Trojan, backdoor, ''site'' bloquer via RegAsm [Résolu]

Signaler
-
Messages postés
1891
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
21 février 2021
-
Bonjour/bonsoir,
Norton a détecter une backdoor accompagner d'un trojan, les deux sont en quarantaine mais j'aimerais bien les supprimer, mais je ne sais ou est-ce que j'aurais pus les attraper (j'ai un nouveau pc et je suis aller sur les mêmes sites ou j'était sur mon pc portable et je n'ai jamais eu ces deux trucs avant) histoire de ne plus retourner sur le site ou de supprimer l'application qui a infecter mon pc.
+depuis que j'ai démarrer mon pc aujourd'hui Malawarebyte me spam de notification comme quoi il a bloquer un espèces de sites d'hameçonnage venant d'une application RegAsm j'aimerais le supprimer mais je ne le fait pas par peur que mon pc ne fonctionne plus correctement vue qu'il se trouve dans les fichiers Windows et qu'il faut une autorisation pour le supprimer.

10 réponses

Messages postés
1891
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
21 février 2021
305
Bonjour,


On va commencer par un diagnostic du PC :

Bien lire toute la procédure avant de poster les rapports

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs



--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse
voila les liens des fichiers de l'analyse :
Addition : https://up.security-x.fr/file.php?h=R0532586243aeb4cd3b09d63a25172971
FRST : https://up.security-x.fr/file.php?h=Rf90e28f6aa42b86f45ce38df744cf37c
Messages postés
1891
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
21 février 2021
305
RE_

Pas grand chose dans les rapports .

Postes le rapport Malwarebytes :
=> Ouvres Malwarebytes
=> Cliques sur Scanner ou analyse
=> Cliques sur Comptes rendus
=> Cliques sur télécharger le rapport
=> Si pas de rapport , lances une analyse et poste le rapport

Bah le problème c'est que ca fait déjà trois analyse avec Malwarebytes et il ne détecte aucune menace et pourtant il me spam de notif comme quoi il a bloquer un site web avec comme nom de domaine craftUP.giize.com.
Et que le probleme vient de RegAsm.exe
Rapport :
https://up.security-x.fr/file.php?h=R100d7eb008a8659e6e4be4d4fcef2c0c
Messages postés
1891
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
21 février 2021
305
RE_

Il faut poster les rapports comme pour FRST , stp ..
Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse

----------
-----------------------------

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

start::
closeprocesses:
createrestorepoint:
virustotal: C:\Windows\Setup\Scripts\DIKAssistDesktop.exe
virustotal: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
cmd: cscript %windir%\System32\slmgr.vbs /dli
emptytemp:
end::


--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le
ah désoler, bref voila le fixlog : https://up.security-x.fr/file.php?h=Re72d05aad7c5b5ef16e2e1a293ad78b6
Messages postés
1891
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
21 février 2021
305
RE_

Il y a un problème d'activation de Windows 10 ? tu confirmes ?
Nomÿ: Windows(R), Core edition
Description : Windows(R) Operating System, RETAIL channel
Cl‚ de produit partielleÿ: 8HVX7
Statut de la licence : notification
Raison de la notification : 0xC004F034.


--------------
-----------------------------------

Pour ton problème :

--> Copie ce qui se trouve ici : https://textup.fr/524883RY de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le

--> Dis moi si tu as toujours le problème .

Messages postés
6
Date d'inscription
vendredi 29 janvier 2021
Statut
Membre
Dernière intervention
12 février 2021

Pour windows c'est normale car j'ai copier la ssd du pc portable de ma mère qui de base était censé être un disque dur mais il y a eu des soucis avec le disque dur du coup ma mère se retrouve avec un pc sous un crack de windows 10.
Et de base j'était censé copier le disque dur de mon ancien pc mais il a une capacité de stockage plus grande que la ssd que j'ai actuellement.
Apres je dois juste retrouver le cd d'installation de windows que j'ai peut être perdu définitivement.

https://up.security-x.fr/file.php?h=R5bf6eb89d876cfcaeebad562aba2cc69

Et sinon j'ai toujours le problème avec RegAsm.
Messages postés
1891
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
21 février 2021
305
RE_

OK pour le rapport .Pour windows 10 , évites les cracks , tu as des licences à moins de 10 euros sur rakuten et autres.

-----------------

Pour ton problème , il vient certainement de Filmora qui est pourri

Désinstalles :

=> Wondershare Filmora X(Build 10.0.2.1)
=> Wondershare Helper Compact 2.6.0


Puis vérifie si c'est OK

Relances un scan FRST pour vérifier qu'il n'y a plus de traces et postes les nouveaux rapports
Messages postés
6
Date d'inscription
vendredi 29 janvier 2021
Statut
Membre
Dernière intervention
12 février 2021

Vraiment désoler pour le temps de réponse, j'avais réussi a résoudre le problème mais il est de retour (du coup c'est encore filmora mais je l'ai désinstaller mais toujours les mêmes problème (bref la prochaine fois je ne suis plus de tuto fais par des gamins de 10 ans)).

Addition : https://up.security-x.fr/file.php?h=R9f00b10f75fba1c60139ce3cb44a7a79
frst : https://up.security-x.fr/file.php?h=R43ea0feff91f4c8ee7061929331f7115
Shortcut : https://up.security-x.fr/file.php?h=R83583ddaf0f9d38809e1ed163396dabc
Messages postés
1891
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
21 février 2021
305
Salut ,

bref la prochaine fois je ne suis plus de tuto fais par des gamins de 10 ans


C'est à dire : )

-----------
-----------------------------

--> Copie ce qui se trouve ci dessous (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le

--> Dis moi si tu as toujours le problème .

start::
closeprocesses:
createrestorepoint:
HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
C:\Program Files\Common Files\Wondershare
HKU\S-1-5-21-246789546-2301261532-4149948280-1001\...\Run: [WondershareFilmoraX] => C:\Users\Carole\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wondershare Filmora X\WondershareFilmoraX.exe [572570032 2020-11-23] (Wondershare Technology Co.,Ltd -> ) [Fichier non signé]
C:\Users\Carole\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wondershare Filmora X
2021-02-08 01:53 - 2021-02-08 01:53 - 000000000 ____D C:\Users\Carole\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wondershare Filmora X
2021-02-08 01:52 - 2021-02-08 01:52 - 000000000 ____D C:\Users\Carole\AppData\Local\Wondershare
2021-02-08 01:51 - 2021-02-08 01:51 - 000000000 ____D C:\Users\Carole\Documents\Wondershare
emptytemp:
end::

Messages postés
6
Date d'inscription
vendredi 29 janvier 2021
Statut
Membre
Dernière intervention
12 février 2021

En tout cas merci, et si j'ai de nouveau un problème j'irais paniquer de nouveau sur le forum x).
Messages postés
1891
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
21 février 2021
305
RE_

OK ??? , mais tu as fait la procédure ? tu peux faire ça ? :

--> Un fichier fixlog est créé au même endroit que FRST , postes le

--> Dis moi si tu as toujours le problème .



Messages postés
6
Date d'inscription
vendredi 29 janvier 2021
Statut
Membre
Dernière intervention
12 février 2021

Encore désoler de l'attente, j'avais pas vue qui fallait poster le fixlog.
Mais sinon oui j'ai fait la procédure.

https://up.security-x.fr/file.php?h=R380781f0c81d7ccf373f99d68be2b4ea
Messages postés
1891
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
21 février 2021
305
RE_

OK pour le fixlog , est ce que le problème est réglé ?

-----
-----------

Apparemment , il y a un souci sur la restauration , est ce qu'elle est bien activée ?

Réactive la restauration

Crée un point