trojan dridex

[02mandrake]

Bonjour

je me retrouve infecté avec le trojan didrex.
j'ai déjà fait un scan malwarebyte qui me l'a détecté et mis en quarantaine sur 5 fichiers mais j'ai une alerte à chaque redémarrage et en essayant de sauvegarder mon profil thunderbird, il n'est que de 14 mo... ce qui est impossible, il pèse plusieurs go

Voilà les rapports frst

shortcuts.txt : https://pjjoint.malekal.com/files.php?i ... b9u15q13o7
FRST.txt : https://pjjoint.malekal.com/files.php?i ... 15h14q9s10
addition.txt : https://pjjoint.malekal.com/files.php?i ... 2j7n7t6n15

Merci de l'aide

[angelique]

Bonjour,

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
  Copie/colle dedans ce qui suit :
  
  

  Code : Tout sélectionner

  Task: {40AF915E-BFAA-45AF-81FC-9274A818A290} - System32\Tasks\Qhbakjkzwlinzw => C:\WINDOWS\system32\5281\SystemPropertiesDataExecutionPrevention.exe [2017-03-18] (Microsoft Corporation)
  Task: {8AFD3D28-ACB1-4B32-BD53-D43CAB6D1B65} - System32\Tasks\Dxziogf => C:\Windows\system32\0881\SystemPropertiesHardware.exe [2016-07-16] (Microsoft Corporation)
  Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
  HKU\S-1-5-21-3391718562-717967574-3136204786-1001\...\Run: [Ihrwrtkb] => C:\Users\baloo\AppData\Roaming\yiX2\bdeunlock.exe [280472 2016-09-15] (Microsoft Corporation)
  HKU\S-1-5-21-3391718562-717967574-3136204786-1001\...\Run: [Kjvtyjglvjw] => C:\Users\baloo\AppData\Roaming\ALaDSLP\bcastdvr.exe [916992 2017-03-18] (Microsoft Corporation)
  Startup: C:\Users\baloo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ihrwrtkb.lnk [2017-06-14]
  ShortcutTarget: Ihrwrtkb.lnk -> C:\Users\baloo\AppData\Roaming\yiX2\bdeunlock.exe (Microsoft Corporation)
  Startup: C:\Users\baloo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Kjvtyjglvjw.lnk [2017-06-19]
  ShortcutTarget: Kjvtyjglvjw.lnk -> C:\Users\baloo\AppData\Roaming\ALaDSLP\bcastdvr.exe (Microsoft Corporation)
  2017-06-19 22:53 - 2017-06-20 08:54 - 00000000 ____D C:\WINDOWS\system32\5281
  2017-06-19 22:53 - 2017-06-19 23:14 - 00000000 ____D C:\Users\baloo\AppData\Roaming\ALaDSLP
  2017-06-19 22:43 - 2017-06-19 22:43 - 00000000 ____D C:\Users\baloo\AppData\Roaming\s5YoP6M
  2017-06-19 22:14 - 2017-06-19 22:14 - 00000000 ____D C:\Users\baloo\AppData\Roaming\mg6B
  2017-06-19 21:36 - 2017-06-19 21:36 - 00000000 ____D C:\Users\baloo\AppData\Roaming\rCufSi3
  2017-06-14 22:00 - 2017-06-17 00:01 - 00000000 ____D C:\WINDOWS\system32\0881
  2017-06-14 22:00 - 2017-06-14 22:00 - 00000000 ____D C:\Users\baloo\AppData\Roaming\yiX2
  2017-06-14 21:56 - 2017-06-14 21:56 - 00000000 ___SD C:\WINDOWS\UpdateAssistantV2
  2017-06-14 20:55 - 2017-06-14 20:55 - 00000000 ____D C:\Users\baloo\AppData\Local\UNP
  2017-06-14 01:50 - 2017-06-17 00:01 - 00000000 ____D C:\WINDOWS\system32\UNP
  2017-06-14 01:50 - 2017-06-14 01:51 - 00000000 ____D C:\Program Files\UNP
  EmptyTemp:
  
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

Ton profil Dossier thunderbird se situe dans exécuter ➯ %appdata%

il comporte, à sauvegarder le dossier de configuration et le fichier .ini , voir capture ci dessous

[02mandrake]

Merci de ton aide

Voilà le log : https://pjjoint.malekal.com/files.php?i ... b15e8k8b10

Plus de message au démarrage et plus de plantage firefox
J'ai retrouvé mon profil thunderbird, bref à priori tout va bien

[angelique]

Super

tu pourras alors supprimer frst, ses rapports et sa quarantaine c:\frst

[02mandrake]

Merci à toi
bonne journée

[Malekal_morte]

Change tous tes mots de passe, ils ont probablement été volés.