Malware GageaNative.exe ne se supprime pas [Résolu]

Signaler
-
Messages postés
641
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 novembre 2020
-
Bonjour, j'ai trouvé un fichier nommé GageaNative.exe dans mon PC et j'ai vu que c'était un malware. Quand je télécharge certains fichiers en .msi, GegeaNative.exe me met un message d'erreur "There is no internet connection. Try again later." alors que je suis connecté a internet. Lorsque j'accède a l'emplacement du fichier et que je le supprime, ça marche mais dès que je réouvre un fichier en .msi, le malware revient et c'est chiant. Est ce que quelqu'un pourrait m'aider s'il vous plait ?

9 réponses

Messages postés
641
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 novembre 2020
96
RE_

OK , on vient bien l'infection Assassins creed :
Adware.DownloadAssistant, C:\USERS\CLEMS\APPDATA\LOCAL\TEMP\RAR$EXA2208.31948\ASSASS-8523931390.EXE, En quarantaine, 1203, 863500, 1.0.32700, 25344B7F0CD89D73CF6877D3, dds, 00978327, 74C0CAF108D0DDFE0857CE1FF03BC306, 99F6ECC524ED071E68E4AAC5E532C2A1CBF458CDE47ACD9FF5D1B8016C4020A9 


tu peux vider la quarantaine de Malwarebytes :

Historique des détections --> Éléments en quarantaine --> Coches tout --> Supprimer

Pour FRST :
Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage .


Il faut arrêter les cracks avant d'avoir de gros problèmes type ransomware
https://www.malekal.com/ransomwares/
RE_

j'ai vidé la quarantaine et j'ai supprimer FRST.

Merci beaucoup pour ton aide.
Messages postés
641
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 novembre 2020
96
OK ,

Bonne continuation ... et prudence sur le net : )
Messages postés
641
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 novembre 2020
96
Bonjour,

On va commencer par un diagnostic du PC :

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits -> https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/
--> Pour un système en 64 bits -> https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ? :
https://support.microsoft.com/en-us/windows/32-bit-and-64-bit-windows-frequently-asked-questions-c6ca9541-8dce-4d48-0415-94a3faa2e13d

--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs



--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse
Messages postés
641
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 novembre 2020
96
Salut ,

Désinstalles :

=> ESET Security
=> Java 8 Update 251
ou mets à jour

Est ce que tu peux me dire où se situe les deux fichiers dont tu as parlé ?
GageaNative.exe et NativeDidymochlaena.exe
Ne les supprimes pas pour l'instant
Messages postés
641
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 novembre 2020
96
Un peu bizarre ton histoire , je ne trouve rien sur ces dossiers/fichiers

Est ce que ça le fait avec tout les msi ou un en particulier ? si un , lequel ?

Refait la manœuvre que tu décris dans ton dernier message , regardes si les dossiers se sont crées , ne supprime rien et relances un scan FRST , postes les deux rapports .

Ne supprime rien avant que je te le dise
Messages postés
641
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
14 novembre 2020
96
RE_

Les autres fichiers msi qui marchaient pas étaient des jeux crackés


Donc , si je résume , tu viens ici parce que tu as peur que ton PC soit infecté , et pendant ce temps , tu fais tout pour qu'il le soit !!!???

A lire :
https://forum.malekal.com/viewtopic.php?t=3259&start=
https://forum.malekal.com/viewtopic.php?t=893&start=

Donc , quand tu lances le crack , c'est l'antivirus qui doit supprimer les fichiers .


On va corriger quelques fichiers obsolètes :

--> Copie ce qui se trouve ici : https://textup.fr/502417BR de start:: à end:: (sans le coller nulle part)
--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
--> Un fichier fixlog est créé au même endroit que FRST , postes le


Lances malwarebytes , mets le à jour et lances une analyse .
Mets ce qu'il trouve en quarantaine et postes le rapport

Deux rapports attendus : Fixlog et Malwarebytes
Merci beaucoup pour ton aide, j'ai fait ce que tu m'as dit et je met les rapports. est ce que il faut mettre le rapport shortcut aussi ?

Addition.txt:
https://up.security-x.fr/file.php?h=Rd72853966f407469a0f8fd229693d5b6

FRST.txt:
https://up.security-x.fr/file.php?h=Rd488e9034281b196adcc967d71b55a55
je viens de trouver un nouveau fichier nommé NativeDidymochlaena.exe qui est pareil que l'autre
salut,
j'ai désinstaller ESET Security et Java

les 2 fichiers sont dans C:\Users\clems\AppData\Roaming, dans les dossiers GageaNative et NativeDidymochlaena. Mais hier, quand j'ouvrait un fichier en .msi, même si le fichier était supprimer, il revenait a cet emplacement. Mais aujourd'hui, si j'ouvre un fichier .msi, un des 2 logiciels s'ouvrent (ça dépend du fichier) et ça me met "voulez vous autoriser cette application a apporter des modifications a votre appareil" ducoup je clique sur "non" puis quand je reviens dans les dossiers C:\Users\clems\AppData\Roaming, les 2 dossiers GageaNative et NativeDidymochlaena y sont mais ils sont vides, il n'y a pas les logiciels dedans et si je supprime un des dossier, et que je réouvre un fichiers en .msi, le dossier réapparait mais toujours pas le logiciel. je pense que c'est parce que j'ai cliquer sur "non" que le logiciel ne se met pas mais je peux pas mettre "oui" car c'est un malware

Et le fichier en .msi disparait après avoir cliquer sur "non"
J'ai retrouver les 2 logiciels, ils étaient dans la corbeille (j'ai du les mettre la et j'ai oublier mais comment ils peuvent se lancer depuis la corbeille ?). Mais les autres jours, si je déplaçait le logiciel ou le dossier du logiciel, il y en avait un nouveau créer au même emplacement que je t'ai dit, Je pense que quand j'ouvre certains fichiers en .msi, il revient mais quand je met "non" il de supprime.
J'ai remis les 2 logiciel sur le bureau. (ceux de la corbeille)
J'ai essayer avec un autre fichier msi (LibreOffice) et ça a marcher normalement. Les autres fichiers msi qui marchaient pas étaient des jeux crackés mais c'est bizarre car ils venait de différent sites, mais comme ça les supprime (ce que ça ne faisait pas les autres jours), Il m'en reste plus. mais j'ai pas testé d'autres msi, je sait pas si ça le fait uniquement avec les fichiers de cracks de Assassin's creed valhalla, ce qui est bizarre (ils venaient de différents sites et il y en avait 5,6 et aucuns ne marchaient).

addition:
https://up.security-x.fr/file.php?h=Rdfb124e961f984bb60a0b9ec5d22f37b

FRST
https://up.security-x.fr/file.php?h=Rb2d765422eb168e1c0bd3303111979a4
Fixlog:

https://up.security-x.fr/file.php?h=R204e168a35352690a561341ea33646c6

pour Malewarebytes, j'ai fait une analyse et ça n'a rien trouvé mais j'ai un rapport de il y a 3 jours avec des choses:

https://up.security-x.fr/file.php?h=Rbe4f9df036f3153fa2bbbd9b41034c2b