Ground.exe virus renamer reviens à chaque fois[resolu]

[S0Rk]

Bonjour à tous.

Je viens vous demander de l'aide car, ça fait déjà plusieurs jours que je me bats avec ce malware "ground.exe" qui revient à chaque fois.

J'ai tenté d'effectuer un nettoyage avec Malwarebytes Anti-Malware (MBAM) qui m'a supprimé les fichiers infectés (*.exe) par ce virus. Ensuite, j'ai aussi fait un coup de ZHPCleaner qui à réussit à faire du nettoyage sur les mêmes fichiers et dans le registre, mais au bout d'un moment ça recommence.

J'ai réussi à trouver le fichier d'origine qui était placé dans "C:\Users\The_D\AppData\Roaming\ground.exe" et je l'ai supprimé manuellement ainsi que dans les options de démarrage automatique. Je suis sûr qu'il est encore là en ninja et qu'il va recommencer dans quelques jours à réinfecter mes exécutables et les rendre HS.

Merci par avance et je vous souhaite un bon week-end !

[Malekal_morte]

Bonjour,


Supprime ZHPCleaner, aucun intérêt de l'utiliser.


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[S0Rk]

Hello Malekal_morte et merci pour ta réponse.

Comme demandé, voici les trois rapports de scan obtenus avec FRST :

• Additions.txt : https://pjjoint.malekal.com/files.php?i ... 1h15g10e15

• FRST.txt : https://pjjoint.malekal.com/files.php?i ... 6f5r9y6r10

• Shortcuts.txt https://pjjoint.malekal.com/files.php?i ... 15k13o7y15

En te souhaitant un bon après-midi

[angelique]

Bonjour/Bonsoir





Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[S0Rk]

Merci à toi également, voiçi le rapport Fixlog.txt

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 13-05-2020 01
Exécuté par The_D (23-05-2020 17:15:24) Run:1
Exécuté depuis C:\Users\The_D\Desktop
Profils chargés: The_D
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Startup: C:\Users\The_D\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ground.lnk [2020-05-23]
ShortcutTarget: Ground.lnk -> C:\Users\The_D\AppData\Roaming\Ground.exe () [Fichier non signé]
GroupPolicy: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
S3 GVCIDrv; \??\C:\Program Files (x86)\GIGABYTE\RGBFusion\GVCIDrv64.sys [X]
S2 MBAMChameleon; \SystemRoot\System32\Drivers\MbamChameleon.sys [X]
S3 MBAMFarflt; system32\DRIVERS\farflt.sys [X]
S3 MBAMSwissArmy; \SystemRoot\System32\Drivers\mbamswissarmy.sys [X]
S3 VBAudioVACMME; \SystemRoot\System32\drivers\vbaudio_cable64_win7.sys [X]
2020-05-19 19:19 - 2020-05-23 11:21 - 000000000 ____D C:\Users\The_D\AppData\Roaming\ZHP
2020-05-19 19:19 - 2020-05-19 19:19 - 000000000 ____D C:\Users\The_D\AppData\Local\ZHP
2020-05-17 21:59 - 2020-05-17 21:59 - 000000000 ____D C:\Users\j.baladier\AppData\Local\mbamtray
2020-05-17 21:40 - 2020-05-17 21:40 - 000000000 ____D C:\Users\The_D\AppData\Local\mbamtray
2020-05-17 21:40 - 2020-05-17 21:40 - 000000000 ____D C:\Users\The_D\AppData\Local\mbam
2020-05-17 21:39 - 2020-05-17 21:39 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-05-17 21:37 - 2020-05-17 21:38 - 000000000 ____D C:\AdwCleaner
2020-05-17 21:35 - 2020-05-19 19:03 - 000000000 ____D C:\ProgramData\SosVirus
2020-05-23 15:35 - 2020-05-23 15:35 - 000534016 ___SH C:\Users\The_D\AppData\Roaming\Ground.exe
Reg: reg delete HKU\S-1-5-21-1334627619-2968824002-3268521527-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Ground.lnk" /f
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
C:\Users\The_D\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ground.lnk => déplacé(es) avec succès
C:\Users\The_D\AppData\Roaming\Ground.exe => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\Windows\SysWOW64\GroupPolicy\GPT.ini => déplacé(es) avec succès
HKLM\SOFTWARE\Policies\Mozilla => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Google => supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\GVCIDrv => supprimé(es) avec succès
GVCIDrv => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\MBAMChameleon => supprimé(es) avec succès
MBAMChameleon => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\MBAMFarflt => supprimé(es) avec succès
MBAMFarflt => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\MBAMSwissArmy => supprimé(es) avec succès
MBAMSwissArmy => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\VBAudioVACMME => supprimé(es) avec succès
VBAudioVACMME => service supprimé(es) avec succès
C:\Users\The_D\AppData\Roaming\ZHP => déplacé(es) avec succès
C:\Users\The_D\AppData\Local\ZHP => déplacé(es) avec succès
C:\Users\j.baladier\AppData\Local\mbamtray => déplacé(es) avec succès
C:\Users\The_D\AppData\Local\mbamtray => déplacé(es) avec succès
C:\Users\The_D\AppData\Local\mbam => déplacé(es) avec succès
C:\ProgramData\Malwarebytes => déplacé(es) avec succès
C:\AdwCleaner => déplacé(es) avec succès
C:\ProgramData\SosVirus => déplacé(es) avec succès
"C:\Users\The_D\AppData\Roaming\Ground.exe" => non trouvé(e)

========= reg delete HKU\S-1-5-21-1334627619-2968824002-3268521527-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Ground.lnk" /f =========

L'op‚ration a r‚ussi.



========= Fin de Reg: =========


=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 57661770 B
Java, Flash, Steam htmlcache => 407871564 B
Windows/system/drivers => 39688943 B
Edge => 735975 B
Chrome => 766231 B
Firefox => 26623751 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 114432 B
NetworkService => 144622 B
The_D => 2999716341 B
postgres => 2999716341 B
j.baladier => 3335961353 B

RecycleBin => 0 B
EmptyTemp: => 9.2 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 17:16:41 ====

Cordialement,

[angelique]

C'est bon , il reviendra pas.

Supprime C:\FRST et tous les rapports

[S0Rk]

Super et merci beaucoup à tout le staff .

Bon week-end à vous !