Windows 10 a été infecté, problèmes avec "yeabd66.cc"

HJGilles · par **HJGilles** » 01 déc. 2016 22:37

Bonsoir,

J'ai suivi la procédure que vous mentionniez et vous joins les rapports FRST.
Je vous remercie d'avance pour votre aide et vous souhaite une agréable soirée.

http://pjjoint.malekal.com/files.php?id ... 14e12o9x15
http://pjjoint.malekal.com/files.php?id ... 7t15q14s13

par **Malekal_morte** » 01 déc. 2016 22:44

Salut,

Avira Antivir+ Reason Core Security
Ca fait bcp.
Tu devrais désinstaller Reason Core Security.

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [I456TUFD0Q] => "C:\Users\123\AppData\Local\Temp\449WT2ALRA\caster.exe" <===== ATTENTION
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [8MEU7N5SDT] => "C:\Program Files\LU5T5HRJUO\LU5T5HRJU.exe"
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [AOZCHNN5UQ] => "C:\Program Files\LGUNG92P4J\LGUNG92P4.exe"
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [7B5CSI55TC] => "C:\Program Files (x86)\DPower\SSXDC5Y8ND.exe"
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [C61ZKKIKW4] => "C:\Users\123\AppData\Local\Temp\DVYZX592W\DVYZX592W.exe" <===== ATTENTION
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [67CQNKAOMJ] => "C:\Users\123\AppData\Local\Temp\092R46Y4C0\caster.exe" <===== ATTENTION
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [LS82NTQAFR] => "C:\Users\123\AppData\Local\Temp\WQ4EG3NUKO\caster.exe" <===== ATTENTION
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [HRTCM20QBR] => C:\Program Files\GMBDY7WJIQ\GMBDY7WJI.exe [0 2016-11-29] ()
ShellExecuteHooks:  - {C11D9F76-A738-11E6-A9C0-64006A5CFC23} - C:\Users\123\AppData\Roaming\Grefugh\Gosokplufole.dll Pas de fichier [ ]
S2 Anziingphotit; C:\Program Files (x86)\Druneward\pahutainNdf.dll [X]
S2 Bedtezbi; "C:\Users\123\AppData\Roaming\OyijLya\Eitehko.exe" -cms [X]
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
2016-11-28 23:01 - 2016-11-28 23:01 - 00000000 ____D C:\ProgramData\dbg
2016-11-28 23:00 - 2016-12-01 21:42 - 00000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
2016-11-28 22:58 - 2016-11-28 22:58 - 00000000 ____D C:\WINDOWS\system32\niu
2016-11-28 22:50 - 2016-11-28 22:50 - 00003256 _____ C:\WINDOWS\System32\Tasks\{BC47BFB6-5A08-41C6-B190-816282393C8C}
2016-11-28 22:43 - 2016-12-01 00:26 - 00000000 ____D C:\Program Files\Lorga
2016-11-28 22:43 - 2016-11-28 22:47 - 00000000 ____D C:\Program Files\LorgaUn
2016-11-28 22:43 - 2016-11-28 22:43 - 00000000 ____D C:\Users\Public\Thunder Network
2016-11-28 22:43 - 2016-11-28 22:43 - 00000000 ____D C:\Users\123\AppData\LocalLow\Company
2016-11-28 22:43 - 2016-11-28 22:43 - 00000000 ____D C:\Users\123\AppData\Local\Tempfolder
2016-11-28 22:27 - 2016-11-28 22:27 - 00003242 _____ C:\WINDOWS\System32\Tasks\{8935D4CF-8516-4C94-A1F2-80392D5FE1DE}
2016-11-28 22:24 - 2016-11-28 22:24 - 00004404 _____ C:\WINDOWS\System32\Tasks\SPBIW_UpdateTask_Time_3537353834373837362d375b553441415045575a4a6c
2016-11-28 22:22 - 2016-11-29 01:16 - 00187904 _____ C:\WINDOWS\rsrcs.dll
2016-11-28 22:21 - 2016-11-29 02:58 - 00000000 ____D C:\Program Files\LGUNG92P4J
2016-11-28 22:20 - 2016-11-29 02:36 - 00000000 ____D C:\ProgramData\Avira
2016-11-28 22:20 - 2016-11-28 22:59 - 00000000 ____D C:\Users\123\AppData\Roaming\Grefugh
2016-11-28 22:20 - 2016-11-28 22:20 - 00006084 _____ C:\WINDOWS\System32\Tasks\Ckersolymguph Reports
2016-11-28 22:20 - 2016-11-28 22:20 - 00003968 _____ C:\WINDOWS\System32\Tasks\{40376432-F79C-D399-0667-E9ED32FC3BA1}
2016-11-28 22:20 - 2016-11-28 22:20 - 00003878 _____ C:\WINDOWS\System32\Tasks\{2A1D9CD4-6170-9B07-241E-40CF474F1666}
2016-11-28 22:20 - 2016-11-28 22:20 - 00000000 ____D C:\Users\123\AppData\Local\Procase
2016-11-28 22:20 - 2016-11-28 22:20 - 00000000 ____D C:\ProgramData\Avg
2016-11-28 22:20 - 2016-11-28 22:20 - 00000000 ____D C:\ProgramData\AVAST Software
2016-11-28 22:19 - 2016-11-28 22:19 - 00000000 ____D C:\WINDOWS\SysWOW64\sstmp
2016-11-28 22:19 - 2016-11-28 22:19 - 00000000 ____D C:\WINDOWS\system32\sstmp
2016-11-28 22:18 - 2016-11-29 02:58 - 00000000 ____D C:\Program Files\LU5T5HRJUO
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

HJGilles · par **HJGilles** » 01 déc. 2016 23:25

Merci beaucoup pour la rapidité de votre réponse!
Voici le fichier txt apparu :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 30-11-2016
Exécuté par 123 (01-12-2016 22:33:47) Run:1
Exécuté depuis C:\Users\123\Desktop
Profils chargés: 123 (Profils disponibles: 123)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [I456TUFD0Q] => "C:\Users\123\AppData\Local\Temp\449WT2ALRA\caster.exe" <===== ATTENTION
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [8MEU7N5SDT] => "C:\Program Files\LU5T5HRJUO\LU5T5HRJU.exe"
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [AOZCHNN5UQ] => "C:\Program Files\LGUNG92P4J\LGUNG92P4.exe"
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [7B5CSI55TC] => "C:\Program Files (x86)\DPower\SSXDC5Y8ND.exe"
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [C61ZKKIKW4] => "C:\Users\123\AppData\Local\Temp\DVYZX592W\DVYZX592W.exe" <===== ATTENTION
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [67CQNKAOMJ] => "C:\Users\123\AppData\Local\Temp\092R46Y4C0\caster.exe" <===== ATTENTION
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [LS82NTQAFR] => "C:\Users\123\AppData\Local\Temp\WQ4EG3NUKO\caster.exe" <===== ATTENTION
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\...\Run: [HRTCM20QBR] => C:\Program Files\GMBDY7WJIQ\GMBDY7WJI.exe [0 2016-11-29] ()
ShellExecuteHooks: - {C11D9F76-A738-11E6-A9C0-64006A5CFC23} - C:\Users\123\AppData\Roaming\Grefugh\Gosokplufole.dll Pas de fichier [ ]
S2 Anziingphotit; C:\Program Files (x86)\Druneward\pahutainNdf.dll [X]
S2 Bedtezbi; "C:\Users\123\AppData\Roaming\OyijLya\Eitehko.exe" -cms [X]
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
2016-11-28 23:01 - 2016-11-28 23:01 - 00000000 ____D C:\ProgramData\dbg
2016-11-28 23:00 - 2016-12-01 21:42 - 00000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
2016-11-28 22:58 - 2016-11-28 22:58 - 00000000 ____D C:\WINDOWS\system32\niu
2016-11-28 22:50 - 2016-11-28 22:50 - 00003256 _____ C:\WINDOWS\System32\Tasks\{BC47BFB6-5A08-41C6-B190-816282393C8C}
2016-11-28 22:43 - 2016-12-01 00:26 - 00000000 ____D C:\Program Files\Lorga
2016-11-28 22:43 - 2016-11-28 22:47 - 00000000 ____D C:\Program Files\LorgaUn
2016-11-28 22:43 - 2016-11-28 22:43 - 00000000 ____D C:\Users\Public\Thunder Network
2016-11-28 22:43 - 2016-11-28 22:43 - 00000000 ____D C:\Users\123\AppData\LocalLow\Company
2016-11-28 22:43 - 2016-11-28 22:43 - 00000000 ____D C:\Users\123\AppData\Local\Tempfolder
2016-11-28 22:27 - 2016-11-28 22:27 - 00003242 _____ C:\WINDOWS\System32\Tasks\{8935D4CF-8516-4C94-A1F2-80392D5FE1DE}
2016-11-28 22:24 - 2016-11-28 22:24 - 00004404 _____ C:\WINDOWS\System32\Tasks\SPBIW_UpdateTask_Time_3537353834373837362d375b553441415045575a4a6c
2016-11-28 22:22 - 2016-11-29 01:16 - 00187904 _____ C:\WINDOWS\rsrcs.dll
2016-11-28 22:21 - 2016-11-29 02:58 - 00000000 ____D C:\Program Files\LGUNG92P4J
2016-11-28 22:20 - 2016-11-29 02:36 - 00000000 ____D C:\ProgramData\Avira
2016-11-28 22:20 - 2016-11-28 22:59 - 00000000 ____D C:\Users\123\AppData\Roaming\Grefugh
2016-11-28 22:20 - 2016-11-28 22:20 - 00006084 _____ C:\WINDOWS\System32\Tasks\Ckersolymguph Reports
2016-11-28 22:20 - 2016-11-28 22:20 - 00003968 _____ C:\WINDOWS\System32\Tasks\{40376432-F79C-D399-0667-E9ED32FC3BA1}
2016-11-28 22:20 - 2016-11-28 22:20 - 00003878 _____ C:\WINDOWS\System32\Tasks\{2A1D9CD4-6170-9B07-241E-40CF474F1666}
2016-11-28 22:20 - 2016-11-28 22:20 - 00000000 ____D C:\Users\123\AppData\Local\Procase
2016-11-28 22:20 - 2016-11-28 22:20 - 00000000 ____D C:\ProgramData\Avg
2016-11-28 22:20 - 2016-11-28 22:20 - 00000000 ____D C:\ProgramData\AVAST Software
2016-11-28 22:19 - 2016-11-28 22:19 - 00000000 ____D C:\WINDOWS\SysWOW64\sstmp
2016-11-28 22:19 - 2016-11-28 22:19 - 00000000 ____D C:\WINDOWS\system32\sstmp
2016-11-28 22:18 - 2016-11-29 02:58 - 00000000 ____D C:\Program Files\LU5T5HRJUO
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\Software\Microsoft\Windows\CurrentVersion\Run\\I456TUFD0Q => valeur supprimé(es) avec succès
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\Software\Microsoft\Windows\CurrentVersion\Run\\8MEU7N5SDT => valeur supprimé(es) avec succès
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\Software\Microsoft\Windows\CurrentVersion\Run\\AOZCHNN5UQ => valeur supprimé(es) avec succès
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\Software\Microsoft\Windows\CurrentVersion\Run\\7B5CSI55TC => valeur supprimé(es) avec succès
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\Software\Microsoft\Windows\CurrentVersion\Run\\C61ZKKIKW4 => valeur supprimé(es) avec succès
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\Software\Microsoft\Windows\CurrentVersion\Run\\67CQNKAOMJ => valeur supprimé(es) avec succès
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\Software\Microsoft\Windows\CurrentVersion\Run\\LS82NTQAFR => valeur supprimé(es) avec succès
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\Software\Microsoft\Windows\CurrentVersion\Run\\HRTCM20QBR => valeur supprimé(es) avec succès
ShellExecuteHooks: - {C11D9F76-A738-11E6-A9C0-64006A5CFC23} - C:\Users\123\AppData\Roaming\Grefugh\Gosokplufole.dll Pas de fichier [ ] => Erreur: Pas de correction automatique trouvée pour cet élément.
Anziingphotit => service supprimé(es) avec succès
Bedtezbi => service supprimé(es) avec succès
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION => supprimé(es) avec succès
C:\ProgramData\dbg => déplacé(es) avec succès
C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => déplacé(es) avec succès
C:\WINDOWS\system32\niu => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{BC47BFB6-5A08-41C6-B190-816282393C8C} => déplacé(es) avec succès
C:\Program Files\Lorga => déplacé(es) avec succès
C:\Program Files\LorgaUn => déplacé(es) avec succès
C:\Users\Public\Thunder Network => déplacé(es) avec succès
C:\Users\123\AppData\LocalLow\Company => déplacé(es) avec succès
C:\Users\123\AppData\Local\Tempfolder => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{8935D4CF-8516-4C94-A1F2-80392D5FE1DE} => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\SPBIW_UpdateTask_Time_3537353834373837362d375b553441415045575a4a6c => déplacé(es) avec succès
C:\WINDOWS\rsrcs.dll => déplacé(es) avec succès
C:\Program Files\LGUNG92P4J => déplacé(es) avec succès

"C:\ProgramData\Avira" dossier déplacer:

Impossible de déplacer "C:\ProgramData\Avira" => Planifié pour déplacement au redémarrage.

C:\Users\123\AppData\Roaming\Grefugh => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\Ckersolymguph Reports => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{40376432-F79C-D399-0667-E9ED32FC3BA1} => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{2A1D9CD4-6170-9B07-241E-40CF474F1666} => déplacé(es) avec succès
C:\Users\123\AppData\Local\Procase => déplacé(es) avec succès
C:\ProgramData\Avg => déplacé(es) avec succès
C:\ProgramData\AVAST Software => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\sstmp => déplacé(es) avec succès
C:\WINDOWS\system32\sstmp => déplacé(es) avec succès
C:\Program Files\LU5T5HRJUO => déplacé(es) avec succès

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1692142010-4152523122-924827820-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès

========= Fin de RemoveProxy: =========

Le Point de restauration a été créé avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 153334 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 46095327 B
Java, Flash, Steam htmlcache => 2300 B
Windows/system/drivers => 1061206019 B
Edge => 15091714 B
Chrome => 0 B
Firefox => 14667370 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 574181 B
NetworkService => 8577262 B
123 => 358696496 B

RecycleBin => 0 B
EmptyTemp: => 1.4 GB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 01-12-2016 23:08:44)

"C:\ProgramData\Avira" => Impossible de déplacer

==== Fin de Fixlog 23:08:46 ====

par **Malekal_morte** » 02 déc. 2016 11:16

ok, du coup, plus de yeabd66.cc ?

Malekal.com forum

Windows 10 a été infecté, problèmes avec "yeabd66.cc"

Windows 10 a été infecté, problèmes avec "yeabd66.cc"

Re: Virus yeabd66.cc

Re: Virus yeabd66.cc

Re: Virus yeabd66.cc