Infection par trojan browser Hijack, accents circonflexes en double. [Résolu]

Signaler
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021
-
Messages postés
33387
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 juin 2021
-
Bonjour

J'ai fait une terrible erreur de débutant et j'ai attrapé des trojan en ne faisant pas attention.
Je n'arrive pas à m'en débarrasser, ils me provoquent le problème des accents circonflexes en double mais pas de ralentissement de l'ordinateur.

J'ai fait une analyse Malewarebytes et voici le rapport:

Dossier: 2
Trojan.BrowserHijack, C:\ProgramData\Usumo\Isvl\AE9D282A, Aucune action de l'utilisateur, 2692, 940996, , , , , ,
Trojan.BrowserHijack, C:\PROGRAMDATA\USUMO\ISVL, Aucune action de l'utilisateur, 2692, 940996, 1.0.40896, , ame, , ,

Fichier: 4
Trojan.BrowserHijack, C:\PROGRAMDATA\USUMO\ISVL\AE9D282A\BACKGROUND.JS, Aucune action de l'utilisateur, 2692, 940996, 1.0.40896, , ame, , E19C5A9A41551B7C1351FED7644455D1, C063EF9CA540DEB7921569D653EC541424A3434018DCC11150237E9974484F70
Trojan.BrowserHijack, C:\ProgramData\Usumo\Isvl\AE9D282A\icon128.png, Aucune action de l'utilisateur, 2692, 940996, , , , , 86DF701CE3B2191A415BDEF3222AB59F, E2712D19AA6AA4A29827E76C4DF53F54B5207AB9C90C0CB2202635072D41AA22
Trojan.BrowserHijack, C:\ProgramData\Usumo\Isvl\AE9D282A\manifest.json, Aucune action de l'utilisateur, 2692, 940996, , , , , 548AB6E5BCB28C574CA61DCA515BDA17, 83EC1385CAF51A656BCF31D16BABD31CE24B1F0AAB1EF2D94496C3D0F630DCBF
Trojan.BrowserHijack, C:\ProgramData\Usumo\Isvl\AE9D282A\vmufxr, Aucune action de l'utilisateur, 2692, 940996, , , , , 84003DEFAC11294C03B1BA38CD88EE84, 01D5488C7BE34161BABA608F0C1D7F580B2DC08BF2BC6686E360FC0B6FD4B24B


J'ai aussi fait une analyse FRST, si quelqu'un pourrait m'aider à la comprendre:

FRST: https://pjjoint.malekal.com/files.php?id=FRST_20210525_p5y11q8m9b10

Addition: https://pjjoint.malekal.com/files.php?id=20210525_c10q7h13n8x7

J'ai essayé de supprimer les fichiers mais ils reviennent et même la mise en quarantaine ne fait rien. S'il était possible de me donner quelques conseils pour réparer ma stupide erreur ce serait génial

Merci beaucoup de votre aide
Cordialement

2 réponses

Messages postés
43167
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
9 juin 2021
3 689
Bonjour
Tu peux d'ores et déjà faire la suppression avec MBAM :)
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021

Bonjour !

La suppression par MBAM ne semble rien faire en fait :/ à chaque analyse les mêmes fichiers reviennent.
Messages postés
43167
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
9 juin 2021
3 689 >
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021

bazfile a été plus rapide que moi suis ses instructions :)
Messages postés
33387
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 juin 2021
13 644
Bonjour,
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
HKU\S-1-5-21-2225925129-3406684854-2229284581-1001\...\Run: [Prun] => C:\WINDOWS\PublicGaming\prun.exe [705460736 2021-05-17] (DearMob, Inc.) [Fichier non signé]
HKLM\SOFTWARE\Policies\Google: Restriction
S2 AppServicea; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceb; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicec; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServiced; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicee; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicef; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceg; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceh; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicei; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicej; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicek; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicel; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicem; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicen; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceo; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicep; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceq; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicer; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServices; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicet; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceu; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicev; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicew; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicex; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicey; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
C:\WINDOWS\system32\6VSVEFM60I.tmp
C:\WINDOWS\PublicGaming\prun.exe
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

.
Messages postés
33387
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 juin 2021
13 644 > Freeanh

Fait une nouvelle correction FRST avec ce nouveau script :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
Task: {7F2C2A94-6C27-4010-803A-F533D3BCB3BD} - System32\Tasks\Hewlett-Packard\HP Support Assistant\Narranpdxx => rundll32 "C:\Program Files (x86)\Common Files\CaptureTypes\LayerDipsoy\JBBJsuft_roc.dll" dspreligc_ntpr
C:\Program Files (x86)\Common Files\CaptureTypes
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

.
>
Messages postés
33387
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 juin 2021

Bonjour @bazfile,
Merci pour ton aide, même un dimanche de fête !

Voici le lien généré par Pjoint : https://pjjoint.malekal.com/files.php?id=20210530_d15q13g15y7f6

J'attends un petit moment avant de te dire si c'est ok. Mais là ça fait 3 minutes et j'arrive à écrire le mot "même" :-). Je croise les doigts !

Bon après-midi
Messages postés
33387
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 juin 2021
13 644 > Freeanh
Le fixlog est OK pour moi l'infection est totalement supprimée.
Quand de ton côté tu estimeras que tout est redevenu normal, tu pourras désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
>
Messages postés
33387
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 juin 2021

Toujours NICKEL !! Même pas de double circonflexe !
Merci Merci Merci... infiniment @bazfile.

Bonne fin de week-end :-)
Messages postés
33387
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 juin 2021
13 644 > Freeanh
Bon fin de week-end à toi aussi. :)