PC infecté - Virus, malware ?

Salut,

Ton PC est bien infecté.

Les deux premiers programmes installés, tu sais c'est quoi ?

Le reste en bas c'est des Malwares et Adwares.

Le Winlogon le 3ème est un Malware et après les tâches (Tasks) sont des Adwares.

Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves)

ProxyGate version 3.0.0.1180 (HKLM-x32\...\{1EC095EE-8CA3-43D6-B9F5-0C55B82ED3D7}}_is1) (Version: 3.0.0.1180 - Gold Click Ltd)

HKU\S-1-5-21-2907749391-1436463021-2266668184-1017\...\Winlogon: [Shell] "C:\Users\Sam\AppData\Roaming\windows\Cg5zKzKxCUew.exe",explorer.exe

Task: {12E472E7-0D96-4D40-9240-325FC373EC69} - System32\Tasks\AdvancedUpdater => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\Windows Updater.exe [1036152 2022-05-11] (Microleaves LTD -> AdvancedWindowsManager) -> C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\\/silentall -nofreqcheck -nogui

Task: {710D5A7D-FFD4-416E-80AD-1EB791463AF9} - System32\Tasks\Nano => C:\Users\Sam\AppData\Roaming\svchost\svchost.exe [136192 2024-05-01] (Nenad Hrg SoftwareOK.com)

-

Tu peux aussi essayer Reanimator en attendant, tenter de dégager les items ci haut.:

Tu peux analyser et supprimer des malwares avec RegRun Reanimator

https://greatis.com/security/reanimator.html

Cliques sur Fix Problems et ensuite Fix Malware Issues

Attention, il est important de bien trier, par déductions ou recherches Internet et/ou analyses VirusTotal* pour ne supprimer que des virus ou inutiles, parce qu'il détecte tout, bon ou pas, important ou pas, ce n'est pas un antivirus, mais un outil d'analyse qui permet de voir des détails sur des items possiblement actifs, des fois bons, des fois mauvais.

Il faut regarder dans les onglets en haut pour les différents types d'items vus.

Il montre des détails comme les types, les noms et la localisation des fichiers etc. ce qui sert des indices souvent concrets.

Que ce soit marqué en rouge (Souvent mauvais), jaune, bleu ou vert, c'est l'utilisateur/utilisatrice qui doit juger de la pertinence de ce qu'il détecte.

Cocher les items à supprimer et non les autres et cliquer sur le bouton rouge, dans toutes les sections ou il y a à supprimer, puis aller à Finish! et cliquer le bouton pour redémarrer Windows.

Si il ne détecte pas assez tu peux utiliser le bouton Filter Set ou le Inspection Mode pour tout voir, mais redoubles de prudence sur ce que tu supprimes.

-

Tu peux supprimer les lignes Jaunes ou fichiers incriminés dans l'onglet Scheduled Tasks de Autoruns (Pour les tâches planifiées)

https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns

-

Si tu ne peux exécuter les programmes, essaies en mode sans échec.

Le Malware en Winlogon ne devrait pas démarrer en mode sans échec pour t'empêcher d'exécuter des programmes de désinfection (Ce qui est probablement sa fonction).

Bonjour @Sam31500Toul StatutMembre .

Il faudrait arrêter de faire n'importe quoi avec ton pc, malgré les multiples avertissements de Windows Defender tu as installé KMSpico et tu as infecté ton pc, vu que ton pc est très infecté je ne sais pas si ce sera réparable.

Vu le prix des licences ce n'est pas très malin d'utiliser KMSpico.

Une fois la désinfection terminée il faudra changer tes mots de passe en ligne qui sont importants pour toi, si tu as commandé sur internet avec ta CB dans les semaines qui viennent surveille ton compte en banque.

En premier désinstalles les logiciels 2.1.2.3 et ProxyGate désinstalle-les avec le logiciel de désinstallation UninstalR.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
cmd: cscript %windir%\System32\slmgr.vbs /dli
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
HKU\S-1-5-21-2907749391-1436463021-2266668184-1017\...\Winlogon: [Shell] "C:\Users\Sam\AppData\Roaming\windows\Cg5zKzKxCUew.exe",explorer.exe 
HKU\S-1-5-21-2907749391-1436463021-2266668184-1017\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-21-2907749391-1436463021-2266668184-1017\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-21-2907749391-1436463021-2266668184-1017\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-21-2907749391-1436463021-2266668184-1017\...\Policies\Explorer: [NoInternetOpenWith] 1
HKU\S-1-5-21-2907749391-1436463021-2266668184-1017\...\Policies\Explorer: [] 
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
Task: {12E472E7-0D96-4D40-9240-325FC373EC69} - System32\Tasks\AdvancedUpdater => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\Windows Updater.exe [1036152 2022-05-11] (Microleaves LTD -> AdvancedWindowsManager) -> C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\\/silentall -nofreqcheck -nogui 
Task: {710D5A7D-FFD4-416E-80AD-1EB791463AF9} - System32\Tasks\Nano => C:\Users\Sam\AppData\Roaming\svchost\svchost.exe [136192 2024-05-01] (Nenad Hrg SoftwareOK.com) [Fichier non signé] 
HKU\S-1-5-21-2907749391-1436463021-2266668184-1017\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction
HKU\S-1-5-21-2907749391-1436463021-2266668184-1017\...\Run: [arithmetic] => "C:\Program Files (x86)\Gora\Allaying.exe" pmawkmwpmawkmwpmawkmwpmawkm.pmawkmipmawkmepmawkmcpmawkm.pmawkmppmawkmwpmawkm/pmawkmqq2s0s2s0spmawkm0a1a0qq5qqpmawkmsaspYgW62CpmawkmF09D0W9Ukcpmawkme71S (Pas de fichier)
HKU\S-1-5-21-2907749391-1436463021-2266668184-1017\...\Run: [Codec Pack Update Checker] => "C:\Windows\system32\Codecs\UpdateChecker.exe" (Pas de fichier)
Task: {24438172-12C6-4AE8-BB61-C6052DFBBE92} - \AdvancedWindowsManager #9 -> Pas de fichier 
Task: {440C6A1D-8928-4DC3-A284-91FC04733B2D} - \AdvancedWindowsManager #2 -> Pas de fichier 
Task: {568ADD09-367E-4F74-A498-C7D6C082F533} - \AdvancedWindowsManager #3 -> Pas de fichier 
Task: {7C12A53F-679D-48E4-9E90-02B378469840} - \AdvancedWindowsManager -> Pas de fichier 
Task: {9A60762D-3A72-4B0D-9ECF-CFB99877A677} - \AdvancedWindowsManager #1 -> Pas de fichier 
Task: {AC9EAC71-8564-42C0-A0C3-9A401407C9E4} - \AdvancedWindowsManager #6 -> Pas de fichier 
Task: {B2475814-8253-4893-8AC0-6F6D0E4C30F0} - \AutoPico Daily Restart -> Pas de fichier 
Task: {B6489663-6E7C-484E-B972-6EC8092F85EB} - \AdvancedWindowsManager #5 -> Pas de fichier 
Task: {C64D9B15-0DA6-45D3-A828-DC2FA4078AD8} - \AdvancedWindowsManager #4 -> Pas de fichier 
Task: {DBADC90F-4399-4C2B-B778-329FC608505A} - \AdvancedWindowsManager #8 -> Pas de fichier 
Task: {EB671A14-643C-4AA1-AF78-66FECD4D6DB1} - \AdvancedWindowsManager #7 -> Pas de fichier 
S2 Apache2.4; "C:\apache\bin\httpd.exe" -k runservice [X]
S4 Service KMSELDI;  [X]
U4 DiagTrack; pas de ImagePath
U4 npcap_wifi; pas de ImagePath
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{041F9391-C79D-44EE-AA4E-AF4E029C4B47}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.112\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{1F9E0710-2073-435F-9C1B-F29946205947}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.153\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{2919A592-BF5E-4AF5-A658-84454D70841E}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.202\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{46406D82-6EC0-47CC-8A75-1F33C6DEDBBE}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.35.442\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{540C17A8-04F2-4B66-95D7-B2FEF9A19B54}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.35.422\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{5D44759C-CF3F-433D-9EA0-267E45577C77}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.212\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{69545769-8D02-4B07-A481-AD374CD8D5D1}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.132\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{6D264B70-DA18-401D-910C-B202D89670C6}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.32\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{75399D28-E622-4973-8752-BC0F7DC47AF3}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.122\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{84EB3779-151B-4C71-AEF0-A0FEE9481401}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.35.342\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{85D8EE2F-794F-41F0-BB03-49D56A23BEF4}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.352\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{86508D42-E5D7-4D10-9C6F-D427AEEB85B5}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.34.11\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{8B480070-D37D-4090-A063-7A429F849652}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.92\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{8D422533-936A-4A82-B15C-BD5319AB0026}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.332\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{AE9899FA-E21F-4D91-BD1F-59BC10E56CA1}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.292\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{B9C751AA-D9CF-4E09-A270-E5BBD2194F83}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.352\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{BE5C2E39-090F-46A2-AFAA-47540743B4FE}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.102\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{CA07EE63-A212-4373-AE82-FBF92FCA8DCC}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.242\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{CA8FA699-91CD-412F-9D13-9B1222F4370E}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.82\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{CA919489-0396-4164-A6E7-94CDED45A707}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.52\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{DA06AAE8-5748-4509-850F-17AA522F8372}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.272\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{DEDF773D-E27B-485E-8E7D-85C5B0EB5A67}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.72\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{E4949BE6-C9FF-4AFA-8672-6127D857418B}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.312\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.352\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{E9E7529D-7F09-410B-AF2A-CC154473B19C}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.35.452\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{ED0BC9DB-3CE6-49E5-9B2F-590DCEF8C016}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.36.342\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017_Classes\CLSID\{EF076C91-DC9E-43E3-84ED-3D219E065A4F}\InprocServer32 -> C:\Users\Sam\AppData\Local\Google\Update\1.3.35.302\psuser_64.dll => Pas de fichier
HKU\S-1-5-21-2907749391-1436463021-2266668184-1017\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoH_F-zjl_VoQxUNh9dlhZGQNuP16saYjTCHEZjnZBp6mMRSCGAg_XoRDZ9OpK0Ta_Fxnlc6SzIE8qXUmJit6QHUbLzhPSkFKNDJ8b3ftvuLgV1juUBwpxbOIQh4moQ9o-4WLLnthNfYI2JgusPgLNZl0zxx1kb9ZVigY3qK6IKri&q={searchTerms}
HKU\S-1-5-21-2907749391-1436463021-2266668184-1017\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/?pc=COS2&ptag=D010520-AB91A1A2A71DC4AF78EF&form=CONMHP&conlogo=CT3331955
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoH_F-zjl_VoQxUNh9dlhZGQNuP16saYjTCHEZjnZBp6mMRSCGAg_XoRDZ9OpK0Ta_Fxnlc6SzIE8qXUmJit6QHUbLzhPSkFKNDJ8b3ftvuLgV1juUBwpxbOIQh4moQ9o-4WLLnthNfYI2JgusPgLNZl0zxx1kb9ZVigY3qK6IKri&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2907749391-1436463021-2266668184-1017 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoH_F-zjl_VoQxUNh9dlhZGQNuP16saYjTCHEZjnZBp6mMRSCGAg_XoRDZ9OpK0Ta_Fxnlc6SzIE8qXUmJit6QHUbLzhPSkFKNDJ8b3ftvuLgV1juUBwpxbOIQh4moQ9o-4WLLnthNfYI2JgusPgLNZl0zxx1kb9ZVigY3qK6IKri&q={searchTerms}
C:\Users\Sam\AppData\Roaming\windows\Cg5zKzKxCUew.exe
C:\Users\Sam\AppData\Roaming\svchost
cmd: netsh advfirewall reset
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS

6- Fait une nouvelle analyse FRST et poste les liens des deux rapports.

Merci bazfile pour ton aide.

Je n'avais pas de fichier Fixlog sur mon bureau, ni dans le dossier C:\FRST\

Voici les fichiers après la nouvelle analyse :

https://www.cjoint.com/c/NEhrvxlHThT

https://www.cjoint.com/c/NEhrvV2NpFT

https://www.cjoint.com/c/NEhrwh6BwGT

Re Salut,

Les rapports sont presque vides (Ne sont pas complets).

Recommences.

Il faut attendre qu'il ait fini.

@+

@Sam31500Toul StatutMembre .

Le fixlog est au même endroit que l'exécutable de FRST, comme le dit Fabul tes rapports sont vides recommence l'analyse FRST.