Fichiers FRST suite infection

[alanie]

Bonjour,

Le PC de mes parents est infesté: une page internet s'ouvre indiquant qu'ils doivent appeler un numéro pour ne pas perdre leurs données. Le tout accompagné d'une voix répétant sans cesse ce même message... Avec impossibilité de fermer le navigateur sans rebooter la machine...

J'ai exécuté "ZHPDiag3" puis "ZHPCleaner".
Puis lancé "adwcleaner_7.0.8.0" et "Malwarebytes" pour nettoyer ce qui pouvait l'être.

J'ai ensuite lancé "FRST64"; voici les fichiers de logs "FRST", "Shortcut" et "Addition".

https://pjjoint.malekal.com/files.php?i ... s14e11c6q6
https://pjjoint.malekal.com/files.php?i ... e11o12o8n7
https://pjjoint.malekal.com/files.php?i ... 4q11k9k7j5

Merci d'avance de votre retour sur les actions à mener.
Christophe.

[alanie]

En complément, j'ai lancé "RogueKiller" et nettoyé un problème dangereux.
Ci-dessous le rapport au format texte.

https://pjjoint.malekal.com/files.php?i ... j13p5z7c13

Merci.

[angelique]

Bonjour/Bonsoir

Ce problème [TechScam],handicapant et stressant pour l'utilisateur non averti, n'est pas une infection, mais la conséquence de naviguer sur Internet non sécurisé !

Lire ➯ https://www.malekal.com/arnaque-support ... c-support/

Il faut sécuriser son navigateur :

- https://www.malekal.com/securiser-le-na ... firefox-2/

- https://www.malekal.com/securiser-google-chrome/

Les rapports sont corrects, pas d'infections.

RogueKiller ne met pas en évidence un problème grave, Lire ➬ https://www.malekal.com/adwcleaner-rogu ... habitudes/

• Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
  
  Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
  Un redémarrage peut être nécessaire (pas obligatoire).
  Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

[alanie]

Bonsoir,

Merci beaucoup pour la réactivité et les infos que je ne manquerais pas de communiquer à mes parents!

Je colle ci-dessous la log de la correction FRST.
NB: j'avais préalablement déplacé certains fichiers (ex: ZHPCleaner.exe), ils n'ont pas été déplacés par le fix du coup...
Sinon on dirait qu'il y a eu un sacré ménage de fait


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 19.02.2018
Exécuté par TerraDmin (20-02-2018 20:43:47) Run:1
Exécuté depuis C:\Users\Terra\Desktop
Profils chargés: Terra & TerraDmin (Profils disponibles: Terra & TerraDmin)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
2018-02-20 15:19 - 2018-02-20 15:22 - 000000000 ____D C:\AdwCleaner
2018-02-20 15:11 - 2018-02-20 15:14 - 000025614 _____ C:\Users\TerraDmin\Desktop\ZHPCleaner.html
2018-02-20 15:11 - 2018-02-20 15:14 - 000006503 _____ C:\Users\TerraDmin\Desktop\ZHPCleaner.txt
2018-02-20 15:08 - 2018-02-20 15:08 - 000911133 _____ C:\Users\Terra\Downloads\NotepadPlusPE.paf.exe
2018-02-20 14:46 - 2018-02-20 14:46 - 000000924 _____ C:\Users\TerraDmin\Desktop\ZHPCleaner.lnk
2018-02-20 14:46 - 2018-02-17 15:41 - 003078528 _____ C:\Users\Terra\Desktop\ZHPCleaner.exe
2018-02-20 14:40 - 2018-02-20 16:57 - 000175162 _____ C:\Users\TerraDmin\Desktop\ZHPDiag.html
2018-02-20 14:40 - 2018-02-20 16:57 - 000134676 _____ C:\Users\TerraDmin\Desktop\ZHPDiag.txt
2018-02-20 14:36 - 2018-02-20 16:57 - 000000000 ____D C:\Users\TerraDmin\AppData\Roaming\ZHP
2018-02-20 14:36 - 2018-02-20 16:52 - 000000914 _____ C:\Users\TerraDmin\Desktop\ZHPDiag.lnk
2018-02-20 14:36 - 2018-02-20 14:46 - 000000000 ____D C:\Users\TerraDmin\AppData\Local\ZHP
2018-02-20 14:36 - 2018-02-17 15:41 - 003009408 _____ C:\Users\Terra\Desktop\ZHPDiag3.exe
2018-01-26 09:19 - 2018-01-26 09:19 - 000000000 ____D C:\WINDOWS\UpdateAssistant
Task: {79AC37B0-2A2C-4B2A-BD54-103A4E3B8B11} - System32\Tasks\{68DE894E-5D19-440E-B91B-BF46791BAA8F} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Windows Live\Installer\wlarp.exe"
Hosts:
EmptyTemp:

*****************

C:\AdwCleaner => déplacé(es) avec succès
C:\Users\TerraDmin\Desktop\ZHPCleaner.html => déplacé(es) avec succès
C:\Users\TerraDmin\Desktop\ZHPCleaner.txt => déplacé(es) avec succès
C:\Users\Terra\Downloads\NotepadPlusPE.paf.exe => déplacé(es) avec succès
C:\Users\TerraDmin\Desktop\ZHPCleaner.lnk => déplacé(es) avec succès
"C:\Users\Terra\Desktop\ZHPCleaner.exe" => non trouvé(e)
C:\Users\TerraDmin\Desktop\ZHPDiag.html => déplacé(es) avec succès
C:\Users\TerraDmin\Desktop\ZHPDiag.txt => déplacé(es) avec succès
C:\Users\TerraDmin\AppData\Roaming\ZHP => déplacé(es) avec succès
C:\Users\TerraDmin\Desktop\ZHPDiag.lnk => déplacé(es) avec succès
C:\Users\TerraDmin\AppData\Local\ZHP => déplacé(es) avec succès
"C:\Users\Terra\Desktop\ZHPDiag3.exe" => non trouvé(e)
C:\WINDOWS\UpdateAssistant => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{79AC37B0-2A2C-4B2A-BD54-103A4E3B8B11} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{79AC37B0-2A2C-4B2A-BD54-103A4E3B8B11} => impossible à supprimer clé. ErrorCode1: 0x00000002
C:\WINDOWS\System32\Tasks\{68DE894E-5D19-440E-B91B-BF46791BAA8F} => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{68DE894E-5D19-440E-B91B-BF46791BAA8F} => impossible à supprimer clé. ErrorCode1: 0x00000002
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 11740956 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 362183252 B
Edge => 873782 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 7680 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 1230738 B
NetworkService => 17793024 B
Terra => 2365776066 B
TerraDmin => 56536696 B

RecycleBin => 392973702 B
EmptyTemp: => 3 GB données temporaires supprimées.

================================

[angelique]

Tu pourras supprimer frst, ses rapports et C:\FRST

Et sécurise le Navigateur.

[alanie]

Bonjour.

Super, merci et bonne continuation.
Pour info et pour vous soutenir dans ces actions qui dépannent / rassurent énormément de monde, j'ai fait un don PayPal au site