Virus : Demande d'aide

[dirtyj]

Bonjour,

Alors voici mon problème, j'ai tout fraichement réinstaller une image clean de Windows 10 car mon pc me semblais infecté, il fonctionnait bien en dessous de ses performances à mon sens, j'avais également remarqué des activités dites bizarres dans mes processus, notamment lorsque je lançais mon navigateur, une page avec un seul onglet s'ouvrais mais dans le détail du processus du navigateur une vingtaine de pages étaient en faite présentes..

Après ma réinstallation, tout était beau, clean, plus aucune activité suspicieuse jusqu'à ce que je me procure des VST de façon disons.. alternative.. dans le but de composé ma musique car je n'ai pas les moyens de sortir des milliers d'euros.. je sais que ce n'est pas bien et je me doutais pouvoir choper tout pleins de me*des..

Ca n'a pas loupé et aujourd'hui j'ai de nouveau toute ces pages qui s'ouvrent en "caché" et des activités suspicieuses dans mes processus et notamment un "Node.js : Server Side Javascript" appartenant apparemment à adobe mais je doute..

J'ai donc fais mon scan FRST et vous demande par cette article de l'aide pour corriger mes bêtises et étant technicien informatique si une âme charitable pouvait m'expliquer comment déchiffrer les rapport FRST et comment corriger ce qui y est détecté afin que je puisse dans l'avenir intervenir seul et également proposer mon aide sur le forum

Merci d'avance

https://pjjoint.malekal.com/files.php?i ... 5x13u7y6n6
https://pjjoint.malekal.com/files.php?i ... 11g15z15p7
https://pjjoint.malekal.com/files.php?i ... 2l9g9e12y8

[Malekal_morte]

Salut,

Il y a une extension parasite sur Opera semble-t-il.
Supprime l'extension Rich Hints Agent d'Opera.

et :


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
2021-01-08 02:09 - 2021-01-08 02:09 - 000000000 __HDC C:\ProgramData\{4C92FBA6-EF73-4E8E-895C-058B71E4E0B9}
2021-01-03 18:13 - 2021-01-03 18:13 - 000000000 __HDC C:\ProgramData\{81CEA7FA-B451-421B-A524-E55974D1B295}
2021-01-03 18:09 - 2021-01-03 18:09 - 000000000 __HDC C:\ProgramData\{C0DE0020-B144-40AE-AA18-38A042DD069F}
2021-01-03 18:09 - 2021-01-03 18:09 - 000000000 __HDC C:\ProgramData\{ACE54869-886D-4D1C-8A4F-87DD433C867E}
2021-01-03 18:09 - 2021-01-03 18:09 - 000000000 __HDC C:\ProgramData\{73631698-31A0-419C-B151-F478AEBC136A}
2021-01-03 18:09 - 2021-01-03 18:09 - 000000000 __HDC C:\ProgramData\{6945C421-BC7D-4621-AED5-084E11AE3726}
2021-01-03 18:08 - 2021-01-03 18:08 - 000000000 __HDC C:\ProgramData\{083C7E60-C077-4C13-ABB0-E7A726F47F65}
2021-01-03 18:07 - 2021-01-03 18:07 - 000000000 __HDC C:\ProgramData\{AEB2F1ED-2100-4CDD-944D-E361297FB531}
2021-01-03 18:07 - 2021-01-03 18:07 - 000000000 __HDC C:\ProgramData\{14C8AC6B-C014-41C8-9007-A2AD0633DBAD}
2021-01-03 18:01 - 2021-01-03 18:01 - 000000000 __HDC C:\ProgramData\{BAD95515-32EE-4B2A-9760-C3CBAE3D996E}
2021-01-08 03:22 - 2021-01-08 03:22 - 000000000 ____D C:\Users\berth\Downloads\Arturia Analog Lab V v5.0.0.1212 CSE-VR
2021-01-08 03:19 - 2021-01-08 03:20 - 000000000 ____D C:\Users\berth\Downloads\Arturia Keyboards & Piano Collection 2020.12 CSE-VR
2021-01-08 03:17 - 2021-01-08 03:17 - 000004108 _____ C:\Users\berth\Downloads\Arturia Analog Lab V v5.0.0.1212 CSE-VR.torrent
2021-01-08 03:16 - 2021-01-08 03:16 - 000006943 _____ C:\Users\berth\Downloads\Arturia Keyboards & Piano Collection 2020.12 CSE-VR.torrent
2021-01-10 19:17 - 2021-01-10 19:28 - 000000000 ____D C:\ProgramData\SecTaskMan
2021-01-10 19:17 - 2021-01-10 19:17 - 003029920 _____ C:\Users\berth\Downloads\SecurityTaskManager_Setup.exe
2021-01-10 19:17 - 2021-01-10 19:17 - 000000853 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spy Protector.lnk
2021-01-10 19:17 - 2021-01-10 19:17 - 000000848 _____ C:\Users\Public\Desktop\Security Task Manager.lnk
2021-01-10 19:17 - 2021-01-10 19:17 - 000000848 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Security Task Manager.lnk
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[dirtyj]

Salut !

Merci pour ton aide, je te met ici le résultat du FIX.

J'ai cependant chercher dans mes extensions pour supprimer le "Rich Hints Agent" d'opéra comme tu me l'a demandé mais je n'ai cependant rien trouvé.. aucune trace de cette extension dans mon navigateur..
Et même après le fix à l'aide de ton script et le redémarrage du pc j'ai toujours une trentaine de page opéra qui s'ouvrent en "caché" dès que j'ouvre une nouvelle fenêtre de mon navigateur.

Merci encore pour ton aide.


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 09-01-2021
Exécuté par berth (12-01-2021 23:41:53) Run:1
Exécuté depuis C:\Users\berth\Desktop\FRST
Profils chargés: berth
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
2021-01-08 02:09 - 2021-01-08 02:09 - 000000000 __HDC C:\ProgramData\{4C92FBA6-EF73-4E8E-895C-058B71E4E0B9}
2021-01-03 18:13 - 2021-01-03 18:13 - 000000000 __HDC C:\ProgramData\{81CEA7FA-B451-421B-A524-E55974D1B295}
2021-01-03 18:09 - 2021-01-03 18:09 - 000000000 __HDC C:\ProgramData\{C0DE0020-B144-40AE-AA18-38A042DD069F}
2021-01-03 18:09 - 2021-01-03 18:09 - 000000000 __HDC C:\ProgramData\{ACE54869-886D-4D1C-8A4F-87DD433C867E}
2021-01-03 18:09 - 2021-01-03 18:09 - 000000000 __HDC C:\ProgramData\{73631698-31A0-419C-B151-F478AEBC136A}
2021-01-03 18:09 - 2021-01-03 18:09 - 000000000 __HDC C:\ProgramData\{6945C421-BC7D-4621-AED5-084E11AE3726}
2021-01-03 18:08 - 2021-01-03 18:08 - 000000000 __HDC C:\ProgramData\{083C7E60-C077-4C13-ABB0-E7A726F47F65}
2021-01-03 18:07 - 2021-01-03 18:07 - 000000000 __HDC C:\ProgramData\{AEB2F1ED-2100-4CDD-944D-E361297FB531}
2021-01-03 18:07 - 2021-01-03 18:07 - 000000000 __HDC C:\ProgramData\{14C8AC6B-C014-41C8-9007-A2AD0633DBAD}
2021-01-03 18:01 - 2021-01-03 18:01 - 000000000 __HDC C:\ProgramData\{BAD95515-32EE-4B2A-9760-C3CBAE3D996E}
2021-01-08 03:22 - 2021-01-08 03:22 - 000000000 ____D C:\Users\berth\Downloads\Arturia Analog Lab V v5.0.0.1212 CSE-VR
2021-01-08 03:19 - 2021-01-08 03:20 - 000000000 ____D C:\Users\berth\Downloads\Arturia Keyboards & Piano Collection 2020.12 CSE-VR
2021-01-08 03:17 - 2021-01-08 03:17 - 000004108 _____ C:\Users\berth\Downloads\Arturia Analog Lab V v5.0.0.1212 CSE-VR.torrent
2021-01-08 03:16 - 2021-01-08 03:16 - 000006943 _____ C:\Users\berth\Downloads\Arturia Keyboards & Piano Collection 2020.12 CSE-VR.torrent
2021-01-10 19:17 - 2021-01-10 19:28 - 000000000 ____D C:\ProgramData\SecTaskMan
2021-01-10 19:17 - 2021-01-10 19:17 - 003029920 _____ C:\Users\berth\Downloads\SecurityTaskManager_Setup.exe
2021-01-10 19:17 - 2021-01-10 19:17 - 000000853 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spy Protector.lnk
2021-01-10 19:17 - 2021-01-10 19:17 - 000000848 _____ C:\Users\Public\Desktop\Security Task Manager.lnk
2021-01-10 19:17 - 2021-01-10 19:17 - 000000848 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Security Task Manager.lnk
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
C:\ProgramData\{4C92FBA6-EF73-4E8E-895C-058B71E4E0B9} => déplacé(es) avec succès
C:\ProgramData\{81CEA7FA-B451-421B-A524-E55974D1B295} => déplacé(es) avec succès
C:\ProgramData\{C0DE0020-B144-40AE-AA18-38A042DD069F} => déplacé(es) avec succès
C:\ProgramData\{ACE54869-886D-4D1C-8A4F-87DD433C867E} => déplacé(es) avec succès
C:\ProgramData\{73631698-31A0-419C-B151-F478AEBC136A} => déplacé(es) avec succès
C:\ProgramData\{6945C421-BC7D-4621-AED5-084E11AE3726} => déplacé(es) avec succès
C:\ProgramData\{083C7E60-C077-4C13-ABB0-E7A726F47F65} => déplacé(es) avec succès
C:\ProgramData\{AEB2F1ED-2100-4CDD-944D-E361297FB531} => déplacé(es) avec succès
C:\ProgramData\{14C8AC6B-C014-41C8-9007-A2AD0633DBAD} => déplacé(es) avec succès
C:\ProgramData\{BAD95515-32EE-4B2A-9760-C3CBAE3D996E} => déplacé(es) avec succès
"C:\Users\berth\Downloads\Arturia Analog Lab V v5.0.0.1212 CSE-VR" => non trouvé(e)
"C:\Users\berth\Downloads\Arturia Keyboards & Piano Collection 2020.12 CSE-VR" => non trouvé(e)
"C:\Users\berth\Downloads\Arturia Analog Lab V v5.0.0.1212 CSE-VR.torrent" => non trouvé(e)
"C:\Users\berth\Downloads\Arturia Keyboards & Piano Collection 2020.12 CSE-VR.torrent" => non trouvé(e)
C:\ProgramData\SecTaskMan => déplacé(es) avec succès
"C:\Users\berth\Downloads\SecurityTaskManager_Setup.exe" => non trouvé(e)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spy Protector.lnk => déplacé(es) avec succès
C:\Users\Public\Desktop\Security Task Manager.lnk => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Security Task Manager.lnk => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2496953111-1781575269-989180832-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2496953111-1781575269-989180832-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7626752 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 28540715 B
Java, Flash, Steam htmlcache => 397 B
Windows/system/drivers => 6331693 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 393964793 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 8084 B
NetworkService => 71648 B
berth => 356215105 B

RecycleBin => 7235440297 B
EmptyTemp: => 7.5 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 23:42:21 ====

[Malekal_morte]

ok alors ce qui est indiqué dans le rapport FRST est certainement un reste.
Tu as encore des prob ?
note qu'avoir plusieurs processus Opera est normal.