Sujet Précédent Sujet Suivant

Spyware toujours présent

Résolu/Fermé
Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021 - 26 mai 2021 à 11:29
bazfile Messages postés 53572 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024 - 27 mai 2021 à 09:14
Bonjour,

J'ai déjà fait un poste hier dessus mais il se trouve que je suis infectée par un keyboard logger dont je n'arrive pas à me débarrasser (j'ai le problème des doubles accent circonflexes)

MBAM détecte des malewares, j'ai beau les mettre en quarantaine et ensuite les supprimer, ils reviennent sans cesse.

J'ai fait une analyse FRST hier et quelqu'un m'a corrigé mon problème mais cela n'a pas duré longtemps car le double accent circonflexe est revenu. J'ai changé mes mots de passe par précaution sur un autre pc non infecté.
J'ai l'impression que le malware revient dès que j'ouvre Google Chrome ou Brave.

Je joins le rapport MBAM et FRST:

Dossier: 2
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A, Aucune action de l'utilisateur, 2692, 940996, , , , , ,
Trojan.BrowserHijack, C:\PROGRAMDATA\USUMO\TDHKQT, Aucune action de l'utilisateur, 2692, 940996, 1.0.40932, , ame, , ,

Fichier: 4
Trojan.BrowserHijack, C:\PROGRAMDATA\USUMO\TDHKQT\AE9D282A\BACKGROUND.JS, Aucune action de l'utilisateur, 2692, 940996, 1.0.40932, , ame, , E19C5A9A41551B7C1351FED7644455D1, C063EF9CA540DEB7921569D653EC541424A3434018DCC11150237E9974484F70
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A\icon128.png, Aucune action de l'utilisateur, 2692, 940996, , , , , 86DF701CE3B2191A415BDEF3222AB59F, E2712D19AA6AA4A29827E76C4DF53F54B5207AB9C90C0CB2202635072D41AA22
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A\manifest.json, Aucune action de l'utilisateur, 2692, 940996, , , , , 548AB6E5BCB28C574CA61DCA515BDA17, 83EC1385CAF51A656BCF31D16BABD31CE24B1F0AAB1EF2D94496C3D0F630DCBF
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A\vmufxr, Aucune action de l'utilisateur, 2692, 940996, , , , , 84003DEFAC11294C03B1BA38CD88EE84, 01D5488C7BE34161BABA608F0C1D7F580B2DC08BF2BC6686E360FC0B6FD4B24B


FRST: https://pjjoint.malekal.com/files.php?id=FRST_20210526_o11e5d11x8u12

Addition: https://pjjoint.malekal.com/files.php?id=20210526_l7m5s7x9o13

Je panique un peu parce que bon me faire espionner c'est pas fou et j'ai pas envie de changer mes mots de passe tous les deux jours.

Merci beaucoup de votre aide !

A voir également:

3 réponses

Réponse 1 / 3
bazfile Messages postés 53572 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024 18 452
Modifié le 26 mai 2021 à 11:52
Bonjour,

Ce que trouve MBAM est une extension dans Chrome, supprime l'extension yChromeScan, l'infection principale a été supprimée hier.
Pour la supprimer voir CETTE PAGE paragraphe Désinstaller une extension ou si elle n'est pas présente dans la liste des extensions réinitialise Google Chrome avec reset browser.

Une fois l'extension supprimée fait ce qui suit :
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
CloseProcesses:
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
C:\ProgramData\Usumo\Tdhkqt
cmd: ipconfig /flushdns
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

.
0
Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021
26 mai 2021 à 12:01
J'ai supprimé l'extension et j'ai fait le correctif:

https://pjjoint.malekal.com/files.php?id=20210526_m7i12w5j9e8

Par contre j'ai toujours le double accent circonflexe et je viens de me rendre compte que l'extension est de retour
0
bazfile Messages postés 53572 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024 18 452 > Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021
Modifié le 26 mai 2021 à 12:12
Tu as Yolomouse qui se lance au démarrage du pc connais-tu cette application qui est sur le disque D ?
Fait une nouvelle analyse FRST et donne les rapports.
0
Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021 > bazfile Messages postés 53572 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024
26 mai 2021 à 12:21
Oui je connais cette application ! elle me permet juste de changer mon curseur.

FRST: https://pjjoint.malekal.com/files.php?id=FRST_20210526_u8t14t13j7v7
Addition: https://pjjoint.malekal.com/files.php?id=20210526_x6s6g14i8y12
0
bazfile Messages postés 53572 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024 18 452 > Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021
Modifié le 26 mai 2021 à 13:16
Contrairement à ce que tu dis l''extension yChromeScan n'est plus présente dans Google Chrome, elle n'apparaît pas dans le rapport.

Fait cette correction avec FRST : 
Start::
CreateRestorePoint:
CloseProcesses:
IFEO\LogTransport2.exe: [Debugger] 0
S3 mracsvc; C:\WINDOWS\System32\mracsvc.exe [16966416 2019-06-09] (Mail.Ru LLC -> LLC Mail.Ru)
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [16228328 2019-06-09] (Mail.Ru LLC -> LLC Mail.Ru)
EmptyTemp:
End::

Vérifie si ton problème est encore présent.

Si ce n'est pas mieux, vu qu'il n'y a rien de plus à supprimer dans le rapport FRST, fait une analyse approfondie avec https://www.malekal.com/scan-antivirus-ligne-nod32/
0
Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021 > bazfile Messages postés 53572 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024
26 mai 2021 à 13:16
J'ai fais la correction, si j'ouvre un fichier notepad, le problème du double accent circonflexe est corrigé mais il revient dès que j'ouvre une page internet.
MBAM détecte toujours la présence du malware.
0
Réponse 2 / 3
MisteryBean Messages postés 8672 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024 1 215
26 mai 2021 à 19:35
Bonjour,

Réactive la restauration

Avant de réinitialiser ton PC , essaie ce correctif avec FRST et dis ce que ça donne : 

start::
closeprocesses:
createrestorepoint:
Task: {FC4C3FE2-5811-44F2-8ED5-2E70E34493D2} - System32\Tasks\Microsoft\Windows\Autochk\Dezxzsr => C:\WINDOWS\SysWOW64\rundll32.exe "C:\Program Files (x86)\PolicyCount\TaskCyxse\Syaadd__ctrl.dll" winivions_Dext
C:\Program Files (x86)\PolicyCount
C:\ProgramData\Usumo
emptytemp:
end::
0
bazfile Messages postés 53572 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024 18 452
26 mai 2021 à 23:58
Bien vu je n'avais pas remarqué cette tache planifiée plus que douteuse.
@+
0
Réponse 3 / 3
MisteryBean Messages postés 8672 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024 1 215
27 mai 2021 à 00:39
Salut ,

Oui , pas évidente à détecter :-)

A voir s'il y a un retour pour savoir si c'est bien elle qui recrée l'extension et le dossier.
0
bazfile Messages postés 53572 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024 18 452
27 mai 2021 à 00:52
Je pense que oui car aucune occurrence de ce soft sur le web et comme ce problème revient par intermittence c'est une tache planifiée qui en est la cause, je n'ais pas assez bien regardé, en ce moment je n'ai qu'une tablette avec un écran minuscule, demain je dois recevoir un nouvel ecran le mien m'ayant honteusement lâché.
Bonne nuit
0
Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021
27 mai 2021 à 08:51
Bonjour !

J'ai fait le correctif et voici le rapport:
https://pjjoint.malekal.com/files.php?id=20210527_h7q6q15u8e5

et je crois bien que c'est parti pour de bon !! MERCI MERCI INFINIMENT j'en suis enfin débarrassée ! (je vais pleurer de joie tellement j'étais désespérée)
0
bazfile Messages postés 53572 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024 18 452 > Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021
27 mai 2021 à 09:05
Le fixlog est OK
@+ sur CCM et merci à MisteryBean et à sa vue d'aigle. :)
0
Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021 > bazfile Messages postés 53572 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024
27 mai 2021 à 09:07
Merci infiniment à toi aussi !
une dernière question je peux resynchroniser google chrome en toute sureté ou il y a un risque que le maleware revienne ?
0
bazfile Messages postés 53572 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024 18 452 > Stupid_infested Messages postés 18 Date d'inscription mardi 25 mai 2021 Statut Membre Dernière intervention 27 mai 2021
Modifié le 27 mai 2021 à 09:13
Tu peux synchroniser sans problème, c'était une tache planifiée qui était la cause du retour permanent de l'infection, quand tu démarrais ton pc l'infection revenait dés que la tâche planifiée se lançait, les tâches planifiées sont programmées pour se lancer à intervalles régulier plus ou moins proches selon le logiciel auquel elles sont liées.
0

Discussions similaires

Chemin Logo du site de la Cité de l'espace
Keiios -
blux -

11 réponses
Trojan alerte
Titou43 -
gen-hackman -

23 réponses
Comment vider la memoire RAM de ma TV LG?
Ozoori -
Pattou -

11 réponses
Logiciel désinstallé mais toujours présent
branjouan -
branjouan -

20 réponses
Start px over IPv4
Colygoods -
Len -

4 réponses