Menu

RegAsm.exe me spam [Résolu]

daoub 5 Messages postés lundi 14 mai 2018Date d'inscription 18 mai 2018 Dernière intervention - 14 mai 2018 à 21:20 - Dernière réponse : Malekal_morte- 158162 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 22 octobre 2018 Dernière intervention
- 18 mai 2018 à 17:00
Bonjour,

J'ai la fenêtre de la console du PC avec indiqué "Regasm" qui n’arrête pas de poper. j'ai vu plusieurs messages similaires qui font état d'un trojan. Afin de résoudre mon problème via votre aide j'ai vu qui fallait établir un scan avec FRST vous trouverez les lien ci-dessous. encore merci

fichier addiction: https://pjjoint.malekal.com/files.php?id=20180514_m5q6k6x6m9
fichier shorcut: https://pjjoint.malekal.com/files.php?id=20180514_x15x9l14j12p6
fichier FRST: https://pjjoint.malekal.com/files.php?id=FRST_20180514_u5f8h1015x11

Je reste à disposition pour plus de détails
Afficher la suite 

Votre réponse

9 réponses

Malekal_morte- 158162 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 22 octobre 2018 Dernière intervention - Modifié par Malekal_morte- le 14/05/2018 à 21:37
0
Merci
Bonsoir,

C'est lié à un Trojan RAT



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
2018-05-07 21:02 - 2018-05-07 21:02 - 000000000 ____D C:\Users\daoub\AppData\Roaming\kilometrrfgvdte
Task: {5FCC09F8-0E3D-42FF-B1C4-F0FDC9722AB9} - System32\Tasks\vhost => C:\Users\daoub\AppData\Roaming\regasm.exe [2017-09-22] (Microsoft Corporation) <==== ATTENTION
Startup: C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\google.lnk [2018-05-14]
Startup: C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Samsung Magician.lnk [2014-11-17]
C:\DAOUB-PC\
2018-05-09 20:52 - 2018-05-09 20:55 - 000000000 ____D C:\ProgramData\OrrO
2018-05-09 20:42 - 2018-05-09 20:42 - 000000000 ____D C:\Users\daoub\AppData\Roaming\UjLoKiKjOlKI
2016-01-03 16:24 - 2016-01-03 16:51 - 000000402 ____C () C:\Users\daoub\AppData\Roaming\DAOUB-PC.MTBF.txt
2018-04-03 19:44 - 2018-05-13 23:45 - 000060787 _____ () C:\Users\daoub\AppData\Roaming\logs.tmp
2018-04-03 19:44 - 2017-09-22 19:19 - 000053248 ____H (Microsoft Corporation) C:\Users\daoub\AppData\Roaming\regasm.exe
2017-04-06 19:58 - 2017-04-06 19:58 - 000000000 ____C () C:\Users\daoub\AppData\Local\{3751557A-FDB2-4712-A5E8-F092DAA11654}
2015-04-18 19:13 - 2015-04-18 19:13 - 000000000 ____C () C:\Users\daoub\AppData\Local\{3B9A6FC2-5E98-46D1-B321-F4EA0A16EA46}
2015-04-05 04:18 - 2015-04-05 04:18 - 000000000 ____C () C:\Users\daoub\AppData\Local\{683543B5-33E8-4F2B-9B68-A062420DFDD2}
2016-09-25 10:03 - 2016-09-25 10:03 - 000000000 ____C () C:\Users\daoub\AppData\Local\{8B9C1131-2805-4D81-9CA0-3C803194D224}
2015-03-23 20:56 - 2015-03-23 20:56 - 000000000 ____C () C:\Users\daoub\AppData\Local\{CE8E5DB0-7C71-406D-8286-CE669BE97DAE}
Hosts:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2)


Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/



Commenter la réponse de Malekal_morte-
daoub 5 Messages postés lundi 14 mai 2018Date d'inscription 18 mai 2018 Dernière intervention - 15 mai 2018 à 20:39
0
Merci
Bonjour,

déjà un grand merci pour la rapidité de la réponse, voici le contenu du fichier Fixlog:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 12.05.2018
Exécuté par daoub (15-05-2018 20:34:40) Run:1
Exécuté depuis C:\Users\daoub\Desktop
Profils chargés: daoub (Profils disponibles: daoub & OVRLibraryService)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Task: {5FCC09F8-0E3D-42FF-B1C4-F0FDC9722AB9} - System32\Tasks\vhost => C:\Users\daoub\AppData\Roaming\regasm.exe [2017-09-22] (Microsoft Corporation) <==== ATTENTION
Startup: C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\google.lnk [2018-05-14]
Startup: C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Samsung Magician.lnk [2014-11-17]
C:\DAOUB-PC\
2018-05-09 20:52 - 2018-05-09 20:55 - 000000000 ____D C:\ProgramData\OrrO
2018-05-09 20:42 - 2018-05-09 20:42 - 000000000 ____D C:\Users\daoub\AppData\Roaming\UjLoKiKjOlKI
2016-01-03 16:24 - 2016-01-03 16:51 - 000000402 ____C () C:\Users\daoub\AppData\Roaming\DAOUB-PC.MTBF.txt
2018-04-03 19:44 - 2018-05-13 23:45 - 000060787 _____ () C:\Users\daoub\AppData\Roaming\logs.tmp
2018-04-03 19:44 - 2017-09-22 19:19 - 000053248 ____H (Microsoft Corporation) C:\Users\daoub\AppData\Roaming\regasm.exe
2017-04-06 19:58 - 2017-04-06 19:58 - 000000000 ____C () C:\Users\daoub\AppData\Local\{3751557A-FDB2-4712-A5E8-F092DAA11654}
2015-04-18 19:13 - 2015-04-18 19:13 - 000000000 ____C () C:\Users\daoub\AppData\Local\{3B9A6FC2-5E98-46D1-B321-F4EA0A16EA46}
2015-04-05 04:18 - 2015-04-05 04:18 - 000000000 ____C () C:\Users\daoub\AppData\Local\{683543B5-33E8-4F2B-9B68-A062420DFDD2}
2016-09-25 10:03 - 2016-09-25 10:03 - 000000000 ____C () C:\Users\daoub\AppData\Local\{8B9C1131-2805-4D81-9CA0-3C803194D224}
2015-03-23 20:56 - 2015-03-23 20:56 - 000000000 ____C () C:\Users\daoub\AppData\Local\{CE8E5DB0-7C71-406D-8286-CE669BE97DAE}
Hosts:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5FCC09F8-0E3D-42FF-B1C4-F0FDC9722AB9}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5FCC09F8-0E3D-42FF-B1C4-F0FDC9722AB9}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\vhost => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\vhost" => supprimé(es) avec succès
C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\google.lnk => déplacé(es) avec succès
C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Samsung Magician.lnk => déplacé(es) avec succès
C:\DAOUB-PC => déplacé(es) avec succès
C:\ProgramData\OrrO => déplacé(es) avec succès
C:\Users\daoub\AppData\Roaming\UjLoKiKjOlKI => déplacé(es) avec succès
C:\Users\daoub\AppData\Roaming\DAOUB-PC.MTBF.txt => déplacé(es) avec succès
C:\Users\daoub\AppData\Roaming\logs.tmp => déplacé(es) avec succès
C:\Users\daoub\AppData\Roaming\regasm.exe => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{3751557A-FDB2-4712-A5E8-F092DAA11654} => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{3B9A6FC2-5E98-46D1-B321-F4EA0A16EA46} => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{683543B5-33E8-4F2B-9B68-A062420DFDD2} => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{8B9C1131-2805-4D81-9CA0-3C803194D224} => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{CE8E5DB0-7C71-406D-8286-CE669BE97DAE} => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\S-1-5-21-1159574614-2105646799-639916625-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1159574614-2105646799-639916625-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========



Le système a dû redémarrer.

Fin de Fixlog 20:34:56

Commenter la réponse de daoub
Malekal_morte- 158162 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 22 octobre 2018 Dernière intervention - 15 mai 2018 à 21:54
0
Merci
Change tous tes mots de passe puis :

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

daoub 5 Messages postés lundi 14 mai 2018Date d'inscription 18 mai 2018 Dernière intervention - 17 mai 2018 à 07:32
J'ai bien effectué le scan qui a trouvé une dizaine d'éléments infectés, sur 13 il en a placé 12 en quarantaine.
Voici le rapport:

https://pjjoint.malekal.com/files.php?id=20180517_f10l7z8i11d8

Merci
Malekal_morte- 158162 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 22 octobre 2018 Dernière intervention > daoub 5 Messages postés lundi 14 mai 2018Date d'inscription 18 mai 2018 Dernière intervention - 17 mai 2018 à 09:36
Tu as bien changé tous tes mots de passe ?
daoub 5 Messages postés lundi 14 mai 2018Date d'inscription 18 mai 2018 Dernière intervention - 17 mai 2018 à 09:55
J'ai changé les principaux, j'avoue en avoir tellement entre ( EDF, banque, Amazon, Paypal google, hotmail,...etc. que je me suis découragé à tout changer. Au vu de ta remarque je me dis que j'ai fait une boulette? Je vais prendre le temps de tous les changer et relancer NOD32
Commenter la réponse de Malekal_morte-
Malekal_morte- 158162 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 22 octobre 2018 Dernière intervention - 17 mai 2018 à 10:24
0
Merci
non c'est pour être sûr =)

Je pense que l'on a terminé,
Supprime le dossier C:\FRST

Attention à ce que tu télécharges.
daoub 5 Messages postés lundi 14 mai 2018Date d'inscription 18 mai 2018 Dernière intervention - 18 mai 2018 à 09:05
Bonjour de nouveau,

du coup dossier supprimé !
Je tenais à préciser à quel point je suis agréablement surpris par la réactivité et le suivi de mon problème. Un grand grand merci à Malekal_Morte pour cette épine dans le pied retiré et surtout pour le temps que tu m'as dédié.. (je ne pouvais plus faire une session game tranquille avec cette fenêtre qui popé sans arrêt).

"Attention à ce que tu télécharges"=pourtant je fais attention mais un soir j'ai du m'égarer sur un site louche suite à une annonce généreuse...on m'y reprendra pas !

De nouveau merci beaucoup et bon weekend.
Malekal_morte- 158162 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 22 octobre 2018 Dernière intervention > daoub 5 Messages postés lundi 14 mai 2018Date d'inscription 18 mai 2018 Dernière intervention - 18 mai 2018 à 17:00
De rien et bon WE :)
Commenter la réponse de Malekal_morte-