FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Michel79]

bonjour voila plus d'une semaine que je me bats contre un piratge de mon pc fixe (monté par mes soins) tout y passe mon paypal , amazon , mes logiciel de jeux steam battlenet......

et windows me detècte un logiciel malveillant !

Trojan:Win32/Sabsik.FL.B!ml
C:\Users\WAR-machine\AppData\Local\Temp\Loader.exe
Trojan:Win32/Binrop.A
containerfile: F:\Remember Me - [FLT]\flt-reme.iso
file: F:\Remember Me - [FLT]\flt-reme.iso->setup.exe

j'ai passé anti-malxare rebit rien
j'ai passé Rogue killer rien !

I need your help !!

[did80]

Bonjour,

Je m'appelle Didier et je vais tenter de résoudre votre problème.

Pourriez vous suivre les consignes du lien ci dessous. Prendre le temps de bien lire

https://forum.pcastuces.com/procedure_a ... f26s60.htm

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection


Fournir les rapports au format.txt

Je vais te prendre en charge, n'effectue que les procédures demandées
et ne télécharge rien d'autre pouvant fausser mon analyse.

En dehors du forum, j'ai une vie privée, je ne pourrais te répondre de suite. Soit patient

PS Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports au format .txt ( impératif) avec l'aide de CJoint, cochez Privée et 21 jours.
je ferai désinstaller les outils en fin de désinfection. Ne pas désinstaller antérieurement Merci.

[Michel79]

Merci d'avance pour ton temps !!

j'ai regardé un cas quelque peu similaire sur la section désinfection et j'ai déja installé farbar !!

Ai-je bien fait ?

[Michel79]

https://www.cjoint.com/c/LHhskPyVvIM
https://www.cjoint.com/c/LHhsmzcPgXM
https://www.cjoint.com/c/LHhsm6rhFsM

[Michel79]

ZHPsuite :

https://www.cjoint.com/c/LHhsyRwMYsM

[did80]

je t'ai fait un premier script

Lance Farbar



Copies les lignes suivantes dans le cadre rouge

start::
CloseProcesses:
CreateRestorePoint:
StartRegedit:
Windows Registry Editor Version 5.00
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
@=""
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]
[-HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
@=""
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]
EndRegedit:
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [482]
AlternateDataStreams: C:\Users\WAR-machine\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\WAR-machine\Application Data:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
AlternateDataStreams: C:\Users\WAR-machine\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\WAR-machine\AppData\Roaming:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
FirewallRules: [UDP Query User{C7F1696A-42DF-470F-88E5-55DFA81C696D}F:\call of duty black ops 4\blackops4.exe] => (Allow) F:\call of duty black ops 4\blackops4.exe => Pas de fichier
FirewallRules: [TCP Query User{978C0403-5166-4D7E-9915-8CE9651C0270}F:\call of duty black ops 4\blackops4.exe] => (Allow) F:\call of duty black ops 4\blackops4.exe => Pas de fichier
FirewallRules: [UDP Query User{B3DEF8B5-CA78-46C9-91AF-F8654CA7E25B}C:\users\war-machine\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\war-machine\appdata\local\akamai\netsession_win.exe => Pas de fichier
FirewallRules: [TCP Query User{878C3514-7E83-4BE5-87ED-28DF404ADC9A}C:\users\war-machine\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\war-machine\appdata\local\akamai\netsession_win.exe => Pas de fichier
FirewallRules: [UDP Query User{26F7A2B4-9DF3-4CB2-94DB-781C8D7FEE92}D:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) D:\program files (x86)\origin games\apex\r5apex.exe => Pas de fichier
FirewallRules: [{AD30FE4B-7198-40B5-A3BF-A65007A43EC9}] => (Allow) D:\Program Files (x86)\Origin Games\Battlefield 1\bf1Trial.exe => Pas de fichier
FirewallRules: [{A7AF3111-55CB-4451-80AD-0D7A5C4F8C22}] => (Allow) D:\Program Files (x86)\Origin Games\Battlefield 1\bf1Trial.exe => Pas de fichier
FirewallRules: [{A153934C-9D2D-40E9-B9FE-84463C041475}] => (Allow) D:\Program Files (x86)\Origin Games\Battlefield 1\bf1.exe => Pas de fichier
FirewallRules: [{133A4ACC-1221-4461-BCC3-8309EFA5DE7F}] => (Allow) D:\Program Files (x86)\Origin Games\Battlefield 1\bf1.exe => Pas de fichier
FirewallRules: [{F442ECC1-F72C-40D4-B054-C73A6D97C156}] => (Allow) D:\Program Files (x86)\Origin Games\Apex\EasyAntiCheat_launcher.exe => Pas de fichier
FirewallRules: [{4BB40742-424F-4CA0-8163-885EE7C9AC8A}] => (Allow) D:\Program Files (x86)\Origin Games\Apex\EasyAntiCheat_launcher.exe => Pas de fichier
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {47ac108d-e513-11ec-85e0-309c233f80dd} - "I:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {47ac1379-e513-11ec-85e0-309c233f80dd} - "I:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {68ab06a2-6af4-11ea-8549-309c233f80dd} - "J:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {7635f109-65fe-11eb-8596-309c233f80dd} - "J:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {7635feb9-65fe-11eb-8596-309c233f80dd} - "I:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {c0eebbcd-610f-11eb-8596-309c233f80dd} - "J:\HiSuiteDownLoader.exe"
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
DeleteValue: HKEY_USERS\S-1-5-21-1838690694-512489730-1734529554-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
DeleteKey: HKEY_USERS\.DEFAULT\Software\Lavasoft\Web Companion
DeleteKey: HKEY_USERS\S-1-5-18\Software\Lavasoft\Web Companion
DeleteKey: HKU\S-1-5-21-1838690694-512489730-1734529554-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
DeleteKey: HKCU\Software\Lavasoft\Web Companion
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Lavasoft\Web Companion
DeleteKey: HKLM\SOFTWARE\Lavasoft\Web Companion
DeleteKey: HKLM\SOFTWARE\029c4619-0385-5543-9426-46f9987161d9
DeleteKey: HKLM\SOFTWARE\da60f423-202e-5908-a438-cd6fbbc819c8
DeleteKey: HKLM\SOFTWARE\WOW6432Node\da60f423-202e-5908-a438-cd6fbbc819c8
DeleteKey: HKCU\SOFTWARE\da60f423-202e-5908-a438-cd6fbbc819c8
DeleteKey: HKU\S-1-5-21-1838690694-512489730-1734529554-1000\SOFTWARE\da60f423-202e-5908-a438-cd6fbbc819c8
C:\Users\WAR-machine\AppData\LocalLow\Company
C:\Users\WAR-machine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserDefender
C:\Users\WAR-machine\AppData\LocalLow\IObit\Advanced SystemCare V8
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
Endbatch:
EmptyTemp:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
end::

Corrige et heberge le rapport fixlog

@+

[Michel79]

Super merci pour ton temps , je le fais après le taf !!

[Michel79]

Fixlog:

https://www.cjoint.com/c/LHioQntNGuM

[did80]

on continue


Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://nicolascoolman.eu/download/tele ... r-gratuit/


Faire un click droit sur zhpcleaner


execute le en tant qu'administrateur

1/ ouvrir les options et tout cocher








Mode Scanner





Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

ZHPCleaner (S).txt ---> Pour le rapport de Scan (Recherche)


héberger le rapport sur www.cjoint.com/ si volumineux

@+

[Michel79]

#jesuisunboulet !

Je n'arrive pas DL le logiciel !!

[did80]

le lien merdoie

prend le ici

https://www.pcastuces.com/logitheque/zhpcleaner.htm

[Michel79]

[Michel79]

Voilà !

https://www.cjoint.com/c/LHiqNACHmOM

[did80]

relance zhpcleaner

après le scan cliques sur le bouton Nettoyer

héberge moi le rapport après suppression

[Michel79]

https://www.cjoint.com/c/LHiq5pu6OeM

[did80]

Télécharger kapersky removal tool

https://support.kaspersky.com/fr/viruses/kvrt2015#kb

mettre sur le bureau KVRT.exe

désactiver l'antivirus

executer en mode administrateur le fichier kvrt
https://forum.pcastuces.com/img3/da209c ... 6eeae6.png




accepter les conditions d'utilisation

parametrer




lancer le scan



Scanner




Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.



Delete : Supprimer le fichier

Quarantine : place le fichier en quarantaine.

Clique sur le bouton Continue

@+

[Michel79]

Rien de trouvé avec le logiciel !

[did80]

comment va la machine?

[Michel79]

un grand merci !!!

[did80]

ceci alors

KpRm (de Kernel-panik)

· Téléchargez sur le bureau


KPRM ICI

· Désactivez temporairement l’ antivirus

· Lancez l'exécution par clic-droit -> Exécuter en tant qu'administrateur

· Cochez les cases suivantes :

o Supprimer les outils
o Créer un point de restauration
o Supprimer dans 7 jours




· Cliquez sur [Exécuter]...
· Un rapport kprm-aaaammjj.txt se trouve sur le bureau
· Hébergez le rapport sur Cjoint
· Donnez le lien créé dans votre réponse.

[Michel79]

Voilà !

https://www.cjoint.com/c/LHjsYvBxmVM

[did80]

Parfait bonne suite

je clôture