[résolu]Infection Dinoraptzor/metagmae

[elga84]

Bonjour

Depuis quelques temps j'ai dinoraptzor qui s'ouvre au démarrage de mon ordi et qui ouvre une page internet en russe et sexy.... je crois même que ça a ouvert une vidéo une fois.
J'ai exécuté un FRST et je demande votre aide pour éradiquer ce truc.

Voici les fichiers générés par FRST et les liens sont les suivants :


merci de votre aide
Elga

!	Rapports supprimés

[angelique]

Bonjour/Bonsoir


Désinstalle les produits IObit, driver booster etc.... ça sert à rien.


Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[elga84]

Bonjour
Merci de ton aide.
Je ne m'y connaîs pas énormément en informatique, je pense que mon PC est plein de saletés....
.
Pour trouver les produits iobit, driver booster je vais dans le gestionnaire des tâches, supprimer programme?
Les... que tu mets ensuite peux tu me dire exactement à quoi ça correspond?

Merci je vais faire tout ça, quand mon PC aura démarré, c'est à dire dans un quart d'heure vue la lenteur...
Elga

[elga84]

Voilà c'est fait:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 28-12-2019
Exécuté par gaelle (05-01-2020 11:41:46) Run:1
Exécuté depuis C:\Users\gaelle\Downloads
Profils chargés: gaelle (Profils disponibles: gaelle & KELIAN)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKU\S-1-5-21-2284929312-1204798103-1293504308-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\KELIAN\AppData\Local\Akamai\netsession_win.exe"
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-2284929312-1204798103-1293504308-1001\User: Restriction <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {57874DF8-8F62-411E-A0A1-6E9ADAD097DF} - System32\Tasks\gaelle => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v gaelle /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"
Task: {6913ED38-C9ED-42DF-98B0-5042FC0CAD8F} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
Task: {9C59D7E5-2C66-4645-98D9-921ECB6B9F4D} - System32\Tasks\ASUS Live Update2 => "C:\Program Files\Google\Chrome\Application\chrome.exe" localtask.bid/
Task: {A9A0DF61-5313-499C-8365-3A040D93251E} - System32\Tasks\Driver Booster Scan => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe
2020-01-04 23:01 - 2020-01-04 23:01 - 008237744 _____ (Malwarebytes) C:\Users\gaelle\Downloads\adwcleaner_8.0.1(1).exe
2020-01-04 22:41 - 2020-01-04 22:41 - 008237744 _____ (Malwarebytes) C:\Users\gaelle\Downloads\adwcleaner_8.0.1.exe
2020-01-04 22:39 - 2020-01-04 22:39 - 008218800 _____ (Malwarebytes) C:\Users\gaelle\Downloads\adwcleaner-8-0.exe
2020-01-04 22:48 - 2016-07-30 16:04 - 000000000 ____D C:\AdwCleaner
Emptytemp:


*****************

Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-2284929312-1204798103-1293504308-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Akamai NetSession Interface" => non trouvé(e)
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\Windows\SysWOW64\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\User => déplacé(es) avec succès
C:\Windows\system32\GroupPolicyUsers\S-1-5-21-2284929312-1204798103-1293504308-1001\User => déplacé(es) avec succès
HKLM\SOFTWARE\Policies\Mozilla => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{57874DF8-8F62-411E-A0A1-6E9ADAD097DF}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{57874DF8-8F62-411E-A0A1-6E9ADAD097DF}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\gaelle => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\gaelle" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{6913ED38-C9ED-42DF-98B0-5042FC0CAD8F}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6913ED38-C9ED-42DF-98B0-5042FC0CAD8F}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Driver Booster Update => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Driver Booster Update" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9C59D7E5-2C66-4645-98D9-921ECB6B9F4D}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9C59D7E5-2C66-4645-98D9-921ECB6B9F4D}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\ASUS Live Update2 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ASUS Live Update2" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{A9A0DF61-5313-499C-8365-3A040D93251E}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A9A0DF61-5313-499C-8365-3A040D93251E}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Driver Booster Scan => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Driver Booster Scan" => supprimé(es) avec succès
C:\Users\gaelle\Downloads\adwcleaner_8.0.1(1).exe => déplacé(es) avec succès
C:\Users\gaelle\Downloads\adwcleaner_8.0.1.exe => déplacé(es) avec succès
C:\Users\gaelle\Downloads\adwcleaner-8-0.exe => déplacé(es) avec succès
C:\AdwCleaner => déplacé(es) avec succès

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 21227908 B
Java, Flash, Steam htmlcache => 8525385 B
Windows/system/drivers => 26071824 B
Edge => 0 B
Chrome => 12228566 B
Firefox => 1107616518 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 128565007 B
systemprofile32 => 128630961 B
LocalService => 128697189 B
NetworkService => 128763417 B
gaelle => 197834221 B
KELIAN => 203542247 B

RecycleBin => 0 B
EmptyTemp: => 2 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 11:43:30 ====

[elga84]

Je suis allée voir les produits IOBIT sur le net, et je ne vois pas lequel est installé sur mon pc. Peux-tu me le dire ?
merci
Elga84

[dax56]

Task: {6913ED38-C9ED-42DF-98B0-5042FC0CAD8F} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe

[elga84]

J'ai fait une recherche entre temps sur windows, et le driver a été mis en quarantaine hier par adwcleaner.
Je supprime ces dossiers?
Elga84

[angelique]

Remet le rapport addition.txt car il était pas bon dans ton message précédent, et je te dirais quoi désinstaller.

[elga84]

D'accord :

!	Rapports supprimés

[angelique]

Y' a pas de produit Iobit, ça devait être que des restes sur ton rapport frst.txt

Désinstalle via Programmes et fonctionnalités ( tu peux aussi y accéder par exécuter ➯ appwiz.cpl )

Avast Driver Updater

Avast Secure Browser

Supprime le précédent fixlist.txt téléchargé et refait la manipulation avec le fixlist.txt ci dessous

Sinon ton Infection Dinoraptzor/metagmae doit avoir disparu, tu pourras pour terminer supprimer frst, ses rapports et C:\FRST

[elga84]

Oui plus rien au démarrage ! super merci beaucoup.

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 28-12-2019
Exécuté par gaelle (05-01-2020 14:31:58) Run:2
Exécuté depuis C:\Users\gaelle\Downloads
Profils chargés: gaelle (Profils disponibles: gaelle & KELIAN)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gaelle" /f
Emptytemp:


*****************

Le Point de restauration a été créé avec succès.

========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gaelle" /f =========

L'op‚ration a r‚ussi.



========= Fin de Reg: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 6155290 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 661815 B
Edge => 0 B
Chrome => 0 B
Firefox => 61699072 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
gaelle => 5355654 B
KELIAN => 5355654 B

RecycleBin => 5595 B
EmptyTemp: => 83.6 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 14:32:29 ====

[elga84]

Je vais garder le FRST parce que j'ai posé une question d'un autre genre sur le forum Windows et je dois refaire la manipulation.
Merci en tout cas pour Dinorapzor.
Tu me dis quand je peux mettre ce post comme résolu ou si tu fais d'autres choses en rapport avec mon pc, bien abîmé je pense...
Encore merci !
Elga84

[angelique]

OK parfait.

Bye \o_

[elga84]

Je ne trouve pas comment éditer mon 1er message pour mettre "résolu" et supprimer mes données personnelles dans les suivants...il n'y a que le dernier que je peux éditer. Ca m'embête, je n'ai pas envie qu'il y ait toutes mes données sur le net ad vitam eternam...

[angelique]

c'est fait