Sujet Précédent Sujet Suivant

Infection par trojan browser Hijack, accents circonflexes en double.

Résolu/Fermé
Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021 - Modifié le 26 mai 2021 à 10:40
bazfile Messages postés 55987 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 septembre 2024 - 30 mai 2021 à 17:34
Bonjour

J'ai fait une terrible erreur de débutant et j'ai attrapé des trojan en ne faisant pas attention.
Je n'arrive pas à m'en débarrasser, ils me provoquent le problème des accents circonflexes en double mais pas de ralentissement de l'ordinateur.

J'ai fait une analyse Malewarebytes et voici le rapport:

Dossier: 2
Trojan.BrowserHijack, C:\ProgramData\Usumo\Isvl\AE9D282A, Aucune action de l'utilisateur, 2692, 940996, , , , , ,
Trojan.BrowserHijack, C:\PROGRAMDATA\USUMO\ISVL, Aucune action de l'utilisateur, 2692, 940996, 1.0.40896, , ame, , ,

Fichier: 4
Trojan.BrowserHijack, C:\PROGRAMDATA\USUMO\ISVL\AE9D282A\BACKGROUND.JS, Aucune action de l'utilisateur, 2692, 940996, 1.0.40896, , ame, , E19C5A9A41551B7C1351FED7644455D1, C063EF9CA540DEB7921569D653EC541424A3434018DCC11150237E9974484F70
Trojan.BrowserHijack, C:\ProgramData\Usumo\Isvl\AE9D282A\icon128.png, Aucune action de l'utilisateur, 2692, 940996, , , , , 86DF701CE3B2191A415BDEF3222AB59F, E2712D19AA6AA4A29827E76C4DF53F54B5207AB9C90C0CB2202635072D41AA22
Trojan.BrowserHijack, C:\ProgramData\Usumo\Isvl\AE9D282A\manifest.json, Aucune action de l'utilisateur, 2692, 940996, , , , , 548AB6E5BCB28C574CA61DCA515BDA17, 83EC1385CAF51A656BCF31D16BABD31CE24B1F0AAB1EF2D94496C3D0F630DCBF
Trojan.BrowserHijack, C:\ProgramData\Usumo\Isvl\AE9D282A\vmufxr, Aucune action de l'utilisateur, 2692, 940996, , , , , 84003DEFAC11294C03B1BA38CD88EE84, 01D5488C7BE34161BABA608F0C1D7F580B2DC08BF2BC6686E360FC0B6FD4B24B


J'ai aussi fait une analyse FRST, si quelqu'un pourrait m'aider à la comprendre:

FRST: https://pjjoint.malekal.com/files.php?id=FRST_20210525_p5y11q8m9b10

Addition: https://pjjoint.malekal.com/files.php?id=20210525_c10q7h13n8x7

J'ai essayé de supprimer les fichiers mais ils reviennent et même la mise en quarantaine ne fait rien. S'il était possible de me donner quelques conseils pour réparer ma stupide erreur ce serait génial

Merci beaucoup de votre aide
Cordialement
A voir également:

2 réponses

Réponse 1 / 2
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 19 juillet 2024 3 807
25 mai 2021 à 17:42
Bonjour
Tu peux d'ores et déjà faire la suppression avec MBAM :)
0
Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021
25 mai 2021 à 17:45
Bonjour !

La suppression par MBAM ne semble rien faire en fait :/ à chaque analyse les mêmes fichiers reviennent.
0
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 19 juillet 2024 3 807 > Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021
25 mai 2021 à 17:47
bazfile a été plus rapide que moi suis ses instructions :)
0
Réponse 2 / 2
bazfile Messages postés 55987 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 septembre 2024 Ambassadeur 19 146
Modifié le 25 mai 2021 à 17:48
Bonjour,
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKU\S-1-5-21-2225925129-3406684854-2229284581-1001\...\Run: [Prun] => C:\WINDOWS\PublicGaming\prun.exe [705460736 2021-05-17] (DearMob, Inc.) [Fichier non signé] 
HKLM\SOFTWARE\Policies\Google: Restriction 
S2 AppServicea; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceb; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicec; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServiced; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicee; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicef; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceg; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceh; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicei; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicej; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicek; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicel; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicem; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicen; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceo; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicep; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceq; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicer; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServices; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicet; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceu; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicev; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicew; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicex; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
S2 AppServicey; C:\WINDOWS\system32\6VSVEFM60I.tmp [6144 2021-05-17] (Microsoft Corporation) [Fichier non signé]
C:\WINDOWS\system32\6VSVEFM60I.tmp
C:\WINDOWS\PublicGaming\prun.exe
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

.
0
Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021
25 mai 2021 à 17:56
Bonjour !

Merci de ta réponse et de ton aide ! J'ai suivi les instructions et voilà ce que dit le fixlog:

https://pjjoint.malekal.com/files.php?id=20210525_s8b14z7k7w11
0
bazfile Messages postés 55987 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 septembre 2024 19 146 > Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021
Modifié le 25 mai 2021 à 18:03
Tu as fait deux fois la correction ;)
Le fixlog est OK, ton pc va-t-il mieux ?
0
Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021 > bazfile Messages postés 55987 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 septembre 2024
25 mai 2021 à 18:09
Je n'ai plus le problème des accents circonflexes, est ce que dois refaire une analyse MBAM pour vérifier que les fichiers trojan ne sont plus sur mon pc ?

Merci encore de ton aide ! :)
0
bazfile Messages postés 55987 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 septembre 2024 19 146 > Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021
25 mai 2021 à 18:12
Pour MBAM tu fais comme tu veux mais l'infection est supprimée.

POUR INFORMATION:

Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur, car ce serait dommage de tomber en panne de batterie avant que la mise à jour ne soit terminée.

Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé et renomme-le en uninstall puis ouvre-le la désinstallation se fera automatiquement via un redémarrage du pc.
0
Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021 > bazfile Messages postés 55987 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 septembre 2024
25 mai 2021 à 18:32
Merci énormément de ton aide !
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
comment ecrire un double cote " "
helmii -
[Dal] -

3 réponses