Republican Flock Résolu/Fermé

Question

Bonjour,

Voici donc mon petit soucis : Malwarebytes AM vient de détecter cette chose pour le moins étrange sur mon ordi, (il les défini comme des trojans).
Elle se compose de 2 fichiers : republican flock.exe situé dans C:\Users\user\AppData\Roaming,  et une clé de registre au même nom.
Je n'ai absolu rien trouvé sur le web concernant ceci et ce qui est bizarre c'est que ces fichiers datent de juin.

Merci aux personnes qui pourront m'éclairer sur ce sujet.

kolm3 · Answer

Petit explicatif : https://www.file.net/process/flock.exe.html
Dans ton cas c'est surement un fichier contaminé.

Malekal_morte- · Answer

Salut,

Donne le rapport Malwarebytes puis :



Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

fido34 · Answer

Bonjour à vous et merci pour vos réponses.

Voici donc les liens vers le rapports (notez que MBAB a déjà mis les fichiers de flock en quarantaine) :

https://pjjoint.malekal.com/files.php?id=20150730_m10p7x15n8g9
https://pjjoint.malekal.com/files.php?id=20150730_z10m11q11g12m7
https://pjjoint.malekal.com/files.php?id=20150730_t5s6i11q8h14
https://pjjoint.malekal.com/files.php?id=20150730_m5v13x15c10j10

Malekal_morte- · Answer

Voici la correction à effectuer avec FRST. Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK. Copie/colle dedans ce qui suit : 2015-07-30 00:43 - 2015-06-13 22:40 - 00000000 ____D C:\Users\user\AppData\Roaming\Republican Flock Task: {861EA03C-EB4C-4B94-AB00-728056AD4351} - System32\Tasks\FrequencyCheck => c:\programdata\{4717aa7f-0141-4f32-4717-7aa7f014a9fc}\mobac 1.9.14 google bing fix.exe <==== ATTENTION c:\programdata\{4717aa7f-0141-4f32-4717-7aa7f014a9fc} Task: C:\Windows\Tasks\SoundCue.job => c:\programdata\{3c7a79e9-0401-cee5-3c7a-a79e9040e7a4}\524411473966373342b.exe <==== ATTENTION Task: C:\Windows\Tasks\FrequencyCheck.job => c:\programdata\{4717aa7f-0141-4f32-4717-7aa7f014a9fc}\mobac 1.9.14 google bing fix.exe <==== ATTENTION Task: {C909CFAF-D9D4-4F50-8E95-BA45C22669AE} - System32\Tasks\MaxComputerCleaner_Start => C:\Program Files (x86)\Max Computer Cleaner\MaxComputerCleaner.exe <==== ATTENTION Task: {CCB680DD-16E6-4FA7-A4AD-4715F97EC0F6} - \RocketTab Update Task No Task File <==== ATTENTION Task: {1A415B54-B3D4-4F79-89BB-9FFDA4986268} - System32\Tasks\SoundCue => c:\programdata\{3c7a79e9-0401-cee5-3c7a-a79e9040e7a4}\524411473966373342b.exe <==== ATTENTION Relance FRST et clic sur le bouton Fix Selon comment un redémarrage est nécessaire (pas obligatoire). Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. Redémarre l'ordinateur ensuite : Ensuite Ouvre Mon Ordinateur puis le disque C Ouvre le dossier FRST. Dedans se trouve, le dossier Quarantine Fais un clic droit dessus puis envoyer vers le dossier compressé. Envoie le zip sur http://upload.malekal.com Like the angel you are, you laugh creating a lightness in my chest, Your eyes they penetrate me, (Your answer's always 'maybe') That's when I got up and left

fido34 · Answer

voilà le fixlog obtenu : Fix result of Farbar Recovery Scan Tool (x64) Version:28-07-2015 Ran by user (2015-07-30 11:44:07) Run:1 Running from C:\Users\user\Desktop\Nouveau dossier (2) Loaded Profiles: user (Available Profiles: user) Boot Mode: Normal ============================================== fixlist content: 2015-07-30 00:43 - 2015-06-13 22:40 - 00000000 ____D C:\Users\user\AppData\Roaming\Republican Flock Task: {861EA03C-EB4C-4B94-AB00-728056AD4351} - System32\Tasks\FrequencyCheck => c:\programdata\{4717aa7f-0141-4f32-4717-7aa7f014a9fc}\mobac 1.9.14 google bing fix.exe <==== ATTENTION c:\programdata\{4717aa7f-0141-4f32-4717-7aa7f014a9fc} Task: C:\Windows\Tasks\SoundCue.job => c:\programdata\{3c7a79e9-0401-cee5-3c7a-a79e9040e7a4}\524411473966373342b.exe <==== ATTENTION Task: C:\Windows\Tasks\FrequencyCheck.job => c:\programdata\{4717aa7f-0141-4f32-4717-7aa7f014a9fc}\mobac 1.9.14 google bing fix.exe <==== ATTENTION Task: {C909CFAF-D9D4-4F50-8E95-BA45C22669AE} - System32\Tasks\MaxComputerCleaner_Start => C:\Program Files (x86)\Max Computer Cleaner\MaxComputerCleaner.exe <==== ATTENTION Task: {CCB680DD-16E6-4FA7-A4AD-4715F97EC0F6} - \RocketTab Update Task No Task File <==== ATTENTION Task: {1A415B54-B3D4-4F79-89BB-9FFDA4986268} - System32\Tasks\SoundCue => c:\programdata\{3c7a79e9-0401-cee5-3c7a-a79e9040e7a4}\524411473966373342b.exe <==== ATTENTION C:\Users\user\AppData\Roaming\Republican Flock => moved successfully. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{861EA03C-EB4C-4B94-AB00-728056AD4351}" => key removed successfully "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{861EA03C-EB4C-4B94-AB00-728056AD4351}" => key removed successfully C:\Windows\System32\Tasks\FrequencyCheck => moved successfully. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FrequencyCheck" => key removed successfully "c:\programdata\{4717aa7f-0141-4f32-4717-7aa7f014a9fc}" => File/Folder not found. C:\Windows\Tasks\SoundCue.job => moved successfully. C:\Windows\Tasks\FrequencyCheck.job => moved successfully. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{C909CFAF-D9D4-4F50-8E95-BA45C22669AE}" => key removed successfully "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C909CFAF-D9D4-4F50-8E95-BA45C22669AE}" => key removed successfully C:\Windows\System32\Tasks\MaxComputerCleaner_Start => moved successfully. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MaxComputerCleaner_Start" => key removed successfully "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{CCB680DD-16E6-4FA7-A4AD-4715F97EC0F6}" => key removed successfully "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CCB680DD-16E6-4FA7-A4AD-4715F97EC0F6}" => key removed successfully HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RocketTab Update Task => key not found. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1A415B54-B3D4-4F79-89BB-9FFDA4986268}" => key removed successfully "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1A415B54-B3D4-4F79-89BB-9FFDA4986268}" => key removed successfully C:\Windows\System32\Tasks\SoundCue => moved successfully. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SoundCue" => key removed successfully End of Fixlog 11:44:09

Malekal_morte- · Answer

Mieux ?
Désinstalle McAfee Security Scan - sert à rien.

fido34 · Answer

Ok !

Le problème semble résolu... Encore merci pour tout et longue vie à CCM !!! ;)

Malekal_morte- · Answer

=)


Quelques conseils : 


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start= 


Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/ 
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html