Sujet Précédent Sujet Suivant

Bloc note s'ouvre tout seul...

Résolu
Champinoir Messages postés 3 Date d'inscription dimanche 14 avril 2024 Statut Membre Dernière intervention 14 avril 2024 - Modifié le 14 avril 2024 à 10:29
bazfile Messages postés 54000 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 mai 2024 - 14 avril 2024 à 17:38

Bonjour,

Comme pour le forum de "Lilou" du 8 nov 23 " Bloc notes qui s'ouvrent tout seul [Résolu] (commentcamarche.net)"

Mon bloc note s'ouvre tout seul et m'affiche "impossible de trouver le fichier dans "C:\session\......txt" de manière totalement aléatoires

J'ai déjà passer plusieurs coups de Spybot et ADWcleaner, sans détections

Je pense que je ne peux pas répondre sur cet (ancien) topic, le site me demandant de créer ma question a part...

Bref, suivant les instructions de MisteryBean, voici les rapports FRST sur TextUp :

FRST.txt : https://textup.fr/773681KF

Addition.txt : https://mensuel.framapad.org/p/r.cc27d025e3c6deaab5486542a9928820

(désolé le 2eme n'est pas sur Textup, ce dernier me renvoyant une erreur "403 Forbidden You don't have permission to access this resource." au moment de poster le texte...)

J'ai moi-meme analyser ces fichiers, et mise a part les deux "BAKKEGCAAE.exe" et "DHJKJKKKJJ.exe", je ne vois rien d'anormal, mais ces deux fichiers sont, d'après windows et FRST bien antérieur au problème (cependant je ne sais pas d'où ils sortent et ils ont donc été supprimés juste après l'analyse)

Merci d'avance pour vos réponses !

A voir également:

4 réponses

Réponse 1 / 4
bazfile Messages postés 54000 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 mai 2024 18 569
Modifié le 14 avril 2024 à 12:17

Bonjour @Champinoir StatutMembre .

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
Virusscan: C:\ProgramData\PoliciesComp\PubhEvent\COBUWWvzFwkiESRES.dll
Viruscan: C:\ProgramData\BAKKEGCAAE.exe
Virusscan: C:\ProgramData\DHJKJKKKJJ.exe
File: C:\ProgramData\PoliciesComp\PubhEvent\COBUWWvzFwkiESRES.dll; C:\ProgramData\BAKKEGCAAE.exe; C:\ProgramData\DHJKJKKKJJ.exe
HKU\S-1-5-21-1757749238-2843233560-3200539276-1001\...\Run: [GalaxyClient] => [X]
Task: {DA13AD36-72B0-48AE-9D64-671F803C02B4} - System32\Tasks\Microsoft\Windows\RemoteApp and Desktop Connections Update\Gfeby => C:\Windows\system32\rundll32.exe [73728 2022-05-07] (Microsoft Windows -> Microsoft Corporation) -> C:\ProgramData\PoliciesComp\PubhEvent\COBUWWvzFwkiESRES.dll dafQCtFomrbxcn 
Task: {53F71498-AC27-4D3D-B66E-8DEFC7AD5935} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Pas de fichier)
S3 SIUSBXP; \??\C:\Windows\system32\drivers\SiUSBXp.sys [X]
CustomCLSID: HKU\S-1-5-21-1757749238-2843233560-3200539276-1001_Classes\CLSID\{50726f74-6f6e-2e56-504e-000000000000}\localserver32 -> "C:\Program Files\Proton\VPN\v3.2.10\ProtonVPN.exe" -ToastActivated => Pas de fichier
ContextMenuHandlers1: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Pas de fichier
ContextMenuHandlers1: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Pas de fichier
ContextMenuHandlers2: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Pas de fichier
ContextMenuHandlers2: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Pas de fichier
ContextMenuHandlers6: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Pas de fichier
ContextMenuHandlers6: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Pas de fichier
FirewallRules: [TCP Query User{F1D379F8-06F1-4A45-AB84-6A7260DAB33A}C:\users\champ\downloads\anydesk (1).exe] => (Allow) C:\users\champ\downloads\anydesk (1).exe => Pas de fichier
FirewallRules: [UDP Query User{83D8A18E-90CB-41DE-BB44-8ED98DE4BFC8}C:\users\champ\downloads\anydesk (1).exe] => (Allow) C:\users\champ\downloads\anydesk (1).exe => Pas de fichier
FirewallRules: [TCP Query User{1102C904-08FC-4166-AEEB-1242B0C51652}D:\steamlibrary\steamapps\common\warhammer 40,000 darktide\binaries\darktide.exe] => (Allow) D:\steamlibrary\steamapps\common\warhammer 40,000 darktide\binaries\darktide.exe => Pas de fichier
FirewallRules: [UDP Query User{326EBD21-6D3B-442C-9139-D0DB065BC1B8}D:\steamlibrary\steamapps\common\warhammer 40,000 darktide\binaries\darktide.exe] => (Allow) D:\steamlibrary\steamapps\common\warhammer 40,000 darktide\binaries\darktide.exe => Pas de fichier
FirewallRules: [TCP Query User{E65736C0-C6E7-44CB-B1F4-B65F8A8D94A1}D:\games\overwatch\_retail_\overwatch.exe] => (Allow) D:\games\overwatch\_retail_\overwatch.exe => Pas de fichier
FirewallRules: [UDP Query User{6186F761-4FD4-433D-BC55-628E60E42330}D:\games\overwatch\_retail_\overwatch.exe] => (Allow) D:\games\overwatch\_retail_\overwatch.exe => Pas de fichier
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
0
Réponse 2 / 4
Champinoir Messages postés 3 Date d'inscription dimanche 14 avril 2024 Statut Membre Dernière intervention 14 avril 2024
14 avril 2024 à 15:57

Merci de la réponse rapide !

Fixlog.txt (cjoint.com)

De ce que je comprend j'avais un fichier  COBUWWvzFwkiESRES.dll qui était un virus (pourtant non détecté par les deux softs cités plus haut...)

Je vais voir si le problème recommence, en tout cas merci de l'aide !
0
bazfile Messages postés 54000 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 mai 2024 18 569
Modifié le 14 avril 2024 à 16:46

@Champinoir StatutMembre .

Tu ne m'a pas donné le lien du fixlog. 

De ce que je comprend j'avais un fichier  COBUWWvzFwkiESRES.dll qui était un virus

Pour savoir la nature exacte de ce fichier Il me faut le lien du fichier fixlog (lire plus attentivement la procédure), car ce n'est pas terminé j'ai encore des choses à vérifier dans le fixlog.

0
Réponse 3 / 4
Champinoir Messages postés 3 Date d'inscription dimanche 14 avril 2024 Statut Membre Dernière intervention 14 avril 2024
Modifié le 14 avril 2024 à 17:23

Effectivement !

Pourtant le "Fixlog.txt (cjoint.com)" était un lien quand je l'ai collé...

bref, voici le lien : https://www.cjoint.com/c/NDon3GgC1WU 
0
Réponse 4 / 4
bazfile Messages postés 54000 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 mai 2024 18 569
Modifié le 14 avril 2024 à 18:13

@Champinoir StatutMembre .

Les fichiers BAKKEGCAAE.exe et DHJKJKKKJJ.exe ne sont plus sur ton pc.

Pour ce qui est du fichier COBUWWvzFwkiESRES.dll c'est bien un fichier infectieux voici le résultat de son analyse.

En conséquence je te conseille de changer les mots de passes en ligne qui sont sensibles et importants pour toi.

Bien que depuis la correction FRST le processus menant au fichier COBUWWvzFwkiESRES.dll n'est plus actif, si tu le souhaites tu peux supprimer le fichier COBUWWvzFwkiESRES.dll soit manuellement soit via la correction FRST qui suit, je ne te rappelle pas la procédure tu la connais.

Start::
CreateRestorePoint:
CloseProcesses:
C:\ProgramData\PoliciesComp\PubhEvent\COBUWWvzFwkiESRES.dll
End::

Si ton problème n'est plus présent et que tout est OK pour toi, tu peux désinstaller FRST, pour cela renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
0

Discussions similaires

Convertir une note sur 20 .
zino44 -
rolala... -

35 réponses
Trouver le mot réellement écrit en lettres capitales PIX
ETHAN -
kirikou -

4 réponses
comment donner les droits sur fichier partage
ch'ti du 57 -
fil1958 -

2 réponses
nom de metier
E=MC² -
Raymond PENTIER -

2 réponses
Volume qui monte tout seul
Hiliuyun -
Vico -

14 réponses