demande d'aide pour suppression virus

[kamoulox]

Bonjour, je m'inscris pour demander un peu d'aide, je me suis choper un virus bien costaud dont je n'arrive pas a me débarrasser

Au début même virustotal n'avait rien détecter dans le patch, puis au bout de 3 jours en voulant réinstaller la nouvelle version de Malwarebytes Anti-Malware (MBAM) cela me mettait un échec lors de 'l'installe, ce qui n'est généralement pas bon
J'ai passer un coup de ZHPCleaner et RogueKiller et l'un des 2 ma trouver 2 backdoor que j'ai supprimer

j'ai donc fait un formatage et nouvelle installation de Windows, mais même après ca en repassant un coup de rogue killer j'ai de nouveau retrouver les 2 backdoor, c'est donc que le virus était en mémoire ou sur un autre disque ( j'en ai 4 )

J'ai refait un formatage, passer un coup de gparted en live cd pour m'assurer qu'il n'y avait pas de partition cachés, je n'ai trouvé qu'une partition inactive de 1mo sur mon plus vieux disque que j'ai supprimé, j'ai aussi débrancher le pc après avoir enlever la pile carte mère et je compte flasher un nouveau bios au cas ou

J'ai passer un coup de Kaspersky en live cd il n'a rien trouver a part mes trainer (faux positif) et je viens de finir de passer Tronscript qui contient Malwarebytes et rien d'alarmant non plus


sinon divers problèmes que j'ai eu depuis cette détection
- impossible d'installer malwarebytes
- extension navigateur de mon gestionnaire de mot de passe cassé ( il a du essayer d'y acceder )
- navigateur brave inutilisable
- coupure complète d'internet sur mon pc après la recherche d'antimalware sur le net
- quelques ralentissements
- impossible de reinitialiser ma box orange via l'interface, obliger de faire via le bouton reset
…





voila les fichiers texte de FRST

un 1er scan avant connexion au réseau et divers redemarrage

FRST : https://pjjoint.malekal.com/files.php?i ... m11v13v5l8
addition : https://pjjoint.malekal.com/files.php?i ... z10x12q6b8
shortcut : https://pjjoint.malekal.com/files.php?i ... h1014f8d12

un 2eme scan après mise au réseau au cas ou le virus ai besoin d'un serveur

FRST : https://pjjoint.malekal.com/files.php?i ... 5h7w125f12
addition : https://pjjoint.malekal.com/files.php?i ... x8v11v8d15
shortcut : https://pjjoint.malekal.com/files.php?i ... 5n6r9f15e9


merci de votre aide

[Malekal_morte]

Salut,

Les détections RogueKiller ne veulent rien dire.
Il n'y a pas de malware.
Sur l'un tu as installé TotalAV, il est bidon.
A lire : Antivirus TotalAV : avis et présentation

Les erreurs d'installation c'est sur les deux ? ou celui qui a TotalAV ?
Tu as des codes erreurs ou plus d'infos ?

[kamoulox]

Salut, donc d'après toi avec les fichiers txt il n'y aurait plus rien ?
En même temps j'avais déjà passer tout un tas de scan et autre manip, car j'avais bien des problèmes

Impossible d'installer malwarebytes alors que j'avais rien d'installer à part RogueKiller
Modification des dns et host
Blocage de site comme ici où Nicholas coolman, puis blocage internet complet
Modification de mon extension de gestionnaire de mot de passe
Ralentissement et activité processeur alors que au repos sur le bureau

Total av je l'avais juste installer pour faire un scan au cas où, je ne m'en sert jamais sinon

Depuis toutes les manip et scan, je n'ai plus de problème avec malwarebytes, et non je n'ai pas de codes erreur car j'ai formaté depuis

Y'aurait il une dernière chose à faire pour être sur à 100% ?

Merci

[Malekal_morte]

Ce PC est infecté par un vers par clé USB : Worm:JS/Bondat.A!lnk

Date: 2020-01-24 20:23:03.884
Description:
Antivirus Windows Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
Nom : Worm:JS/Bondat.A!lnk
ID : 2147690142
Gravité : Grave
Catégorie : Ver
Chemin : containerfile:_C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk; file:_C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk->[CMDEmbedded]
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Système
Utilisateur : AUTORITE NT\Système
Nom du processus : Unknown
Version de la veille de sécurité : AV: 1.281.622.0, AS: 1.281.622.0, NIS: 1.281.622.0
Version du moteur : AM: 1.1.15400.5, NIS: 1.1.15400.5

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\taki45\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2020-01-27] ()
Startup: C:\Users\taki45\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk [2019-04-09]
ShortcutTarget: Start.lnk -> C:\Users\taki45\AppData\Roaming\ncfoow\udcjr32.exe (Microsoft Corporation) [Fichier non signé]
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

~~



C'est une infection qui se propage par disques amovibles ( clefs USB, disques externes, cartes flash etc.. )
Tous les disques amovibles insérés depuis que Windows est infecté doivent être vérifiés et nettoyés sinon le simple fait de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système. Tu trouveras un lien explicatif sur la propagation de ces infections et sur comment s'en protéger :
=> Les virus par clé USB


Pour nettoyer les disques amovibles infecté par un virus par clé USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* TéléchargerRemediate VBS Worm
* Lance Remediate VBS Worm puis choisis l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Suivre ce tutoriel : Comment désactiver Windows Script Host

~~

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Avast - Laisse Windows Defender - plus léger
CCleaner
CyberLink

PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : [https://www.malekal.com/supprimer-cclea ... e-windows/]
Pense aussi à désactiver la télémétrie. Elles remontent des informations aux serveurs Avast!

[kamoulox]

Bonjour, je me permet de relancer le sujet

Y'avait vraiment rien pour moi ?
C'est safe ou y faudrait faire un dernier truc pour être sur ?


Merci

[Malekal_morte]

La désinfection a été faites ?
Car là on aucun retour sur la procédure donnée.