Infection trojan Win32/Bandra!MTB [résolu]

[Biboca]

Bonjour à tous
Mon fils a eu la bonne idée d'éxécuter un script de source inconnue qui m'a infecté, j'ai vu tous mes comptes piratés (amazon; netflix etc) . J'ai déposé mon PC à un expert informatique qui n'a rien pu faire et me conseille une réinitialisation.
J'ai tenté hitmanpro qui en a supprimé certains mais quand je lance windows defender le trojan est toujours là.
Avant que je passe à l'étape réinitialisation et perte de données quelqu'un pourrait m'aider ? est ce que vous pensez que mon onedrive est également compromis ?
Merci à vous

[Malekal_morte]

Bonsoir,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[Biboca]

Merci, je vais regarder et je vous tiens au courant.

[Biboca]

Re bonjour, je vous met ci-dessous les trois liens :

https://pjjoint.malekal.com/files.php?i ... u8w9c14g15
https://pjjoint.malekal.com/files.php?i ... v14v14z7m6
https://pjjoint.malekal.com/files.php?i ... 0z10m14u11

Merci beaucoup pour votre aide.

[Malekal_morte]

J'ai l'impression qu'il a voulu cracker Rocket League
Je dirai que le programme a été retiré avec MBAM, HitMan (après Spybot et Grinsoft sont inutiles).

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2022-12-21 18:49 - 2022-12-21 19:23 - 000000254 _____ C:\Users\jdasi\AppData\LocalLow\rbxcsettings.rbx
2022-12-21 18:37 - 2022-12-22 18:13 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\B585C42D8D057C67
2022-12-21 18:37 - 2022-12-21 18:53 - 000000000 __SHD C:\ProgramData\MslBooster
2022-12-21 18:37 - 2022-12-21 18:37 - 000000000 ____D C:\WINDOWS\system32\Tasks\Windows
2022-12-21 18:36 - 2022-12-23 19:17 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\EoQ9HVD
2022-12-21 18:36 - 2022-12-22 17:53 - 000000000 ____D C:\Users\jdasi\AppData\Local\c12c0028-5420-452b-aeda-bff5293193ff
2022-12-21 18:36 - 2022-12-22 08:01 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\N3XJI
2022-12-21 18:36 - 2022-12-22 01:42 - 000000000 ____D C:\WINDOWS\SysWOW64\hewunyr
2022-12-21 18:36 - 2022-12-21 22:06 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\{07d5d879-d881-11ec-a563-806e6f6e6963}
2022-12-21 18:36 - 2022-12-21 18:54 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\fw6an
2022-12-21 18:36 - 2022-12-21 18:53 - 000000000 ____D C:\Users\jdasi\AppData\Local\e5dfb969-0687-4144-a36c-9a31afa26e96
2022-12-21 18:36 - 2022-12-21 18:37 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\oBjjHbZ7g8
2022-12-21 18:36 - 2022-12-21 18:36 - 000000000 ____D C:\Users\jdasi\AppData\Local\Yandex
2022-12-19 19:40 - 2022-12-19 19:40 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\WinRAR
2022-12-19 19:05 - 2022-12-19 19:05 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\Mael Horz
C:\System Volume Information\SystemRestore\FRStaging
C:\Users\jdasi\AppData\Roaming\B585C42D8D057C67
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
2022-12-23 17:46 - 2022-12-23 17:46 - 000000000 ____D C:\ProgramData\48C4687D-9760-4F5B-BAB3-60351B0841E4
2022-12-23 15:20 - 2022-12-23 17:34 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2022-12-23 15:20 - 2022-12-23 17:14 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2022-12-23 15:20 - 2022-12-23 15:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\Safer-Networking
2022-12-22 22:40 - 2022-12-24 09:43 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Anti-Malware
2022-12-22 22:40 - 2022-12-22 22:40 - 000000000 ____D C:\ProgramData\GridinSoft
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4) désinstaller tout ça, sert à rien :

CCleaner
McAfee LiveSafe
WebAdvisor par McAfee

5)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[Biboca]

Re re bonjour, voici le copier coller du fichier Fixlog.txt :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 23-12-2022
Exécuté par jdasi (27-12-2022 18:25:20) Run:1
Exécuté depuis C:\Users\jdasi\OneDrive\Bureau
Profils chargés: jdasi &
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
2022-12-21 18:49 - 2022-12-21 19:23 - 000000254 _____ C:\Users\jdasi\AppData\LocalLow\rbxcsettings.rbx
2022-12-21 18:37 - 2022-12-22 18:13 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\B585C42D8D057C67
2022-12-21 18:37 - 2022-12-21 18:53 - 000000000 __SHD C:\ProgramData\MslBooster
2022-12-21 18:37 - 2022-12-21 18:37 - 000000000 ____D C:\WINDOWS\system32\Tasks\Windows
2022-12-21 18:36 - 2022-12-23 19:17 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\EoQ9HVD
2022-12-21 18:36 - 2022-12-22 17:53 - 000000000 ____D C:\Users\jdasi\AppData\Local\c12c0028-5420-452b-aeda-bff5293193ff
2022-12-21 18:36 - 2022-12-22 08:01 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\N3XJI
2022-12-21 18:36 - 2022-12-22 01:42 - 000000000 ____D C:\WINDOWS\SysWOW64\hewunyr
2022-12-21 18:36 - 2022-12-21 22:06 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\{07d5d879-d881-11ec-a563-806e6f6e6963}
2022-12-21 18:36 - 2022-12-21 18:54 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\fw6an
2022-12-21 18:36 - 2022-12-21 18:53 - 000000000 ____D C:\Users\jdasi\AppData\Local\e5dfb969-0687-4144-a36c-9a31afa26e96
2022-12-21 18:36 - 2022-12-21 18:37 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\oBjjHbZ7g8
2022-12-21 18:36 - 2022-12-21 18:36 - 000000000 ____D C:\Users\jdasi\AppData\Local\Yandex
2022-12-19 19:40 - 2022-12-19 19:40 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\WinRAR
2022-12-19 19:05 - 2022-12-19 19:05 - 000000000 ____D C:\Users\jdasi\AppData\Roaming\Mael Horz
C:\System Volume Information\SystemRestore\FRStaging
C:\Users\jdasi\AppData\Roaming\B585C42D8D057C67
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
2022-12-23 17:46 - 2022-12-23 17:46 - 000000000 ____D C:\ProgramData\48C4687D-9760-4F5B-BAB3-60351B0841E4
2022-12-23 15:20 - 2022-12-23 17:34 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2022-12-23 15:20 - 2022-12-23 17:14 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2022-12-23 15:20 - 2022-12-23 15:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\Safer-Networking
2022-12-22 22:40 - 2022-12-24 09:43 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Anti-Malware
2022-12-22 22:40 - 2022-12-22 22:40 - 000000000 ____D C:\ProgramData\GridinSoft
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Erreur: (0) Impossible de créer un point de restauration.
C:\Users\jdasi\AppData\LocalLow\rbxcsettings.rbx => déplacé(es) avec succès
C:\Users\jdasi\AppData\Roaming\B585C42D8D057C67 => déplacé(es) avec succès
C:\ProgramData\MslBooster => déplacé(es) avec succès
C:\WINDOWS\system32\Tasks\Windows => déplacé(es) avec succès
C:\Users\jdasi\AppData\Roaming\EoQ9HVD => déplacé(es) avec succès
C:\Users\jdasi\AppData\Local\c12c0028-5420-452b-aeda-bff5293193ff => déplacé(es) avec succès
C:\Users\jdasi\AppData\Roaming\N3XJI => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\hewunyr => déplacé(es) avec succès
C:\Users\jdasi\AppData\Roaming\{07d5d879-d881-11ec-a563-806e6f6e6963} => déplacé(es) avec succès
C:\Users\jdasi\AppData\Roaming\fw6an => déplacé(es) avec succès
C:\Users\jdasi\AppData\Local\e5dfb969-0687-4144-a36c-9a31afa26e96 => déplacé(es) avec succès
C:\Users\jdasi\AppData\Roaming\oBjjHbZ7g8 => déplacé(es) avec succès
C:\Users\jdasi\AppData\Local\Yandex => déplacé(es) avec succès
C:\Users\jdasi\AppData\Roaming\WinRAR => déplacé(es) avec succès
C:\Users\jdasi\AppData\Roaming\Mael Horz => déplacé(es) avec succès

"C:\System Volume Information\SystemRestore\FRStaging" dossier déplacer:

Impossible de déplacer "C:\System Volume Information\SystemRestore\FRStaging" => Planifié pour déplacement au redémarrage.

"C:\Users\jdasi\AppData\Roaming\B585C42D8D057C67" => non trouvé(e)
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate => supprimé(es) avec succès
C:\ProgramData\48C4687D-9760-4F5B-BAB3-60351B0841E4 => déplacé(es) avec succès
C:\Program Files (x86)\Spybot - Search & Destroy 2 => déplacé(es) avec succès
C:\ProgramData\Spybot - Search & Destroy => déplacé(es) avec succès
C:\WINDOWS\system32\Tasks\Safer-Networking => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Anti-Malware => déplacé(es) avec succès
C:\ProgramData\GridinSoft => déplacé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1009\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1009\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1011\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1011\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1013\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1013\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1016\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1016\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1019\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1019\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1020\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1020\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1022\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1022\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1024\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1024\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1025\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1025\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1026\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3104823237-2291190134-4027164103-1026\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 786432 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 14396429 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 273497449 B
Windows/system/drivers => 192299094 B
Edge => 0 B
Chrome => 163840 B
Firefox => 16933310 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 1543041 B
systemprofile32 => 1543042 B
LocalService => 1572918 B
NetworkService => 1578044 B
jdasi => 30390876 B
defaultuser100000 => 30398044 B
defaultuser100000.DESKTOP-SQIST5M => 30405212 B
defaultuser100000.DESKTOP-SQIST5M.000 => 30412380 B
defaultuser100001 => 30419548 B
defaultuser100000.DESKTOP-SQIST5M.001 => 30426716 B
defaultuser100000.DESKTOP-SQIST5M.002 => 30433884 B
defaultuser100002 => 30441052 B
defaultuser100000.DESKTOP-SQIST5M.003 => 30450268 B
defaultuser100001.DESKTOP-SQIST5M => 30450268 B
defaultuser100000.DESKTOP-SQIST5M.004 => 31017765 B
defaultuser100000.DESKTOP-SQIST5M.005 => 31174557 B
defaultuser100001.DESKTOP-SQIST5M.000 => 31320597 B
defaultuser100000.DESKTOP-SQIST5M.006 => 31466637 B

RecycleBin => 0 B
EmptyTemp: => 890.3 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 27-12-2022 18:26:45)

C:\System Volume Information\SystemRestore\FRStaging => a été déplacé(e) avec succès

==== Fin de Fixlog 18:26:45 ====

[Biboca]

Re Bonsoir, je vous met ci-dessous les 3 trois liens sur les différents fichiers :

https://pjjoint.malekal.com/files.php?i ... 9u8l14f8d8
https://pjjoint.malekal.com/files.php?i ... 14q14z10n5
https://pjjoint.malekal.com/files.php?i ... f6n11i13f5

[angelique]

Bonjour/Bonsoir


- adapter un paramètre dans Malwarebytes. voir capture en PJ

Ouvrir Malwarebytes

Dans Paramètres > onglet Sécurité -> dans Centre de sécurité Windows -> désactiver Toujours ajouter Malwarebytes dans le centre de sécurité Windows

Au besoin, redémarrer le système.


Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[Biboca]

Re bonsoir,
Mon fils à également brancher un disque dur externe pour effectuer une sauvegarde des données restantes (il a m'a dit avoir supprimer les fichiers corrompus avant de la faire).

Comment puis je m'assurer qu'il n'est pas infecté le disque dur externe ?

Merci encore pour votre aide.

[angelique]

Une analyse Ѡindows defender sur un disk externe usb est suffisante.

Désactiver l’exécution automatique : https://support.lenovo.com/lt/fr/solutions/ht502955

[Biboca]

Bonsoir voici le résultat demander :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 23-12-2022
Exécuté par jdasi (27-12-2022 19:47:54) Run:2
Exécuté depuis C:\Users\jdasi\OneDrive\Bureau
Profils chargés: jdasi
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
KU\S-1-5-19\...\Run: [HPCC_InstallationBooster] => c:\system.sav\util\HpccLauncher.exe (Pas de fichier)
HKU\S-1-5-19\...\Run: [HPSEU_Host_Launcher] => C:\System.sav\util\HPSEU\HpseuHostLauncher.exe (Pas de fichier)
HKU\S-1-5-19\...\RunOnce: [OMENCC_InstallationBooster] => C:\system.sav\util\OMENCC_InstallationBooster.exe (Pas de fichier)
HKU\S-1-5-20\...\Run: [HPCC_InstallationBooster] => c:\system.sav\util\HpccLauncher.exe (Pas de fichier)
HKU\S-1-5-20\...\Run: [HPSEU_Host_Launcher] => C:\System.sav\util\HPSEU\HpseuHostLauncher.exe (Pas de fichier)
HKU\S-1-5-20\...\RunOnce: [OMENCC_InstallationBooster] => C:\system.sav\util\OMENCC_InstallationBooster.exe (Pas de fichier)
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Task: {271A3CB1-7668-414B-A22D-DCDDBC1576E4} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Pas de fichier)
Task: {875C2ABA-FDF0-44A1-A0A3-6D72C618275C} - System32\Tasks\Uninstall AdwCleaner Application => C:\Users\jdasi\OneDrive\Bureau\adwcleaner.exe /uninstall (Pas de fichier)
Task: {AFA1A34F-F173-47BF-936F-4B2CA0C66A48} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => C:\WINDOWS\system32\MusNotification.exe /RunOnAC RebootDialog (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\WINDOWS\system32\MusNotification.exe (Pas de fichier)
Task: {F51B630E-0CB6-406D-87CC-AEA7AB8A1B48} - System32\Tasks\Remove AdwCleaner Application => CMD.EXE /C DEL /F /Q "C:\Users\jdasi\OneDrive\Bureau\adwcleaner.exe"
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ATTENTION (Restriction - Zones)
U3 aspnet_state; pas de ImagePath
S3 GSDriver; \SystemRoot\System32\drivers\GSDriver64.sys [X]
S3 rsDwf; \SystemRoot\system32\DRIVERS\rsDwf.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2022-12-23 18:26 - 2022-12-23 18:26 - 000083176 _____ C:\ProgramData\agent.uninstall.1671816405.bdinstall.v2.bin
2022-12-23 18:25 - 2022-12-23 18:25 - 000443464 _____ C:\ProgramData\cl.uninstall.1671816249.bdinstall.v2.bin
2022-12-23 18:23 - 2022-12-23 18:23 - 008971520 _____ (ESET) C:\Users\jdasi\Downloads\eset_internet_security_live_installer.exe
2022-12-23 17:54 - 2022-12-23 17:54 - 000000318 _____ C:\WINDOWS\system32\httpproxy.json
2022-12-23 17:54 - 2022-12-23 17:54 - 000000027 _____ C:\WINDOWS\system32\ctc.json
2022-12-23 17:46 - 2022-12-23 17:46 - 000641924 _____ C:\ProgramData\cl.1671813796.bdinstall.v2.bin
2022-12-23 17:46 - 2022-12-23 17:46 - 000113424 _____ C:\ProgramData\cl.kit.1671813784.bdinstall.v2.bin
2022-12-23 17:45 - 2022-12-23 17:45 - 000000000 ____D C:\WINDOWS\system32\elambkup
2022-12-23 17:45 - 2022-12-23 17:45 - 000000000 ____D C:\ProgramData\Gemma
2022-12-23 17:45 - 2022-12-23 17:45 - 000000000 ____D C:\ProgramData\BDLogging
2022-12-23 17:45 - 2022-12-23 17:45 - 000000000 ____D C:\ProgramData\Atc
2022-12-23 17:40 - 2022-12-23 17:40 - 000158188 _____ C:\ProgramData\agent.1671813600.bdinstall.v2.bin
2022-12-23 17:40 - 2022-12-23 17:40 - 000000000 ____D C:\Users\jdasi\AppData\Local\Bitdefender
2022-12-23 17:40 - 2022-12-23 17:40 - 000000000 ____D C:\ProgramData\Bitdefender Agent
2022-12-21 18:53 - 2022-12-21 18:53 - 000000000 ___HD C:\$AV_ASW
2022-12-21 18:51 - 2022-12-21 18:56 - 000000000 ____D C:\ProgramData\Avast Software
2022-12-21 18:51 - 2022-12-21 18:51 - 000273816 _____ (AVAST Software) C:\WINDOWS\system32\aswBoot.exe
2022-12-21 18:51 - 2022-12-21 18:51 - 000000000 ____D C:\Program Files\Avast Software
2022-12-21 18:36 - 2022-12-21 18:36 - 000684984 _____ (Mozilla Foundation) C:\Users\jdasi\AppData\LocalLow\freebl3.dll
2022-12-21 18:36 - 2022-12-21 18:36 - 000627128 _____ (Mozilla Foundation) C:\Users\jdasi\AppData\LocalLow\mozglue.dll
2022-12-21 18:36 - 2022-12-21 18:36 - 000254392 _____ (Mozilla Foundation) C:\Users\jdasi\AppData\LocalLow\softokn3.dll
2022-12-17 12:18 - 2022-12-24 08:53 - 000000000 ____D C:\WINDOWS\Microsoft Antimalware
2022-12-16 18:35 - 2022-12-16 18:35 - 000000000 ____D C:\Users\jdasi\AppData\Local\Rocket League
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
Hosts:
EmptyTemp:


*****************

Erreur: (0) Impossible de créer un point de restauration.
HKLM\SOFTWARE\Microsoft\Windows Defender\\DisableAntiSpyware => Erreur lors du réglage de la valeur
HKLM\SOFTWARE\Microsoft\Windows Defender\\DisableAntiVirus => Erreur lors du réglage de la valeur
KU\S-1-5-19\...\Run: [HPCC_InstallationBooster] => c:\system.sav\util\HpccLauncher.exe (Pas de fichier) => Erreur: Pas de correction automatique trouvée pour cet élément.
"HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run\\HPSEU_Host_Launcher" => supprimé(es) avec succès
"HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\OMENCC_InstallationBooster" => supprimé(es) avec succès
"HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run\\HPCC_InstallationBooster" => supprimé(es) avec succès
"HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run\\HPSEU_Host_Launcher" => supprimé(es) avec succès
"HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\OMENCC_InstallationBooster" => supprimé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\ProgramData\NTUSER.pol => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{271A3CB1-7668-414B-A22D-DCDDBC1576E4}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{271A3CB1-7668-414B-A22D-DCDDBC1576E4}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{875C2ABA-FDF0-44A1-A0A3-6D72C618275C}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{875C2ABA-FDF0-44A1-A0A3-6D72C618275C}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Uninstall AdwCleaner Application => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Uninstall AdwCleaner Application" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{AFA1A34F-F173-47BF-936F-4B2CA0C66A48}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AFA1A34F-F173-47BF-936F-4B2CA0C66A48}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\Reboot_AC" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E0F10DCF-44AD-40E8-9370-FB5DA59F93FB}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E0F10DCF-44AD-40E8-9370-FB5DA59F93FB}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F51B630E-0CB6-406D-87CC-AEA7AB8A1B48}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F51B630E-0CB6-406D-87CC-AEA7AB8A1B48}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Remove AdwCleaner Application => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remove AdwCleaner Application" => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 => supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\aspnet_state => supprimé(es) avec succès
aspnet_state => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\GSDriver => supprimé(es) avec succès
GSDriver => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\rsDwf => supprimé(es) avec succès
rsDwf => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\WinSetupMon => supprimé(es) avec succès
WinSetupMon => service supprimé(es) avec succès
C:\ProgramData\agent.uninstall.1671816405.bdinstall.v2.bin => déplacé(es) avec succès
C:\ProgramData\cl.uninstall.1671816249.bdinstall.v2.bin => déplacé(es) avec succès
C:\Users\jdasi\Downloads\eset_internet_security_live_installer.exe => déplacé(es) avec succès
C:\WINDOWS\system32\httpproxy.json => déplacé(es) avec succès
C:\WINDOWS\system32\ctc.json => déplacé(es) avec succès
C:\ProgramData\cl.1671813796.bdinstall.v2.bin => déplacé(es) avec succès
C:\ProgramData\cl.kit.1671813784.bdinstall.v2.bin => déplacé(es) avec succès
C:\WINDOWS\system32\elambkup => déplacé(es) avec succès
C:\ProgramData\Gemma => déplacé(es) avec succès
C:\ProgramData\BDLogging => déplacé(es) avec succès
C:\ProgramData\Atc => déplacé(es) avec succès
C:\ProgramData\agent.1671813600.bdinstall.v2.bin => déplacé(es) avec succès
C:\Users\jdasi\AppData\Local\Bitdefender => déplacé(es) avec succès
C:\ProgramData\Bitdefender Agent => déplacé(es) avec succès
C:\$AV_ASW => déplacé(es) avec succès
C:\ProgramData\Avast Software => déplacé(es) avec succès
C:\WINDOWS\system32\aswBoot.exe => déplacé(es) avec succès
C:\Program Files\Avast Software => déplacé(es) avec succès
C:\Users\jdasi\AppData\LocalLow\freebl3.dll => déplacé(es) avec succès
C:\Users\jdasi\AppData\LocalLow\mozglue.dll => déplacé(es) avec succès
C:\Users\jdasi\AppData\LocalLow\softokn3.dll => déplacé(es) avec succès
C:\WINDOWS\Microsoft Antimalware => déplacé(es) avec succès
C:\Users\jdasi\AppData\Local\Rocket League => déplacé(es) avec succès

========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "C:\Windows\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========

Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 786432 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 9528631 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 48239 B
Edge => 0 B
Chrome => 0 B
Firefox => 33976174 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 46806 B
NetworkService => 47982 B
jdasi => 1223398 B
defaultuser100000 => 1223398 B
defaultuser100000.DESKTOP-SQIST5M => 1223398 B
defaultuser100000.DESKTOP-SQIST5M.000 => 1223398 B
defaultuser100001 => 1223398 B
defaultuser100000.DESKTOP-SQIST5M.001 => 1223398 B
defaultuser100000.DESKTOP-SQIST5M.002 => 1223398 B
defaultuser100002 => 1223398 B
defaultuser100000.DESKTOP-SQIST5M.003 => 1223398 B
defaultuser100001.DESKTOP-SQIST5M => 1223398 B
defaultuser100000.DESKTOP-SQIST5M.004 => 1223398 B
defaultuser100000.DESKTOP-SQIST5M.005 => 1223398 B
defaultuser100001.DESKTOP-SQIST5M.000 => 1223398 B
defaultuser100000.DESKTOP-SQIST5M.006 => 1223398 B

RecycleBin => 0 B
EmptyTemp: => 58.7 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 27-12-2022 19:49:29)

C:\Windows\System32\Drivers\etc\hosts => a été déplacé(e) avec succès
Hosts restauré(es) avec succès.

==== Fin de Fixlog 19:49:30 ====

Pensez vous que j'en sois débarasser ?

[angelique]

Active ta restau système et crée un point de restauration ➮ https://www.malekal.com/windows10-11-re ... u-systeme/

ça parait OK

Suppression de FRST

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage

[Biboca]

Re

Comment puis je m'assurer que le trojan a été supprimé ? quand je fais un defender il semble être encore présent est mis sous quarantaine

[angelique]

.c'est juste l'historique de Windows defender, fait un scan Windows defender si tu veux.

[Malekal_morte]

Tu peux aussi faire un scan MBAM tous les deux jours, histoire de t'assurer qu'il n'y a plus de résidus.