Spyware toujours présent
Résolu
Stupid_infested
Messages postés
18
Date d'inscription
Statut
Membre
Dernière intervention
-
bazfile Messages postés 58600 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
bazfile Messages postés 58600 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
J'ai déjà fait un poste hier dessus mais il se trouve que je suis infectée par un keyboard logger dont je n'arrive pas à me débarrasser (j'ai le problème des doubles accent circonflexes)
MBAM détecte des malewares, j'ai beau les mettre en quarantaine et ensuite les supprimer, ils reviennent sans cesse.
J'ai fait une analyse FRST hier et quelqu'un m'a corrigé mon problème mais cela n'a pas duré longtemps car le double accent circonflexe est revenu. J'ai changé mes mots de passe par précaution sur un autre pc non infecté.
J'ai l'impression que le malware revient dès que j'ouvre Google Chrome ou Brave.
Je joins le rapport MBAM et FRST:
Dossier: 2
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A, Aucune action de l'utilisateur, 2692, 940996, , , , , ,
Trojan.BrowserHijack, C:\PROGRAMDATA\USUMO\TDHKQT, Aucune action de l'utilisateur, 2692, 940996, 1.0.40932, , ame, , ,
Fichier: 4
Trojan.BrowserHijack, C:\PROGRAMDATA\USUMO\TDHKQT\AE9D282A\BACKGROUND.JS, Aucune action de l'utilisateur, 2692, 940996, 1.0.40932, , ame, , E19C5A9A41551B7C1351FED7644455D1, C063EF9CA540DEB7921569D653EC541424A3434018DCC11150237E9974484F70
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A\icon128.png, Aucune action de l'utilisateur, 2692, 940996, , , , , 86DF701CE3B2191A415BDEF3222AB59F, E2712D19AA6AA4A29827E76C4DF53F54B5207AB9C90C0CB2202635072D41AA22
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A\manifest.json, Aucune action de l'utilisateur, 2692, 940996, , , , , 548AB6E5BCB28C574CA61DCA515BDA17, 83EC1385CAF51A656BCF31D16BABD31CE24B1F0AAB1EF2D94496C3D0F630DCBF
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A\vmufxr, Aucune action de l'utilisateur, 2692, 940996, , , , , 84003DEFAC11294C03B1BA38CD88EE84, 01D5488C7BE34161BABA608F0C1D7F580B2DC08BF2BC6686E360FC0B6FD4B24B
FRST: https://pjjoint.malekal.com/files.php?id=FRST_20210526_o11e5d11x8u12
Addition: https://pjjoint.malekal.com/files.php?id=20210526_l7m5s7x9o13
Je panique un peu parce que bon me faire espionner c'est pas fou et j'ai pas envie de changer mes mots de passe tous les deux jours.
Merci beaucoup de votre aide !
J'ai déjà fait un poste hier dessus mais il se trouve que je suis infectée par un keyboard logger dont je n'arrive pas à me débarrasser (j'ai le problème des doubles accent circonflexes)
MBAM détecte des malewares, j'ai beau les mettre en quarantaine et ensuite les supprimer, ils reviennent sans cesse.
J'ai fait une analyse FRST hier et quelqu'un m'a corrigé mon problème mais cela n'a pas duré longtemps car le double accent circonflexe est revenu. J'ai changé mes mots de passe par précaution sur un autre pc non infecté.
J'ai l'impression que le malware revient dès que j'ouvre Google Chrome ou Brave.
Je joins le rapport MBAM et FRST:
Dossier: 2
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A, Aucune action de l'utilisateur, 2692, 940996, , , , , ,
Trojan.BrowserHijack, C:\PROGRAMDATA\USUMO\TDHKQT, Aucune action de l'utilisateur, 2692, 940996, 1.0.40932, , ame, , ,
Fichier: 4
Trojan.BrowserHijack, C:\PROGRAMDATA\USUMO\TDHKQT\AE9D282A\BACKGROUND.JS, Aucune action de l'utilisateur, 2692, 940996, 1.0.40932, , ame, , E19C5A9A41551B7C1351FED7644455D1, C063EF9CA540DEB7921569D653EC541424A3434018DCC11150237E9974484F70
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A\icon128.png, Aucune action de l'utilisateur, 2692, 940996, , , , , 86DF701CE3B2191A415BDEF3222AB59F, E2712D19AA6AA4A29827E76C4DF53F54B5207AB9C90C0CB2202635072D41AA22
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A\manifest.json, Aucune action de l'utilisateur, 2692, 940996, , , , , 548AB6E5BCB28C574CA61DCA515BDA17, 83EC1385CAF51A656BCF31D16BABD31CE24B1F0AAB1EF2D94496C3D0F630DCBF
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A\vmufxr, Aucune action de l'utilisateur, 2692, 940996, , , , , 84003DEFAC11294C03B1BA38CD88EE84, 01D5488C7BE34161BABA608F0C1D7F580B2DC08BF2BC6686E360FC0B6FD4B24B
FRST: https://pjjoint.malekal.com/files.php?id=FRST_20210526_o11e5d11x8u12
Addition: https://pjjoint.malekal.com/files.php?id=20210526_l7m5s7x9o13
Je panique un peu parce que bon me faire espionner c'est pas fou et j'ai pas envie de changer mes mots de passe tous les deux jours.
Merci beaucoup de votre aide !
A voir également:
- Spyware toujours présent
- Spyware doctor - Télécharger - Antivirus & Antimalwares
- Spyware terminator - Télécharger - Antivirus & Antimalwares
- Spyware blaster - Télécharger - Antivirus & Antimalwares
- Anti spyware gratuit - Télécharger - Antivirus & Antimalwares
- Anti spyware - Télécharger - Antivirus & Antimalwares
3 réponses
Bonjour,
Ce que trouve MBAM est une extension dans Chrome, supprime l'extension yChromeScan, l'infection principale a été supprimée hier.
Pour la supprimer voir CETTE PAGE paragraphe Désinstaller une extension ou si elle n'est pas présente dans la liste des extensions réinitialise Google Chrome avec reset browser.
Une fois l'extension supprimée fait ce qui suit :
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
3- Une fois le script copié clique sur Corriger.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
Ce que trouve MBAM est une extension dans Chrome, supprime l'extension yChromeScan, l'infection principale a été supprimée hier.
Pour la supprimer voir CETTE PAGE paragraphe Désinstaller une extension ou si elle n'est pas présente dans la liste des extensions réinitialise Google Chrome avec reset browser.
Une fois l'extension supprimée fait ce qui suit :
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
C:\ProgramData\Usumo\Tdhkqt
cmd: ipconfig /flushdns
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
.
Bonjour,
Réactive la restauration
Avant de réinitialiser ton PC , essaie ce correctif avec FRST et dis ce que ça donne :
Réactive la restauration
Avant de réinitialiser ton PC , essaie ce correctif avec FRST et dis ce que ça donne :
start::
closeprocesses:
createrestorepoint:
Task: {FC4C3FE2-5811-44F2-8ED5-2E70E34493D2} - System32\Tasks\Microsoft\Windows\Autochk\Dezxzsr => C:\WINDOWS\SysWOW64\rundll32.exe "C:\Program Files (x86)\PolicyCount\TaskCyxse\Syaadd__ctrl.dll" winivions_Dext
C:\Program Files (x86)\PolicyCount
C:\ProgramData\Usumo
emptytemp:
end::
Salut ,
Oui , pas évidente à détecter :-)
A voir s'il y a un retour pour savoir si c'est bien elle qui recrée l'extension et le dossier.
Oui , pas évidente à détecter :-)
A voir s'il y a un retour pour savoir si c'est bien elle qui recrée l'extension et le dossier.
Je pense que oui car aucune occurrence de ce soft sur le web et comme ce problème revient par intermittence c'est une tache planifiée qui en est la cause, je n'ais pas assez bien regardé, en ce moment je n'ai qu'une tablette avec un écran minuscule, demain je dois recevoir un nouvel ecran le mien m'ayant honteusement lâché.
Bonne nuit
Bonne nuit
Bonjour !
J'ai fait le correctif et voici le rapport:
https://pjjoint.malekal.com/files.php?id=20210527_h7q6q15u8e5
et je crois bien que c'est parti pour de bon !! MERCI MERCI INFINIMENT j'en suis enfin débarrassée ! (je vais pleurer de joie tellement j'étais désespérée)
J'ai fait le correctif et voici le rapport:
https://pjjoint.malekal.com/files.php?id=20210527_h7q6q15u8e5
et je crois bien que c'est parti pour de bon !! MERCI MERCI INFINIMENT j'en suis enfin débarrassée ! (je vais pleurer de joie tellement j'étais désespérée)
Tu peux synchroniser sans problème, c'était une tache planifiée qui était la cause du retour permanent de l'infection, quand tu démarrais ton pc l'infection revenait dés que la tâche planifiée se lançait, les tâches planifiées sont programmées pour se lancer à intervalles régulier plus ou moins proches selon le logiciel auquel elles sont liées.
https://pjjoint.malekal.com/files.php?id=20210526_m7i12w5j9e8
Par contre j'ai toujours le double accent circonflexe et je viens de me rendre compte que l'extension est de retour
Fait une nouvelle analyse FRST et donne les rapports.
FRST: https://pjjoint.malekal.com/files.php?id=FRST_20210526_u8t14t13j7v7
Addition: https://pjjoint.malekal.com/files.php?id=20210526_x6s6g14i8y12
Fait cette correction avec FRST :
Vérifie si ton problème est encore présent.
Si ce n'est pas mieux, vu qu'il n'y a rien de plus à supprimer dans le rapport FRST, fait une analyse approfondie avec https://www.malekal.com/scan-antivirus-ligne-nod32/
MBAM détecte toujours la présence du malware.