Windows 10 est infecté, besoins d'aide pour le fixlist FRST

[Yuyu]

Bonjour

Ma belle sœur m'a confié son ordinateur car il a certains soucis. Je ne suis pas une experte mais étant plutôt débrouillarde quand j'ai réaliser l'étendu du problème je suis allée me documenté sur internet effectuer plusieurs scans etc

Je viens d'utiliser FRST j'ai obtenu des fichiers logs et si j'ai bien compris je dois identifier certaines entrée et créer un fichier fixlist.txt pour réparer ce qui doit être réparé

Malheureusement je n'ai aucune idée de comment procéder.
Est-ce que quelqu'un pourrait me dire ce que je dois coller ?
Besoin d'un peu d'aide pour créer un fichier fixlist.txt ;)

Voici les deux fichier

FRST_01-06-2016_14-21-00.txt

Addition_01-06-2016_14-21-00.txt

mercii

[Malekal_morte]

Hello,

Il reste des infections ;

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-751661910-3210642063-1160631189-1001\...\Run: [yllgpa] => rundll32.exe "C:\Users\Audrey\AppData\Local\yllgpa.dll",yllgpa <===== ATTENTION
ShellIconOverlayIdentifiers: [ExplorerEx] -> {E056AFDD-03E9-4D73-8D33-8FCCBCA73438} => C:\Users\Audrey\AppData\Local\Temp\VSTmp\explorerEx64.dll No File
ProxyServer: [S-1-5-21-751661910-3210642063-1160631189-1001] => 127.0.0.1:8118
Winsock: Catalog5 08 C:\ProgramData\System32\SafeGuard32.dll No File 
Winsock: Catalog5-x64 08 C:\ProgramData\System32\SafeGuard64.dll [3587000 2015-12-30] ()
2016-06-01 12:21 - 2016-03-22 08:07 - 00000194 _____ C:\WINDOWS\SysWOW64\rmchr.bat
2016-06-01 12:21 - 2016-03-22 08:07 - 00000137 _____ C:\WINDOWS\SysWOW64\rmchr.vbs
2016-03-03 14:21 - 2016-03-03 14:21 - 0848437 _____ () C:\Users\Audrey\AppData\Roaming\Zumapit.bin
2015-08-31 07:54 - 2015-08-31 07:54 - 0260876 _____ (VuuPC Limited) C:\Users\Audrey\AppData\Local\nstE9D0.tmp
2016-03-03 13:01 - 2016-03-03 13:01 - 0002560 _____ () C:\Users\Audrey\AppData\Local\uninstall.exe
2016-03-03 13:01 - 2016-03-03 13:01 - 0011264 _____ () C:\Users\Audrey\AppData\Local\yllgpa.dll
Task: {079B098A-8C14-48D5-BBEC-49B10E15C339} - System32\Tasks\Alfasistem Memory Viewer => C:\Program Files (x86)\Alfasistem Memory\ tmjob.exe <==== ATTENTION
Task: {08726495-6675-4D36-825D-B1A841A70170} - System32\Tasks\{B1C8745A-051C-469B-A3D2-7B0015726B93} => pcalua.exe -a "C:\Program Files\WNetworkEn\f14cef1af65165a22399c1c8bde3dabe.exe"
Task: C:\WINDOWS\Tasks\CookieClub.job => c:\programdata\{58edb4f6-38cb-2947-58ed-db4f638cd3d8}\6434488197530105475b.exe <==== ATTENTION
ShortcutWithArgument: C:\Users\Audrey\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://nav.brotstation.com?uid={246d0faadf5b4e77b02b1a9f9d65e54e}&r=eg
ShortcutWithArgument: C:\Users\Audrey\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://nav.brotstation.com?uid={246d0faadf5b4e77b02b1a9f9d65e54e}&r=eg
Task: C:\WINDOWS\Tasks\DocUndo.job => c:\programdata\{626464d3-6ea2-8a10-6264-464d36ea934d}\300865763571151167b.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\InstaGainz.job => c:\programdata\{1bc48c0b-e20e-0315-1bc4-48c0be20302f}\b2cb.exe <==== ATTENTION
 cmd: netsh winsock reset
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


puis :

MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
* Tutoriel Malwarebytes Anti-Malware (MBAM) version gratuite
* Tutoriel MBAM version payante

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

[Yuyu]

Bonjour Malekal et merci

Voici le contenu de fixlog après la correction de FRST

Code : Tout sélectionner

Fix result of Farbar Recovery Scan Tool (x64) Version:01-06-2016
Ran by Audrey (2016-06-02 06:38:28) Run:1
Running from C:\Users\Audrey\Desktop
Loaded Profiles: Audrey (Available Profiles: Audrey)
Boot Mode: Normal
==============================================

fixlist content:
*****************
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-751661910-3210642063-1160631189-1001\...\Run: [yllgpa] => rundll32.exe "C:\Users\Audrey\AppData\Local\yllgpa.dll",yllgpa <===== ATTENTION
ShellIconOverlayIdentifiers: [ExplorerEx] -> {E056AFDD-03E9-4D73-8D33-8FCCBCA73438} => C:\Users\Audrey\AppData\Local\Temp\VSTmp\explorerEx64.dll No File
ProxyServer: [S-1-5-21-751661910-3210642063-1160631189-1001] => 127.0.0.1:8118
Winsock: Catalog5 08 C:\ProgramData\System32\SafeGuard32.dll No File 
Winsock: Catalog5-x64 08 C:\ProgramData\System32\SafeGuard64.dll [3587000 2015-12-30] ()
2016-06-01 12:21 - 2016-03-22 08:07 - 00000194 _____ C:\WINDOWS\SysWOW64\rmchr.bat
2016-06-01 12:21 - 2016-03-22 08:07 - 00000137 _____ C:\WINDOWS\SysWOW64\rmchr.vbs
2016-03-03 14:21 - 2016-03-03 14:21 - 0848437 _____ () C:\Users\Audrey\AppData\Roaming\Zumapit.bin
2015-08-31 07:54 - 2015-08-31 07:54 - 0260876 _____ (VuuPC Limited) C:\Users\Audrey\AppData\Local\nstE9D0.tmp
2016-03-03 13:01 - 2016-03-03 13:01 - 0002560 _____ () C:\Users\Audrey\AppData\Local\uninstall.exe
2016-03-03 13:01 - 2016-03-03 13:01 - 0011264 _____ () C:\Users\Audrey\AppData\Local\yllgpa.dll
Task: {079B098A-8C14-48D5-BBEC-49B10E15C339} - System32\Tasks\Alfasistem Memory Viewer => C:\Program Files (x86)\Alfasistem Memory\ tmjob.exe <==== ATTENTION
Task: {08726495-6675-4D36-825D-B1A841A70170} - System32\Tasks\{B1C8745A-051C-469B-A3D2-7B0015726B93} => pcalua.exe -a "C:\Program Files\WNetworkEn\f14cef1af65165a22399c1c8bde3dabe.exe"
Task: C:\WINDOWS\Tasks\CookieClub.job => c:\programdata\{58edb4f6-38cb-2947-58ed-db4f638cd3d8}\6434488197530105475b.exe <==== ATTENTION
ShortcutWithArgument: C:\Users\Audrey\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://nav.brotstation.com?uid={246d0faadf5b4e77b02b1a9f9d65e54e}&r=eg
ShortcutWithArgument: C:\Users\Audrey\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://nav.brotstation.com?uid={246d0faadf5b4e77b02b1a9f9d65e54e}&r=eg
Task: C:\WINDOWS\Tasks\DocUndo.job => c:\programdata\{626464d3-6ea2-8a10-6264-464d36ea934d}\300865763571151167b.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\InstaGainz.job => c:\programdata\{1bc48c0b-e20e-0315-1bc4-48c0be20302f}\b2cb.exe <==== ATTENTION
 cmd: netsh winsock reset
Reboot:
*****************

Restore point was successfully created.
Processes closed successfully.
HKU\S-1-5-21-751661910-3210642063-1160631189-1001\Software\Microsoft\Windows\CurrentVersion\Run\\yllgpa => value removed successfully
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ExplorerEx" => key removed successfully
"HKCR\CLSID\{E056AFDD-03E9-4D73-8D33-8FCCBCA73438}" => key removed successfully
HKU\S-1-5-21-751661910-3210642063-1160631189-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => value removed successfully
"HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000008" => key removed successfully
"HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000008" => key removed successfully
C:\WINDOWS\SysWOW64\rmchr.bat => moved successfully
C:\WINDOWS\SysWOW64\rmchr.vbs => moved successfully
C:\Users\Audrey\AppData\Roaming\Zumapit.bin => moved successfully
C:\Users\Audrey\AppData\Local\nstE9D0.tmp => moved successfully
C:\Users\Audrey\AppData\Local\uninstall.exe => moved successfully
C:\Users\Audrey\AppData\Local\yllgpa.dll => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{079B098A-8C14-48D5-BBEC-49B10E15C339}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{079B098A-8C14-48D5-BBEC-49B10E15C339}" => key removed successfully
C:\WINDOWS\System32\Tasks\Alfasistem Memory Viewer => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Alfasistem Memory Viewer" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{08726495-6675-4D36-825D-B1A841A70170}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{08726495-6675-4D36-825D-B1A841A70170}" => key removed successfully
C:\WINDOWS\System32\Tasks\{B1C8745A-051C-469B-A3D2-7B0015726B93} => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B1C8745A-051C-469B-A3D2-7B0015726B93}" => key removed successfully
C:\WINDOWS\Tasks\CookieClub.job => moved successfully
C:\Users\Audrey\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk => Shortcut argument removed successfully.
C:\Users\Audrey\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk => Shortcut argument removed successfully.
C:\WINDOWS\Tasks\DocUndo.job => moved successfully
C:\WINDOWS\Tasks\InstaGainz.job => moved successfully

=========  netsh winsock reset =========

Initialization Function InitHelperDll in NSHHTTP.DLL failed to start with error code 11003

Sucessfully reset the Winsock Catalog.
You must restart the computer in order to complete the reset.


========= End of CMD: =========



The system needed a reboot.

==== End of Fixlog 06:38:31 ====

Je lance Malewarebytes que je connais bien pour le coup; avant de retourner travailler et je te joins le rapport dès mon retour !

[Malekal_morte]

ok pour malwarebytes

[Yuyu]

Tout ne se passe pas comme prévu évidemment

finalement j'ai un peu changer de plan après avoir poster ce message car mon analyse Malwarebytes s'est vite terminé
J'ai donc tout supprimé et redémarré le pc avant de retourner bosser

problème en rebootant après m'être loguée, l'écran tout noir avec juste une petite fenêtre grise dans le coin gauche

j'ai cependant réussi à accéder à avast via le gestionnaire des taches (avast qui ne fonctionnait plus jusque là avant le scan malwarebytes on progresse)

a ce stade j'ai effectué le scan ca ne pouvait pas faire de mal, redémarré et tout fonctionnait mieux; mon interface était de retour; jusqu'à ce que le pc redémarre tout seul (apriori à cause de malwarebytes encore, je pensais pas qu'il était ouvert en fond je n'ai pas fait attention)

Je constate toutefois un drôle de truc dans mon gestionnaire des tâches et je suis quasiment sûre que c'est ça qui cause l'écran noir : "microsoft based script host" mais cela me semble important donc je n'ose pas y toucher

Du coup là rebelotte sur l'écran tout est noir depuis le reboot et j'accède à tous en passant par le gestionnaire des tâches

Je poste tout de même les rapports de malwarebytes de ce midi ; il y a donc eu un scan avast depuis et j'ai supprimé des menaces

http://pjjoint.malekal.com/files.php?id ... 8m10z11x11

http://pjjoint.malekal.com/files.php?id ... 10l5e14s11

qu'est ce que je peux faire pour t'aider à diagnostiquer ce qu'il se passe ? :(

[Malekal_morte]

Ca donne quoi si tu lances explorer.exe par le menu Fichier / nouvelle tâche sur le gestionnaire de tâches ?
Refais un scan FRST et donne les rapports via pjjoint.

[Yuyu]

Explorer.exe fait réapparaitre l'interface windows

voici les logs du scan :

http://pjjoint.malekal.com/files.php?id ... 0s10w6f7e5
http://pjjoint.malekal.com/files.php?id ... 9d9f14w7u8

[Malekal_morte]

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKLM\...\Winlogon: [Userinit] wscript, 
 HKLM\...\Run: [mcfgAutostart] => C:\Windows\mcfg\mcfg.exe [12800 2016-05-12] ()  
 2016-06-02 07:10 - 2016-03-12 14:38 - 00000000 ____D C:\Users\Audrey\AppData\Roaming\Admin Installer 
 2016-06-02 07:10 - 2016-03-11 10:35 - 00000000 ____D C:\ProgramData\System32 
 2016-06-02 07:10 - 2015-08-31 05:10 - 00000000 ____D C:\Program Files (x86)\Software  

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[Yuyu]

Voici le code, au démarrage plus de problème de fenêtre noire

Code : Tout sélectionner

Fix result of Farbar Recovery Scan Tool (x64) Version:01-06-2016
Ran by Audrey (2016-06-03 13:31:19) Run:2
Running from C:\Users\Audrey\Desktop
Loaded Profiles: Audrey (Available Profiles: Audrey)
Boot Mode: Normal
==============================================

fixlist content:
*****************
CreateRestorePoint:
CloseProcesses:
HKLM\...\Winlogon: [Userinit] wscript, 
 HKLM\...\Run: [mcfgAutostart] => C:\Windows\mcfg\mcfg.exe [12800 2016-05-12] ()  
 2016-06-02 07:10 - 2016-03-12 14:38 - 00000000 ____D C:\Users\Audrey\AppData\Roaming\Admin Installer 
 2016-06-02 07:10 - 2016-03-11 10:35 - 00000000 ____D C:\ProgramData\System32 
 2016-06-02 07:10 - 2015-08-31 05:10 - 00000000 ____D C:\Program Files (x86)\Software  
*****************

Restore point was successfully created.
Processes closed successfully.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => value restored successfully
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\mcfgAutostart => value removed successfully
C:\Users\Audrey\AppData\Roaming\Admin Installer => moved successfully
C:\ProgramData\System32 => moved successfully
C:\Program Files (x86)\Software => moved successfully


The system needed a reboot.

==== End of Fixlog 13:32:04 ====

[Malekal_morte]

Quelques conseils :

Pour tenter de prévenir les sites malicieux, tu peux installer Blockulicious.

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

[Yuyu]

Merci beaucoup pour ton aide, c'est formidable ce principe d'entraide

Je vais expliqué tout ça a ma belle soeur dont c'est l'ordi, j'ai remarqué qu'elle faisait du torrent et je pense que beaucoup de ses soucis en sont issus; je lui ferai passer ces bons conseils

encore merci !

[Malekal_morte]