Un Malware perssistant

Sirise -  
lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
J'ai par malheur était atteint par un malware, naturellement j'ai clean avec adwcleaner qui fessait jusqu'à maintenant, après avoir nettoyé, tout se passe bien jusqu'à se que se c****** de malware revient tout seul, bien sûr j'ai clean avec adwcleaner et ça recommence. Bref voici les malwares en question qui revient en boucle :

Dossier Supprimé : C:\ProgramData\NetEngine
Dossier Supprimé : C:\Users\AppData\Local\BreakingNewsAlert
          • [ Tâches planifiées ] *****


Tâche Supprimée : NetEngine
          • [ Raccourcis ] *****
          • [ Registre ] *****


Clé Supprimée : HKU\.DEFAULT\Software\IM
Clé Supprimée : HKU\.DEFAULT\Software\ImInstaller
Clé Supprimée : HKU\.DEFAULT\Software\SweetIM
Clé Supprimée : HKU\.DEFAULT\Software\WNLT
Donnée Supprimée : HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <-loopback>

Merci de votre aide.

25 réponses

  • 1
  • 2
Résumé de la discussion

Un malware persistant refait surface après un nettoyage avec AdwCleaner, générant des éléments tels que NetEngine et BreakingNewsAlert, des dossiers et des tâches planifiées réorganisés.
Les propositions incluent l'utilisation de FRST avec un fichier fixlist et la création d'un point de restauration, puis la suppression des entrées malveillantes et des extensions douteuses.
D'autres suggestions évoquent la désinstallation et réinstallation de programmes, notamment Skype, puis la relance de FRST et l'analyse du rapport Fixlog.
En cas de persistance, une précaution préconisée est la création manuelle d'un point de restauration et la prudence quant à l'exécution de scripts extraits.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    ▶ Télécharge ici : FRST (de Farbar)
    !!! En fonction de ta version de Windows, prends la "32-Bit Version" ou la "64-Bit Version" !!!
    Aide : va dans Démarrer > Panneau de configuration > Système pour savoir si tu es sous 32 bits ou 64 bits.

    ▶ Double-clique sur l'icône FRST.exe pour lancer le programme. (Sous Windows Vista, 7 et 8, il faut faire un clic droit dessus, puis exécuter en tant qu'administrateur.) Clique ensuite sur Oui lorsqu'un message d'avertissement (Disclaimer) s'affiche.

    ▶ Sur le menu principal, clique sur le bouton Scan et patiente le temps de l'analyse.

    ▶ A la fin du scan, deux rapports s'affichent, FRST.txt et Addition.txt Poste les rapports dans ta prochaine réponse.

    Les rapport se trouvent ici : C:\FRST\Logs

    ▶ Envoie-les sur https://www.cjoint.com/ et poste les liens obtenus en échange.
    0
  2. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    ZHPCleaner

    Désactiver l'Anti-virus

    Ton moteur de recherche va se fermer il faudra le réouvrir pour poster les rapports

    téléchargement : https://nicolascoolman.eu

    - Cet outil ne nécessite aucune installation, il est très rapide car basé sur l'éxécution de scripts.
    - Clique droit sur le dossier téléchargé

    - Clique sur Scanner :

    - Savoir que tous les navigateurs ou onglets ouvert seront fermés et qu'il faudra les remettre

    - En cas de présence d'un proxy, un message apparaît avec la question suivante
    - Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy
    - Si vous n'avez pas installé de Proxy, cliquer sur "NON" pour accepter la réparation du proxy.

    - En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante
    - Avez-vous installé ce serveur ? suivi du nom du serveur
    - Si vous n'avez pas installé de serveur,, cliquer sur "NON" pour accepter la réparation

    - Fournir le rapport
    0
    1. Sirise Messages postés 36 Statut Membre
       
      Merci de ta réponse rapide, je vais faire ça et te tenir au courant.
      0
    2. Sirise Messages postés 36 Statut Membre
       
      Et tu encore là ?
      0
  3. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Refais frst

    0
  4. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    avast signale toujours?
    0
    1. Sirise Messages postés 36 Statut Membre
       
      C'est à dire ? si tu veux dire qu'il est activé oui
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    à propos de la détection
    0
    1. Sirise Messages postés 36 Statut Membre
       
      Il a rien détecté de bizarre.
      0
  7. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Plus de détection de svchot alors
    0
    1. Sirise Messages postés 36 Statut Membre
       
      J'ai pas compris, désolé :x
      0
  8. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Avast te détecte quelque chose ?
    0
    1. Sirise Messages postés 36 Statut Membre
       
      Il détecte rien :x
      0
  9. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Bonne nouvelle :)

    Refais frst
    0
    1. Sirise Messages postés 36 Statut Membre
       
      Alors ?
      0
  10. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    0
    1. Sirise Messages postés 36 Statut Membre
       
      Désinstallation en cours, par contre c'est pas lui mon plus gros problème, c'est le Breaking new alert. qui m'affiche une bulle très chiante qui allume un pop up quand je clique dessus, en plus il fait grossir la mémoire de mon firefox si je l'éteint pas vite mais c'est inutile vue qu'il revient tout les 5 mins
      0
  11. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    0
    1. Sirise Messages postés 36 Statut Membre
       
      le problème c'est que c'est pas un extension je crois, car j'ai localisé son enplacement qui est un dossier vide, quand je le supprime, il revient au bout de quelque minute.
      0
  12. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Alors un peu de retard lié à windows update ne fonctionnant pas (résolu)
    0
    1. Sirise Messages postés 36 Statut Membre
       
      Mais j'ai toujours se problème :x
      0
  13. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     


    Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

    0
  14. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Sirise

    Si tu connais
    [Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SbieDrv (\??\C:\ProgramData\youxihe\Box\SafeMode\SbieDrv.sys) -> Trouvé(e)
    [Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SbieSvc ("C:\ProgramData\youxihe\Box\SafeMode\SbieSvc.exe") -> Trouvé(e)
    [Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vtany (\??\C:\windows\vtany.sys) -> Trouvé(e)
    [Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\xhunter1 (\??\C:\windows\xhunter1.sys) -> Trouvé(e)

    Décoches les lors de la suppression
    • Quitte tous tes programmes en cours
    • Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
    • Sinon lance simplement RogueKiller.exe
    • Patiente pendant le pre-scan, clique sur Scan
    • Vérifie que tous les éléments sont cochés puis clique sur Suppression
    • Poste le rapport RKreport.txt présent sur le bureau.


    0
    1. Sirise Messages postés 36 Statut Membre
       
      https://www.cjoint.com/?0DsrAHxdmPJ
      Il ne sait rien passé de visible, j'ai toujours se problème, autre précision, ce netengine est toujours présent alors que je l'ai supprimé. ça comment vraiment à m'énerver de ne pas pouvoir naviguer en paix.
      0
    2. Sirise Messages postés 36 Statut Membre
       
      Si vraiment tu arrive toujours pas à diagnostiquer mon problème peut-tu m'aider à formater mon disque dur ? comme ça au moins je suis sûr que je serai tranquille.
      0
    3. Sirise Messages postés 36 Statut Membre
       
      Ah, maintenant je ne peux plus me connecter sur skype j'ai les cases pour entrer mes identifiants mais impossible de taper des lettres, j'ai cherché un peu, j'ai l'impression que ça a un rapport avec le reste.
      0
  15. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    C'est depuis le passage de Roguekiller?
    0
    1. Sirise Messages postés 36 Statut Membre
       
      je sais pas, normalement skype se connecte au démarrage mais mon frère a voulu se connecter avec son compte et tu connais la suite.
      0
      1. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818 > Sirise Messages postés 36 Statut Membre
         
        Au pire tu désinstalles skype et tu le réinstalleras

        Refais FRST
        0
    2. Sirise Messages postés 36 Statut Membre
       
      j'ai déjà essayé plusieurs fois, ok je te fais ça 2 min ~, au passe merci de m'aider (oublier de te le dire alors que tu m'aide depuis 1 semaine)
      0
  16. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    tu connais

    Useful Technology
    0
    1. Sirise Messages postés 36 Statut Membre
       
      absolument pas
      0
  17. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Manque additionnal
    0
  18. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images/!\

    ▶ Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    ▶ Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes


    start
    (Useful Technology) C:\ProgramData\OPcFKXHdtE\GUGloeH.exe
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    FF Extension: FrameFox - C:\Program Files\Mozilla Firefox\extensions\{D6F4FFAF-E3C9-4f3d-AD5B-F78CD969D7BF} [2013-11-24]
    2015-04-11 21:14 - 2015-04-11 21:15 - 00000000 ____D () C:\ProgramData\Browser
    2015-04-10 18:55 - 2015-04-10 18:55 - 00000000 ___HD () C:\Users\Collégien\AppData\Local\BreakingNewsAlert
    FF Extension: FrameFox - C:\Program Files\Mozilla Firefox\browser\extensions\{D6F4FFAF-E3C9-4f3d-AD5B-F78CD969D7BF} [2013-11-24]
    2015-04-08 14:47 - 2015-04-08 14:48 - 00000000 ____D () C:\ProgramData\NetEngine
    2015-04-07 17:38 - 2015-04-07 21:39 - 00000000 ____D () C:\ProgramData\T122078ED
    2015-04-07 17:33 - 2015-04-07 17:37 - 00000000 ____D () C:\ProgramData\OPcFKXHdtE
    2015-04-07 16:59 - 2015-04-07 17:00 - 00000000 ____D () C:\Users\Collégien\AppData\Local\6284D73B-1428425971-11DF-915F-2CC05F0600CA
    2015-04-07 16:57 - 2015-04-07 16:57 - 00000000 ____D () C:\Users\Collégien\AppData\Local\6284D73B-1428425821-11DF-915F-2CC05F0600CA
    C:\Users\Collégien\AppData\Local\Temp\efcabfiegi.exe
    Task: {1A6D0161-5013-4472-A770-DF29E0E67F16} - System32\Tasks\NetEngine => C:\ProgramData\NetEngine\bin\D7\netengine.exe [2015-04-15] ()
    end


    ▶ Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    ▶ Ferme toutes les applications, y compris ton navigateur
    ▶ Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    ▶ Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
    ▶ L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

    /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    0
    1. Sirise Messages postés 36 Statut Membre
       
      https://www.cjoint.com/c/EDtuvvIhTfF Tu es mon héros ! Il semble que ça ai réglé le problème Pop-up mais pas celui de skype,
      0
  19. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Pour skype c'est quoi le souci?
    0
    1. Sirise Messages postés 36 Statut Membre
       
      Je vais détaillé:
      Donc imaginons que je veuille me connecter sur skype donc je l'allume normalement puis j'ai le choix entre pseudo skype et compte microsoft, je choisi pseudo skype, ensuite il y a mon pseudo skype préenregistré car je me suis déjà connecté auparavant il me suffit donc de me connecter avec mon mot de passe sauf qu'il est impossible de le saisir, quand je clique sur la case il se passe rien. je ne peux pas nom plus changer de pseudo skype et pareil si je veux essayer avec un compte Microsoft.
      0
  20. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    désinstalles le proprement avec Revo
    0
    1. Sirise Messages postés 36 Statut Membre
       
      et j'essaye de le réinstaller ? :D
      0
  • 1
  • 2