RegAsm.exe me spam [Résolu] - Forum Virus / Sécurité

RegAsm.exe me spam RegAsm.exe me spam (Résolu) » Forum - Virus / Sécurité Problème RegAsm.exe me spam » Forum - Windows Spam RegAsm.exe (Résolu) » Forum - Virus / Sécurité RegAsm.exe ERROR : (0xc0000005) [Résolu] (Résolu) » Forum - Virus / Sécurité RegAsm.exe - Erreur d'application. [Résolu] (Résolu) » Forum - Virus / Sécurité

Bonjour,

J'ai la fenêtre de la console du PC avec indiqué "Regasm" qui n’arrête pas de poper. j'ai vu plusieurs messages similaires qui font état d'un trojan. Afin de résoudre mon problème via votre aide j'ai vu qui fallait établir un scan avec FRST vous trouverez les lien ci-dessous. encore merci

fichier addiction: https://pjjoint.malekal.com/files.php?id=20180514_m5q6k6x6m9
fichier shorcut: https://pjjoint.malekal.com/files.php?id=20180514_x15x9l14j12p6
fichier FRST: https://pjjoint.malekal.com/files.php?id=FRST_20180514_u5f8h1015x11

Je reste à disposition pour plus de détails

Forum

RegAsm.exe me spam RegAsm.exe me spam (Résolu) » Forum - Virus / Sécurité Problème RegAsm.exe me spam » Forum - Windows Spam RegAsm.exe (Résolu) » Forum - Virus / Sécurité RegAsm.exe ERROR : (0xc0000005) [Résolu] (Résolu) » Forum - Virus / Sécurité RegAsm.exe - Erreur d'application. [Résolu] (Résolu) » Forum - Virus / Sécurité

Web: www.shapebootstrap.net

9 réponses

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

Bonsoir,

C'est lié à un Trojan RAT



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
2018-05-07 21:02 - 2018-05-07 21:02 - 000000000 ____D C:\Users\daoub\AppData\Roaming\kilometrrfgvdte
Task: {5FCC09F8-0E3D-42FF-B1C4-F0FDC9722AB9} - System32\Tasks\vhost => C:\Users\daoub\AppData\Roaming\regasm.exe [2017-09-22] (Microsoft Corporation) <==== ATTENTION
Startup: C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\google.lnk [2018-05-14]
Startup: C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Samsung Magician.lnk [2014-11-17]
C:\DAOUB-PC\
2018-05-09 20:52 - 2018-05-09 20:55 - 000000000 ____D C:\ProgramData\OrrO
2018-05-09 20:42 - 2018-05-09 20:42 - 000000000 ____D C:\Users\daoub\AppData\Roaming\UjLoKiKjOlKI
2016-01-03 16:24 - 2016-01-03 16:51 - 000000402 ____C () C:\Users\daoub\AppData\Roaming\DAOUB-PC.MTBF.txt
2018-04-03 19:44 - 2018-05-13 23:45 - 000060787 _____ () C:\Users\daoub\AppData\Roaming\logs.tmp
2018-04-03 19:44 - 2017-09-22 19:19 - 000053248 ____H (Microsoft Corporation) C:\Users\daoub\AppData\Roaming\regasm.exe
2017-04-06 19:58 - 2017-04-06 19:58 - 000000000 ____C () C:\Users\daoub\AppData\Local\{3751557A-FDB2-4712-A5E8-F092DAA11654}
2015-04-18 19:13 - 2015-04-18 19:13 - 000000000 ____C () C:\Users\daoub\AppData\Local\{3B9A6FC2-5E98-46D1-B321-F4EA0A16EA46}
2015-04-05 04:18 - 2015-04-05 04:18 - 000000000 ____C () C:\Users\daoub\AppData\Local\{683543B5-33E8-4F2B-9B68-A062420DFDD2}
2016-09-25 10:03 - 2016-09-25 10:03 - 000000000 ____C () C:\Users\daoub\AppData\Local\{8B9C1131-2805-4D81-9CA0-3C803194D224}
2015-03-23 20:56 - 2015-03-23 20:56 - 000000000 ____C () C:\Users\daoub\AppData\Local\{CE8E5DB0-7C71-406D-8286-CE669BE97DAE}
Hosts:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2)


Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/



Reply

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

Bonjour,

déjà un grand merci pour la rapidité de la réponse, voici le contenu du fichier Fixlog:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 12.05.2018
Exécuté par daoub (15-05-2018 20:34:40) Run:1
Exécuté depuis C:\Users\daoub\Desktop
Profils chargés: daoub (Profils disponibles: daoub & OVRLibraryService)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


CreateRestorePoint:
CloseProcesses:
Task: {5FCC09F8-0E3D-42FF-B1C4-F0FDC9722AB9} - System32\Tasks\vhost => C:\Users\daoub\AppData\Roaming\regasm.exe [2017-09-22] (Microsoft Corporation) <==== ATTENTION
Startup: C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\google.lnk [2018-05-14]
Startup: C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Samsung Magician.lnk [2014-11-17]
C:\DAOUB-PC\
2018-05-09 20:52 - 2018-05-09 20:55 - 000000000 ____D C:\ProgramData\OrrO
2018-05-09 20:42 - 2018-05-09 20:42 - 000000000 ____D C:\Users\daoub\AppData\Roaming\UjLoKiKjOlKI
2016-01-03 16:24 - 2016-01-03 16:51 - 000000402 ____C () C:\Users\daoub\AppData\Roaming\DAOUB-PC.MTBF.txt
2018-04-03 19:44 - 2018-05-13 23:45 - 000060787 _____ () C:\Users\daoub\AppData\Roaming\logs.tmp
2018-04-03 19:44 - 2017-09-22 19:19 - 000053248 ____H (Microsoft Corporation) C:\Users\daoub\AppData\Roaming\regasm.exe
2017-04-06 19:58 - 2017-04-06 19:58 - 000000000 ____C () C:\Users\daoub\AppData\Local\{3751557A-FDB2-4712-A5E8-F092DAA11654}
2015-04-18 19:13 - 2015-04-18 19:13 - 000000000 ____C () C:\Users\daoub\AppData\Local\{3B9A6FC2-5E98-46D1-B321-F4EA0A16EA46}
2015-04-05 04:18 - 2015-04-05 04:18 - 000000000 ____C () C:\Users\daoub\AppData\Local\{683543B5-33E8-4F2B-9B68-A062420DFDD2}
2016-09-25 10:03 - 2016-09-25 10:03 - 000000000 ____C () C:\Users\daoub\AppData\Local\{8B9C1131-2805-4D81-9CA0-3C803194D224}
2015-03-23 20:56 - 2015-03-23 20:56 - 000000000 ____C () C:\Users\daoub\AppData\Local\{CE8E5DB0-7C71-406D-8286-CE669BE97DAE}
Hosts:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5FCC09F8-0E3D-42FF-B1C4-F0FDC9722AB9}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5FCC09F8-0E3D-42FF-B1C4-F0FDC9722AB9}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\vhost => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\vhost" => supprimé(es) avec succès
C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\google.lnk => déplacé(es) avec succès
C:\Users\daoub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Samsung Magician.lnk => déplacé(es) avec succès
C:\DAOUB-PC => déplacé(es) avec succès
C:\ProgramData\OrrO => déplacé(es) avec succès
C:\Users\daoub\AppData\Roaming\UjLoKiKjOlKI => déplacé(es) avec succès
C:\Users\daoub\AppData\Roaming\DAOUB-PC.MTBF.txt => déplacé(es) avec succès
C:\Users\daoub\AppData\Roaming\logs.tmp => déplacé(es) avec succès
C:\Users\daoub\AppData\Roaming\regasm.exe => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{3751557A-FDB2-4712-A5E8-F092DAA11654} => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{3B9A6FC2-5E98-46D1-B321-F4EA0A16EA46} => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{683543B5-33E8-4F2B-9B68-A062420DFDD2} => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{8B9C1131-2805-4D81-9CA0-3C803194D224} => déplacé(es) avec succès
C:\Users\daoub\AppData\Local\{CE8E5DB0-7C71-406D-8286-CE669BE97DAE} => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\S-1-5-21-1159574614-2105646799-639916625-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1159574614-2105646799-639916625-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========



Le système a dû redémarrer.

Fin de Fixlog 20:34:56

Reply

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

Change tous tes mots de passe puis :

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

Reply
réponses:
  • daoub

    J'ai bien effectué le scan qui a trouvé une dizaine d'éléments infectés, sur 13 il en a placé 12 en quarantaine.
    Voici le rapport:

    https://pjjoint.malekal.com/files.php?id=20180517_f10l7z8i11d8

    Merci

  • Malekal_morte-

    Tu as bien changé tous tes mots de passe ?

  • daoub

    J'ai changé les principaux, j'avoue en avoir tellement entre ( EDF, banque, Amazon, Paypal google, hotmail,...etc. que je me suis découragé à tout changer. Au vu de ta remarque je me dis que j'ai fait une boulette? Je vais prendre le temps de tous les changer et relancer NOD32

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

non c'est pour être sûr =)

Je pense que l'on a terminé,
Supprime le dossier C:\FRST

Attention à ce que tu télécharges.

Reply
réponses:
  • daoub

    Bonjour de nouveau,

    du coup dossier supprimé !
    Je tenais à préciser à quel point je suis agréablement surpris par la réactivité et le suivi de mon problème. Un grand grand merci à Malekal_Morte pour cette épine dans le pied retiré et surtout pour le temps que tu m'as dédié.. (je ne pouvais plus faire une session game tranquille avec cette fenêtre qui popé sans arrêt).

    "Attention à ce que tu télécharges"=pourtant je fais attention mais un soir j'ai du m'égarer sur un site louche suite à une annonce généreuse...on m'y reprendra pas !

    De nouveau merci beaucoup et bon weekend.

  • Malekal_morte-

    De rien et bon WE :)

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed