Pc infecté [Fermé]

Signaler
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015
-
lilidurhone
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
-
Bonjour,
Ayant stupidement répondu à une invitation de mise a jour d'Adblock (rectangle blanc en bas à droite de l'écran), je me suis retrouvé avec des publicités intempestives et mon pc semble de plus en plus infecté.
Je viens donc auprès de vous pour remédier à ces problèmes.
Par avance ,merci de votre aide.
Nours52

43 réponses

Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Nours
Tu as effectivement deux fichiers qui me paraissent suspect


C:\Users\nours52\AppData\Local\2DE9E3~1\Copimo.dat
C:\Users\nours52\AppData\Local\7B01AA~1\Molapa.dat

Procédure préliminaire : Afficher les fichiers/dossiers cachés

Dans l'explorateur, sous XP -> Menu -> Outils -> Options des dossiers -> onglet Affichage
Dans l'explorateur, sous Vista/7 -> Organiser -> Options des dossiers et de recherche -> onglet Affichage

1 - Cocher Afficher les fichiers et dossiers cachés
2 - Décocher Masquer les extensions des fichiers dont le type est connu
3 - Décocher Masquer les fichiers protégés du système d'exploitation
4 - Valider par Appliquer

Ne pas oublier de recocher ou décocher les options modifiées après l'analyse sur VirusTotal

Ouvrir la page VirusTotal https://www.virustotal.com/gui/

1 - Cliquer sur Choose File pour chercher le fichier à analyser
2 - Sélectionner le fichier à analyser
3 - Cliquer sur Scan it!
4 - Patienter le temps de l'envoi
5 - Souvent le fichier a déjà été analysé, si c'est le cas, cliquer sur Reanalyse
6 - Patienter le temps de l'analyse.
Le résultat s'affiche et indique le nombre de détections (Detection ratio)

7 - Copier-coller l'url affichée dans la barre d'adresse, si l'analyse a été demandée sur un forum de désinfection.

Les deux fichiers sont à analyser
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 75506 internautes nous ont dit merci ce mois-ci

nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Bonjour lilidurhone
Ces fichiers je les sélecte comment? je choisis tout du rapport de FRST et je l'envoi en analyse?
J'ai effectué un "copier coller" ,en choisissant seulement ces 2 fichiers ,mais cela ne fonctionne pas.
A plus,
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Nours

On aura sans doute la solution demain
Grâce à toi les 2 fichiers ont été remonté afin qu'il soit correctement détecté
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 75506 internautes nous ont dit merci ce mois-ci

Messages postés
9
Date d'inscription
samedi 11 juillet 2015
Statut
Membre
Dernière intervention
21 janvier 2020
1
Bonjour lilidurhone et nours52

Pardonnez-moi l'incruste.

@nours52, lilidurhone a raison : ton programme FRST.exe est dans ton dossier "Téléchargements", et je te propose de le déplacer sur ton Bureau comme ceci :

1. Sélectionne entièrement la ligne suivante en gras, depuis le mot "Move" jusqu'au mot "Desktop" :

Move /y %UserProfile%\Downloads\FRST.exe %UserProfile%\Desktop

2. Clique avec le bouton droit de ta souris sur la ligne sélectionnée, et dans le menu affiché choisis, avec le bouton gauche de ta souris, "Copier"

3. A gauche de ton clavier, sur la même ligne que la barre d'espace, et entre les touches "Ctrl" et "Alt", se trouve la touche "Windows" avec le logo de Windows.

4. Appuie simultanément sur cette touche "Windows" et sur la touche "R" de ton clavier, tape cmd et appuie sur la touche "Entrée" de ton clavier.

5. Une fenêtre noire intitulée "C:\Windows\system32\cmd.exe" doit s'afficher.

6. Clique avec le bouton droit de ta souris dans le zone noire de cette fenêtre, et dans le menu affiché choisis, avec le bouton gauche "Coller"

7. Appuie sur la touche "Entrée" de ton clavier.

8. S'il s'affiche dans cette fenêtre "1 fichier(s) déplacé(s)", ferme cette fenêtre : le fichier FRST.exe est maintenant sur ton bureau.




D'autre part, je soupçonne que tu n'as pas exécuté toutes les recommandation de lilidurhone dans sa première réponse à ton post.

Alors s'il te plaît, effectue cette vérification :


1. Appuie simultanément sur la touche "Windows" et sur la touche "R" de ton clavier.

2. Tape explorer et appuie sur la touche "Entrée" de ton clavier.

3. Dans l'explorateur -> Menu -> Outils -> Options des dossiers -> onglet Affichage

4. Vérifie bien que l'option "Masquer les extensions des fichiers dont le type est connu" est DÉCOCHÉE. Sinon, décoche-la et clique sur le bouton "Appliquer".

5. Clique sur le bouton "OK" et ferme la fenêtre de l'explorateur.

6. Sur ton Bureau devraient maintenant se trouver le programme "FRST.exe", et les fichiers "FRST.txt" et "fixlist.txt".



Bon courage à vous deux.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 75506 internautes nous ont dit merci ce mois-ci

Bonjour CatSeven,

J'ai bien effectué a méthode,mais malheureusement,même résultat sur le bureau (fenêtre m'indiquant la même indication que plus haut.
Quant a l'option "Masquer les extensions des fichiers dont le type est connu".Je l'avais recocher car il était bien précisé de ne pas oublier de le recocher après analyse.
Merci pour ton aide.
Bonne après midi.
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Bonjour lilidurhone,
Merci pour ton conseil,mais j'ai déjà effectué des nettoyages avec MalwareByte,ZHPCleaner,AdwCleaner,mais ils ne trouvent rien.
Mais c'est sur qu'il y a quelque chose de malveillant.
Bonne journée.
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Poste moi 'les rapport
nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Re,
Voici les rapports ,mais rien de trouvé apparemment.

MalwareByte pas de rapport puisque rien de nuisible.

~ ZHPCleaner v2015.12.5.391 by Nicolas Coolman (2015/12/05)
~ Run by nours52 (Administrator) (05/12/2015 13:09:21)
~ Site : https://www.nicolascoolman.com/fr/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Scanner
~ Report : C:\Users\nours52\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\nours52\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Deactivate
~ Boot Mode : Normal (Normal boot)
Windows 7 Home Premium, 32-bit Service Pack 1 (Build 7601)


---\\ Service. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\ Navigateur internet. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\ Fichier hôte. (1)
~ Le fichier hôte est légitime. (21)


---\\ Tâche planifiée. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\ Explorateur ( Dossiers, Fichiers ). (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\ Base de Registres ( Clés, Valeurs, Données ). (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\ Bilan de la réparation
~ Aucune réparation effectuée.
~ Ce navigateur est absent (Opera Software)


---\\ Statistiques
~ Items scannés : 52864
~ Items trouvés : 0
~ Items annulés : 0
~ Items réparés : 0


~ End of search in 6 minutes
===================
ZHPCleaner-[R]-02122015-08_48_10.txt
ZHPCleaner-[R]-14112015-18_14_32.txt
ZHPCleaner-[S]-02122015-08_46_20.txt
ZHPCleaner-[S]-04122015-09_19_43.txt
ZHPCleaner-[S]-04122015-18_47_16.txt
ZHPCleaner-[S]-05122015-13_15_42.txt

# AdwCleaner v5.023 - Rapport créé le 05/12/2015 à 17:18:59
# Mis à jour le 30/11/2015 par Xplode
# Base de données : 2015-12-03.1 [Serveur]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x86)
# Nom d'utilisateur : nours52 - NOURS52-PC
# Exécuté depuis : C:\Users\nours52\Downloads\adwcleaner_5.023(4).exe
# Option : Scanner
# Support : https://toolslib.net/forum
          • [ Services ] *****
          • [ Dossiers ] *****
          • [ Fichiers ] *****
          • [ DLL ] *****
          • [ Raccourcis ] *****
          • [ Tâches planifiées ] *****
          • [ Registre ] *****
          • [ Navigateurs ] *****



########## EOF - C:\AdwCleaner\AdwCleaner[S15].txt - [649 octets] ##########
a Plus
lilidurhone
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282 > nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015
> lilidurhone
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020

Messages postés
2122
Date d'inscription
jeudi 18 mars 2010
Statut
Membre
Dernière intervention
22 octobre 2018
127
Si ton pc est vraiment infecté. Je te conseille de réinstaller Windows. Malgré les nettoyages l'ordinateur garde des séquelles
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Tu dois afficher les fichiers cachés
Voici le rapport de l'analyse de Virus Total:

ef46fb23b5c764f7d657a083de91e36327182b2146cfc50e0c2ce2bd9eef2561

En espèrant avoir bien compris..
A plus.
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Non il me faut le lien de l'analyse
On repart de plus haut...
Les fichiers que tu m'as signalés (2),je vais les rechercher ou (dans le pc) pour les placer dans l'analyse de TotalVirus?
Re

Est ce cela que tu souhaite?
https://www.virustotal.com/fr/file/ef46fb23b5c764f7d657a083de91e36327182b2146cfc50e0c2ce2bd9eef2561/analysis/1449427302/
J'avoue que je suis un peu perdu...
lilidurhone
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282 > nours52
Non ce n'est pas ça ...
C'est ce fichier
C:\Users\nours52\AppData\Local\2DE9E3~1\Copimo.dat
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Dans le PC sur virus total
Bonjour,
J'espère que ce coup ci c'est bon..

https://www.virustotal.com/fr/file/69b45bb2546f011fb3ea8a47ff7f7a03ca40693358bb54c135f8110a5e4681b1/analysis/1449473420/

https://www.virustotal.com/fr/file/265fc156d57b89577e2f38f80ea9b25339cc5d9446ebe576db4a22c650ec7be5/analysis/1449474331/

Apparemment AVG a détecté un virus sur les 2 fichiers.

Merci encore...de ta patience.
Bonne journée.
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Oui c'est bien infectieux
J'attends les consignes des plus expérimentés :)
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Pourrais tu zipper les 2 fichiers et les heberger sur cjoint
nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Super
J'ai fait remonter j'attends les directives
nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Merci lilidurhone.
Ton dernier message n'est pas ici (celui de 22h28),mais je l'ai vu dans ma boite mails.
Tout çà me rassure ,car je suis de plus en plus infecté,le pc rame bien à présent.
Merci encore.
lilidurhone
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282 > nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Je te tiens au courant mais normalement dans la journée on pourra utiliser usbfix qui prendra en charge ton infection
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Nous

https://www.sosvirus.net/usbfix-2018-previsualiser/

Uniquement en mode recherche pour l'instant
nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Bonsoir,
J'ai effectué l'analyse avec usbfix.
J'attend les instructions.
a plus.
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Tu peux héberger le rapport?
nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Voici le rapport d'usbfix:
[b]############################## | UsbFix V 8.163 | [Recherche][/b]

Utilisateur: nours52 (Administrateur) # NOURS52-PC
Mis à jour le 08/12/2015 par SosVirus
Lancé à 18:19:10 | 08/12/2015

Site Web : [url=http://www.usbfix.net/]https://www.usbfix.net/[/url]
Tutoriel : [url=http://www.sosvirus.net/tutoriel-usbfix/]https://www.sosvirus.net/tutoriel-usbfix/[/url]
Assistance : [url=http://www.sosvirus.net/forum-virus-securite.html]https://www.sosvirus.net/depannages-informatique/viewforum.php?f=6[/url]
Détection en Live : [url=http://comment-supprimer.fr/]http://comment-supprimer.fr/[/url]
Contact : [url=http://www.usbfix.net/contact/]https://www.usb-antivirus.com/fr/contact/[/url]

[b]################## | System information |[/b]

MB: ACER (MCP73)
CPU: Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
GC: AMD Radeon HD 6450
RAM -> [Total : 2047 Mo | Free : 860 Mo]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft™ Windows 7 Home Premium (6.1.7601 32-Bit) Service Pack 1
WB: Internet Explorer : 11.00.9600.16428
WB: Mozilla Firefox : 42.0

[b]################## | Security Information |[/b]

AV: Microsoft Security Essentials [[b](!) Désactivé[/b] |A jour]
AS: Microsoft Security Essentials [[b](!) Désactivé[/b] |A jour]
AS: Windows Defender [[b](!) Désactivé[/b] |A jour]
AS: Malwarebytes Anti-Malware : 2.2.0.1024
FW: Windows Firewall [[b](!) Désactivé[/b]]
SC: Security Center [Actif]
WU: Windows Update [Actif]

[b]################## | Disk Information |[/b]

C:\ (%SystemDrive%) -> Disque fixe # 1374 Go (1271 Go libre(s) - 92%) [] # NTFS
E:\ -> Disque fixe # 144 Go (86 Go libre(s) - 59%) [ANCIEN DD: D] # NTFS
G:\ -> Disque amovible # 4 Go (3 Go libre(s) - 85%) [] # FAT32
J:\ -> Disque fixe # 144 Go (58 Go libre(s) - 40%) [ANCIEN DD : C] # NTFS
L:\ -> Disque fixe # 489 Go (422 Go libre(s) - 86%) [Nouveau nom] # NTFS

[b]################## | Startup |[/b]

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [Secret Disk Maintance] "C:\Program Files\Secret Disk\net1.exe" windowsStartup
04 - HKCU\..\Run : [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner.exe" /MONITOR
04 - HKCU\..\Run : [VoipConnect] "C:\Program Files\VoipConnect.com\VoipConnect\voipconnect.exe" -nosplash -minimized
04 - HKLM\..\Run : [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
04 - HKLM\..\Run : [NVRaidService] C:\Program Files\NVIDIA Corporation\Raid\nvraidservice.exe
04 - HKLM\..\Run : [StartCCC] "C:\Program Files\AMD\ATI.ACE\Core-Static\x86\CLIStart.exe" MSRun
04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\..\RunOnce : [Toropecelof] C:\Windows\system32\wscript.exe /E:vbscript /B "C:\Users\nours52\AppData\Local\2DE9E3~1\Copimo.dat"
04 - HKLM\..\RunOnce : [Delafe] C:\Windows\system32\wscript.exe /E:vbscript /B "C:\Users\nours52\AppData\Local\7B01AA~1\Molapa.dat"
04 - HKU\S-1-5-19\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-1281696408-34496212-1937324486-1001\..\Run : [Secret Disk Maintance] "C:\Program Files\Secret Disk\net1.exe" windowsStartup
04 - HKU\S-1-5-21-1281696408-34496212-1937324486-1001\..\Run : [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner.exe" /MONITOR
04 - HKU\S-1-5-21-1281696408-34496212-1937324486-1001\..\Run : [VoipConnect] "C:\Program Files\VoipConnect.com\VoipConnect\voipconnect.exe" -nosplash -minimized
04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04GS - TP-LINK Wireless Configuration Utility.lnk : C:\Program Files\TP-LINK\TP-LINK Wireless Configuration Utility\TWCU.exe

[b]################## | Recherche générique |[/b]


[b]################## | UsbFix - Information |[/b]

Info : [url=https://www.youtube.com/watch?v=vUZYYASd7FE]Comment supprimer l'infection des raccourcis sur USB ? (Video)[/url]
Info : [url=http://www.usbfix.net/2014/10/supprimer-virus-raccourcis-usb/]L'infection des raccourcis USB, c'est quoi ?[/url]
Détection en Live : [url=http://comment-supprimer.fr/]http://comment-supprimer.fr/[/url]

[b]Analyse réalisée en 13.85 secondes[/b]

[b]################## | E.O.F | [url=http://www.sosvirus.net/]https://www.sosvirus.net/[/url] | [url=http://www.usbfix.net/]https://www.usbfix.net/[/url] |[/b]

...Bonne lecture !!
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Bon il n'est pas encore détecté...
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Nours

Malekal à publié une fiche

http://www.supprimer-trojan.com/vbs_agent/

Merci
Dès que tu es en ligne fais moi signe
nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Bonjour,
Je suis en ligne à présent.
lilidurhone
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282 > nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Tu peux tester
Supprimer VBS.Agent avec Remediate VBS Worm
Tu as la fiche ici
http://www.supprimer-trojan.com/vbs_agent/
Merci :)
Je serais disponible vers 17h
nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

L'analyse ne trouve rien,après avoir tenté plusieures fois.Toujours le même résultat.Je n'arrive pas a faire un "copier/coller d'après une capture d'écran,aussi je recopie ce qui est inscrit :
Niveau maximal de récursivité de setlocal a été atteint.
Removing malicious files;
Le fichier spécifier est introuvable.
Impossible de trouver C:\ProgrammeData\*vbc
Impossible de trouver C:\ProgrammeData\*vbs
Impossible de trouver C:\ProgrammeData\*hta
Impossible de trouver C:\ProgrammeData\*au3

A plus.
nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Autant pour moi ...
Je n'avais pas vu que VBS Worm m'avait laissé le résultat d'analyse.
Le voici:
Rem-VBSworm v5.0

======================================================== - General info:
Ran by nours52 on profile C:\Users\nours52
Ran on NOURS52-PC
IPv4: 192.168.0.16

Microsoft Windowsÿ7 dition Familiale Premium

Normal boot

Microsoft Security Essentials


09/12/2015
13:09:03,56

======================================================== - Drive info:
Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local

D: Disque CD-ROM

E: Disque fixe local ANCIEN DD: D

J: Disque fixe local ANCIEN DD : C

L: Disque fixe local Nouveau nom




Physical drives information:
J: \Device\HarddiskVolume2 NTFS
C: \Device\HarddiskVolume5 NTFS
E: \Device\HarddiskVolume3 NTFS
L: \Device\HarddiskVolume6 NTFS

======================================================== - Disinfection info:
Cleaning all TEMP files...
Disabling Autorun...
Temporarily disabling the WSH...
Windows Script Host disabled!!
Fixing system/user policies and registry hijacks...
Killing, hijacking and deleting malicious processes and files...:
Adding image hijacks...
Deleting malicious Run keys...
Killing malicious processes...
Op‚ration r‚ussieÿ: le processus "rundll32.exe" de PID 5724 a ‚t‚ arrˆt‚.
Op‚ration r‚ussieÿ: le processus avec PID 5660 a ‚t‚ termin‚.
Op‚ration r‚ussieÿ: le processus avec PID 7248 a ‚t‚ termin‚.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
Deleting malicious files...

======================================================== - Shortcut info:
Shortcut: "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\TP-LINK Wireless Configuration Utility.lnk"
----------------------------------------------------------------
Shortcut: "C:\Documents and Settings\All Users\Start Menu\Programs\Startup\TP-LINK Wireless Configuration Utility.lnk"
----------------------------------------------------------------
Windows Script Host re-enabled

Done cleaning up infection
========================================================

Cleaning all TEMP files...
Disabling Autorun...
Temporarily disabling the WSH...
Windows Script Host disabled
Fixing system/user policies and registry hijacks...
Killing, hijacking and deleting malicious processes and files...:
Adding image hijacks...
Deleting malicious Run keys...
Killing malicious processes...

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
Deleting malicious files...

======================================================== - Shortcut info:
Shortcut: "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\TP-LINK Wireless Configuration Utility.lnk"
----------------------------------------------------------------
Shortcut: "C:\Documents and Settings\All Users\Start Menu\Programs\Startup\TP-LINK Wireless Configuration Utility.lnk"
----------------------------------------------------------------
Windows Script Host re-enabled

Done cleaning up infection
========================================================

Cleaning all TEMP files...
Disabling Autorun...
Temporarily disabling the WSH...
Windows Script Host disabled
Fixing system/user policies and registry hijacks...
Killing, hijacking and deleting malicious processes and files...:
Adding image hijacks...
Deleting malicious Run keys...
Killing malicious processes...
Op‚ration r‚ussieÿ: le processus avec PID 6948 a ‚t‚ termin‚.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
Deleting malicious files...

======================================================== - Shortcut info:
Shortcut: "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\TP-LINK Wireless Configuration Utility.lnk"
----------------------------------------------------------------
Shortcut: "C:\Documents and Settings\All Users\Start Menu\Programs\Startup\TP-LINK Wireless Configuration Utility.lnk"
----------------------------------------------------------------
Windows Script Host re-enabled

Done cleaning up infection
========================================================

========================================================
Scan finished at:
13:33:40,60
Send this log only if requested.
========================================================

Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt
Info: https://bartblaze.blogspot.com/2014/02/remediate-vbs-malware.html

J'espère que cela donne quelque chose.
Encore merci et a plus tard.
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Bon ni usbfix le détecte ni vbs
Refais moi frst s'il te plaît
nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Excuses moi,mais frst veut dire quoi?
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
L'outil de diagnostic :)


nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Pourquoi ne pas utiliser ZHPDIAG qui est très "balèze" pour dénicher les bébettes?
seulement pour ma part ,je ne sais pas lire cet outil.
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
Sinon on peut tenter directement le script non?

par contre il faudra absolument créer un point de restauration!

Si tu es partant(e)
nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Je crée un point de restauration.Mais je ne suis pas informaticien loin de là.Un scrip çà nous amène à quoi?
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282
/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images/!\

▶ Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
▶ Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes


start
Task: {5F57A5D9-F3BD-42F9-A1E6-419121E13017} - \05719bba-a182-42d3-9110-570e1a8819a8-1 -> Pas de fichier <==== ATTENTION
Task: {608DF522-A6CF-4686-8454-00C6006F846A} - \05719bba-a182-42d3-9110-570e1a8819a8-11 -> Pas de fichier <==== ATTENTION
Task: {715D599E-6456-4179-A521-3F68E95A912E} - \05719bba-a182-42d3-9110-570e1a8819a8-5 -> Pas de fichier <==== ATTENTION
Task: {A8CEEB46-1C76-42DA-A1F7-B4E8CA30B0D0} - \05719bba-a182-42d3-9110-570e1a8819a8-2 -> Pas de fichier <==== ATTENTION
Task: {B4AE64B5-6C87-4A86-8AAA-3B082F3DC6BC} - \05719bba-a182-42d3-9110-570e1a8819a8-4 -> Pas de fichier <==== ATTENTION
Task: {E1466C94-1105-499C-A1E5-DE1FE5A870F3} - \05719bba-a182-42d3-9110-570e1a8819a8-12 -> Pas de fichier <==== ATTENTION
Task: {E64EACD5-61A9-4AC0-8914-B9F7EC4BB9CC} - \05719bba-a182-42d3-9110-570e1a8819a8-5_user -> Pas de fichier <==== ATTENTION
04 - HKLM\..\RunOnce : [Toropecelof] C:\Windows\system32\wscript.exe /E:vbscript /B "C:\Users\nours52\AppData\Local\2DE9E3~1\Copimo.dat"
04 - HKLM\..\RunOnce : [Delafe] C:\Windows\system32\wscript.exe /E:vbscript /B "C:\Users\nours52\AppData\Local\7B01AA~1\Molapa.dat"
end


▶ Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
▶ Ferme toutes les applications, y compris ton navigateur
▶ Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
▶ Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
▶ L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
lilidurhone
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282 > nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Tu le retélécharge :)
nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Désolé,mais on arrive pas a se comprendre.Sur mon bureau j'ai bien frst ,mais pas frst.exe.C'est celui ci que je n'arrive pas a trouver.
Si je clique du droit sur frst ,la fenetre s'ouvre sur l'outil de scan avec les encoches a cliquer:" analyser ;chercher fichiers; chercher registre ; corriger".
Sur cette fenêtre je n'est pas "fix" a cliquer.
lilidurhone
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282 > nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

C'est bon c'est bien ça c'est corriger
Tu enregistre d'abord le fichier texte en fixlist et ensuite tu ouvres frst et tu cliques sur corriger
nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

Une fois que j'ai cliqué sur corriger,une fenêtre s'ouvre: "aucun fichier fixlist n'a été trouvé" puis : "Le fichier fixlist.txt doit être dans le même dossier que l'outil."
Pourtant ce fichier fixlist est bien sur le bureau .
Bonne soirée.
lilidurhone
Messages postés
43361
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
17 mars 2020
3 282 > nours52
Messages postés
53
Date d'inscription
jeudi 3 février 2005
Statut
Membre
Dernière intervention
15 décembre 2015

C'est frst qui n'est pas sur le bureau :)
1 2 3