program Files (x86)\bmsfdpuAXweU2
2019-05-08 11:07 - 2019-05-08 11:40 - 000000000 ___HD C:\Program Files (x86)\unseeded
2019-05-08 11:07 - 2019-05-08 11:21 - 000000000 ____D C:\ProgramData\nELlglsTJTmlfiVB
2019-05-08 11:07 - 2019-05-08 11:21 - 000000000 ____D C:\Program Files (x86)\Drolly
2019-05-08 11:07 - 2019-05-08 11:18 - 000000000 ____D C:\Program Files (x86)\blKRurWOZIE
2019-05-08 11:07 - 2019-05-08 11:16 - 000000000 ____D C:\Program Files (x86)\skyline
2019-05-08 11:07 - 2019-05-08 11:16 - 000000000 ____D C:\Program Files (x86)\Electroplating
2019-05-08 11:07 - 2019-05-08 11:07 - 000003870 _____ C:\WINDOWS\System32\Tasks\doomdoom
2019-05-08 11:07 - 2019-05-08 11:07 - 000000012 _____ C:\WINDOWS\b27890359
2019-05-08 11:07 - 2019-05-08 11:07 - 000000000 ____D C:\ProgramData\Polit
2019-05-08 11:07 - 2019-05-08 11:07 - 000000000 ____D C:\ProgramData\Pader
2019-05-08 11:07 - 2019-05-08 11:07 - 000000000 ____D C:\ProgramData\fb
2019-05-08 11:07 - 2019-05-08 11:07 - 000000000 ____D C:\Program Files (x86)\Seed Trade
2019-05-08 11:07 - 2019-05-08 11:07 - 000000000 ____D C:\Program Files (x86)\rotterdam
2019-05-08 11:06 - 2019-05-08 11:06 - 000000000 ____D C:\Program Files (x86)\MachinerData
2019-05-08 11:05 - 2019-05-08 11:14 - 000000000 ____D C:\ProgramData\{64EFEAF8-EE69-374A-11F3-C9BB111490EA}
2019-05-08 11:05 - 2019-05-08 11:14 - 000000000 ____D C:\ProgramData\{0F830D1D-098C-5C26-F414-A5D0F4F3FC81}
2019-05-08 11:05 - 2019-05-08 11:05 - 000003776 _____ C:\WINDOWS\System32\Tasks\{A8613C44-2FBE-406E-85C8-D484A50006A7}
2019-05-08 11:02 - 2019-05-08 11:02 - 015777674 _____ C:\Users\David\Downloads\Windows_KMS_Activator_Ultimate_2017_latest.zip
S1 YzQ0ZjkwMzFjYWNmN; C:\WINDOWS\system32\drivers\YzQ0ZjkwMzFjYWNmN [78720 2019-05-06] (technologiejarbon.com -> ) <==== ATTENTION
C:\WINDOWS\system32\drivers\YzQ0ZjkwMzFjYWNmN
2019-05-06 19:54 - 2019-05-06 19:54 - 000579584 _____ C:\WINDOWS\YzU2YTVkNGE0OTljN.exe
2019-05-06 19:54 - 2019-05-06 19:54 - 000096506 _____ C:\WINDOWS\uninstaller.dat
2019-05-06 19:54 - 2019-05-06 19:54 - 000078720 _____ C:\WINDOWS\system32\Drivers\YzQ0ZjkwMzFjYWNmN
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Internet Explorer
(Ne pas utiliser Zeok)

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[flam07]

Merci Malekal

le rapport de correction FRST :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 06-05.2019
Exécuté par David (08-05-2019 15:42:57) Run:1
Exécuté depuis C:\Users\David\Desktop
Profils chargés: David (Profils disponibles: David & Lou-Anne)
Mode d'amorçage: Safe Mode (minimal)
==============================================

fixlist contenu:
*****************
019-05-08 11:07 - 2019-05-08 11:07 - 000000012 _____ C:\WINDOWS\b27890359
2019-05-08 11:07 - 2019-05-08 11:07 - 000000000 ____D C:\ProgramData\Polit
2019-05-08 11:07 - 2019-05-08 11:07 - 000000000 ____D C:\ProgramData\Pader
2019-05-08 11:07 - 2019-05-08 11:07 - 000000000 ____D C:\ProgramData\fb
2019-05-08 11:07 - 2019-05-08 11:07 - 000000000 ____D C:\Program Files (x86)\Seed Trade
2019-05-08 11:07 - 2019-05-08 11:07 - 000000000 ____D C:\Program Files (x86)\rotterdam
2019-05-08 11:06 - 2019-05-08 11:06 - 000000000 ____D C:\Program Files (x86)\MachinerData
2019-05-08 11:05 - 2019-05-08 11:14 - 000000000 ____D C:\ProgramData\{64EFEAF8-EE69-374A-11F3-C9BB111490EA}
2019-05-08 11:05 - 2019-05-08 11:14 - 000000000 ____D C:\ProgramData\{0F830D1D-098C-5C26-F414-A5D0F4F3FC81}
2019-05-08 11:05 - 2019-05-08 11:05 - 000003776 _____ C:\WINDOWS\System32\Tasks\{A8613C44-2FBE-406E-85C8-D484A50006A7}
2019-05-08 11:02 - 2019-05-08 11:02 - 015777674 _____ C:\Users\David\Downloads\Windows_KMS_Activator_Ultimate_2017_latest.zip
S1 YzQ0ZjkwMzFjYWNmN; C:\WINDOWS\system32\drivers\YzQ0ZjkwMzFjYWNmN [78720 2019-05-06] (technologiejarbon.com -> ) <==== ATTENTION
C:\WINDOWS\system32\drivers\YzQ0ZjkwMzFjYWNmN
2019-05-06 19:54 - 2019-05-06 19:54 - 000579584 _____ C:\WINDOWS\YzU2YTVkNGE0OTljN.exe
2019-05-06 19:54 - 2019-05-06 19:54 - 000096506 _____ C:\WINDOWS\uninstaller.dat
2019-05-06 19:54 - 2019-05-06 19:54 - 000078720 _____ C:\WINDOWS\system32\Drivers\YzQ0ZjkwMzFjYWNmN
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un red�marrage sera peut-�tre n�cessaire et automatique.
*****************

019-05-08 11:07 - 2019-05-08 11:07 - 000000012 _____ C:\WINDOWS\b27890359 => Erreur: Pas de correction automatique trouvée pour cet élément.
C:\ProgramData\Polit => déplacé(es) avec succès
C:\ProgramData\Pader => déplacé(es) avec succès
C:\ProgramData\fb => déplacé(es) avec succès
C:\Program Files (x86)\Seed Trade => déplacé(es) avec succès
C:\Program Files (x86)\rotterdam => déplacé(es) avec succès
C:\Program Files (x86)\MachinerData => déplacé(es) avec succès
C:\ProgramData\{64EFEAF8-EE69-374A-11F3-C9BB111490EA} => déplacé(es) avec succès
C:\ProgramData\{0F830D1D-098C-5C26-F414-A5D0F4F3FC81} => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{A8613C44-2FBE-406E-85C8-D484A50006A7} => déplacé(es) avec succès
C:\Users\David\Downloads\Windows_KMS_Activator_Ultimate_2017_latest.zip => déplacé(es) avec succès
HKLM\System\CurrentControlSet\Services\YzQ0ZjkwMzFjYWNmN => supprimé(es) avec succès
YzQ0ZjkwMzFjYWNmN => service supprimé(es) avec succès
C:\WINDOWS\system32\drivers\YzQ0ZjkwMzFjYWNmN => déplacé(es) avec succès
C:\WINDOWS\YzU2YTVkNGE0OTljN.exe => déplacé(es) avec succès
C:\WINDOWS\uninstaller.dat => déplacé(es) avec succès
"C:\WINDOWS\system32\Drivers\YzQ0ZjkwMzFjYWNmN" => non trouvé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2310850658-2053752886-1468995262-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2310850658-2053752886-1468995262-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix" => Erreur: Pas de correction automatique trouvée pour cet élément.
Un red�marrage sera peut-�tre n�cessaire et automatique. => Erreur: Pas de correction automatique trouvée pour cet élément.

=========== EmptyTemp: ==========

BITS transfer queue => 7626752 B


Les nouveaux rapports :

(addition) https://pjjoint.malekal.com/files.php?i ... 8f12c11l11

(FRST) https://pjjoint.malekal.com/files.php?i ... 14q6p15w15

(shortcut) : https://pjjoint.malekal.com/files.php?i ... 7r11i15i15

[Malekal_morte]

C'est toi qui as ajouté ces programmes au démarrage ?

Startup: C:\Users\David\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\connexion auto openvpn version 2.bat [2019-03-17] () [Fichier non signé]
Startup: C:\Users\David\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MiniReminder.lnk [2018-10-31]
ShortcutTarget: MiniReminder.lnk -> C:\Users\David\MiniReminder\MiniReminder.exe () [Fichier non signé]

[flam07]

Startup: C:\Users\David\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\connexion auto openvpn version 2.bat [2019-03-17] ()

Oui grâce à toi d'ailleurs nous en avions parlé ici :
viewtopic.php?t=56930&start=

Startup: C:\Users\David\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MiniReminder.lnk [2018-10-31]
ShortcutTarget: MiniReminder.lnk -> C:\Users\David\MiniReminder\MiniReminder.exe () [Fichier non signé]

Oui c'est un petit logiciel pense bête.

Que dois-je faire d'autres?

[flam07]

C'est bon tout fonctionne parfaitement !
Un grand merci Malekal !

[Malekal_morte]

ok,

Termine par un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.


Pour terminer, à lire : [https://www.malekal.com/que-faire-apres ... ormatique/ que faire après une attaque de virus informatique].
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

[flam07]

Merci Malekal pour tous ces conseils. Il serait intéressant que tu crées un petit logiciel qui fait directement tous les paramétrages dont tu parles tu gagnerais des sous... Il y en a plein qui sont nuls (je pense par exemple à TuneUp utilities) Au moins toi ce serait sûr !

Sinon, je sais que tu n'aimes pas CCleaner mais je viens de le lancer pour vider la cache et il bloque sur l'historique d'Internet Explorer que je n'utilise jamais. Ce qui me fait plus bizarre c'est que j'ai laissé tourner (toujours bloqué à 14 %) et une alerte m'a demandé si j'acceptais qu'un .exe (pas eu le temps de voir) pouvait momifier mon pc.
Du coup je m'inquiète, car en 10 ans je n'ai jamais eu ce genre de problème avec CCleaner. Si un fichier espion est caché dans l'historique forcément je peux ne pas le supprimer par Ccleaner.
A savoir que j'ai fait plusieurs contrôles avec MalwareByte, je n'ai rien mais puis-je être sûr ?

Par avance, merci.
Flam

[Malekal_morte]

cleanmgr vide le cache d'internet Explorer aussi.
mais bon comme tu l'utilises pas.
Au pire décoche le dans CCleaner.

oui je pense que tout est correct côté malware.

[flam07]

Super !
Ça marche !
Mille fois merci Malekal comme toujours tu es au top !