Demande de désinfection

[Berly]

Bonjour
Je suis nouveau dans le forum. Je veux savoir après avoir reçu les lien de Frst qu'est ce que j'en fais?

https://pjjoint.malekal.com/files.php?i ... f7c9q5h9t9

https://pjjoint.malekal.com/files.php?i ... j8l5g13c12

https://pjjoint.malekal.com/files.php?i ... c8o5b12f11

[angelique]

Bonjour/Bonsoir

Tu peux désinstaller car pas nécessaire:

DriverPack Easy Search (HKU\S-1-5-21-999789941-2754541649-1651855134-1001\...\DriverPack Easy Search) (Version: 1.0 - DriverPack Solution)

DriverToolkit version 8.5.1.0 (HKLM-x32\...\{D66BF89F-B0A2-48F5-A2E4-242EB645AB76}_is1) (Version: 8.5.1.0 - Megaify Software)

KMSpico (HKLM\...\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1) (Version: - )

• Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
  
  Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
  Un redémarrage peut être nécessaire (pas obligatoire).
  Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

[Berly]

Jai fait ceque vous m'avez demandé mais Jusque là, rien n'a changé.
Voici là copie de Fixlog.txt:


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 10.03.2018
Exécuté par SLG (11-03-2018 21:37:14) Run:1
Exécuté depuis C:\Users\SLG\Desktop
Profils chargés: SLG (Profils disponibles: SLG)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKU\S-1-5-21-999789941-2754541649-1651855134-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://internet-start.net/
SearchScopes: HKU\S-1-5-21-999789941-2754541649-1651855134-1001 -> DefaultScope {1FBFAAAD45185522674157A350B4D4EDD6255A45D6266FA9A4} URL = hxxp://internet-start.net/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-999789941-2754541649-1651855134-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/search/?win=302&clid=2100768-004&text={searchTerms}
SearchScopes: HKU\S-1-5-21-999789941-2754541649-1651855134-1001 -> {1FBFAAAD45185522674157A350B4D4EDD6255A45D6266FA9A4} URL = hxxp://internet-start.net/?q={searchTerms}
BHO: Pas de nom -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> Pas de fichier
BHO-x32: Pas de nom -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> Pas de fichier
FF Homepage: Mozilla\Firefox\Profiles\mn745nh9.default -> hxxp://internet-start.net/
FF Extension: (Visual Bookmarks) - C:\Users\SLG\AppData\Roaming\Mozilla\Firefox\Profiles\mn745nh9.default\Extensions\[email protected] [2017-12-10] [Legacy]
FF Extension: ("Yandex Elements") - C:\Users\SLG\AppData\Roaming\Mozilla\Firefox\Profiles\mn745nh9.default\Extensions\[email protected] [2017-12-10] [Legacy]
FF SearchPlugin: C:\Users\SLG\AppData\Roaming\Mozilla\Firefox\Profiles\mn745nh9.default\searchplugins\yandex.ru-132343.xml [2017-10-15]
CHR HomePage: Default -> hxxp://internet-start.net/
CHR StartupUrls: Default -> "hxxp://internet-start.net/"
CHR DefaultSearchURL: Default -> hxxp://internet-start.net/?q={searchTerms}
CHR DefaultSearchKeyword: Default -> internet-start.net
2018-03-11 10:08 - 2017-11-10 12:11 - 000000000 ____D C:\UsbFix
GroupPolicy: Restriction <==== ATTENTION
Task: {4DE582FC-3A6F-4C58-A3F7-F6C32E6F69D5} - \AutoPico Daily Restart -> Pas de fichier <==== ATTENTION
Task: {5A2B9B26-FDBF-430B-97EA-C0E7C26B65E0} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\Windows\Explorer.exe /NOUACCHECK
Hosts:
EmptyTemp:

*****************

Le Point de restauration a été créé avec succès.
HKU\S-1-5-21-999789941-2754541649-1651855134-1001\Software\Microsoft\Internet Explorer\Main\\Start Page => valeur restauré(es) avec succès
"HKU\S-1-5-21-999789941-2754541649-1651855134-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => supprimé(es) avec succès
"HKU\S-1-5-21-999789941-2754541649-1651855134-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} => non trouvé(e)
"HKU\S-1-5-21-999789941-2754541649-1651855134-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{1FBFAAAD45185522674157A350B4D4EDD6255A45D6266FA9A4}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{1FBFAAAD45185522674157A350B4D4EDD6255A45D6266FA9A4} => non trouvé(e)
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D5FEC983-01DB-414A-9456-AF95AC9ED7B5}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{D5FEC983-01DB-414A-9456-AF95AC9ED7B5} => non trouvé(e)
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D5FEC983-01DB-414A-9456-AF95AC9ED7B5}" => supprimé(es) avec succès
HKLM\Software\Wow6432Node\Classes\CLSID\{D5FEC983-01DB-414A-9456-AF95AC9ED7B5} => non trouvé(e)
"Firefox homepage" => supprimé(es) avec succès
C:\Users\SLG\AppData\Roaming\Mozilla\Firefox\Profiles\mn745nh9.default\Extensions\[email protected] => déplacé(es) avec succès
C:\Users\SLG\AppData\Roaming\Mozilla\Firefox\Profiles\mn745nh9.default\Extensions\[email protected] => déplacé(es) avec succès
C:\Users\SLG\AppData\Roaming\Mozilla\Firefox\Profiles\mn745nh9.default\Extensions\[email protected] => chemin supprimé(es) avec succès
C:\Users\SLG\AppData\Roaming\Mozilla\Firefox\Profiles\mn745nh9.default\searchplugins\yandex.ru-132343.xml => déplacé(es) avec succès
"Chrome HomePage" => supprimé(es) avec succès
"Chrome StartupUrls" => supprimé(es) avec succès
"Chrome DefaultSearchURL" => supprimé(es) avec succès
"Chrome DefaultSearchKeyword" => supprimé(es) avec succès
C:\UsbFix => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\Windows\SysWOW64\GroupPolicy\GPT.ini => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{4DE582FC-3A6F-4C58-A3F7-F6C32E6F69D5}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4DE582FC-3A6F-4C58-A3F7-F6C32E6F69D5}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AutoPico Daily Restart" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5A2B9B26-FDBF-430B-97EA-C0E7C26B65E0}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5A2B9B26-FDBF-430B-97EA-C0E7C26B65E0}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\CreateExplorerShellUnelevatedTask => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\CreateExplorerShellUnelevatedTask" => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 321254 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 92909273 B
Java, Flash, Steam htmlcache => 492 B
Windows/system/drivers => 992078590 B
Edge => 7300412 B
Chrome => 27648 B
Firefox => 22982973 B
Opera => 40585031 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 137032 B
NetworkService => 1762720 B
SLG => 2632761764 B

RecycleBin => 7353051 B
EmptyTemp: => 3.5 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 21:47:48 ====

[angelique]

Rien n'a changé de ? tu n'étais pas infecté.

[Berly]

Toujours pas de changement de mon côté. J'ai tout suivi à la lettre. Voici le rapport


Rem-VBSworm v8.0

=========== - General info:

Running under: SLG on profile: C:\Users\SLG
Computer name: DESKTOP-Q04BTOE

Operating System:
Microsoft Windows 10 Professionnel

Boot Mode:
Normal boot

Antivirus software installed:
Avast Antivirus

Windows Defender


Executed on: 12/03/2018 @ 9:03:46,24

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque mont‚ local

D: Disque mont‚ local Sleege

E: Disque mont‚ local Serghil

F: Disque mont‚ local Berly

G: Disque CD-ROM

H: Disque CD-ROM




Physical drives information:
C: \Device\HarddiskVolume7 NTFS
F: \Device\HarddiskVolume6 NTFS
D: \Device\HarddiskVolume4 NTFS
E: \Device\HarddiskVolume5 NTFS

=========== - Disinfection info:

Op‚ration r‚ussieÿ: le processus avec PID 1536 a ‚t‚ termin‚.
Op‚ration r‚ussieÿ: le processus avec PID 5796 a ‚t‚ termin‚.
Op‚ration r‚ussieÿ: le processus avec PID 5476 a ‚t‚ termin‚.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
Fichier supprim‚ - C:\Users\SLG\AppData\Roaming\DriverPack Easy Search\bin\Tools\run.hta
Fichier supprim‚ - C:\Users\SLG\AppData\Roaming\DriverPack Notifier\bin\Tools\notifier\notifier.hta

=========== - Shortcut info:

Shortcut: "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\CodeMeter Control Center.lnk"
----------------------------------------------------------------

=========== - Scheduled tasks info:

Commentaire: Collecteur d'informations r‚seau

=========== - USB drive info:

I: selected

USB Device ID:
SCSI\DISK&VEN_ST1000LM&PROD_024_HN-M101MBB\4&283951E7&0&000000

USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_BLADE&REV_1.27\4C530001520204118284&0




Fichier supprim‚ - I:\DriverPack_17.3.3_Offline\bin\Tools\run.hta
Fichier supprim‚ - I:\DriverPack_17.3.3_Offline\bin\Tools\modules\bugreport.hta
Fichier supprim‚ - I:\DriverPack_17.3.3_Offline\bin\Tools\modules\AutoTests\RunTests.hta
Fichier supprim‚ - I:\DriverPack_17.3.3_Offline\bin\Tools\start.vbs
Fichier supprim‚ - I:\DriverPack_17.3.3_Offline\bin\Tools\modules\AutoTests\schedulerReport.vbs
Fichier supprim‚ - I:\DriverPack_17.3.3_Offline\drivers\DP_Bluetooth_16000\Ralink\FORCED\10x64\USB\UnShortcut.bat
Fichier supprim‚ - I:\DriverPack_17.3.3_Offline\drivers\DP_Bluetooth_16000\Ralink\FORCED\NTx64\USB\UnShortcut.bat
Fichier supprim‚ - I:\DriverPack_17.3.3_Offline\drivers\DP_Bluetooth_16000\Ralink\FORCED\NTx86\USB\UnShortcut.bat
Fichier supprim‚ - I:\DriverPack_17.3.3_Offline\Autorun.inf
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of I:
Le volume dans le lecteur I s'appelle AK47
Le num‚ro de s‚rie du volume est 5031-58FF

R‚pertoire de I:\

17/06/2014 22:11 1ÿ091ÿ912 setup.exe
29/10/2014 05:59 8ÿ814ÿ385 01-alonzo--la_belle_vie-spank.mp3
19/04/2016 23:37 43ÿ858ÿ582 Format Factory.exe
19/04/2016 23:38 738ÿ478ÿ080 Office 13.iso
19/04/2016 23:40 24ÿ743ÿ106 vlc-2.1.5-win32.exe
13/05/2016 19:40 <DIR> Autocad 2013 64bits
03/10/2016 10:04 4ÿ380ÿ004 Booba - .L..P.H.A.N.T.mp3
03/10/2016 10:05 4ÿ259ÿ047 Booba - DKR (Audio).mp3
07/11/2016 20:47 <DIR> DriverPack_17.3.3_Offline
21/01/2017 01:57 8ÿ608ÿ957 DJ Nono - Electro kata.mp3
08/06/2017 17:08 1ÿ799ÿ799 rihanna_rehab_aac_58077.m4a
02/07/2017 07:47 2ÿ789ÿ204 Lefa_ft_S.Pri_Noir_-_Rouler_(Audio_Officiel).mp4
02/09/2017 07:16 <DIR> Activation Win 8
22/09/2017 01:12 8ÿ567ÿ721 Niska - Reseaux.mp3
27/12/2017 20:17 3ÿ084ÿ069 musique entr‚e undertaker.mp3
03/01/2018 22:13 6ÿ247ÿ697 Big_Shaq_Man_Not_Hot.mp3
06/02/2018 19:58 177ÿ056 ADJI MAJICLAND FOND.dwg
14 fichier(s) 856ÿ899ÿ619 octets
4 R‚p(s) 4ÿ740ÿ997ÿ120 octets libres

USB drive disinfected and files unhidden

[Berly]

Mes logiciels sont toujours inaccessible, les icônes endommagées et les setup ne sont pas fonctionnel

[angelique]

Après relecture de tes rapports , tu as eu une infection qui se propage par support USB:

supprime 2018-03-11 08:36 - 2018-03-11 10:39 - 000000000 ____D C:\boots

Cette infection "paralyse" les applications/fichiers et on ne peut rien faire à part recharger les setup/applications sur le site de l'éditeur.

Désinfecte le support usb que tu as inséré hier à 08:36

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton ➫ http://telecharger.malekal.com/download/marmiton/
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.


----------


1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm


* lancer "Remediate VBS Worm"
* Lancer l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

[Berly]

La clé appartenait à un ami et je la lui avais remis. Et cette opération, je l'ai déjà faite et publié le rapport. Je voudrai savoir, est-ce que ce virus a été supprimé de mon pc? Afin que je puisse réinstaller le système d'exploitation sans formater les partitions. Merci d'avance

[angelique]

Oui il n' y a plus d'infection, tu as juste besoin de réinstaller les applications non fonctionnelles.

Supprime frst, ses rapports et C:\FRST

[Berly]

Excusez moi pour la question un peu stupide. Dois-je aussi désinfecter mon téléphone ? Parceque je l'avais aussi connecté à mon ordinateur juste après l'infection d'ailleurs c'est par lui que mon frère a été infecté à son tour

[Malekal_morte]

Non car il ne doit pas avoir de lettre de lecteur quand tu le branches.
Ce n'est pas le même mode de fonctionnement que les clés USB (périphériques de masses).

[Berly]

C'est bel bien ceque j'ai remarqué, mais dans ce cas je fais comment?

[angelique]

Éventuellement lister le contenu en affichant fichiers/dossiers cachés : https://www.malekal.com/afficher-fichie ... windows10/ et voir les trucs louches.

Par contre si le téléphone n'est pas rooté, ça risque de passer à coté....juste une supposition, si ça se trouve l'infection a juste été sur la carte SD

Donc sortir la carte mini carte SD, la mettre dans un adaptateur, et la pluguer sur un PC et utiliser Remediate VBS Worm sur sa lettre

[Berly]

Je n'ai pas de carte SD. Donc si je comprends bien, je dois connecter le téléphone à l'ordinateur puis afficher les éléments cachés pour supprimer ceux qui seront louches? Et au moment où je vais connecter les deux, le téléphone ne risque pas d'infecter à nouveau l'ordinateur? Il n'est pas rooter

[angelique]

Si tu as vraiment un doute sur le téléphone, tu le réinitialises.