Infection via un .exe

[doloé]

Bonsoir,
J'ai malencontreusement exécuter un logiciel dont je ne connaissais pas l'origine. Il a instantanément pris le contrôle de mon PC. Plusieurs logiciel ce sont installés, mozilla est devenu inaccessible...

J'ai suivi le tutoriel de désinfection. J'ai d'abord installé Malwarebytes Anti-Malware (MBAM), puis spybot... Malgré les désinfections réalisées pour chaque analyse, lorsque je redémarre j'ai encore la présence de choses suspectes (exécution de commandes inhabituelles, installation de programme...). N'étant pas un expert je me tourne vers vous afin de bien vouloir m'apporter votre expertise sur l'état de mon PC.

J'ai télécharger FRST et réalisé une analyse. Pourriez vous la regarder?

Je vous remercie pour votre lecture,
Doloé

[Malekal_morte]

Salut,

Je confirme.
Spybot, tu peux le désinstaller, il est totalement inefficace.



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
2017-09-30 13:41 - 2017-09-30 14:01 - 00000000 ____D C:\Users\DS\AppData\Local\comhosts
2017-09-30 13:41 - 2017-09-30 13:41 - 00140800 _____ C:\Users\DS\AppData\Local\installer.dat
2017-09-30 13:41 - 2017-09-30 13:41 - 00018432 _____ C:\Users\DS\AppData\Local\Main.dat
2017-09-30 13:41 - 2017-09-30 13:41 - 00016176 _____ C:\Users\DS\AppData\Local\InstallationConfiguration.xml
2017-09-30 13:38 - 2017-09-30 13:38 - 00000000 _____ C:\Windows\SysWOW64\__02071D3B__C0000005.dmp
2017-09-30 13:38 - 2017-09-30 13:38 - 00000000 _____ C:\Windows\SysWOW64\__01F41D3B__C0000005.dmp
2017-09-30 13:37 - 2017-09-30 14:12 - 00000000 ____D C:\Users\DS\AppData\Local\3062ab287c54424686efb46a3d7b0340
2017-09-30 13:37 - 2017-09-30 13:37 - 00000290 __RSH C:\Users\DS\ntuser.pol
2017-09-30 13:35 - 2017-09-30 13:35 - 00021518 _____ C:\Windows\System32\Tasks\iCOBTosklPb9
2017-09-30 13:35 - 2017-09-30 13:35 - 00000000 ____D C:\Windows\system32\tmp
2017-09-30 13:14 - 2017-09-30 13:34 - 00199572 _____ C:\Windows\ntbtlog.txt
2017-09-30 13:12 - 2017-09-30 13:54 - 00000000 ____D C:\Users\DS\AppData\Local\AdService
2017-09-30 13:12 - 2017-09-30 13:42 - 00000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
2017-09-30 13:12 - 2017-09-30 13:12 - 00021518 _____ C:\Windows\System32\Tasks\wKa7eBdvPOVo
2017-09-30 13:12 - 2017-09-30 13:12 - 00000000 ____D C:\Windows\Azart
2017-09-30 13:12 - 2017-09-30 13:12 - 00000000 ____D C:\ProgramData\Windows
2017-09-30 13:11 - 2017-09-30 14:43 - 00016728 _____ C:\Windows\System32\Tasks\Electronion Manager
2017-09-30 13:11 - 2017-09-30 14:30 - 00000000 ____D C:\Users\DS\AppData\Local\PCBooster
2017-09-30 13:11 - 2017-09-30 13:53 - 00000000 ____D C:\Users\DS\AppData\Roaming\memorycool
2017-09-30 13:11 - 2017-09-30 13:38 - 00000000 ____D C:\Windows\SysWOW64\SSL
2017-09-30 13:11 - 2017-09-30 13:28 - 00000000 ____D C:\Users\DS\AppData\Local\f0f94424985e492bb4a87eec92f0a294
2017-09-30 13:11 - 2017-09-30 13:28 - 00000000 ____D C:\Users\DS\AppData\Local\a9c3844d70b84d43978b5c775f0c72d5
2017-09-30 13:11 - 2017-09-30 13:12 - 00000000 ____D C:\Users\DS\AppData\Local\166c7dda0a9441c0b8ce5726366136e9
2017-09-29 10:41 - 2017-09-29 10:41 - 00051644 _____ C:\Windows\uninstaller.dat
2017-09-25 10:55 - 2017-09-30 13:11 - 00000000 ____D C:\Users\DS\Desktop\TAB
2017-09-10 01:44 - 2017-09-30 13:06 - 00568624 _____ C:\Users\DS\Desktop\cacaoweb.exe
Task: {0EFA76DA-929B-45AD-AB67-36A6BDD50D55} - System32\Tasks\wKa7eBdvPOVo => wka7ebdvpovo.exe
Task: {3E201E59-3B55-4131-A196-FE79E7574D0E} - System32\Tasks\iCOBTosklPb9 => icobtosklpb9.exe
Task: {5DC0396B-1212-4B80-A99C-856A8B84C860} - System32\Tasks\Electronion Manager => Rundll32.exe "C:\Program Files\Electronion Manager\Electronion Manager.dll",lbwvwG
Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - System32\Tasks\Microsoft\Windows\Application Experience\AitAgent => aitagent.exe
Task: {E3163C33-301D-4730-A266-5518C5ED3967} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => BthUdTask.exe
Task: {EA9600D4-8512-4A82-984B-DE6F7BEA4CD4} - System32\Tasks\Microsoft\Windows\Memory\recovery => C:\Users\DS\AppData\Roaming\ziptool\conserver_rm.sfx.exe
C:\Users\DS\AppData\Roaming\ziptool
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

[doloé]

Bonjour,

je tiens d'abord à vous remercier pour votre précieuse expertise. J'ai effectué vos recommandations. Je vous joins le fixlog.txt en pj. Je voulais savoir s'il fallait que je change mes mots de passe mail et compte en tout genre?

Doloé

[Malekal_morte]

De rien =)

Procède à un un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite.