suspection d'infection par colis

[niglo]

Bonjour,

je reviens vers vous car j'ai besoin une fois de plus de vous lumières.

J'avais un message au démarrage au sujet de colis ... je n'ai plus de message mais je ne pense pas que le problème soit résolu alors j'ai scanné avec FRST et voici les compte rendu

https://pjjoint.malekal.com/files.php?i ... 13o12d10u5

https://pjjoint.malekal.com/files.php?i ... 13h13o5k15

Pouvez vous me dire si je suis bien contaminé merci d'avance.

Niglo

[Malekal_morte]

Salut,

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

CyberLink
Dropbox
Web Companion - A lire : https://www.malekal.com/supprimer-adawa ... companion/

Il y a des restes de McAfee, ce n'est pas bon d'avoir deux antivirus installés.
Supprime McAfee, voir : https://www.malekal.com/supprimer-antivirus-mcafee/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Task: {7EA9E7CE-96B9-4E44-BD3C-3847E79853C9} - System32\Tasks\Skype => C:\Users\ccomm\AppData\Local\Temp\COLIS.vbs <==== ATTENTION
HKU\S-1-5-21-996067487-1432499797-4019537618-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [7725672 2018-04-19] (Lavasoft)
HKU\S-1-5-21-996067487-1432499797-4019537618-1001\...\Run: [UAKDYC13Z0] => "C:\Users\ccomm\AppData\Local\Temp\COLIS.vbs" <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.



Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).


C'est une infection qui se propage par disques amovibles ( clefs USB, disques externes, cartes flash etc.. )
Tous les disques amovibles insérés depuis que Windows est infecté doivent être vérifiés et nettoyés sinon le simple fait de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système. Tu trouveras un lien explicatif sur la propagation de ces infections et sur comment s'en protéger :
=> http://forum.malekal.com/infection-sur- ... t3350.html

Pour nettoyer les disques amovibles infecté par un virus par clé USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lance Remediate VBS Worm puis choisis l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

[niglo]

Bonjour,

merci pour tout les conseils je fais cela et je repost tout.
je vais également voir tout cela sur mon autre PC car certain disque son passé de l'un à l'autre.


niglo

[niglo]

voila le rapport après la corriger fix

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 25.04.2018
Exécuté par ccomm (25-04-2018 21:48:49) Run:1
Exécuté depuis C:\Users\ccomm\Desktop
Profils chargés: ccomm (Profils disponibles: ccomm)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Task: {7EA9E7CE-96B9-4E44-BD3C-3847E79853C9} - System32\Tasks\Skype => C:\Users\ccomm\AppData\Local\Temp\COLIS.vbs <==== ATTENTION
HKU\S-1-5-21-996067487-1432499797-4019537618-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [7725672 2018-04-19] (Lavasoft)
HKU\S-1-5-21-996067487-1432499797-4019537618-1001\...\Run: [UAKDYC13Z0] => "C:\Users\ccomm\AppData\Local\Temp\COLIS.vbs" <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7EA9E7CE-96B9-4E44-BD3C-3847E79853C9}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7EA9E7CE-96B9-4E44-BD3C-3847E79853C9}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Skype => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype" => supprimé(es) avec succès
"HKU\S-1-5-21-996067487-1432499797-4019537618-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Web Companion" => supprimé(es) avec succès
"HKU\S-1-5-21-996067487-1432499797-4019537618-1001\Software\Microsoft\Windows\CurrentVersion\Run\\UAKDYC13Z0" => supprimé(es) avec succès
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-996067487-1432499797-4019537618-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-996067487-1432499797-4019537618-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7364608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 26502354 B
Java, Flash, Steam htmlcache => 782 B
Windows/system/drivers => 14363369 B
Edge => 1115208 B
Chrome => 0 B
Firefox => 387081241 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 6656 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 4970 B
NetworkService => 0 B
ccomm => 65723378 B

RecycleBin => 86530650 B
EmptyTemp: => 561.4 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 25-04-2018 21:50:19)

C:\Windows\System32\Drivers\etc\hosts => Impossible de déplacer
Impossible de restaurer Hosts.

==== Fin de Fixlog 21:50:19 ====

[niglo]

voici le rem VBS

https://pjjoint.malekal.com/files.php?i ... 12q8l12k11

[Malekal_morte]

plus de soucis colis.vbs ?

[niglo]

Bonsoir,

Non il n'y a plus de message, il semble que c'est régler non?

niglo

[Malekal_morte]

oui =)



Tu peux supprimer le dossier C:\FRST =)


Termine par un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.

[niglo]

Bonsoir,

Encore merci pour l'aide.
je laisse marmiton par contre.
niglo