suspection d'infection par colis

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

niglo
Messages : 83
Inscription : 17 avr. 2008 15:18

suspection d'infection par colis

par niglo »

Bonjour,

je reviens vers vous car j'ai besoin une fois de plus de vous lumières.

J'avais un message au démarrage au sujet de colis ... je n'ai plus de message mais je ne pense pas que le problème soit résolu alors j'ai scanné avec FRST et voici les compte rendu

https://pjjoint.malekal.com/files.php?i ... 13o12d10u5

https://pjjoint.malekal.com/files.php?i ... 13h13o5k15

Pouvez vous me dire si je suis bien contaminé merci d'avance.

Niglo
Malekal_morte
Messages : 111560
Inscription : 10 sept. 2005 13:57

Re: suspection d'infection par colis

par Malekal_morte »

Salut,

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :
CyberLink
Dropbox
Web Companion - A lire : https://www.malekal.com/supprimer-adawa ... companion/
Il y a des restes de McAfee, ce n'est pas bon d'avoir deux antivirus installés.
Supprime McAfee, voir : https://www.malekal.com/supprimer-antivirus-mcafee/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Task: {7EA9E7CE-96B9-4E44-BD3C-3847E79853C9} - System32\Tasks\Skype => C:\Users\ccomm\AppData\Local\Temp\COLIS.vbs <==== ATTENTION
HKU\S-1-5-21-996067487-1432499797-4019537618-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [7725672 2018-04-19] (Lavasoft)
HKU\S-1-5-21-996067487-1432499797-4019537618-1001\...\Run: [UAKDYC13Z0] => "C:\Users\ccomm\AppData\Local\Temp\COLIS.vbs" <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.



Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).


C'est une infection qui se propage par disques amovibles ( clefs USB, disques externes, cartes flash etc.. )
Tous les disques amovibles insérés depuis que Windows est infecté doivent être vérifiés et nettoyés sinon le simple fait de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système. Tu trouveras un lien explicatif sur la propagation de ces infections et sur comment s'en protéger :
=> http://forum.malekal.com/infection-sur- ... t3350.html

Pour nettoyer les disques amovibles infecté par un virus par clé USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lance Remediate VBS Worm puis choisis l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
niglo
Messages : 83
Inscription : 17 avr. 2008 15:18

Re: suspection d'infection par colis

par niglo »

Bonjour,

merci pour tout les conseils je fais cela et je repost tout.
je vais également voir tout cela sur mon autre PC car certain disque son passé de l'un à l'autre.


niglo
niglo
Messages : 83
Inscription : 17 avr. 2008 15:18

Re: suspection d'infection par colis

par niglo »

voila le rapport après la corriger fix

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 25.04.2018
Exécuté par ccomm (25-04-2018 21:48:49) Run:1
Exécuté depuis C:\Users\ccomm\Desktop
Profils chargés: ccomm (Profils disponibles: ccomm)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Task: {7EA9E7CE-96B9-4E44-BD3C-3847E79853C9} - System32\Tasks\Skype => C:\Users\ccomm\AppData\Local\Temp\COLIS.vbs <==== ATTENTION
HKU\S-1-5-21-996067487-1432499797-4019537618-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [7725672 2018-04-19] (Lavasoft)
HKU\S-1-5-21-996067487-1432499797-4019537618-1001\...\Run: [UAKDYC13Z0] => "C:\Users\ccomm\AppData\Local\Temp\COLIS.vbs" <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7EA9E7CE-96B9-4E44-BD3C-3847E79853C9}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7EA9E7CE-96B9-4E44-BD3C-3847E79853C9}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Skype => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype" => supprimé(es) avec succès
"HKU\S-1-5-21-996067487-1432499797-4019537618-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Web Companion" => supprimé(es) avec succès
"HKU\S-1-5-21-996067487-1432499797-4019537618-1001\Software\Microsoft\Windows\CurrentVersion\Run\\UAKDYC13Z0" => supprimé(es) avec succès
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-996067487-1432499797-4019537618-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-996067487-1432499797-4019537618-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7364608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 26502354 B
Java, Flash, Steam htmlcache => 782 B
Windows/system/drivers => 14363369 B
Edge => 1115208 B
Chrome => 0 B
Firefox => 387081241 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 6656 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 4970 B
NetworkService => 0 B
ccomm => 65723378 B

RecycleBin => 86530650 B
EmptyTemp: => 561.4 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 25-04-2018 21:50:19)

C:\Windows\System32\Drivers\etc\hosts => Impossible de déplacer
Impossible de restaurer Hosts.

==== Fin de Fixlog 21:50:19 ====
niglo
Messages : 83
Inscription : 17 avr. 2008 15:18

Re: suspection d'infection par colis

par niglo »

Malekal_morte
Messages : 111560
Inscription : 10 sept. 2005 13:57

Re: suspection d'infection par colis

par Malekal_morte »

plus de soucis colis.vbs ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
niglo
Messages : 83
Inscription : 17 avr. 2008 15:18

Re: suspection d'infection par colis

par niglo »

Bonsoir,

Non il n'y a plus de message, il semble que c'est régler non?

niglo
Malekal_morte
Messages : 111560
Inscription : 10 sept. 2005 13:57

Re: suspection d'infection par colis

par Malekal_morte »

oui =)



Tu peux supprimer le dossier C:\FRST =)


Termine par un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
niglo
Messages : 83
Inscription : 17 avr. 2008 15:18

Re: suspection d'infection par colis

par niglo »

Bonsoir,

Encore merci pour l'aide.
je laisse marmiton par contre.
niglo
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »