Virus suite à un dossier zip de "Mondial Relay"

[DineMaéPhil]

Bonjour,

Je viens vers vous car je me suis laissée avoir par un mail de "Mondial relay" me disant que mon colis était en relais. Pour obtenir toutes les informations, je devais dézipper un dossier... contenant un cheval de Troie !
Coïncidence : mon mari attendait effectivement un colis et un livreur est apparemment passé hier... Je ne me suis pas méfiée (alors que ce n'est pas mon adresse mail qu'il a renseigné !!!)...
Après maintes recherches, j'ai téléchargé FRST et voici les trois liens que j'ai obtenus :


https://pjjoint.malekal.com/files.php?i ... 5q9y14l813 (FRST)
https://pjjoint.malekal.com/files.php?i ... 14m13y5d11 (addition)
https://pjjoint.malekal.com/files.php?i ... e7k14m7v11 (shortcut)

D'avance, merci beaucoup pour votre aide !

[Malekal_morte]

Salut,

oui, infecté.

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

CCleaner
CyberLink
Dropbox (sauf si tu synchronises avec)
Java
QuickTime


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-cclea ... e-windows/

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Task: {656EABF8-42A9-48EB-84AA-04C5140775F5} - \Skype -> Pas de fichier <==== ATTENTION
 Startup: C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ID-RelaiscolisFR2018.vbs [2018-08-07] () 
 HKU\S-1-5-21-3165760113-2449747232-352984982-1000\...\Run: [FLTP6RLOG3] => C:\Users\hp\AppData\Roaming\ID-RelaiscolisFR2018.vbs [44277 2018-08-07] () 
 2018-08-07 10:21 - 2018-08-07 10:21 - 000044277 _____ C:\Users\hp\AppData\Roaming\ID-RelaiscolisFR2018.vbs 
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2)
Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

3)
Pour nettoyer les disques amovibles infecté par un virus par clé USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lance Remediate VBS Worm puis choisis l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

[DineMaéPhil]

Re Malekal !

Merci beaucoup pour ta réponse, voici le fichier texte :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02.08.2018
Exécuté par hp (07-08-2018 15:52:18) Run:1
Exécuté depuis C:\Users\hp\Downloads
Profils chargés: hp & DefaultAppPool (Profils disponibles: hp & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************

*****************


==== Fin de Fixlog 15:52:18 ====

[Malekal_morte]

Le rapport de correct est vide, donc rien n'a été fait.
Retente ou comme ceci :

Place le programme FRST sur le bureau
ouvre le bloc-note
colle le script donné plus haut
enregistre le fichier sur le bureau sous le nom de fixlist.txt
Relance FRST puis Corriger.

[DineMaéPhil]

J'ai recommencé la manip', voici le contenu du Fixlog :



Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02.08.2018
Exécuté par hp (07-08-2018 16:16:36) Run:2
Exécuté depuis C:\Users\hp\Desktop
Profils chargés: hp & DefaultAppPool (Profils disponibles: hp & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Task: {656EABF8-42A9-48EB-84AA-04C5140775F5} - \Skype -> Pas de fichier <==== ATTENTION
Startup: C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ID-RelaiscolisFR2018.vbs [2018-08-07] ()
HKU\S-1-5-21-3165760113-2449747232-352984982-1000\...\Run: [FLTP6RLOG3] => C:\Users\hp\AppData\Roaming\ID-RelaiscolisFR2018.vbs [44277 2018-08-07] ()
2018-08-07 10:21 - 2018-08-07 10:21 - 000044277 _____ C:\Users\hp\AppData\Roaming\ID-RelaiscolisFR2018.vbs
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{656EABF8-42A9-48EB-84AA-04C5140775F5}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{656EABF8-42A9-48EB-84AA-04C5140775F5}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype" => supprimé(es) avec succès
"C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ID-RelaiscolisFR2018.vbs" => non trouvé(e)
"HKU\S-1-5-21-3165760113-2449747232-352984982-1000\Software\Microsoft\Windows\CurrentVersion\Run\\FLTP6RLOG3" => non trouvé(e)
"C:\Users\hp\AppData\Roaming\ID-RelaiscolisFR2018.vbs" => non trouvé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3165760113-2449747232-352984982-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3165760113-2449747232-352984982-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 82920474 B
Java, Flash, Steam htmlcache => 18645116 B
Windows/system/drivers => 252226 B
Edge => 18944 B
Chrome => 176816 B
Firefox => 92474645 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 1892 B
LocalService => 0 B
NetworkService => 1536 B
NetworkService => 0 B
hp => 47998733 B
DefaultAppPool => 33058 B

RecycleBin => 0 B
EmptyTemp: => 238.8 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 16:22:20 ====

[DineMaéPhil]

En tout cas, un grand merci pour votre aide ! Non seulement votre réponse a été rapide mais aussi efficace (de ce que j'ai compris du fichier envoyé ;) )

Je vous ferai de la bonne pub

Bonne fin de journée !

DineMaéPhil

[Malekal_morte]

Merci !

Tu peux supprimer le dossier C:\FRST =)


Termine par un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.


Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

[Parisien_entraide]

Bonjour,

Tu confonds la neutralisation après coup et la protection
Une infection neutralisée ne certifie pas toujours que le PC sera fonctionnel par la suite, c'est en rapport avec les types d'infections

De plus dans le cas d'un ransomware, et en supposant que ce soit une ancienne version (car depuis déjà pas mal de temps soit le ransomware s'auto détruit, soit l'action se fait à distance) tu peux avec FRST faire disparaitre l'infection, mais tes données seront toujours chiffrées

C'est pour cela qu'il vaut mieux se protéger en amont (et l'anti virus ne fait pas tout), et savoir comment et pourquoi on peut se faire infecter

Ensuite que windows 10 soit bien protégé, tout est relatif, preuve en est les infections qui passent sur le forum ou sur d'autres sites, dont les causes sont multiples
A lire (et n'oublie pas les liens inclus dans ces 2 liens)

https://www.malekal.com/virus-malwares-dossier-complet/
https://www.malekal.com/virus/