Infection de PC (installations silencieuses, spam twitch...)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

xiuned

Infection de PC (installations silencieuses, spam twitch...)

par xiuned »

Salut,

Suite a une mauvaise manipulation (je ne me suis pas méfier d'un application .exe douteuse et j'ai cliqué dessus..erreur de débutant vous me direz) j'ai été obligé de faire un scan avec malware byte mais je ne suis pas que tout soit parti du coup j'aurais besoin de votre aide !

Le programme sur lequel j'ai cliqué installait frauduleusement et silencieusement des applications russes, des extensions russes sur le navigateur, ralentissais l'ordi, changeait les pages de démarrage et de nouvel onglet, et envoyait des mp aux utilisateurs de twitch.

Après le scan Malwarebytes Anti-Malware (MBAM) plus rien ne semble s'installer en douce, plus d'extension, plus de changemetn de pages mais toujours des envois a partir de mon compte aux autres utilisateurs twitch, le sablier de la souris qui apparait alors que je fais rien de spécial, et toujours divers petit ralentissements

Du coup j'ai fais un scan avec FRST :

FRST : https://pjjoint.malekal.com/files.php?i ... 4h12j9c6x7

Addition : https://pjjoint.malekal.com/files.php?i ... 9f9q9t14h8

Shortcut : https://pjjoint.malekal.com/files.php?i ... 11b10x10l6

Merci pour votre future aide et bonne soirée
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Infection de PC (installations silencieuses, spam twitch...)

par Malekal_morte »

Bonsoir,


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 S3 PAExec; C:\Windows\PAExec.exe [189112 2016-11-19] (Power Admin LLC)  
ShortcutWithArgument: C:\Users\Romain\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://klakali.ru/?utm_source=startlink03&utm_content=10777707c6d081672191ac42b8952f60&utm_term=C02AE303B75614A4C9F0ECB72C56D3BB&utm_d=20180204"
ShortcutWithArgument: C:\Users\Romain\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://klakali.ru/?utm_source=startlink03&utm_content=10777707c6d081672191ac42b8952f60&utm_term=C02AE303B75614A4C9F0ECB72C56D3BB&utm_d=20180204"
ShortcutWithArgument: C:\Users\Romain\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\207745223fb8679b\streamlink-twitch-gui.lnk -> C:\Program Files\Streamlink Twitch GUI\streamlink-twitch-gui.exe (The NWJS Community) -> --user-data-dir="C:\Users\Romain\AppData\Local\streamlink-twitch-gui\User Data" --profile-directory=Default --app-id=kjlcknihpadniagphehmpojkkdigigjp
2018-02-04 19:23 - 2018-02-04 19:23 - 000000000 ____D C:\Users\Romain\AppData\Local\Вoйти в Интeрнет
2018-02-04 19:21 - 2018-02-04 19:21 - 000000000 ____D C:\Users\Romain\AppData\Roaming\curl
2018-02-04 19:20 - 2018-02-04 19:23 - 000960512 _____ C:\Windows\system32\icacl.exe
2018-02-04 19:20 - 2018-02-04 19:20 - 000000000 ____D C:\Users\Romain\AppData\Local\yc
2018-02-04 19:17 - 2018-02-04 19:18 - 000000000 ____D C:\Users\Romain\AppData\Local\PowerMonitor
2018-02-04 19:16 - 2018-02-04 19:16 - 000000000 ____D C:\Users\Romain\AppData\Local\Поиcк в Интeрнете
2018-02-04 19:15 - 2018-02-04 19:17 - 000000000 ____D C:\Users\Romain\AppData\Roaming\HwmonitorApp
2018-02-04 19:12 - 2018-02-04 19:23 - 000000000 ____D C:\Users\Romain\AppData\Local\Mail.Ru
2018-02-04 19:12 - 2018-02-04 19:17 - 000000000 ____D C:\ProgramData\Mail.Ru
2018-02-04 18:31 - 2018-02-04 18:38 - 000077435 _____ C:\AnalysisLog.sr0
2017-10-01 13:19 - 2017-10-01 13:20 - 000000000 _____ () C:\Users\Romain\AppData\Local\{B1697D0C-ECCE-435B-89A9-27EF4C15C2BB}
2015-07-18 22:28 - 2015-07-18 22:28 - 000000000 _____ () C:\Users\Romain\AppData\Local\{B520B381-0160-492D-BEF2-C72B1FC309C0}
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
xiuned

Re: Infection de PC (installations silencieuses, spam twitch...)

par xiuned »

Rebonsoir,

Voilà c'est fait, ci dessous le contenu du fichier fixlog comme convenu :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 27.01.2018
Exécuté par Romain (04-02-2018 22:47:20) Run:1
Exécuté depuis C:\Users\Romain\Desktop
Profils chargés: Romain (Profils disponibles: Romain & Administrateur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
S3 PAExec; C:\Windows\PAExec.exe [189112 2016-11-19] (Power Admin LLC)
ShortcutWithArgument: C:\Users\Romain\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://klakali.ru/?utm_source=startlink03&utm_content=10777707c6d081672191ac42b8952f60&utm_term=C02AE303B75614A4C9F0ECB72C56D3BB&utm_d=20180204"
ShortcutWithArgument: C:\Users\Romain\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://klakali.ru/?utm_source=startlink03&utm_content=10777707c6d081672191ac42b8952f60&utm_term=C02AE303B75614A4C9F0ECB72C56D3BB&utm_d=20180204"
ShortcutWithArgument: C:\Users\Romain\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\207745223fb8679b\streamlink-twitch-gui.lnk -> C:\Program Files\Streamlink Twitch GUI\streamlink-twitch-gui.exe (The NWJS Community) -> --user-data-dir="C:\Users\Romain\AppData\Local\streamlink-twitch-gui\User Data" --profile-directory=Default --app-id=kjlcknihpadniagphehmpojkkdigigjp
2018-02-04 19:23 - 2018-02-04 19:23 - 000000000 ____D C:\Users\Romain\AppData\Local\Вoйти в Интeрнет
2018-02-04 19:21 - 2018-02-04 19:21 - 000000000 ____D C:\Users\Romain\AppData\Roaming\curl
2018-02-04 19:20 - 2018-02-04 19:23 - 000960512 _____ C:\Windows\system32\icacl.exe
2018-02-04 19:20 - 2018-02-04 19:20 - 000000000 ____D C:\Users\Romain\AppData\Local\yc
2018-02-04 19:17 - 2018-02-04 19:18 - 000000000 ____D C:\Users\Romain\AppData\Local\PowerMonitor
2018-02-04 19:16 - 2018-02-04 19:16 - 000000000 ____D C:\Users\Romain\AppData\Local\Поиcк в Интeрнете
2018-02-04 19:15 - 2018-02-04 19:17 - 000000000 ____D C:\Users\Romain\AppData\Roaming\HwmonitorApp
2018-02-04 19:12 - 2018-02-04 19:23 - 000000000 ____D C:\Users\Romain\AppData\Local\Mail.Ru
2018-02-04 19:12 - 2018-02-04 19:17 - 000000000 ____D C:\ProgramData\Mail.Ru
2018-02-04 18:31 - 2018-02-04 18:38 - 000077435 _____ C:\AnalysisLog.sr0
2017-10-01 13:19 - 2017-10-01 13:20 - 000000000 _____ () C:\Users\Romain\AppData\Local\{B1697D0C-ECCE-435B-89A9-27EF4C15C2BB}
2015-07-18 22:28 - 2015-07-18 22:28 - 000000000 _____ () C:\Users\Romain\AppData\Local\{B520B381-0160-492D-BEF2-C72B1FC309C0}
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
"HKLM\System\CurrentControlSet\Services\PAExec" => supprimé(es) avec succès
PAExec => service supprimé(es) avec succès
C:\Users\Romain\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk => Raccourci argument supprimé(es) avec succès
C:\Users\Romain\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk => Raccourci argument supprimé(es) avec succès
C:\Users\Romain\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\207745223fb8679b\streamlink-twitch-gui.lnk => Raccourci argument supprimé(es) avec succès
C:\Users\Romain\AppData\Local\Вoйти в Интeрнет => déplacé(es) avec succès
C:\Users\Romain\AppData\Roaming\curl => déplacé(es) avec succès
C:\Windows\system32\icacl.exe => déplacé(es) avec succès
C:\Users\Romain\AppData\Local\yc => déplacé(es) avec succès
C:\Users\Romain\AppData\Local\PowerMonitor => déplacé(es) avec succès
C:\Users\Romain\AppData\Local\Поиcк в Интeрнете => déplacé(es) avec succès
C:\Users\Romain\AppData\Roaming\HwmonitorApp => déplacé(es) avec succès
C:\Users\Romain\AppData\Local\Mail.Ru => déplacé(es) avec succès
C:\ProgramData\Mail.Ru => déplacé(es) avec succès
C:\AnalysisLog.sr0 => déplacé(es) avec succès
C:\Users\Romain\AppData\Local\{B1697D0C-ECCE-435B-89A9-27EF4C15C2BB} => déplacé(es) avec succès
C:\Users\Romain\AppData\Local\{B520B381-0160-492D-BEF2-C72B1FC309C0} => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-411180870-2220102175-3437187814-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer" => supprimé(es) avec succès
"HKU\S-1-5-21-411180870-2220102175-3437187814-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-411180870-2220102175-3437187814-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 41805457 B
Java, Flash, Steam htmlcache => 232592878 B
Windows/system/drivers => 169410128 B
Edge => 0 B
Chrome => 620437018 B
Firefox => 380618007 B
Opera => 417215307 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 357 B
systemprofile32 => 485 B
LocalService => 0 B
NetworkService => 3392611 B
Romain => 383289036 B
Administrateur => 29494920 B

RecycleBin => 57884864 B
EmptyTemp: => 2.2 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 22:48:07 ====

Merci pour rapidité je ne m'attendais pas a une réponse ce soir : P
xiuned

Re: Infection de PC (installations silencieuses, spam twitch...)

par xiuned »

Par contre je viens de m'apercevoir de quelque chose :
place-disque-windows.jpg
Lorsque j'ouvre mon explorateur de fichier, j'ai l'icône dans la barre des taches de fieu une des applications que le virus m'a installé : c'est normal ?
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Infection de PC (installations silencieuses, spam twitch...)

par Malekal_morte »

Si tu parles de la terre bleu avec la flèche jaune, c'est un navigateur bidon.
Clic droit et propriétés dessus pour avoir l'emplacement.
Et tu supprimes le dossier.

Faudra faire de place disque sur le E:\
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
xiuned

Re: Infection de PC (installations silencieuses, spam twitch...)

par xiuned »

Heu..le dossier que ça m'indique est celui de windows...je vais quand même pas le supprimer..si ? PDT_009
navigateur-mail-ru.jpg
edit : oui c'est vrai il faut que je fasse de la place dessus..
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Infection de PC (installations silencieuses, spam twitch...)

par Malekal_morte »

Tente une réparation SFC

Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
Saisir sfc /scannow dans la fenêtre.

Ça doit te dire que la protection a détecté des éléments endommagés,
qu'il faut redémarrer pour pouvoir les corriger. A ce moment, redémarre.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
xiuned

Re: Infection de PC (installations silencieuses, spam twitch...)

par xiuned »

Coucou,

Voici le résultat du scan :
sfc.jpg
:ordifenetre:
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Infection de PC (installations silencieuses, spam twitch...)

par Malekal_morte »

Quand tu redémarres l'ordinateur, cette icône revient ?
Ca se lance automatiquement ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
xiuned

Re: Infection de PC (installations silencieuses, spam twitch...)

par xiuned »

Oui, l'icône revient toujours a chaque fois que je lance l'explorateur de fichier windows. Bon, en soit c'est pas hyper dérangeant, s'il n'y a rien de plus grave qui traine encore sur l'ordinateur
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Infection de PC (installations silencieuses, spam twitch...)

par Malekal_morte »

Peut-être que Malwarebytes Anti-Malware (MBAM), dans une semaine ou deux, après des mises à jour va détecter et supprimer ces résidus.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
xiuned

Re: Infection de PC (installations silencieuses, spam twitch...)

par xiuned »

Oki ça marche, merci pour l'aide, impeccable, comme d'hab :)
Est ce que par hasard je pourrais trouver des notes explicatives sur comment a partir des scans FRST vous déterminez ce qui est endommagé de ce qui ne l'est pas et comment vous écrivez vos script de fix ?
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Infection de PC (installations silencieuses, spam twitch...)

par Malekal_morte »

Voir, tu y trouveras quelques explications : Tutoriel désinfection et suppression de virus.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
xiuned

Re: Infection de PC (installations silencieuses, spam twitch...)

par xiuned »

Salut,

Je me permet de re up le sujet car finalement j'ai encore des problèmes
Ce matin j'ai vu que quand j'utilisais mon explorateur de fichier, l'icone était redevenu celle d'avant, j'me suis donc dit que le dernier reliquat du virus était parti...
Et bah en fait l'après midi j'ai eu des ralentissements, une connexion instable et finalement un écran bleu

Du coup j'ai refais un scan avec FRST :

FRST : https://pjjoint.malekal.com/files.php?i ... 12k6l9d5l6

Addition : https://pjjoint.malekal.com/files.php?i ... 11t6d11z10

Shortcut : https://pjjoint.malekal.com/files.php?i ... 0x12u13t12

Désolé d'abuser encore de votre temps...
Avatar de l’utilisateur
angelique
Messages : 31484
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection de PC (installations silencieuses, spam twitch...)

par angelique »

Bonjour/Bonsoir
  • Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

    Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
    Un redémarrage peut être nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »