Cmd.exe s'ouvre automatiquement puis se ferme

[Joshuajj]

Bonjour,

Depuis que j'ai tenté d'installer un logiciel (Scientfic work place ), Windows Defender
qui est la seul protection est désactivée.
Je n'arrive plus à le reactiver et j'ai très frequemment cmd.exe qui s'ouvre automatiquement puis se referme.
Cela m'inquiète puisque ma connexion internet est ralentie et Mon PC aussi.
J'ai reussi à copier le contenu d'une fenetre "cmd.exe" avant qu'elle ne referme.
Voici :

* VERSIONS: XMRig/2.5.0 libuv/1.15.0 gcc/7.2.0
* HUGE PAGES: unavailable, disabled
* CPU: Intel(R) Celeron(R) CPU N2840 @ 2.16GHz (1) -x64 -AES-NI
* CPU L2/L3: 2.0 MB/0.0 MB
* THREADS: 1, cryptonight, av=3, donate=5%
* POOL #1: krb.sberex.com:3333
* COMMANDS: hashrate, pause, resume
[2018-03-22 00:40:31] use pool krb.sberex.com:3333 176.104.17.175
[2018-03-22 00:40:31] new job from krb.sberex.com:3333 diff 500

Merci d'avance pour votre aide

[angelique]

Bonjour/Bonsoir,

selon ta description, ça ressemble à un miner pour miner Karbowanec, un truc comme le bitcoin

Code : Tout sélectionner

defaultPoolList << "pool.karbowanec.com:3333" << "pool2.democats.org:45570" << "krb.sberex.com:3333" << "mine.krb.mypool.online:32350" << "krb-eu1.miningpool.org.ua:3333";

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST ou FRST
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
  
  -------------
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  -------------
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[Joshuajj]

Merci Angélique pour votre réponse.
Voici les rapoprts générés : FRST.txt et Addition.txt

https://pjjoint.malekal.com/files.php?i ... 5r9x5r7j11
https://pjjoint.malekal.com/files.php?i ... i14h9g1512

[angelique]

Bonjour/Bonsoir

tu es quand même GRAVEMENT infecté, c'est OpenBar ton PC, c'est très grave vu que tu as l'air de télécharger n'importe quoi.

Pleins de Trojan RAT donc change tous tes mots de passe (bank, mail, etc.....) une fois la correction effectuée si tout a été viré.

Une fois la correction effectuée, tu pourras désinstaller via Programmes et fonctionnalités(exécuter➯appwiz.cpl):

Dll-Files Fixer (HKLM-x32\...\Dll-Files Fixer_is1) (Version: 1.0 - Dll-Files.com)

------------------------

• Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
  
  Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
  Un redémarrage peut être nécessaire (pas obligatoire).
  Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

[Joshuajj]

J'ai fait la correction avec FRST.
Voici le contenu du fichier texte:
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 14.03.2018
Exécuté par JOSHUA (22-03-2018 19:52:59) Run:1
Exécuté depuis C:\Users\JOSHUA\Desktop
Profils chargés: JOSHUA (Profils disponibles: JOSHUA)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Task: {06343EEF-E755-402D-BC7F-52B58064F4B5} - System32\Tasks\PPI Update => C:\Windows\explorer.exe "hxxp://insightlk.com/download/index.php?mn=9995" <==== ATTENTION
Task: {601A84B7-56CD-43B3-AB25-3DDFB0C4F58C} - System32\Tasks\OneDriveUpdateTaskMachine => C:\ProgramData\onedrive.exe [2018-03-16] () <==== ATTENTION
Task: {99EF88F8-15E0-4E91-A355-C19CE95AA125} - System32\Tasks\Yl9dVUAx => C:\Users\JOSHUA\AppData\Roaming\Yl9dVUAx\ertrqvg.exe [2018-03-16] ()
Task: {A3890358-FCCE-4B5B-93C3-8EE1B12971DE} - System32\Tasks\Opera scheduled Autoupdate 3658529600 => C:\Windows\system32\cmd.exe /c start "" "C:\Users\JOSHUA\AppData\Roaming\Microsoft\Windows\rhvsgcvd\svjefrie.exe"
Task: {DC86FC92-FB8A-4579-A667-86D09DD9413C} - System32\Tasks\Opera scheduled Autoupdate 4086469641 => C:\Windows\system32\cmd.exe /c start "" "C:\Users\JOSHUA\AppData\Roaming\Microsoft\Windows\hivjetst\svjefrie.exe"
"sadpyehg" => service a été déverrouillé. <==== ATTENTION
S2 sadpyehg; C:\Windows\SysWOW64\sadpyehg\qyrhmjbl.exe [0 ] () <==== ATTENTION (zéro octet Fichier/Dossier)
R2 dahjService; C:\ProgramData\dahjService\dahjService.exe [2178216 2018-03-16] (Adobe Systems Incorporated)
S2 wehtcilk; C:\Windows\SysWOW64\wehtcilk\yuqcrgnl.exe /d"C:\Users\JOSHUA\AppData\Local\Temp\B49A.tmp.exe" <==== ATTENTION
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,,C:\Users\JOSHUA\AppData\Local\Temp\xrgdjchy.exe
HKU\S-1-5-21-2713090765-586195599-138718381-1001\...\Run: [VShost] => C:\ProgramData\VShost\79g7eicqku3yc.exe [247296 2018-03-19] ()
HKU\S-1-5-21-2713090765-586195599-138718381-1001\...\Run: [gaszilanfofg] => C:\Users\JOSHUA\gaszilanfofg.exe [709888 2018-03-22] (BlackLine Systems Drop)
HKU\S-1-5-21-2713090765-586195599-138718381-1001\...\RunOnce: [VShost] => C:\ProgramData\VShost\79g7eicqku3yc.exe [247296 2018-03-19] ()
Startup: C:\Users\JOSHUA\AppData\Local\bermnaqm\cmd.exe [2018-03-22] (Microsoft Corporation)
GroupPolicy: Restriction <==== ATTENTION
C:\ProgramData\onedrive.exe
C:\Users\JOSHUA\AppData\Roaming\Yl9dVUAx
C:\Users\JOSHUA\AppData\Roaming\Microsoft\Windows\rhvsgcvd
C:\Users\JOSHUA\AppData\Roaming\Microsoft\Windows\hivjetst
C:\Program Files (x86)\Common Files\YioeGEpZWyB.exe
C:\Windows\SysWOW64\anANeoU.exe
C:\Users\JOSHUA\gaszilanfofg.exe
C:\Windows\SysWOW64\sadpyehg
C:\Windows\SysWOW64\wehtcilk
C:\ProgramData\VShost
C:\ProgramData\dahjService
2018-03-22 09:02 - 2018-03-22 09:02 - 000000464 _____ C:\Users\JOSHUA\Documents\virus.txt
2018-03-22 08:30 - 2018-03-22 08:25 - 070931976 _____ (Malwarebytes ) C:\Users\JOSHUA\Downloads\mb3-setup-consumer-3.4.4.2398-1.0.322-1.0.4434.exe
2018-03-22 08:30 - 2018-03-22 08:09 - 027005512 _____ (Adlice Software) C:\Users\JOSHUA\Downloads\RogueKiller_portable64.exe
2018-03-22 08:30 - 2018-03-22 07:34 - 003102592 _____ C:\Users\JOSHUA\Downloads\ZHPCleaner.exe
2018-03-22 08:30 - 2018-03-22 07:33 - 003061760 _____ (Nicolas Coolman) C:\Users\JOSHUA\Downloads\ZHPFix.exe
2018-03-22 08:30 - 2018-03-22 07:30 - 003037568 _____ C:\Users\JOSHUA\Downloads\ZHPDiag3.exe
2018-03-22 08:30 - 2018-03-22 06:59 - 008222496 _____ (Malwarebytes) C:\Users\JOSHUA\Downloads\adwcleaner_7.0.8.0.exe
2018-03-22 00:33 - 2018-03-22 00:33 - 000003722 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 3658529600
2018-03-22 00:33 - 2018-03-22 00:33 - 000000000 ____D C:\Users\JOSHUA\AppData\Local\bermnaqm
2018-03-16 11:26 - 2018-03-22 09:14 - 000000028 _____ C:\ProgramData\rwi.jhad
2018-03-16 11:26 - 2018-03-22 09:14 - 000000004 _____ C:\ProgramData\lock.dat
2018-03-16 11:17 - 2018-03-22 09:16 - 000003504 _____ C:\Windows\System32\Tasks\Yl9dVUAx
2018-03-16 11:09 - 2018-03-16 11:09 - 000000000 ____D C:\ProgramData\93fab0fc-7797-1
2018-03-16 11:09 - 2018-03-16 11:09 - 000000000 ____D C:\ProgramData\93fab0fc-6127-0
2018-03-16 11:07 - 2018-03-16 12:40 - 000362496 _____ C:\Users\JOSHUA\AppData\Roaming\product.dll
2018-03-16 11:07 - 2018-03-16 12:40 - 000121344 _____ C:\Users\JOSHUA\AppData\Roaming\command.dll
2018-03-16 11:07 - 2018-03-16 11:07 - 000003572 _____ C:\Windows\System32\Tasks\OneDriveUpdateTaskMachine
2018-03-16 11:07 - 2018-03-16 11:07 - 000000000 __SHD C:\Users\JOSHUA\AppData\Roaming\Yl9dVUAx
2018-03-16 11:07 - 2018-03-16 11:07 - 000000000 ____D C:\Windows\SysWOW64\wehtcilk
2018-03-16 11:07 - 2018-03-16 11:07 - 000000000 ____D C:\Windows\SysWOW64\sadpyehg
2018-03-16 11:07 - 2018-03-16 11:07 - 000000000 ____D C:\Users\JOSHUA\AppData\Roaming\OneSystemCare
2018-03-16 11:06 - 2018-03-22 00:31 - 000003722 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 4086469641
2018-03-16 11:06 - 2018-03-22 00:28 - 000003722 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 2796787680
2018-03-16 11:06 - 2018-03-19 07:02 - 000000000 ____D C:\Users\JOSHUA\AppData\Local\yjsvtudo
2018-03-16 11:06 - 2018-03-16 11:13 - 008470528 _____ C:\ProgramData\305792.zip
2018-03-16 11:06 - 2018-03-16 11:06 - 000947436 ___SH C:\ProgramData\onedrive.exe
2018-03-16 11:06 - 2018-03-16 11:06 - 000216576 _____ C:\ProgramData\305792.exe
2018-03-16 11:06 - 2018-03-16 11:06 - 000000003 _____ C:\Users\JOSHUA\AppData\Local\wbem.ini
2018-03-16 11:06 - 2018-03-16 11:06 - 000000000 ____D C:\Users\JOSHUA\AppData\Local\FastDataX
2018-03-16 11:06 - 2018-03-16 11:06 - 000000000 ____D C:\ProgramData\dahjService
2018-03-16 11:06 - 2018-03-16 11:06 - 000000000 ____D C:\ProgramData\7c1b4f18-7947-0
2018-03-16 11:06 - 2018-03-16 11:06 - 000000000 ____D C:\ProgramData\7c1b4f18-2d91-1
FirewallRules: [{59E2724E-1592-4736-AAFE-E36B540226DE}] => (Allow) C:\Program Files (x86)\Common Files\YioeGEpZWyB.exe
FirewallRules: [{2986185F-3D05-44FB-A3A0-F02D1C3C9C08}] => (Allow) C:\Windows\SysWOW64\anANeoU.exe
2018-03-13 17:07 - 2018-03-13 17:07 - 000000483 _____ C:\Users\JOSHUA\Downloads\LWSJSKQXCJTX.ics
2018-03-16 11:06 - 2018-03-16 11:06 - 000216576 _____ () C:\ProgramData\305792.exe
2018-03-16 11:26 - 2018-03-22 09:14 - 000000004 _____ () C:\ProgramData\lock.dat
2018-03-16 11:06 - 2018-03-16 11:06 - 000947436 ___SH () C:\ProgramData\onedrive.exe
2017-12-19 17:43 - 2017-12-18 06:13 - 000000149 _____ () C:\Users\JOSHUA\Alive.bat
2018-03-22 00:34 - 2018-03-22 00:31 - 000709888 ___SH (BlackLine Systems Drop) C:\Users\JOSHUA\gaszilanfofg.exe
1624-02-24 06:22 - 1624-02-24 06:22 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\YioeGEpZWyB.exe
2018-03-16 11:06 - 2018-03-16 18:07 - 000000028 _____ () C:\Users\JOSHUA\AppData\Local\bmplyype.log
2018-03-16 11:06 - 2018-03-16 11:07 - 000564556 _____ () C:\Users\JOSHUA\AppData\Local\cdtyuvwb.log
2018-03-16 11:07 - 2018-03-16 18:02 - 000580972 _____ () C:\Users\JOSHUA\AppData\Local\ddjosdau.log
2018-03-16 11:07 - 2018-03-16 18:08 - 000000004 _____ () C:\Users\JOSHUA\AppData\Local\hgcijvlp.log
2018-03-16 11:09 - 2018-03-16 11:09 - 000000078 _____ () C:\Users\JOSHUA\AppData\Local\isfyurtl.log
2018-03-16 11:09 - 2018-03-16 11:09 - 000050609 _____ () C:\Users\JOSHUA\AppData\Local\klyshqxr.log
2018-03-16 11:07 - 2018-03-16 11:07 - 000000000 _____ () C:\Users\JOSHUA\AppData\Local\wpsknvyx.log
2018-03-22 00:31 - 2018-03-22 00:31 - 000311808 _____ (Корпорация Майкрософт) C:\Users\JOSHUA\AppData\Local\Temp\50FF.tmp.exe
2018-03-22 00:32 - 2018-03-22 00:32 - 000152584 _____ () C:\Users\JOSHUA\AppData\Local\Temp\6830.tmp.exe
2018-03-22 00:31 - 2018-03-22 00:31 - 000069120 _____ () C:\Users\JOSHUA\AppData\Local\Temp\6C67.tmp.exe
2018-03-22 00:31 - 2018-03-22 00:31 - 000709888 _____ (BlackLine Systems Drop) C:\Users\JOSHUA\AppData\Local\Temp\9D1D.tmp.exe
2018-03-16 11:06 - 2018-03-16 11:06 - 000947436 ___SH () C:\Users\JOSHUA\AppData\Local\Temp\A5D3.tmp.exe
2018-03-22 00:28 - 2018-03-22 00:28 - 000087552 _____ () C:\Users\JOSHUA\AppData\Local\Temp\D9A4.tmp.exe
2018-03-22 00:28 - 2018-03-22 00:28 - 000069120 _____ () C:\Users\JOSHUA\AppData\Local\Temp\E974.tmp.exe
2018-03-17 01:21 - 2018-03-17 01:21 - 000949537 ___SH () C:\Users\JOSHUA\AppData\Local\Temp\EC1D.tmp.exe
2018-03-21 15:50 - 2018-03-21 15:50 - 000044032 _____ (Microsoft Corporation) C:\Users\JOSHUA\AppData\Local\Temp\NNB577.tmp.exe
2018-03-19 11:30 - 2018-03-19 11:30 - 001170080 ____H (Sysinternals - www.sysinternals.com) C:\Users\JOSHUA\AppData\Local\Temp\Procmon64.exe
2018-03-19 11:56 - 2018-03-19 11:56 - 000101376 ___SH () C:\Users\JOSHUA\AppData\Local\Temp\q37s17yc31o7.exe
2018-03-22 00:30 - 2017-09-22 18:19 - 001718912 _____ (Microsoft Corporation) C:\Users\JOSHUA\AppData\Local\Temp\svhost.exe
2018-03-22 00:29 - 2018-03-22 00:30 - 005362912 _____ () C:\Users\JOSHUA\AppData\Local\Temp\wqy5iy5w9w9q.exe
HKU\S-1-5-21-2713090765-586195599-138718381-1001\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
Reg: reg delete HKU\S-1-5-21-2713090765-586195599-138718381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "hivjetst.lnk" /f
Reg: reg delete HKU\S-1-5-21-2713090765-586195599-138718381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "chdfcegr.lnk" /f
Reg: reg delete HKU\S-1-5-21-2713090765-586195599-138718381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "laragon.lnk" /f
Reg: reg delete HKU\S-1-5-21-2713090765-586195599-138718381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "hpkieumc.exe" /f
Reg: reg delete HKU\S-1-5-21-2713090765-586195599-138718381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "41F6.tmp" /f
Reg: reg delete HKU\S-1-5-21-2713090765-586195599-138718381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "HpkIeumc" /f
Reg: reg delete HKU\S-1-5-21-2713090765-586195599-138718381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "XrgDjchy" /f
EmptyTemp:

*****************

Le Point de restauration a été créé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{06343EEF-E755-402D-BC7F-52B58064F4B5}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{06343EEF-E755-402D-BC7F-52B58064F4B5}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\PPI Update => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PPI Update" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{601A84B7-56CD-43B3-AB25-3DDFB0C4F58C}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{601A84B7-56CD-43B3-AB25-3DDFB0C4F58C}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\OneDriveUpdateTaskMachine => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OneDriveUpdateTaskMachine" => supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{99EF88F8-15E0-4E91-A355-C19CE95AA125} => impossible à supprimer. Accès refusé.
C:\Windows\System32\Tasks\Yl9dVUAx => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Yl9dVUAx" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A3890358-FCCE-4B5B-93C3-8EE1B12971DE}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A3890358-FCCE-4B5B-93C3-8EE1B12971DE}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Opera scheduled Autoupdate 3658529600 => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera scheduled Autoupdate 3658529600" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DC86FC92-FB8A-4579-A667-86D09DD9413C}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DC86FC92-FB8A-4579-A667-86D09DD9413C}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Opera scheduled Autoupdate 4086469641 => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera scheduled Autoupdate 4086469641" => supprimé(es) avec succès
"sadpyehg" => service a été déverrouillé. <==== ATTENTION => Erreur: Pas de correction automatique trouvée pour cet élément.
"HKLM\System\CurrentControlSet\Services\sadpyehg" => supprimé(es) avec succès
sadpyehg => service supprimé(es) avec succès
dahjService => Impossible d'arrêter le service.
"HKLM\System\CurrentControlSet\Services\dahjService" => supprimé(es) avec succès
dahjService => service supprimé(es) avec succès
"HKLM\System\CurrentControlSet\Services\wehtcilk" => supprimé(es) avec succès
wehtcilk => service supprimé(es) avec succès
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => valeur restauré(es) avec succès
"HKU\S-1-5-21-2713090765-586195599-138718381-1001\Software\Microsoft\Windows\CurrentVersion\Run\\VShost" => supprimé(es) avec succès
"HKU\S-1-5-21-2713090765-586195599-138718381-1001\Software\Microsoft\Windows\CurrentVersion\Run\\gaszilanfofg" => supprimé(es) avec succès
"HKU\S-1-5-21-2713090765-586195599-138718381-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\\VShost" => non trouvé(e)
C:\Users\JOSHUA\AppData\Local\bermnaqm\cmd.exe => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\Windows\SysWOW64\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\ProgramData\onedrive.exe => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Roaming\Yl9dVUAx => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Roaming\Microsoft\Windows\rhvsgcvd => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Roaming\Microsoft\Windows\hivjetst => déplacé(es) avec succès
C:\Program Files (x86)\Common Files\YioeGEpZWyB.exe => déplacé(es) avec succès
C:\Windows\SysWOW64\anANeoU.exe => déplacé(es) avec succès
C:\Users\JOSHUA\gaszilanfofg.exe => déplacé(es) avec succès
C:\Windows\SysWOW64\sadpyehg => déplacé(es) avec succès
C:\Windows\SysWOW64\wehtcilk => déplacé(es) avec succès
C:\ProgramData\VShost => déplacé(es) avec succès
C:\ProgramData\dahjService => déplacé(es) avec succès
C:\Users\JOSHUA\Documents\virus.txt => déplacé(es) avec succès
C:\Users\JOSHUA\Downloads\mb3-setup-consumer-3.4.4.2398-1.0.322-1.0.4434.exe => déplacé(es) avec succès
C:\Users\JOSHUA\Downloads\RogueKiller_portable64.exe => déplacé(es) avec succès
C:\Users\JOSHUA\Downloads\ZHPCleaner.exe => déplacé(es) avec succès
C:\Users\JOSHUA\Downloads\ZHPFix.exe => déplacé(es) avec succès
"C:\Users\JOSHUA\Downloads\ZHPDiag3.exe" => non trouvé(e)
C:\Users\JOSHUA\Downloads\adwcleaner_7.0.8.0.exe => déplacé(es) avec succès
"C:\Windows\System32\Tasks\Opera scheduled Autoupdate 3658529600" => non trouvé(e)
C:\Users\JOSHUA\AppData\Local\bermnaqm => déplacé(es) avec succès
C:\ProgramData\rwi.jhad => déplacé(es) avec succès
Impossible de déplacer "C:\ProgramData\lock.dat" => Planifié pour déplacement au redémarrage.
"C:\Windows\System32\Tasks\Yl9dVUAx" => non trouvé(e)
C:\ProgramData\93fab0fc-7797-1 => déplacé(es) avec succès
C:\ProgramData\93fab0fc-6127-0 => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Roaming\product.dll => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Roaming\command.dll => déplacé(es) avec succès
"C:\Windows\System32\Tasks\OneDriveUpdateTaskMachine" => non trouvé(e)
"C:\Users\JOSHUA\AppData\Roaming\Yl9dVUAx" => non trouvé(e)
"C:\Windows\SysWOW64\wehtcilk" => non trouvé(e)
"C:\Windows\SysWOW64\sadpyehg" => non trouvé(e)
C:\Users\JOSHUA\AppData\Roaming\OneSystemCare => déplacé(es) avec succès
"C:\Windows\System32\Tasks\Opera scheduled Autoupdate 4086469641" => non trouvé(e)
C:\Windows\System32\Tasks\Opera scheduled Autoupdate 2796787680 => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\yjsvtudo => déplacé(es) avec succès
C:\ProgramData\305792.zip => déplacé(es) avec succès
"C:\ProgramData\onedrive.exe" => non trouvé(e)
C:\ProgramData\305792.exe => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\wbem.ini => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\FastDataX => déplacé(es) avec succès
"C:\ProgramData\dahjService" => non trouvé(e)
C:\ProgramData\7c1b4f18-7947-0 => déplacé(es) avec succès
C:\ProgramData\7c1b4f18-2d91-1 => déplacé(es) avec succès
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{59E2724E-1592-4736-AAFE-E36B540226DE}" => supprimé(es) avec succès
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{2986185F-3D05-44FB-A3A0-F02D1C3C9C08}" => supprimé(es) avec succès
C:\Users\JOSHUA\Downloads\LWSJSKQXCJTX.ics => déplacé(es) avec succès
"C:\ProgramData\305792.exe" => non trouvé(e)
Impossible de déplacer "C:\ProgramData\lock.dat" => Planifié pour déplacement au redémarrage.
"C:\ProgramData\onedrive.exe" => non trouvé(e)
C:\Users\JOSHUA\Alive.bat => déplacé(es) avec succès
"C:\Users\JOSHUA\gaszilanfofg.exe" => non trouvé(e)
"C:\Program Files (x86)\Common Files\YioeGEpZWyB.exe" => non trouvé(e)
C:\Users\JOSHUA\AppData\Local\bmplyype.log => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\cdtyuvwb.log => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\ddjosdau.log => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\hgcijvlp.log => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\isfyurtl.log => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\klyshqxr.log => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\wpsknvyx.log => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\Temp\50FF.tmp.exe => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\Temp\6830.tmp.exe => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\Temp\6C67.tmp.exe => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\Temp\9D1D.tmp.exe => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\Temp\A5D3.tmp.exe => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\Temp\D9A4.tmp.exe => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\Temp\E974.tmp.exe => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\Temp\EC1D.tmp.exe => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\Temp\NNB577.tmp.exe => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\Temp\Procmon64.exe => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\Temp\q37s17yc31o7.exe => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\Temp\svhost.exe => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\Temp\wqy5iy5w9w9q.exe => déplacé(es) avec succès
"HKU\S-1-5-21-2713090765-586195599-138718381-1001\Software\Classes\regfile" => supprimé(es) avec succès

========= reg delete HKU\S-1-5-21-2713090765-586195599-138718381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "hivjetst.lnk" /f =========

L'op‚ration a r‚ussi.




========= Fin de Reg: =========


========= reg delete HKU\S-1-5-21-2713090765-586195599-138718381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "chdfcegr.lnk" /f =========

L'op‚ration a r‚ussi.




========= Fin de Reg: =========


========= reg delete HKU\S-1-5-21-2713090765-586195599-138718381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "laragon.lnk" /f =========

L'op‚ration a r‚ussi.




========= Fin de Reg: =========


========= reg delete HKU\S-1-5-21-2713090765-586195599-138718381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "hpkieumc.exe" /f =========

L'op‚ration a r‚ussi.




========= Fin de Reg: =========


========= reg delete HKU\S-1-5-21-2713090765-586195599-138718381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "41F6.tmp" /f =========

L'op‚ration a r‚ussi.




========= Fin de Reg: =========


========= reg delete HKU\S-1-5-21-2713090765-586195599-138718381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "HpkIeumc" /f =========

L'op‚ration a r‚ussi.




========= Fin de Reg: =========


========= reg delete HKU\S-1-5-21-2713090765-586195599-138718381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "XrgDjchy" /f =========

L'op‚ration a r‚ussi.




========= Fin de Reg: =========


=========== EmptyTemp: ==========

BITS transfer queue => 12083200 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 85335082 B
Java, Flash, Steam htmlcache => 1365 B
Windows/system/drivers => 5170378 B
Edge => 7684083 B
Chrome => 101118418 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 1319574 B
JOSHUA => 21566595 B

RecycleBin => 85180 B
EmptyTemp: => 223.5 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 22-03-2018 20:01:25)

C:\ProgramData\lock.dat => a été déplacé(e) avec succès
C:\ProgramData\lock.dat => a été déplacé(e) avec succès

Résultats de la suppression planifiée des clés après redémarrage:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{99EF88F8-15E0-4E91-A355-C19CE95AA125} => impossible à supprimer. Accès refusé.

==== Fin de Fixlog 20:01:25 ====

[Malekal_morte]

Procède à un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Refais un scan FRST et donne tous les rapports à nouveau.

[Joshuajj]

J'ai fais le nettoyage avec MBAM
Voici les rapports de la nouvelle analyse avec FRST :

https://pjjoint.malekal.com/files.php?i ... 7o6f7w10s9
https://pjjoint.malekal.com/files.php?i ... 12r6m11i12

[Malekal_morte]

Ca semble pas mal.
Il reste des soucis ?

[angelique]

Bonjour/Bonsoir

Il reste juste une merdouille:

HKU\S-1-5-21-2713090765-586195599-138718381-1001\...\Run: [gaszilanfofg] => C:\Users\JOSHUA\gaszilanfofg.exe

• Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
  
  Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
  Un redémarrage peut être nécessaire (pas obligatoire).
  Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

[Joshuajj]

VOici le contenu du texte :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 14.03.2018
Exécuté par JOSHUA (23-03-2018 11:20:00) Run:3
Exécuté depuis C:\Users\JOSHUA\Desktop
Profils chargés: JOSHUA (Profils disponibles: JOSHUA)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
HKU\S-1-5-21-2713090765-586195599-138718381-1001\...\Run: [gaszilanfofg] => C:\Users\JOSHUA\gaszilanfofg.exe
2018-03-22 09:59 - 2018-03-22 09:59 - 000244797 _____ C:\Users\JOSHUA\Desktop\ZHPDiag.html
2018-03-22 09:59 - 2018-03-22 09:59 - 000179564 _____ C:\Users\JOSHUA\Desktop\ZHPDiag.txt
2018-03-22 09:52 - 2018-03-22 09:59 - 000000000 ____D C:\Users\JOSHUA\AppData\Roaming\ZHP
2018-03-22 09:52 - 2018-03-22 09:52 - 000000866 _____ C:\Users\JOSHUA\Desktop\ZHPDiag.lnk
2018-03-22 09:52 - 2018-03-22 09:52 - 000000000 ____D C:\Users\JOSHUA\AppData\Local\ZHP
2018-03-03 10:50 - 2018-03-03 10:50 - 000780001 _____ C:\Users\JOSHUA\Downloads\Avid Pro Tools 12_Dongle_CracKer.rar
2018-02-20 12:24 - 2018-02-20 12:24 - 000000000 ____D C:\ProgramData\Lavasoft
2018-03-16 11:07 - 2018-03-16 11:07 - 000000000 _____ () C:\Users\JOSHUA\AppData\Local\svvbnekn.log
ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Pas de fichier
ContextMenuHandlers1: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Pas de fichier
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Pas de fichier
ContextMenuHandlers6: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Pas de fichier
Task: {C82DDC4E-3C6A-42AA-870D-27F47AA997B1} - \Yl9dVUAx -> Pas de fichier <==== ATTENTION
C:\Users\JOSHUA\gaszilanfofg.exe
EmptyTemp:


*****************

"HKU\S-1-5-21-2713090765-586195599-138718381-1001\Software\Microsoft\Windows\CurrentVersion\Run\\gaszilanfofg" => non trouvé(e)
"C:\Users\JOSHUA\Desktop\ZHPDiag.html" => non trouvé(e)
"C:\Users\JOSHUA\Desktop\ZHPDiag.txt" => non trouvé(e)
"C:\Users\JOSHUA\AppData\Roaming\ZHP" => non trouvé(e)
"C:\Users\JOSHUA\Desktop\ZHPDiag.lnk" => non trouvé(e)
"C:\Users\JOSHUA\AppData\Local\ZHP" => non trouvé(e)
C:\Users\JOSHUA\Downloads\Avid Pro Tools 12_Dongle_CracKer.rar => déplacé(es) avec succès
C:\ProgramData\Lavasoft => déplacé(es) avec succès
C:\Users\JOSHUA\AppData\Local\svvbnekn.log => déplacé(es) avec succès
"HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{B41DB860-64E4-11D2-9906-E49FADC173CA} => non trouvé(e)
"HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA} => non trouvé(e)
"HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{B41DB860-64E4-11D2-9906-E49FADC173CA} => non trouvé(e)
"HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA} => non trouvé(e)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C82DDC4E-3C6A-42AA-870D-27F47AA997B1} => impossible à supprimer. Accès refusé.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Yl9dVUAx => impossible à supprimer. Accès refusé.
"C:\Users\JOSHUA\gaszilanfofg.exe" => non trouvé(e)

=========== EmptyTemp: ==========

BITS transfer queue => 12607488 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 27568777 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 6751484 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
JOSHUA => 78384 B

RecycleBin => 0 B
EmptyTemp: => 44.8 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 23-03-2018 11:22:23)


Résultats de la suppression planifiée des clés après redémarrage:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C82DDC4E-3C6A-42AA-870D-27F47AA997B1} => impossible à supprimer. Accès refusé.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Yl9dVUAx => impossible à supprimer. Accès refusé.

==== Fin de Fixlog 11:22:23 ====

[angelique]

C'est OK, tu dois sentir une différence.

Supprime frst, ses rapports et C:\FRST

[Joshuajj]

Merci Beaucoup

Mais je n'arrive toujours pas à Réactiver WIndows Defender
Serait-ce une application qui le bloque?
Le problème est que je n'ai pas d'autres Antivirus ou pare feux

[angelique]

Met https://www.malekal.com/kaspersky-free/

[Joshuajj]

Merci pour votre aide .
Je crois que le problème est résolu maintenant