Sujet Précédent Sujet Suivant

Infection JS:ScriptIP-inf [Trj]

Résolu/Fermé
Hedgehog0 Messages postés 239 Date d'inscription jeudi 13 février 2014 Statut Membre Dernière intervention 14 mai 2016 - 14 mai 2016 à 12:32
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 14 mai 2016 à 20:16
Bonjour,
Depuis hier avast m'interpelle souvent pour me dire qu'une menace a été bloquée :

Pour le processus le mot manquant est "wintool.exe"
Je vous fourni également mon rapport ZHPDiag :
http://www.cjoint.com/c/FEokGfxwr86
Apperemment il aurait trouvé CrossRider
J'ai déjà passé un coup avec MalwareByte qui m'a trouver quelque 1355 virus (première fois de ma vie ^^') mais essentiellement des pub (apportées par ce trojan ?).
Deux autre chose étrange étaient arrivée à mon PC précédemment (peut-être sans aucun lien) :
- Le message "Windows s'éteindra dans moins d'une minute" qui n'est arrivé qu'une seule fois (j'ai pensée a une mise à jour)
- Une attaque de pub ninja ^^', des pubs audio qui se sont lancées en boucle via le processus IExplorer, ce n'est arrivée qu'une seule fois aussi
S'il vous plaît pouvez vous m'aider à suivre une démarche de désinfection ? Merci d'avance et bonne journée.

7 réponses

Réponse 1 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
14 mai 2016 à 12:34
Salut,


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
Réponse 2 / 7
Hedgehog0 Messages postés 239 Date d'inscription jeudi 13 février 2014 Statut Membre Dernière intervention 14 mai 2016 4
14 mai 2016 à 12:42
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20160514_h15l6r8s7i12
Shortcut : https://pjjoint.malekal.com/files.php?id=20160514_x8b5u10v15z13
Additionnal : https://pjjoint.malekal.com/files.php?id=20160514_r12g5w12z10x6

Merci de m'aider ^^
0
Réponse 3 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
Modifié par Malekal_morte- le 14/05/2016 à 12:45
Envoie /C:\Users\Mathieu\AppData\Roaming\Microsoft\SysHex.exe sur http://upload.malekal.com

puis :


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fixnote explicative avec des captures d'écran].

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
Task: {48D08E39-059E-4F0B-9EED-C6FF38DCB819} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\BB6454C76913E04F50976847F78F2C0A\Update\BrowserUpdate.exe [2016-03-17] (Tencent) <==== ATTENTION
Task: {55840610-7EBD-42BE-9058-4D60358AABCE} - System32\Tasks\WinTOOL => C:\Program Files (x86)\Google\Update\Download\{547E7482-8018-4F97-BB55-7E67427FE96D}\UpdateModule.exe [2016-05-11] ()
InternetURL: C:\Users\Mathieu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\atieclxx.url -> file:///C:\Users\Mathieu\AppData\Roaming\Microsoft\SysHex.exe
2015-11-14 16:06 - 2015-11-14 16:06 - 0015856 _____ (AMD) C:\Users\Mathieu\AppData\Roaming\Microsoft\SysHex.exe
2015-11-14 16:06 - 2015-11-16 20:16 - 0000942 _____ () C:\Users\Mathieu\AppData\Roaming\Microsoft\SysHex.exe.config
2015-11-14 16:06 - 2015-11-16 20:16 - 0023864 _____ (TechSmith Corporation) C:\Users\Mathieu\AppData\Roaming\Microsoft\SysTskEdit.exe
2015-11-14 16:06 - 2015-11-16 20:16 - 0580608 _____ () C:\Users\Mathieu\AppData\Roaming\Microsoft\youtube.txt
2015-11-25 21:21 - 2015-11-25 21:21 - 0004418 _____ () C:\Users\Mathieu\AppData\Local\recently-used.xbel
2015-11-14 16:09 - 2015-11-14 16:09 - 0000006 ____S () C:\ProgramData\7deb20d34559016bd60c2e57072d0de6dc6e9757
C:\Program Files (x86)\Google\Update\Download\{547E7482-8018-4F97-BB55-7E67427FE96D}
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/

Veuillez appuyer sur une touche pour continuer la désinfection...
0
Réponse 4 / 7
Hedgehog0 Messages postés 239 Date d'inscription jeudi 13 février 2014 Statut Membre Dernière intervention 14 mai 2016 4
Modifié par Hedgehog0 le 14/05/2016 à 13:27
Joie , un vieux bug récurrent sur mon PC au démarrage N'A PAS EU LIEU ^^
J'ai vu que vous vous intéressiez au fichier infecté pour plus d'info sur ce bug qui n'a pas eu lieu : https://forums.commentcamarche.net/forum/affich-32782806-werfault-exe-erreur-d-application
J'ai envoyé les deux fichier au passage
Merci beaucoup ^^, reste t'il des étapes ?
N'oubliez pas de mettre le sujet en résolu quand le problème est réglé ;)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
14 mai 2016 à 13:27
où est le rapport FRST ?
0
Hedgehog0 Messages postés 239 Date d'inscription jeudi 13 février 2014 Statut Membre Dernière intervention 14 mai 2016 4
14 mai 2016 à 13:28
erreur de ma part : https://pjjoint.malekal.com/files.php?id=20160514_7n6x12o13p14
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629 > Hedgehog0 Messages postés 239 Date d'inscription jeudi 13 février 2014 Statut Membre Dernière intervention 14 mai 2016
14 mai 2016 à 13:32
ok refais la correction, j'avais édité.
Pas besoin de renvoyer les fichiers sur upload.malekal.com
Merci pour les envoies :)
0
Hedgehog0 Messages postés 239 Date d'inscription jeudi 13 février 2014 Statut Membre Dernière intervention 14 mai 2016 4
14 mai 2016 à 13:34
Ok ^^ sinon ces virus il font quoi éxactement (et comment je les ai eu ? ^^' ils m'ont pourri à peine la vie, Werfaul.exe plantait mon PC à chaque démarrage m'obligeant à lancer CMD pour relancer Explorer.exe qui plantait tout le temps (avec le gestionnaire de tache ça ne marchait pas non plus (il plantait au démarrage)))
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Hedgehog0 Messages postés 239 Date d'inscription jeudi 13 février 2014 Statut Membre Dernière intervention 14 mai 2016 4
14 mai 2016 à 13:48
Deuxième correction : https://pjjoint.malekal.com/files.php?id=20160514_x14u7h11y6q8
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
14 mai 2016 à 14:04
ok, vois si les alertes Avast! s'arretent.
0
Hedgehog0 Messages postés 239 Date d'inscription jeudi 13 février 2014 Statut Membre Dernière intervention 14 mai 2016 4 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
14 mai 2016 à 15:57
au bout de deux heure presque R.A.S
0
Réponse 6 / 7
Hedgehog0 Messages postés 239 Date d'inscription jeudi 13 février 2014 Statut Membre Dernière intervention 14 mai 2016 4
14 mai 2016 à 15:58
Merci beaucoup pour cette désinfection, qui a d'ailleur corrigé de vieux problème (mon PC devait être infecté depuis un moment) si tout est bon je passe le sujet en Résolu
0
Réponse 7 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
14 mai 2016 à 20:16
De rien =)

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

0

Discussions similaires

Javascript Arrondi à 2 chiffres après la virgule
jeremy -
gravityaerox -

12 réponses
code couleur associé a une image
magic charly -
pandora -

9 réponses
Faire un echo dans un script JS
CorentinRoche -
CorentinRoche -

6 réponses
Cheval de Troie JS/Kryptik.I
Eliosis -
Eliosis -

12 réponses
'JS/Agent.TS' Qu'est ce que c'est ?
TheFastBoost -
TheFastBoost -

17 réponses