FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[withedark95]

Bonjour/Bonsoir mon pc a "explorer.exe" qui cesse parfois de fonctionner ou alors dans l'explorateur de fichier ouvrir ou cliquer prends du temps a faire la manoeuvre, j'ai actuellement changer d'ecran je suis passser d'un 1366x766 a un 1920x1080 je me dis que ça peux etre un soucis de performance du pc mais ma carte graphique supporte tout bien (1660 ti)

J'aimerais donc votre aide pour savoir si je n'ai pas été infecter par un virus crypto

J'ai aussi remarqué que google chrome s'ouvrais souvent en tache de fond sans raison

[did80]

Bonjour,

Je m'appelle Didier et je vais tenter de résoudre votre problème.

Pourriez vous suivre les consignes du lien ci dessous. Prendre le temps de bien lire

https://forum.pcastuces.com/procedure_a ... f26s60.htm

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection


Fournir les rapports au format.txt

Je vais te prendre en charge, n'effectue que les procédures demandées
et ne télécharge rien d'autre pouvant fausser mon analyse.

En dehors du forum, j'ai une vie privée, je ne pourrais te répondre de suite. Soit patient

PS Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports au format .txt ( impératif) avec l'aide de CJoint, cochez Privée et 21 jours.
je ferai désinstaller les outils en fin de désinfection. Ne pas désinstaller antérieurement Merci.

[withedark95]

Bonjour !

https://www.cjoint.com/c/LCdkn263mvq (ZHPDIAG)

https://www.cjoint.com/c/LCdktP7PN6q (FRST)

https://www.cjoint.com/c/LCdkueZBYYq (Addition)

https://www.cjoint.com/c/LCdkuCe8CUq (Shortcut)

[did80]

la machine est infectée

Lance Farbar




Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
(Kilonova LLC -> Skillbrains) C:\Program Files (x86)\Skillbrains\lightshot\5.5.0.7\Lightshot.exe
C:\Program Files (x86)\Skillbrains\lightshot\5.5.0.7\Lightshot.exe
HKLM-x32\...\Run: [Lightshot] => C:\Program Files (x86)\Skillbrains\lightshot\Lightshot.exe [226728 2019-07-21] (Kilonova LLC -> )
HKLM-x32\...\Run: [Genshin Impact_Launcher] => [X]
HKU\S-1-5-21-3211553782-380890847-3588550373-1001\...\MountPoints2: {09ed18b9-634b-11eb-8f8b-40167ead36bb} - "J:\HiSuiteDownLoader.exe"
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Task: {23E9EC10-DCFB-4E84-9F05-99F50767C622} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3211553782-380890847-3588550373-500 => C:\Users\Antonio\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Pas de fichier)
Task: {47DE779E-B253-47E3-AEB3-A95B567399AE} - System32\Tasks\Microsoft\Windows\Setup\EOSNotify => C:\WINDOWS\system32\EOSNotify.exe (Pas de fichier)
Task: {B35AA200-83DA-4974-A240-6CB4D9E0B50B} - System32\Tasks\update-sys => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe [414872 2017-04-12] (OOO Lightshot -> TODO: <Company name>)
C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
Task: {BA9A3A74-594C-4E0E-868A-4D3D1D56A2FA} - System32\Tasks\MSI Task Host - MSI.True Color => C:\Program Files (x86)\MSI\One Dragon Center\True Color\MSI.True Color.exe (Pas de fichier)
Task: C:\WINDOWS\Tasks\update-S-1-5-21-3211553782-380890847-3588550373-1001.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
Task: C:\WINDOWS\Tasks\update-sys.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
FF Plugin-x32: @java.com/DTPlugin,version=11.281.2 -> C:\Program Files (x86)\Java\jre1.8.0_281\bin\dtplugin\npDeployJava1.dll [Pas de fichier]
FF Plugin-x32: @java.com/JavaPlugin,version=11.281.2 -> C:\Program Files (x86)\Java\jre1.8.0_281\bin\plugin2\npjp2.dll [Pas de fichier]
FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3528.0331 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [Pas de fichier]
FF Plugin-x32: BYOND -> F:\BYOND\bin\npbyond.dll [Pas de fichier]
S3 mracsvc; C:\WINDOWS\System32\mracsvc.exe [18997912 2019-11-11] (Mail.Ru LLC -> LLC Mail.Ru)
C:\WINDOWS\System32\mracsvc.exe
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [18234792 2019-11-11] (Mail.Ru LLC -> LLC Mail.Ru)
C:\WINDOWS\System32\drivers\mracdrv.sys
U4 napagent; pas de ImagePath
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Pas de fichier
BHO-x32: Pas de nom -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Pas de fichier
BHO-x32: Pas de nom -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Pas de fichier
Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Pas de fichier
FirewallRules: [{17759546-65B6-40C5-8912-C1D1266E3655}] => (Allow) D:2\Steam\steamapps\common\Barotrauma\Barotrauma.exe => Pas de fichier
FirewallRules: [{BF4BE35A-0273-4BB5-88D9-E708453298C4}] => (Allow) D:2\Steam\steamapps\common\Barotrauma\Barotrauma.exe => Pas de fichier
FirewallRules: [TCP Query User{EBB9E6DC-5411-4C50-85E7-041939914751}D:2\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) D:2\steam\steamapps\common\grand theft auto v\gta5.exe => Pas de fichier
FirewallRules: [UDP Query User{6F8F1C6B-27E8-4F96-A2D5-FAF0142CEC6B}D:2\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) D:2\steam\steamapps\common\grand theft auto v\gta5.exe => Pas de fichier
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B35AA200-83DA-4974-A240-6CB4D9E0B50B
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B35AA200-83DA-4974-A240-6CB4D9E0B50B
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B35AA200-83DA-4974-A240-6CB4D9E0B50B
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Maintenance\{B35AA200-83DA-4974-A240-6CB4D9E0B50B
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B35AA200-83DA-4974-A240-6CB4D9E0B50B
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{B35AA200-83DA-4974-A240-6CB4D9E0B50B
C:\WINDOWS\System32\Tasks\update-sys
C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Lightshot
C:\Program Files (x86)\Skillbrains\lightshot\Lightshot.exe
C:\Program Files (x86)\Skillbrains\lightshot\5.5.0.7\Lightshot.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|Lightshot
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{30A5B3C9-2084-4063-A32A-628A98DE512B}_is1
DeleteKey: HKLM\SOFTWARE\57979c68-f490-55b8-8fed-8b017a5af2fe
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Skillbrains
DeleteKey: HKCU\SOFTWARE\153f8ce0-b97a-575b-ba12-4ff8b1481894
DeleteKey: HKCU\SOFTWARE\980795d3-660d-5bf1-af59-4286bb5d9647
DeleteKey: HKCU\SOFTWARE\SkillBrains
DeleteKey: HKU\S-1-5-21-3211553782-380890847-3588550373-1001\SOFTWARE\153f8ce0-b97a-575b-ba12-4ff8b1481894
DeleteKey: HKU\S-1-5-21-3211553782-380890847-3588550373-1001\SOFTWARE\980795d3-660d-5bf1-af59-4286bb5d9647
DeleteKey: HKU\S-1-5-21-3211553782-380890847-3588550373-1001\SOFTWARE\SkillBrains
C:\Program Files (x86)\Skillbrains
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightshot
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
RemoveProxy:
EmptyTemp:
cmd: netsh winsock reset
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
cmd: ipconfig /flushdns
cmd: IPCONFIG /release
cmd: IPCONFIG /renew
Reboot:
end::

Corrige et heberge le rapport fixlog

@+

[withedark95]

Re

(Juste si possible ne pas desinstaller de jeu ma connexion est nul et ça me prendrais enormement de temps)

https://www.cjoint.com/c/LCea5PNnlAq

j'ai vue que il fallait supprimer lightshot (qui permet de faire des captures d'ecran rapidement) vous avez une autres alternative ?

(Pour l'instant les soucis persistent le melangeur de volume ou les interactions prenne du temps a "fonctionner" et passe toujours par l'etape "Ne répond pas" puis ça refonctionne)

[did80]

tes fichiers hosts sont infectés par un trojan

ceci


RstHosts est un outil permettant de gérer et de restaurer le fichier hosts.

•L'option [Modifier] permet d'éditer manuellement le fichier afin d'y ajouter ou supprimer des lignes.

•L'option [Restaurer] permet de remplacer le fichier hosts actuel par un fichier hosts sain, notamment si ce dernier a été modifié par une infection.

•L'option [Créer un rapport] permet d'établir un rapport listant les propriétés et le contenu du fichier hosts.

Télécharges le ci dessous


https://toolslib.net/downloads/viewdown ... -rsthosts/

prends l'option2 restaurer


pour les captures j'utilise screenpresso

https://www.screenpresso.com/fr/telecharger/

A te lire après rsthosts

@+

[withedark95]

C'est fait

[did80]

repasse rsthosts

•L'option [Créer un rapport] permet d'établir un rapport listant les propriétés et le contenu du fichier hosts.

copies le rapport stp

[withedark95]

-|x| RstHosts v2.0 - Rapport créé le 05/03/2022 à 12:35:33
-|x| Système d'exploitation : Windows 10 Enterprise (64 bits)
-|x| Nom d'utilisateur : Antonio - ANTONIO (Administrateur)

-|x|- Informations -|x|-

Emplacement : C:\WINDOWS\System32\drivers\etc\hosts
Attribut(s) : RASH
Propriétaire : Administrateurs - BUILTIN
Taille : 89 bytes
Date de création : 04/03/2022 - 12:46:20
Date de modification : 04/03/2022 - 12:46:20
Date de dernier accès : 05/03/2022 - 07:59:29

-|x|- Contenu du fichier -|x|-

# Fichier Hosts créé par RstHosts

127.0.0.1 localhost
::1 localhost

-|x|- E.O.F - C:\RstHosts.txt - 611 bytes -|x|-

[did80]

ok

Télecharger Roguekiller de Tigzy

https://www.adlice.com/fr/download/rogu ... /#download

prendre la version correspondant a votre système

Choisir la version voulue

• Installer 32/64 bits
  
  Portable 32 bits
  
  Portable 64 bits

Lancer le scan






A la fin du scan cliquez sur résultats





héberge le rapport sur cjoint

[withedark95]

Bonjour !

https://www.cjoint.com/c/LCgiVENOFsq voila !

[did80]

mets en quarantaine et supprime toutes ces s******

donne le rapport après suppression

@+

[withedark95]

https://www.cjoint.com/c/LCgmbOPECpq et voila

[did80]

ok

passe ce scan

https://www.escanav.com/en/mwav-tools/d ... oolkit.asp

[withedark95]

Et voila

https://cjoint.com/c/LCgrFvFJpKq

[did80]

Comment va la machine?

[withedark95]

Pas grands chose j'ai toujours ses especes de freeze et j'ai l'impression que quand je branche mon disque dur externe (F) c'est à ce moment que ça lag, j'ai regarder avec crystal disk et le disque est marqué comme correct

[did80]

refais moiun zhpdiag et un farbar tout chaud

[withedark95]

ZHPDIAG : https://cjoint.com/c/LChkOQluIsq

FRST : https://cjoint.com/c/LChkTqaXrjq

[did80]

manque le rapport addition

[withedark95]

https://cjoint.com/c/LChq0b3TWtq et voila

[did80]

Lance Farbar




Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Task: {42E4BE21-361A-49CA-B630-5B5CACC66A96} - System32\Tasks\fermeture voc => C:\Users\Antonio\Desktop\fermeture discord.bat (Pas de fichier)
AlternateDataStreams: C:\WINDOWS\tracing:? [16]

EmptyTemp:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow

end::

Corrige et heberge le rapport fixlog

@+

[withedark95]

Et voila : https://www.cjoint.com/c/LCjhvktBAwn

D'ailleurs quand le soucis seras fixé j'aurais besoin d'aide j'ai deux profil qui ont été crée sur mon ordinateur

et il y'en a un que je n'arrive pas a supprimer les deux s'appel Antonio mais celui que j'utilie a une image de chien
l'autre n'as pas d'image

[did80]

j'ai deux profil qui ont été crée sur mon ordinateur

tu peux détailler?

[withedark95]

J'ai deux compte sur mon pc au démarrage dont un que je n'ai pas crée et j'aimerais le supprimer mais je ne sais pas comment

[did80]

OK

Tu parles de compte utilisateurs?

https://lecrabeinfo.net/windows-10-supp ... ateur.html

[withedark95]

Oui sauf qu'il n'existe pas dans la liste... seulement mon compte actuel

image ci joint https://zupimages.net/viewer.php?id=22/10/29qs.png][img]https://zupimages.net/up/22/10/29qs.png

[did80]

si j'ai bien compris dans ta capture

c'est le faux antonio

le vrai a disparu?

[withedark95]

Hey, non celui la c'est le vrai, le faux n'apparait justement pas ici

[withedark95]

Re ! possible d'avoir l'outils pour desinstaller les logiciel précédement installer ?

[did80]

oui

KpRm (de Kernel-panik)

· Téléchargez sur le bureau


KPRM ICI

· Désactivez temporairement l’ antivirus

· Lancez l'exécution par clic-droit -> Exécuter en tant qu'administrateur

· Cochez les cases suivantes :

o Supprimer les outils
o Créer un point de restauration
o Supprimer dans 7 jours




· Cliquez sur [Exécuter]...
· Un rapport kprm-aaaammjj.txt se trouve sur le bureau
· Hébergez le rapport sur Cjoint
· Donnez le lien créé dans votre réponse.

[withedark95]

Et voici : https://www.cjoint.com/c/LCml1iDn7kn

[did80]

je ne vois pas farbar

[withedark95]

Je crois que je l'avais supprimer manuellement celui-ci

[did80]

vous demandez de l'aide

et vous faites comme bon vous semble

bref je ferme