Spyware toujours présent [Résolu]

Signaler
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021
-
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021
-
Bonjour,

J'ai déjà fait un poste hier dessus mais il se trouve que je suis infectée par un keyboard logger dont je n'arrive pas à me débarrasser (j'ai le problème des doubles accent circonflexes)

MBAM détecte des malewares, j'ai beau les mettre en quarantaine et ensuite les supprimer, ils reviennent sans cesse.

J'ai fait une analyse FRST hier et quelqu'un m'a corrigé mon problème mais cela n'a pas duré longtemps car le double accent circonflexe est revenu. J'ai changé mes mots de passe par précaution sur un autre pc non infecté.
J'ai l'impression que le malware revient dès que j'ouvre Google Chrome ou Brave.

Je joins le rapport MBAM et FRST:

Dossier: 2
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A, Aucune action de l'utilisateur, 2692, 940996, , , , , ,
Trojan.BrowserHijack, C:\PROGRAMDATA\USUMO\TDHKQT, Aucune action de l'utilisateur, 2692, 940996, 1.0.40932, , ame, , ,

Fichier: 4
Trojan.BrowserHijack, C:\PROGRAMDATA\USUMO\TDHKQT\AE9D282A\BACKGROUND.JS, Aucune action de l'utilisateur, 2692, 940996, 1.0.40932, , ame, , E19C5A9A41551B7C1351FED7644455D1, C063EF9CA540DEB7921569D653EC541424A3434018DCC11150237E9974484F70
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A\icon128.png, Aucune action de l'utilisateur, 2692, 940996, , , , , 86DF701CE3B2191A415BDEF3222AB59F, E2712D19AA6AA4A29827E76C4DF53F54B5207AB9C90C0CB2202635072D41AA22
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A\manifest.json, Aucune action de l'utilisateur, 2692, 940996, , , , , 548AB6E5BCB28C574CA61DCA515BDA17, 83EC1385CAF51A656BCF31D16BABD31CE24B1F0AAB1EF2D94496C3D0F630DCBF
Trojan.BrowserHijack, C:\ProgramData\Usumo\Tdhkqt\AE9D282A\vmufxr, Aucune action de l'utilisateur, 2692, 940996, , , , , 84003DEFAC11294C03B1BA38CD88EE84, 01D5488C7BE34161BABA608F0C1D7F580B2DC08BF2BC6686E360FC0B6FD4B24B


FRST: https://pjjoint.malekal.com/files.php?id=FRST_20210526_o11e5d11x8u12

Addition: https://pjjoint.malekal.com/files.php?id=20210526_l7m5s7x9o13

Je panique un peu parce que bon me faire espionner c'est pas fou et j'ai pas envie de changer mes mots de passe tous les deux jours.

Merci beaucoup de votre aide !

3 réponses

Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021
13 644
Bonjour,

Ce que trouve MBAM est une extension dans Chrome, supprime l'extension yChromeScan, l'infection principale a été supprimée hier.
Pour la supprimer voir CETTE PAGE paragraphe Désinstaller une extension ou si elle n'est pas présente dans la liste des extensions réinitialise Google Chrome avec reset browser.

Une fois l'extension supprimée fait ce qui suit :
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
C:\ProgramData\Usumo\Tdhkqt
cmd: ipconfig /flushdns
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

.
bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021
13 644 >
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021

Désynchronise Chrome et réinitialise-le ensuite n'ouvre que Chrome et regarde si le problème revient, les autres navigateurs internet sont-ils synchronisés ?
Fait une nouvelle analyse FRST
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021
>
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021

J'ai désynchronisé et réinitialisé tous mes navigateurs.

Voici la nouvelle analyse:

FRST:https://pjjoint.malekal.com/files.php?id=FRST_20210526_s15w12x14v78
Addition: https://pjjoint.malekal.com/files.php?id=20210526_d13u10s12t10c15
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021
13 644 >
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021

Il n'y a rien dans le rapport FRST tout est apparemment OK, tu as désinstallé Brave réinialise Firefox https://support.mozilla.org/fr/kb/reparer-firefox-reinitialiser-modules-parametres, je pense que ce problème vient de la synchronisation bien que les navigateurs internet soient tous OK.
Fait ce script :
Start::
CreateRestorePoint:
CloseProcesses:
EmptyTemp:
End::


Si ce n'est pas mieux et vu que je ne peux rien supprimer de plus fait un scan avec https://www.malekal.com/scan-antivirus-ligne-nod32/
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021
>
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021

Je suis en train de faire le scan, je te dirais si cela résout le problème !
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021
>
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021

J'ai fait le scan, le logiciel a supprimé les malwares, tout fonctionnait pendant 5 minutes et le problème est revenu.
Je pense qu'il vaut mieux clore le sujet, je ferais une réinitialisation totale du pc qui sait ça fonctionnera
Messages postés
3035
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
11 juin 2021
471
Bonjour,

Réactive la restauration

Avant de réinitialiser ton PC , essaie ce correctif avec FRST et dis ce que ça donne :

start::
closeprocesses:
createrestorepoint:
Task: {FC4C3FE2-5811-44F2-8ED5-2E70E34493D2} - System32\Tasks\Microsoft\Windows\Autochk\Dezxzsr => C:\WINDOWS\SysWOW64\rundll32.exe "C:\Program Files (x86)\PolicyCount\TaskCyxse\Syaadd__ctrl.dll" winivions_Dext
C:\Program Files (x86)\PolicyCount
C:\ProgramData\Usumo
emptytemp:
end::

Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021
13 644
Bien vu je n'avais pas remarqué cette tache planifiée plus que douteuse.
@+
Messages postés
3035
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
11 juin 2021
471
Salut ,

Oui , pas évidente à détecter :-)

A voir s'il y a un retour pour savoir si c'est bien elle qui recrée l'extension et le dossier.
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021
13 644 >
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021

Le fixlog est OK
@+ sur CCM et merci à MisteryBean et à sa vue d'aigle. :)
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021
>
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021

Merci infiniment à toi aussi !
une dernière question je peux resynchroniser google chrome en toute sureté ou il y a un risque que le maleware revienne ?
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021
13 644 >
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021

Tu peux synchroniser sans problème, c'était une tache planifiée qui était la cause du retour permanent de l'infection, quand tu démarrais ton pc l'infection revenait dés que la tâche planifiée se lançait, les tâches planifiées sont programmées pour se lancer à intervalles régulier plus ou moins proches selon le logiciel auquel elles sont liées.
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021
>
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021

Merci beaucoup!

Passe une excellente journée !
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021
13 644 >
Messages postés
18
Date d'inscription
mardi 25 mai 2021
Statut
Membre
Dernière intervention
27 mai 2021

Bonne journée à toi également.