Infection de PC (installations silencieuses, spam twitch...)

[xiuned]

Salut,

Suite a une mauvaise manipulation (je ne me suis pas méfier d'un application .exe douteuse et j'ai cliqué dessus..erreur de débutant vous me direz) j'ai été obligé de faire un scan avec malware byte mais je ne suis pas que tout soit parti du coup j'aurais besoin de votre aide !

Le programme sur lequel j'ai cliqué installait frauduleusement et silencieusement des applications russes, des extensions russes sur le navigateur, ralentissais l'ordi, changeait les pages de démarrage et de nouvel onglet, et envoyait des mp aux utilisateurs de twitch.

Après le scan Malwarebytes Anti-Malware (MBAM) plus rien ne semble s'installer en douce, plus d'extension, plus de changemetn de pages mais toujours des envois a partir de mon compte aux autres utilisateurs twitch, le sablier de la souris qui apparait alors que je fais rien de spécial, et toujours divers petit ralentissements

Du coup j'ai fais un scan avec FRST :

FRST : https://pjjoint.malekal.com/files.php?i ... 4h12j9c6x7

Addition : https://pjjoint.malekal.com/files.php?i ... 9f9q9t14h8

Shortcut : https://pjjoint.malekal.com/files.php?i ... 11b10x10l6

Merci pour votre future aide et bonne soirée

[Malekal_morte]

Bonsoir,


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 S3 PAExec; C:\Windows\PAExec.exe [189112 2016-11-19] (Power Admin LLC)  
ShortcutWithArgument: C:\Users\Romain\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://klakali.ru/?utm_source=startlink03&utm_content=10777707c6d081672191ac42b8952f60&utm_term=C02AE303B75614A4C9F0ECB72C56D3BB&utm_d=20180204"
ShortcutWithArgument: C:\Users\Romain\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://klakali.ru/?utm_source=startlink03&utm_content=10777707c6d081672191ac42b8952f60&utm_term=C02AE303B75614A4C9F0ECB72C56D3BB&utm_d=20180204"
ShortcutWithArgument: C:\Users\Romain\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\207745223fb8679b\streamlink-twitch-gui.lnk -> C:\Program Files\Streamlink Twitch GUI\streamlink-twitch-gui.exe (The NWJS Community) -> --user-data-dir="C:\Users\Romain\AppData\Local\streamlink-twitch-gui\User Data" --profile-directory=Default --app-id=kjlcknihpadniagphehmpojkkdigigjp
2018-02-04 19:23 - 2018-02-04 19:23 - 000000000 ____D C:\Users\Romain\AppData\Local\Вoйти в Интeрнет
2018-02-04 19:21 - 2018-02-04 19:21 - 000000000 ____D C:\Users\Romain\AppData\Roaming\curl
2018-02-04 19:20 - 2018-02-04 19:23 - 000960512 _____ C:\Windows\system32\icacl.exe
2018-02-04 19:20 - 2018-02-04 19:20 - 000000000 ____D C:\Users\Romain\AppData\Local\yc
2018-02-04 19:17 - 2018-02-04 19:18 - 000000000 ____D C:\Users\Romain\AppData\Local\PowerMonitor
2018-02-04 19:16 - 2018-02-04 19:16 - 000000000 ____D C:\Users\Romain\AppData\Local\Поиcк в Интeрнете
2018-02-04 19:15 - 2018-02-04 19:17 - 000000000 ____D C:\Users\Romain\AppData\Roaming\HwmonitorApp
2018-02-04 19:12 - 2018-02-04 19:23 - 000000000 ____D C:\Users\Romain\AppData\Local\Mail.Ru
2018-02-04 19:12 - 2018-02-04 19:17 - 000000000 ____D C:\ProgramData\Mail.Ru
2018-02-04 18:31 - 2018-02-04 18:38 - 000077435 _____ C:\AnalysisLog.sr0
2017-10-01 13:19 - 2017-10-01 13:20 - 000000000 _____ () C:\Users\Romain\AppData\Local\{B1697D0C-ECCE-435B-89A9-27EF4C15C2BB}
2015-07-18 22:28 - 2015-07-18 22:28 - 000000000 _____ () C:\Users\Romain\AppData\Local\{B520B381-0160-492D-BEF2-C72B1FC309C0}
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome

[xiuned]

Rebonsoir,

Voilà c'est fait, ci dessous le contenu du fichier fixlog comme convenu :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 27.01.2018
Exécuté par Romain (04-02-2018 22:47:20) Run:1
Exécuté depuis C:\Users\Romain\Desktop
Profils chargés: Romain (Profils disponibles: Romain & Administrateur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
S3 PAExec; C:\Windows\PAExec.exe [189112 2016-11-19] (Power Admin LLC)
ShortcutWithArgument: C:\Users\Romain\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://klakali.ru/?utm_source=startlink03&utm_content=10777707c6d081672191ac42b8952f60&utm_term=C02AE303B75614A4C9F0ECB72C56D3BB&utm_d=20180204"
ShortcutWithArgument: C:\Users\Romain\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://klakali.ru/?utm_source=startlink03&utm_content=10777707c6d081672191ac42b8952f60&utm_term=C02AE303B75614A4C9F0ECB72C56D3BB&utm_d=20180204"
ShortcutWithArgument: C:\Users\Romain\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\207745223fb8679b\streamlink-twitch-gui.lnk -> C:\Program Files\Streamlink Twitch GUI\streamlink-twitch-gui.exe (The NWJS Community) -> --user-data-dir="C:\Users\Romain\AppData\Local\streamlink-twitch-gui\User Data" --profile-directory=Default --app-id=kjlcknihpadniagphehmpojkkdigigjp
2018-02-04 19:23 - 2018-02-04 19:23 - 000000000 ____D C:\Users\Romain\AppData\Local\Вoйти в Интeрнет
2018-02-04 19:21 - 2018-02-04 19:21 - 000000000 ____D C:\Users\Romain\AppData\Roaming\curl
2018-02-04 19:20 - 2018-02-04 19:23 - 000960512 _____ C:\Windows\system32\icacl.exe
2018-02-04 19:20 - 2018-02-04 19:20 - 000000000 ____D C:\Users\Romain\AppData\Local\yc
2018-02-04 19:17 - 2018-02-04 19:18 - 000000000 ____D C:\Users\Romain\AppData\Local\PowerMonitor
2018-02-04 19:16 - 2018-02-04 19:16 - 000000000 ____D C:\Users\Romain\AppData\Local\Поиcк в Интeрнете
2018-02-04 19:15 - 2018-02-04 19:17 - 000000000 ____D C:\Users\Romain\AppData\Roaming\HwmonitorApp
2018-02-04 19:12 - 2018-02-04 19:23 - 000000000 ____D C:\Users\Romain\AppData\Local\Mail.Ru
2018-02-04 19:12 - 2018-02-04 19:17 - 000000000 ____D C:\ProgramData\Mail.Ru
2018-02-04 18:31 - 2018-02-04 18:38 - 000077435 _____ C:\AnalysisLog.sr0
2017-10-01 13:19 - 2017-10-01 13:20 - 000000000 _____ () C:\Users\Romain\AppData\Local\{B1697D0C-ECCE-435B-89A9-27EF4C15C2BB}
2015-07-18 22:28 - 2015-07-18 22:28 - 000000000 _____ () C:\Users\Romain\AppData\Local\{B520B381-0160-492D-BEF2-C72B1FC309C0}
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
"HKLM\System\CurrentControlSet\Services\PAExec" => supprimé(es) avec succès
PAExec => service supprimé(es) avec succès
C:\Users\Romain\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk => Raccourci argument supprimé(es) avec succès
C:\Users\Romain\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk => Raccourci argument supprimé(es) avec succès
C:\Users\Romain\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\207745223fb8679b\streamlink-twitch-gui.lnk => Raccourci argument supprimé(es) avec succès
C:\Users\Romain\AppData\Local\Вoйти в Интeрнет => déplacé(es) avec succès
C:\Users\Romain\AppData\Roaming\curl => déplacé(es) avec succès
C:\Windows\system32\icacl.exe => déplacé(es) avec succès
C:\Users\Romain\AppData\Local\yc => déplacé(es) avec succès
C:\Users\Romain\AppData\Local\PowerMonitor => déplacé(es) avec succès
C:\Users\Romain\AppData\Local\Поиcк в Интeрнете => déplacé(es) avec succès
C:\Users\Romain\AppData\Roaming\HwmonitorApp => déplacé(es) avec succès
C:\Users\Romain\AppData\Local\Mail.Ru => déplacé(es) avec succès
C:\ProgramData\Mail.Ru => déplacé(es) avec succès
C:\AnalysisLog.sr0 => déplacé(es) avec succès
C:\Users\Romain\AppData\Local\{B1697D0C-ECCE-435B-89A9-27EF4C15C2BB} => déplacé(es) avec succès
C:\Users\Romain\AppData\Local\{B520B381-0160-492D-BEF2-C72B1FC309C0} => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-411180870-2220102175-3437187814-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer" => supprimé(es) avec succès
"HKU\S-1-5-21-411180870-2220102175-3437187814-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-411180870-2220102175-3437187814-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 41805457 B
Java, Flash, Steam htmlcache => 232592878 B
Windows/system/drivers => 169410128 B
Edge => 0 B
Chrome => 620437018 B
Firefox => 380618007 B
Opera => 417215307 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 357 B
systemprofile32 => 485 B
LocalService => 0 B
NetworkService => 3392611 B
Romain => 383289036 B
Administrateur => 29494920 B

RecycleBin => 57884864 B
EmptyTemp: => 2.2 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 22:48:07 ====

Merci pour rapidité je ne m'attendais pas a une réponse ce soir : P

[xiuned]

Par contre je viens de m'apercevoir de quelque chose :

place-disque-windows.jpg

Lorsque j'ouvre mon explorateur de fichier, j'ai l'icône dans la barre des taches de fieu une des applications que le virus m'a installé : c'est normal ?

[Malekal_morte]

Si tu parles de la terre bleu avec la flèche jaune, c'est un navigateur bidon.
Clic droit et propriétés dessus pour avoir l'emplacement.
Et tu supprimes le dossier.

Faudra faire de place disque sur le E:\

[xiuned]

Heu..le dossier que ça m'indique est celui de windows...je vais quand même pas le supprimer..si ?

navigateur-mail-ru.jpg

edit : oui c'est vrai il faut que je fasse de la place dessus..

[Malekal_morte]

Tente une réparation SFC

Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
Saisir sfc /scannow dans la fenêtre.

Ça doit te dire que la protection a détecté des éléments endommagés,
qu'il faut redémarrer pour pouvoir les corriger. A ce moment, redémarre.

[xiuned]

Coucou,

Voici le résultat du scan :

sfc.jpg

[Malekal_morte]

Quand tu redémarres l'ordinateur, cette icône revient ?
Ca se lance automatiquement ?

[xiuned]

Oui, l'icône revient toujours a chaque fois que je lance l'explorateur de fichier windows. Bon, en soit c'est pas hyper dérangeant, s'il n'y a rien de plus grave qui traine encore sur l'ordinateur

[Malekal_morte]

Peut-être que Malwarebytes Anti-Malware (MBAM), dans une semaine ou deux, après des mises à jour va détecter et supprimer ces résidus.

[xiuned]

Oki ça marche, merci pour l'aide, impeccable, comme d'hab
Est ce que par hasard je pourrais trouver des notes explicatives sur comment a partir des scans FRST vous déterminez ce qui est endommagé de ce qui ne l'est pas et comment vous écrivez vos script de fix ?

[Malekal_morte]

Voir, tu y trouveras quelques explications : Tutoriel désinfection et suppression de virus.

[xiuned]

Salut,

Je me permet de re up le sujet car finalement j'ai encore des problèmes
Ce matin j'ai vu que quand j'utilisais mon explorateur de fichier, l'icone était redevenu celle d'avant, j'me suis donc dit que le dernier reliquat du virus était parti...
Et bah en fait l'après midi j'ai eu des ralentissements, une connexion instable et finalement un écran bleu

Du coup j'ai refais un scan avec FRST :

FRST : https://pjjoint.malekal.com/files.php?i ... 12k6l9d5l6

Addition : https://pjjoint.malekal.com/files.php?i ... 11t6d11z10

Shortcut : https://pjjoint.malekal.com/files.php?i ... 0x12u13t12

Désolé d'abuser encore de votre temps...

[angelique]

Bonjour/Bonsoir

• Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
  
  Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
  Un redémarrage peut être nécessaire (pas obligatoire).
  Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.