Problème virus rhc.exe

Bonjour.

Une fois la désinfection terminée, il faudra changer tes mots de passe en ligne sensibles et importants pour toi, car ils ont pu être dérobés.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
Task: {D6B003EC-4061-4FDD-9367-6EB66C1EF4F9} - System32\Tasks\APTXService => rhc.exe  -> php.exe index.php
Task: {9A4BA70A-D8B4-4FB8-BC77-33C57F9616D8} - System32\Tasks\APTXService_LG => Command(1): rhc.exe -> php.exe include.php 
Task: {9A4BA70A-D8B4-4FB8-BC77-33C57F9616D8} - System32\Tasks\APTXService_LG => Command(2): rhc.exe -> php.exe index.php 
Task: {45C4DA5D-1CE1-4BCA-8C82-92C886AA257D} - System32\Tasks\VSPXService => C:\Users\serge\AppData\Roaming\YSPX\v3-21\rhc.exe [1536 2022-11-06] () [Fichier non signé] -> WDCloud.exe s
Task: {13DB8B17-A987-4B68-9A6C-321B58B9C85E} - System32\Tasks\Hewlett-Packard\HP Active Health\HP Active Health Scan (HPSA) => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPActiveHealth\ActiveHealth.exe  -task -source HPSA (Pas de fichier)
Task: {1F15E6E0-426C-4FE9-927A-947C2DAB0B91} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant Quick Start => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe  /taskrestart (Pas de fichier)
Task: {508BAAA5-319D-4B4C-B473-FF0D8A72CA44} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Report => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSFReport.exe  /send (Pas de fichier)
Task: {4CBC8FE5-B104-4F00-AC4F-244B4FE9E1D0} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe  /u (Pas de fichier)
Task: {EE203073-AB91-4E85-9BCC-64FE77EEBC85} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater - Resources => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe  /r /m (Pas de fichier)
Task: {575D63F4-66A5-45B0-BEA1-EE6D9FC45E72} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Health Analysis => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe  /L Analysis (Pas de fichier)
Task: {A6B981F0-0C8F-4316-8FFD-8B896FD66FF7} - System32\Tasks\Hewlett-Packard\HP Support Assistant\Product Configurator => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\ProductConfig.exe  /noreport (Pas de fichier)
Task: {DBA15DCD-EA33-4430-833B-BA4EE04D5CB1} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe  (Pas de fichier)
Task: {C30F0A97-614D-48CF-B47B-E89D2D082A57} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_DeviceScan => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe  /DeviceScanR6 (Pas de fichier)
Task: {05D74320-80C2-485D-95B0-10A67FACCE0C} - System32\Tasks\Opera scheduled Autoupdate 1622821950 => C:\Users\serge\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Pas de fichier)
Task: {D670D6D0-0CE9-42F5-A12B-E17E4C58BD6F} - System32\Tasks\VSPXService_LG => WDCloud.exe  tk (Pas de fichier)
U3 aspnet_state; pas de ImagePath
U3 aswbdisk; pas de ImagePath
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Pas de fichier
AlternateDataStreams: C:\Users\serge\Downloads\ccsetup619.exe:BDU [0]
FirewallRules: [{08A1E083-61BF-419B-AEF9-C5910CECE19E}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.64.80.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Pas de fichier
FirewallRules: [{5AAB7639-7940-48C6-BB21-42DDDFE16DF4}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.64.80.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Pas de fichier
FirewallRules: [{6E6BD9A9-BEB1-44ED-B564-62D2427C6FED}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.64.80.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Pas de fichier
FirewallRules: [{840BE83D-49B9-4242-BC71-A15B2C1F3217}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.64.80.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Pas de fichier
FirewallRules: [{B3A8DCD0-9400-409D-A044-736A24C6CDE7}] => (Allow) C:\Program Files\FormatFactory\FormatFactory.exe => Pas de fichier
FirewallRules: [TCP Query User{10F0C813-ECD4-42FD-B97C-97F70884BA09}C:\users\serge\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\serge\appdata\roaming\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [UDP Query User{5CEB3A4A-F044-43BD-8C08-8981479AD501}C:\users\serge\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\serge\appdata\roaming\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [TCP Query User{36C21B3A-A3EF-4C2F-B454-3EC39313F336}C:\users\serge\appdata\local\directmandat\directmandat.exe] => (Allow) C:\users\serge\appdata\local\directmandat\directmandat.exe => Pas de fichier
FirewallRules: [UDP Query User{ABC886F0-3A26-43B4-BB62-D674AAE602F9}C:\users\serge\appdata\local\directmandat\directmandat.exe] => (Allow) C:\users\serge\appdata\local\directmandat\directmandat.exe => Pas de fichier
FirewallRules: [{1E36F248-7CEC-425C-98D5-9283C350684D}] => (Allow) C:\Users\serge\AppData\Local\Programs\Opera\76.0.4017.177\opera.exe => Pas de fichier
C:\Users\serge\AppData\Roaming\YSPX
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

(re)bonjour

et merci pour ta rapidité. A noter que le le fichier transmis sur cjoint.com est un fichier txt nommé Non confirmé 867683.crdownload et non fixlog comme indiqué (?)....

Voici le lien généré :

https://www.cjoint.com/c/NAmnKL5F1oY 

Est-ce bon ?

Désolé mais je n'ai pas de fichier fixlog dans le dossier frst. J'ai aussi fait une recherche de ce fichier sur le pc et... rien. Pourtant la procédure s'est bien déroulée y compris le redémarrage du pc. C'est le seul fichier qui s'est affiché sur le bureau.

Bon apparemment, pour l'instant, je n'ai plus de message de bitdefender me mentionnant ce virus...

Voilà tout a l'air ok !

Merci pour ton aimable efficacité à régler mon problème.

Bonne fin de journée