FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par withedark95
#208594
Bonjour/Bonsoir mon pc a "explorer.exe" qui cesse parfois de fonctionner ou alors dans l'explorateur de fichier ouvrir ou cliquer prends du temps a faire la manoeuvre, j'ai actuellement changer d'ecran je suis passser d'un 1366x766 a un 1920x1080 je me dis que ça peux etre un soucis de performance du pc mais ma carte graphique supporte tout bien (1660 ti)

J'aimerais donc votre aide pour savoir si je n'ai pas été infecter par un virus crypto

J'ai aussi remarqué que google chrome s'ouvrais souvent en tache de fond sans raison
Avatar du membre
par did80
#208598
Bonjour,

Je m'appelle Didier et je vais tenter de résoudre votre problème.

Pourriez vous suivre les consignes du lien ci dessous. Prendre le temps de bien lire

https://forum.pcastuces.com/procedure_a ... f26s60.htm

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection


Fournir les rapports au format.txt

Je vais te prendre en charge, n'effectue que les procédures demandées
et ne télécharge rien d'autre pouvant fausser mon analyse.

En dehors du forum, j'ai une vie privée, je ne pourrais te répondre de suite. Soit patient

PS Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports au format .txt ( impératif) avec l'aide de CJoint, cochez Privée et 21 jours.
je ferai désinstaller les outils en fin de désinfection. Ne pas désinstaller antérieurement Merci.
Avatar du membre
par did80
#208606
:bonjour: la machine est infectée

Lance Farbar

Image


Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
(Kilonova LLC -> Skillbrains) C:\Program Files (x86)\Skillbrains\lightshot\5.5.0.7\Lightshot.exe
C:\Program Files (x86)\Skillbrains\lightshot\5.5.0.7\Lightshot.exe
HKLM-x32\...\Run: [Lightshot] => C:\Program Files (x86)\Skillbrains\lightshot\Lightshot.exe [226728 2019-07-21] (Kilonova LLC -> )
HKLM-x32\...\Run: [Genshin Impact_Launcher] => [X]
HKU\S-1-5-21-3211553782-380890847-3588550373-1001\...\MountPoints2: {09ed18b9-634b-11eb-8f8b-40167ead36bb} - "J:\HiSuiteDownLoader.exe"
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Task: {23E9EC10-DCFB-4E84-9F05-99F50767C622} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3211553782-380890847-3588550373-500 => C:\Users\Antonio\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Pas de fichier)
Task: {47DE779E-B253-47E3-AEB3-A95B567399AE} - System32\Tasks\Microsoft\Windows\Setup\EOSNotify => C:\WINDOWS\system32\EOSNotify.exe (Pas de fichier)
Task: {B35AA200-83DA-4974-A240-6CB4D9E0B50B} - System32\Tasks\update-sys => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe [414872 2017-04-12] (OOO Lightshot -> TODO: <Company name>)
C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
Task: {BA9A3A74-594C-4E0E-868A-4D3D1D56A2FA} - System32\Tasks\MSI Task Host - MSI.True Color => C:\Program Files (x86)\MSI\One Dragon Center\True Color\MSI.True Color.exe (Pas de fichier)
Task: C:\WINDOWS\Tasks\update-S-1-5-21-3211553782-380890847-3588550373-1001.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
Task: C:\WINDOWS\Tasks\update-sys.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
FF Plugin-x32: @java.com/DTPlugin,version=11.281.2 -> C:\Program Files (x86)\Java\jre1.8.0_281\bin\dtplugin\npDeployJava1.dll [Pas de fichier]
FF Plugin-x32: @java.com/JavaPlugin,version=11.281.2 -> C:\Program Files (x86)\Java\jre1.8.0_281\bin\plugin2\npjp2.dll [Pas de fichier]
FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3528.0331 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [Pas de fichier]
FF Plugin-x32: BYOND -> F:\BYOND\bin\npbyond.dll [Pas de fichier]
S3 mracsvc; C:\WINDOWS\System32\mracsvc.exe [18997912 2019-11-11] (Mail.Ru LLC -> LLC Mail.Ru)
C:\WINDOWS\System32\mracsvc.exe
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [18234792 2019-11-11] (Mail.Ru LLC -> LLC Mail.Ru)
C:\WINDOWS\System32\drivers\mracdrv.sys
U4 napagent; pas de ImagePath
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Pas de fichier
BHO-x32: Pas de nom -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Pas de fichier
BHO-x32: Pas de nom -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Pas de fichier
Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Pas de fichier
FirewallRules: [{17759546-65B6-40C5-8912-C1D1266E3655}] => (Allow) D:2\Steam\steamapps\common\Barotrauma\Barotrauma.exe => Pas de fichier
FirewallRules: [{BF4BE35A-0273-4BB5-88D9-E708453298C4}] => (Allow) D:2\Steam\steamapps\common\Barotrauma\Barotrauma.exe => Pas de fichier
FirewallRules: [TCP Query User{EBB9E6DC-5411-4C50-85E7-041939914751}D:2\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) D:2\steam\steamapps\common\grand theft auto v\gta5.exe => Pas de fichier
FirewallRules: [UDP Query User{6F8F1C6B-27E8-4F96-A2D5-FAF0142CEC6B}D:2\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) D:2\steam\steamapps\common\grand theft auto v\gta5.exe => Pas de fichier
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B35AA200-83DA-4974-A240-6CB4D9E0B50B
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B35AA200-83DA-4974-A240-6CB4D9E0B50B
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B35AA200-83DA-4974-A240-6CB4D9E0B50B
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Maintenance\{B35AA200-83DA-4974-A240-6CB4D9E0B50B
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B35AA200-83DA-4974-A240-6CB4D9E0B50B
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{B35AA200-83DA-4974-A240-6CB4D9E0B50B
C:\WINDOWS\System32\Tasks\update-sys
C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Lightshot
C:\Program Files (x86)\Skillbrains\lightshot\Lightshot.exe
C:\Program Files (x86)\Skillbrains\lightshot\5.5.0.7\Lightshot.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|Lightshot
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{30A5B3C9-2084-4063-A32A-628A98DE512B}_is1
DeleteKey: HKLM\SOFTWARE\57979c68-f490-55b8-8fed-8b017a5af2fe
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Skillbrains
DeleteKey: HKCU\SOFTWARE\153f8ce0-b97a-575b-ba12-4ff8b1481894
DeleteKey: HKCU\SOFTWARE\980795d3-660d-5bf1-af59-4286bb5d9647
DeleteKey: HKCU\SOFTWARE\SkillBrains
DeleteKey: HKU\S-1-5-21-3211553782-380890847-3588550373-1001\SOFTWARE\153f8ce0-b97a-575b-ba12-4ff8b1481894
DeleteKey: HKU\S-1-5-21-3211553782-380890847-3588550373-1001\SOFTWARE\980795d3-660d-5bf1-af59-4286bb5d9647
DeleteKey: HKU\S-1-5-21-3211553782-380890847-3588550373-1001\SOFTWARE\SkillBrains
C:\Program Files (x86)\Skillbrains
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightshot
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
RemoveProxy:
EmptyTemp:
cmd: netsh winsock reset
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
cmd: ipconfig /flushdns
cmd: IPCONFIG /release
cmd: IPCONFIG /renew
Reboot:
end::

Corrige et heberge le rapport fixlog

@+
#208607
Re

(Juste si possible ne pas desinstaller de jeu ma connexion est nul et ça me prendrais enormement de temps)

https://www.cjoint.com/c/LCea5PNnlAq

j'ai vue que il fallait supprimer lightshot (qui permet de faire des captures d'ecran rapidement) vous avez une autres alternative ?

(Pour l'instant les soucis persistent le melangeur de volume ou les interactions prenne du temps a "fonctionner" et passe toujours par l'etape "Ne répond pas" puis ça refonctionne)
Avatar du membre
par did80
#208614
:bonjour:

tes fichiers hosts sont infectés par un trojan

ceci


RstHosts est un outil permettant de gérer et de restaurer le fichier hosts.

•L'option [Modifier] permet d'éditer manuellement le fichier afin d'y ajouter ou supprimer des lignes.

•L'option [Restaurer] permet de remplacer le fichier hosts actuel par un fichier hosts sain, notamment si ce dernier a été modifié par une infection.

•L'option [Créer un rapport] permet d'établir un rapport listant les propriétés et le contenu du fichier hosts.

Télécharges le ci dessous


https://toolslib.net/downloads/viewdown ... -rsthosts/

prends l'option2 restaurer


pour les captures j'utilise screenpresso

https://www.screenpresso.com/fr/telecharger/

A te lire après rsthosts

@+
Avatar du membre
par did80
#208623
repasse rsthosts

•L'option [Créer un rapport] permet d'établir un rapport listant les propriétés et le contenu du fichier hosts.

copies le rapport stp
#208631
-|x| RstHosts v2.0 - Rapport créé le 05/03/2022 à 12:35:33
-|x| Système d'exploitation : Windows 10 Enterprise (64 bits)
-|x| Nom d'utilisateur : Antonio - ANTONIO (Administrateur)

-|x|- Informations -|x|-

Emplacement : C:\WINDOWS\System32\drivers\etc\hosts
Attribut(s) : RASH
Propriétaire : Administrateurs - BUILTIN
Taille : 89 bytes
Date de création : 04/03/2022 - 12:46:20
Date de modification : 04/03/2022 - 12:46:20
Date de dernier accès : 05/03/2022 - 07:59:29

-|x|- Contenu du fichier -|x|-

# Fichier Hosts créé par RstHosts

127.0.0.1 localhost
::1 localhost

-|x|- E.O.F - C:\RstHosts.txt - 611 bytes -|x|-
Avatar du membre
par did80
#208632
:bonjour:

ok

Télecharger Roguekiller de Tigzy

https://www.adlice.com/fr/download/rogu ... /#download

prendre la version correspondant a votre système

Choisir la version voulue
  • Installer 32/64 bits

    Portable 32 bits

    Portable 64 bits
Lancer le scan

Image

Image


A la fin du scan cliquez sur résultats

Image

Image

héberge le rapport sur cjoint
#208658
Pas grands chose j'ai toujours ses especes de freeze et j'ai l'impression que quand je branche mon disque dur externe (F) c'est à ce moment que ça lag, j'ai regarder avec crystal disk et le disque est marqué comme correct
Avatar du membre
par did80
#208670
:bonjour:

Lance Farbar

Image


Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Task: {42E4BE21-361A-49CA-B630-5B5CACC66A96} - System32\Tasks\fermeture voc => C:\Users\Antonio\Desktop\fermeture discord.bat (Pas de fichier)
AlternateDataStreams: C:\WINDOWS\tracing:? [16]

EmptyTemp:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow

end::

Corrige et heberge le rapport fixlog

@+
Avatar du membre
par did80
#208748
oui

KpRm (de Kernel-panik)

· Téléchargez sur le bureau


KPRM ICI

· Désactivez temporairement l’ antivirus

· Lancez l'exécution par clic-droit -> Exécuter en tant qu'administrateur

· Cochez les cases suivantes :

o Supprimer les outils
o Créer un point de restauration
o Supprimer dans 7 jours


Image


· Cliquez sur [Exécuter]...
· Un rapport kprm-aaaammjj.txt se trouve sur le bureau
· Hébergez le rapport sur Cjoint
· Donnez le lien créé dans votre réponse.

Re Pour verifier si votre PC est espionné […]

Hello Ça me semble complexe, avez vous e[…]

hey Eh beh tu vas bien te faire balader par tes co[…]