Ordinateur infecté virus mail "facture [email protected]"

[DineMaéPhil]

Bonjour à tous,

mon voisin est venu me voir car il ouvert une pièce jointe d'un mail provenant de "jante-originale.fr" (une soi-disant facture)... il pense que son ordinateur a été infecté. Connaissez-vous cet éventuel fake mail ?
Il a windows vista et son anti-virus actuel est avira.
J'ai lancé un scan de son anti-virus qui n'a pour le moment rien détecté. Je retourne chez lui tout à l'heure pour faire la manip pour avoir les 3 liens...

D'avance, merci pour vos réponses...

DineMaéPhil

[Malekal_morte]

Salut,

S'il a exécute le contenu d'une pièce jointe, effectivement.

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[DineMaéPhil]

Merci beaucoup Malekal !
Voici les trois liens :

FRST : https://pjjoint.malekal.com/files.php?i ... y10n13i6f7
Addition : https://pjjoint.malekal.com/files.php?i ... o5r7f13o11
SHORCUT : https://pjjoint.malekal.com/files.php?i ... 5k14l8i712

[DineMaéPhil]

J'ai oublié de dire que l'antivirus a détecté deux fichiers suspects il les a isolés

[Malekal_morte]

Pas l'air infecté.
Dans le doute, changer ses mots de passe serait pas mal.



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2752019741-3590283055-3924733004-1000\...\Run: [msnmsgr] => C:\Program Files\Windows Live\Messenger\msnmsgr.exe [4280184 2012-03-08] (Microsoft Corporation)
HKU\S-1-5-21-2752019741-3590283055-3924733004-1000\...\Run: [TomTomHOME.exe] => C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe [248176 2014-06-05] (TomTom)
2018-11-22 10:47 - 2018-11-22 10:47 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{A31350BC-0599-4D85-A9C9-061B83F91A20}
2018-11-21 08:04 - 2018-11-21 08:04 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{F7C12A7D-37AF-4343-847C-9327CDE58A2C}
2018-11-20 08:04 - 2018-11-20 08:04 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{9E3E11FB-5E81-4525-AE20-5CD8416ECE11}
2018-11-19 07:46 - 2018-11-19 07:46 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{2147DD74-66C4-4A12-931C-E520EFBE5D45}
2018-11-16 16:03 - 2018-11-16 16:03 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{461D68EA-1AE8-4F9F-9CD8-7B4C98CDCB92}
2018-11-15 14:25 - 2018-11-15 14:25 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{2CC032FD-2311-44FA-97B0-7ECA77D5190B}
2018-11-13 08:00 - 2018-11-13 08:00 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{E1254FA1-29DA-49A4-B6EA-3BB461A229EE}
2018-11-12 09:23 - 2018-11-12 09:23 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{6C10B86D-4C95-4E0C-A509-B90F87669385}
2018-11-11 13:54 - 2018-11-11 13:54 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{B8256AAE-9C6D-49B3-971F-BCCEF5CA7D64}
2018-11-10 08:12 - 2018-11-10 08:12 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{12615CEB-A564-403E-8F64-A388E7240CD1}
2018-11-09 09:01 - 2018-11-09 09:01 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{B52D18F1-1F32-47B5-B384-9425FF93A8CA}
2018-11-08 07:57 - 2018-11-08 07:57 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{72633D61-9FBB-4E7B-9B6A-E593FDA1E424}
2018-11-06 07:53 - 2018-11-06 07:53 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{4F2027AC-F07D-422E-9250-0537C22FF639}
2018-11-05 16:24 - 2018-11-05 16:24 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{3346B5BE-D266-4413-840A-235E617BCBCC}
2018-11-04 08:21 - 2018-11-04 08:21 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{E3C58203-51BE-4B45-9A74-66B0528CB812}
2018-11-03 08:57 - 2018-11-03 08:57 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{82523355-C2F8-4CF1-8ECB-5077E2843E96}
2018-11-02 07:40 - 2018-11-02 07:40 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{CDD74284-6C8B-4717-9856-F274D8B0912C}
2018-11-01 13:59 - 2018-11-01 13:59 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{8C91D35D-6B34-4DA4-AEE3-FC480AF52E9E}
2018-10-31 07:14 - 2018-10-31 07:14 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{9A4D59C5-1D3C-4925-9A85-9DB819097A5F}
2018-10-30 07:35 - 2018-10-30 07:35 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{19216F2C-07FE-47A2-A7AD-E3C130E2E1A4}
2018-10-29 07:46 - 2018-10-29 07:46 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{DFB2D1A1-F126-4146-950B-DAA004478BF9}
2018-10-28 07:42 - 2018-10-28 07:42 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{6169E5A4-56A1-4C53-B285-DDECDB80379D}
2018-10-27 06:41 - 2018-10-27 06:41 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{8E3402E2-A38D-4D05-858B-DF6C6FA910FA}
2018-10-26 06:15 - 2018-10-26 06:15 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{E3470454-4710-4419-B0E7-AE0AC3728277}
2018-10-25 07:12 - 2018-10-25 07:12 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{0506440C-2CB8-493D-B4CE-EAFED224AFDB}
2018-10-24 07:20 - 2018-10-24 07:20 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{CDC30261-DC44-47EA-81F7-E3392C877240}
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[DineMaéPhil]

Merci encore Malekal !

voici le contenu du fichier fixlog.txt :

Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 21.11.2018
Exécuté par Utilisateur (23-11-2018 17:01:36) Run:2
Exécuté depuis C:\Users\Utilisateur\Desktop
Profils chargés: Utilisateur (Profils disponibles: Utilisateur & UpdatusUser)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2752019741-3590283055-3924733004-1000\...\Run: [msnmsgr] => C:\Program Files\Windows Live\Messenger\msnmsgr.exe [4280184 2012-03-08] (Microsoft Corporation)
HKU\S-1-5-21-2752019741-3590283055-3924733004-1000\...\Run: [TomTomHOME.exe] => C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe [248176 2014-06-05] (TomTom)
2018-11-22 10:47 - 2018-11-22 10:47 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{A31350BC-0599-4D85-A9C9-061B83F91A20}
2018-11-21 08:04 - 2018-11-21 08:04 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{F7C12A7D-37AF-4343-847C-9327CDE58A2C}
2018-11-20 08:04 - 2018-11-20 08:04 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{9E3E11FB-5E81-4525-AE20-5CD8416ECE11}
2018-11-19 07:46 - 2018-11-19 07:46 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{2147DD74-66C4-4A12-931C-E520EFBE5D45}
2018-11-16 16:03 - 2018-11-16 16:03 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{461D68EA-1AE8-4F9F-9CD8-7B4C98CDCB92}
2018-11-15 14:25 - 2018-11-15 14:25 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{2CC032FD-2311-44FA-97B0-7ECA77D5190B}
2018-11-13 08:00 - 2018-11-13 08:00 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{E1254FA1-29DA-49A4-B6EA-3BB461A229EE}
2018-11-12 09:23 - 2018-11-12 09:23 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{6C10B86D-4C95-4E0C-A509-B90F87669385}
2018-11-11 13:54 - 2018-11-11 13:54 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{B8256AAE-9C6D-49B3-971F-BCCEF5CA7D64}
2018-11-10 08:12 - 2018-11-10 08:12 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{12615CEB-A564-403E-8F64-A388E7240CD1}
2018-11-09 09:01 - 2018-11-09 09:01 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{B52D18F1-1F32-47B5-B384-9425FF93A8CA}
2018-11-08 07:57 - 2018-11-08 07:57 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{72633D61-9FBB-4E7B-9B6A-E593FDA1E424}
2018-11-06 07:53 - 2018-11-06 07:53 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{4F2027AC-F07D-422E-9250-0537C22FF639}
2018-11-05 16:24 - 2018-11-05 16:24 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{3346B5BE-D266-4413-840A-235E617BCBCC}
2018-11-04 08:21 - 2018-11-04 08:21 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{E3C58203-51BE-4B45-9A74-66B0528CB812}
2018-11-03 08:57 - 2018-11-03 08:57 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{82523355-C2F8-4CF1-8ECB-5077E2843E96}
2018-11-02 07:40 - 2018-11-02 07:40 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{CDD74284-6C8B-4717-9856-F274D8B0912C}
2018-11-01 13:59 - 2018-11-01 13:59 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{8C91D35D-6B34-4DA4-AEE3-FC480AF52E9E}
2018-10-31 07:14 - 2018-10-31 07:14 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{9A4D59C5-1D3C-4925-9A85-9DB819097A5F}
2018-10-30 07:35 - 2018-10-30 07:35 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{19216F2C-07FE-47A2-A7AD-E3C130E2E1A4}
2018-10-29 07:46 - 2018-10-29 07:46 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{DFB2D1A1-F126-4146-950B-DAA004478BF9}
2018-10-28 07:42 - 2018-10-28 07:42 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{6169E5A4-56A1-4C53-B285-DDECDB80379D}
2018-10-27 06:41 - 2018-10-27 06:41 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{8E3402E2-A38D-4D05-858B-DF6C6FA910FA}
2018-10-26 06:15 - 2018-10-26 06:15 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{E3470454-4710-4419-B0E7-AE0AC3728277}
2018-10-25 07:12 - 2018-10-25 07:12 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{0506440C-2CB8-493D-B4CE-EAFED224AFDB}
2018-10-24 07:20 - 2018-10-24 07:20 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\{CDC30261-DC44-47EA-81F7-E3392C877240}
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKU\S-1-5-21-2752019741-3590283055-3924733004-1000\Software\Microsoft\Windows\CurrentVersion\Run\\msnmsgr" => supprimé(es) avec succès
"HKU\S-1-5-21-2752019741-3590283055-3924733004-1000\Software\Microsoft\Windows\CurrentVersion\Run\\TomTomHOME.exe" => supprimé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{A31350BC-0599-4D85-A9C9-061B83F91A20} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{F7C12A7D-37AF-4343-847C-9327CDE58A2C} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{9E3E11FB-5E81-4525-AE20-5CD8416ECE11} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{2147DD74-66C4-4A12-931C-E520EFBE5D45} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{461D68EA-1AE8-4F9F-9CD8-7B4C98CDCB92} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{2CC032FD-2311-44FA-97B0-7ECA77D5190B} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{E1254FA1-29DA-49A4-B6EA-3BB461A229EE} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{6C10B86D-4C95-4E0C-A509-B90F87669385} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{B8256AAE-9C6D-49B3-971F-BCCEF5CA7D64} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{12615CEB-A564-403E-8F64-A388E7240CD1} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{B52D18F1-1F32-47B5-B384-9425FF93A8CA} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{72633D61-9FBB-4E7B-9B6A-E593FDA1E424} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{4F2027AC-F07D-422E-9250-0537C22FF639} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{3346B5BE-D266-4413-840A-235E617BCBCC} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{E3C58203-51BE-4B45-9A74-66B0528CB812} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{82523355-C2F8-4CF1-8ECB-5077E2843E96} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{CDD74284-6C8B-4717-9856-F274D8B0912C} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{8C91D35D-6B34-4DA4-AEE3-FC480AF52E9E} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{9A4D59C5-1D3C-4925-9A85-9DB819097A5F} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{19216F2C-07FE-47A2-A7AD-E3C130E2E1A4} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{DFB2D1A1-F126-4146-950B-DAA004478BF9} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{6169E5A4-56A1-4C53-B285-DDECDB80379D} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{8E3402E2-A38D-4D05-858B-DF6C6FA910FA} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{E3470454-4710-4419-B0E7-AE0AC3728277} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{0506440C-2CB8-493D-B4CE-EAFED224AFDB} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{CDC30261-DC44-47EA-81F7-E3392C877240} => déplacé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2752019741-3590283055-3924733004-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2752019741-3590283055-3924733004-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========



Le système a dû redémarrer.

==== Fin de Fixlog 17:03:20 ====

[Malekal_morte]

Finito, à faire lire à ton ami/voisin :

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués


Tu peux supprimer le dossier C:\FRST =)


Termine par un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.