Menu

Probleme avec un malware concernant msbuild.exe [Résolu]

BlackPolo 5 Messages postés vendredi 7 juillet 2017Date d'inscription 7 juillet 2017 Dernière intervention - 7 juil. 2017 à 15:18 - Dernière réponse : Malekal_morte- 150081 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 25 avril 2018 Dernière intervention
- 7 juil. 2017 à 18:39


Bonjour, alors en fait, j'ai des retours windows très fréquents et ça vient de ça !

Merci de répondre
Afficher la suite 

9 réponses

Répondre au sujet
Malekal_morte- 150081 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 25 avril 2018 Dernière intervention - 7 juil. 2017 à 15:31
0
Utile
1
Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Commenter la réponse de Malekal_morte-
Malekal_morte- 150081 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 25 avril 2018 Dernière intervention - 7 juil. 2017 à 16:10
0
Utile
5
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
2017-07-06 16:40 - 2017-07-06 16:48 - 00003634 _____ C:\WINDOWS\System32\Tasks\dmw
2017-07-06 16:40 - 2017-07-06 16:40 - 00000000 ____D C:\Users\Paul\AppData\Roaming\Domemwww
2017-07-06 16:40 - 2017-07-06 16:40 - 00000000 ____D C:\ProgramData\Domemwww
Task: {E0C6E4A6-6559-451C-9932-E90090AF2199} - System32\Tasks\{ABB445A7-1C1F-F20C-05CC-FCAB81D734DD} => C:\ProgramData\{B0DD06FB-0776-B150-B6B6-7439491BBFBD}\719955B8-C632-E213-47C2-AC836268D6AE.exe <==== ATTENTION
DeleteKey:
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
BlackPolo 5 Messages postés vendredi 7 juillet 2017Date d'inscription 7 juillet 2017 Dernière intervention - 7 juil. 2017 à 16:25
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 05-07-2017
Exécuté par Paul (07-07-2017 16:22:56) Run:1
Exécuté depuis C:\Users\Paul\Desktop
Profils chargés: Paul (Profils disponibles: Paul)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


CreateRestorePoint:
CloseProcesses:
2017-07-06 16:40 - 2017-07-06 16:48 - 00003634 _____ C:\WINDOWS\System32\Tasks\dmw
2017-07-06 16:40 - 2017-07-06 16:40 - 00000000 ____D C:\Users\Paul\AppData\Roaming\Domemwww
2017-07-06 16:40 - 2017-07-06 16:40 - 00000000 ____D C:\ProgramData\Domemwww
Task: {E0C6E4A6-6559-451C-9932-E90090AF2199} - System32\Tasks\{ABB445A7-1C1F-F20C-05CC-FCAB81D734DD} => C:\ProgramData\{B0DD06FB-0776-B150-B6B6-7439491BBFBD}\719955B8-C632-E213-47C2-AC836268D6AE.exe <==== ATTENTION
DeleteKey:
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\WINDOWS\System32\Tasks\dmw => déplacé(es) avec succès
C:\Users\Paul\AppData\Roaming\Domemwww => déplacé(es) avec succès
C:\ProgramData\Domemwww => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E0C6E4A6-6559-451C-9932-E90090AF2199} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E0C6E4A6-6559-451C-9932-E90090AF2199} => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{ABB445A7-1C1F-F20C-05CC-FCAB81D734DD} => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{ABB445A7-1C1F-F20C-05CC-FCAB81D734DD} => clé supprimé(es) avec succès
DeleteKey: => clé impossible à supprimer.: incorrect path.
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => clé supprimé(es) avec succès
HKU\S-1-5-21-850600231-4175287700-1192816106-1001\SOFTWARE\Policies\Microsoft\Internet Explorer => clé supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-850600231-4175287700-1192816106-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-850600231-4175287700-1192816106-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 12607488 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 14088190 B
Java, Flash, Steam htmlcache => 32124558 B
Windows/system/drivers => 682939 B
Edge => 32089 B
Chrome => 237568 B
Firefox => 352915512 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => 5271552 B
Paul => 57193748 B

RecycleBin => 236945 B
EmptyTemp: => 453.4 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 16:23:14

Malekal_morte- 150081 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 25 avril 2018 Dernière intervention > BlackPolo 5 Messages postés vendredi 7 juillet 2017Date d'inscription 7 juillet 2017 Dernière intervention - 7 juil. 2017 à 16:52
c'est mieux au démarrage ?
BlackPolo 5 Messages postés vendredi 7 juillet 2017Date d'inscription 7 juillet 2017 Dernière intervention > Malekal_morte- 150081 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 25 avril 2018 Dernière intervention - 7 juil. 2017 à 16:56
Ce n'est malheureusement pas que au démarrage, c'est plus bref maintenant mais toujours existant ! :/
Malekal_morte- 150081 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 25 avril 2018 Dernière intervention > BlackPolo 5 Messages postés vendredi 7 juillet 2017Date d'inscription 7 juillet 2017 Dernière intervention - 7 juil. 2017 à 17:10
Déjà cet ordi a été infecté à un moment donné.. et là t'as foutu un Trojan RAT.
Il est cracké avec KSMPico...

il y a aussi ce programme : MSBuild/NuGet Integration 14.0
Tu en as vraiment besoin ?

Fais ça aussi :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
Task: {034BFD2B-5CDD-4A21-8AC4-6C87CF0A9724} - System32\Tasks\ExpertCook => c:\programdata\{a320bda7-4233-40f7-a320-0bda7423f69d}\intro 2d 22.rar.exe <==== ATTENTION
Task: {71BDDAFF-BC10-400F-8D4A-1FAFEF5D87FD} - System32\Tasks\dmw => C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\MSBuild.exe [2017-03-03] (Microsoft Corporation)
Task: {78489EA0-A87B-47B7-876B-46D3F77DA44B} - \Better Cleaner -> Pas de fichier <==== ATTENTION
Task: {A818EFF2-FBB1-462D-9D8E-9971D15243C7} - System32\Tasks\Anti Virus Defender Uninstaller => C:\Program Files (x86)\Anti Virus Defender\Anti VirusDefender.exe <==== ATTENTION
Task: {B212AFD4-00AC-4D72-B6B9-EE642B309059} - System32\Tasks\{CB28149E-884C-0D23-42C9-A22D05C2AE31} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\ee79474e\a4e97244.dll" <==== ATTENTION
Task: {B49A51B8-177B-48FF-A174-4D84D493B283} - System32\Tasks\{35341609-CB62-A6FB-8B80-1A0A1AB79B72} => C:\PROGRA~2\COMMON~1\353416~1\sync.exe
Task: {E0C6E4A6-6559-451C-9932-E90090AF2199} - System32\Tasks\{ABB445A7-1C1F-F20C-05CC-FCAB81D734DD} => C:\ProgramData\{B0DD06FB-0776-B150-B6B6-7439491BBFBD}\719955B8-C632-E213-47C2-AC836268D6AE.exe <==== ATTENTION
2017-07-06 13:28 - 2017-07-06 16:50 - 00000000 ____D C:\Users\Paul\AppData\Roaming\dwm
2017-07-06 13:28 - 2017-07-06 13:28 - 00003524 _____ C:\WINDOWS\System32\Tasks\doggo
Task: {58A08474-25DB-4F7C-BCE9-B93D63174C1C} - System32\Tasks\doggo => C:\Users\Paul\AppData\Roaming\dwm\dwm.exe [2017-07-06] ()
C:\Users\Paul\AppData\Roaming\dwm
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
BlackPolo 5 Messages postés vendredi 7 juillet 2017Date d'inscription 7 juillet 2017 Dernière intervention > Malekal_morte- 150081 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 25 avril 2018 Dernière intervention - 7 juil. 2017 à 17:41
Merci beaucoup a vous ! Je vous souhaite une bonne journée, vous êtes un génie ! ^^

Aurevoir et un grand merci
Commenter la réponse de Malekal_morte-
Malekal_morte- 150081 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 25 avril 2018 Dernière intervention - 7 juil. 2017 à 18:39
0
Utile
de rien
par contre, il te faut changer tes mots de passe, ils ont été probablement volés.

Supprime le dossier C:\FRST


Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.
Commenter la réponse de Malekal_morte-