Malware MosaïcLoader
Résolu/Fermé
bpautal
Messages postés
153
Date d'inscription
vendredi 3 octobre 2014
Statut
Membre
Dernière intervention
25 novembre 2024
-
7 août 2021 à 10:41
bazfile Messages postés 56852 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 11 janvier 2025 - 9 août 2021 à 09:09
bazfile Messages postés 56852 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 11 janvier 2025 - 9 août 2021 à 09:09
A voir également:
- Malware MosaïcLoader
- Malware byte - Télécharger - Antivirus & Antimalwares
- Supprimer malware - Guide
- Mosaicloader - Guide
- Tor.jack malware - Forum Virus
- Roguekiller anti-malware - Télécharger - Antivirus & Antimalwares
10 réponses
bazfile
Messages postés
56852
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 janvier 2025
19 374
Modifié le 7 août 2021 à 11:22
Modifié le 7 août 2021 à 11:22
Bonjour,
je crois que tu te fais peur pour rien.
si c'est celui-là https://www.commentcamarche.net/securite/virus/1441-detecter-le-malware-mosaicloader/
Si ce sont celles là :
les clés en gras sont normales ce sont les extensions, processus, ou chemin qui sont indiqués entre parenthèse qui ne le sont pas, il faut bien lire ce qui est indiqué et essayer de comprendre avant de s'affoler pour rien.
Donne une capture d'écran de tes clés de registre voir https://www.commentcamarche.net/infos/25913-forum-ccm-mode-d-emploi-inserer-une-image-dans-un-message/
Si tes clés de registre ont des extensions processus ou chemin douteux et uniquement dans ce cas fait ce qui suit, attention si je n'ai pas la capture d'écran je ne donnerais pas suite à ta demande, il faut répondre à l'intégralité de ce qui est demandé, je dis ça car beaucoup ne le font pas et passent directement à FRST.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci:
Clique sur Analyser à la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .
Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne les deux liens générés par Cjoint dans ton prochain message.
je crois que tu te fais peur pour rien.
Je viens de lire votre article
si c'est celui-là https://www.commentcamarche.net/securite/virus/1441-detecter-le-malware-mosaicloader/
J'ai regardé dans le registre et j'ai bien les clés que vous mentionnez.
Si ce sont celles là :
les clés en gras sont normales ce sont les extensions, processus, ou chemin qui sont indiqués entre parenthèse qui ne le sont pas, il faut bien lire ce qui est indiqué et essayer de comprendre avant de s'affoler pour rien.
Donne une capture d'écran de tes clés de registre voir https://www.commentcamarche.net/infos/25913-forum-ccm-mode-d-emploi-inserer-une-image-dans-un-message/
Si tes clés de registre ont des extensions processus ou chemin douteux et uniquement dans ce cas fait ce qui suit, attention si je n'ai pas la capture d'écran je ne donnerais pas suite à ta demande, il faut répondre à l'intégralité de ce qui est demandé, je dis ça car beaucoup ne le font pas et passent directement à FRST.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci:
Clique sur Analyser à la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .
Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne les deux liens générés par Cjoint dans ton prochain message.
bpautal
Messages postés
153
Date d'inscription
vendredi 3 octobre 2014
Statut
Membre
Dernière intervention
25 novembre 2024
6
7 août 2021 à 11:28
7 août 2021 à 11:28
Bonjour Bazfile,
Et merci de ta réponse. Oui, il s'agit bien de l'article mentionné dans ton lien.
Je joins les copies d'écran demandées.
J'attend ton feu vert pour passer à la suite.
Et merci de ta réponse. Oui, il s'agit bien de l'article mentionné dans ton lien.
Je joins les copies d'écran demandées.
J'attend ton feu vert pour passer à la suite.
bpautal
Messages postés
153
Date d'inscription
vendredi 3 octobre 2014
Statut
Membre
Dernière intervention
25 novembre 2024
6
7 août 2021 à 11:30
7 août 2021 à 11:30
bazfile
Messages postés
56852
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 janvier 2025
19 374
7 août 2021 à 11:33
7 août 2021 à 11:33
Ton pc est bien infecté par MosaïcLoader passe à FRST
bpautal
Messages postés
153
Date d'inscription
vendredi 3 octobre 2014
Statut
Membre
Dernière intervention
25 novembre 2024
6
7 août 2021 à 13:31
7 août 2021 à 13:31
bazfile
Messages postés
56852
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 janvier 2025
19 374
Modifié le 7 août 2021 à 13:51
Modifié le 7 août 2021 à 13:51
je ne vois pas MosaïcLoader dans le rapport, as-tu fait un nettoyage avec tes antivirus Malwarebytes et Eset ?
Je te reprends en fin d'après-midi je dois partir, j'ai prévenu un autre contributeur sécurité il prendra le relais si besoin.
Je te reprends en fin d'après-midi je dois partir, j'ai prévenu un autre contributeur sécurité il prendra le relais si besoin.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bpautal
Messages postés
153
Date d'inscription
vendredi 3 octobre 2014
Statut
Membre
Dernière intervention
25 novembre 2024
6
7 août 2021 à 16:28
7 août 2021 à 16:28
J'ai, effectivement, Malwarebytes et Eset mais je n'ai pas fait de nettoyage avec depuis l'article dans CCM. Ils sont tous les deux en tâche de fond.
bazfile
Messages postés
56852
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 janvier 2025
19 374
Modifié le 7 août 2021 à 20:01
Modifié le 7 août 2021 à 20:01
je n'ai pas fait de nettoyage avec depuis l'article dans CCM
Tu en avais fait un avant ?
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
C:\WINDOWS\PublicGaming\appsetup.exe
C:\WINDOWS\PublicGaming\prun.exe
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll]
CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
5- va dans les 3 clés de registre dont tu m'as donné les captures d'écran plus haut et supprime tout à part la ligne par défaut, pour supprimer les clés il suffit de cliquer avec le bouton droit de ta souris sur les clés présentes dans le cadre de droite excepté la clé par défaut et de choisir "supprimer" une fois les clés supprimées tu devrais avoir ceci :
Clique sur l'image pour l'agrandir.
C'est d'ailleurs expliqué dans le tutoriel que tu as lu :
6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
.
bpautal
Messages postés
153
Date d'inscription
vendredi 3 octobre 2014
Statut
Membre
Dernière intervention
25 novembre 2024
6
8 août 2021 à 09:50
8 août 2021 à 09:50
Bonjour Bazfile,
Voici le lien pour le fichier fixlog.txt.
Je suis allé dans le registre et c'est toujours impossible de supprimer les clés ! Ou alors il y a un truc pour forcer la suppression ?
https://www.cjoint.com/c/KHihRcIehvF
Voici le lien pour le fichier fixlog.txt.
Je suis allé dans le registre et c'est toujours impossible de supprimer les clés ! Ou alors il y a un truc pour forcer la suppression ?
https://www.cjoint.com/c/KHihRcIehvF
bazfile
Messages postés
56852
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 janvier 2025
19 374
Modifié le 8 août 2021 à 12:45
Modifié le 8 août 2021 à 12:45
Tu as fait deux fois la correction par conséquence je ne peux pas voir si appsetup.exe et prun.exe étaient présents va dans la quarantaine de FRST et dis-moi si C:\WINDOWS\PublicGaming\appsetup.exe et C:\WINDOWS\PublicGaming\prun.exe sont présents dans la quarantaine.
La quarantaine de FRST se trouve dans : C:\FRST\Quarantine
Démarre Windows 10 en mode sans échec https://www.malekal.com/demarrer-windows10-mode-echec/#Demarrer_Windows_10_en_mode_sans_echec
Comme précédemment fait la correction qui suit avec FRST attention ouvre bien FRST en tant qu'administrateur :
Puis une fois ton pc redémarré démarre-le à nouveau en mode sans échec et essaie à nouveau de supprimer les clés.
La quarantaine de FRST se trouve dans : C:\FRST\Quarantine
Démarre Windows 10 en mode sans échec https://www.malekal.com/demarrer-windows10-mode-echec/#Demarrer_Windows_10_en_mode_sans_echec
Comme précédemment fait la correction qui suit avec FRST attention ouvre bien FRST en tant qu'administrateur :
Start::
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
EmptyTemp:
End::
Puis une fois ton pc redémarré démarre-le à nouveau en mode sans échec et essaie à nouveau de supprimer les clés.
bpautal
Messages postés
153
Date d'inscription
vendredi 3 octobre 2014
Statut
Membre
Dernière intervention
25 novembre 2024
6
8 août 2021 à 13:32
8 août 2021 à 13:32
Le dossier "quarantine" est vide !
Est-ce que je fais quand même les opérations suivantes ?
Est-ce que je fais quand même les opérations suivantes ?
bazfile
Messages postés
56852
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 janvier 2025
19 374
Modifié le 8 août 2021 à 14:52
Modifié le 8 août 2021 à 14:52
Est-ce que je fais quand même les opérations suivantes ?
Oui, si ça ne fonctionne pas fait ce qui est indiqué par MisteryBean ci-dessous.
Et si aucune solution ne fonctionne, je te donnerais une autre solution.
Le dossier "quarantine" est vide !
Cela signifie que les fichiers concernant cette infections sont absents et que l'infection n'est plus active seules les clés restent.
MisteryBean
Messages postés
8804
Date d'inscription
jeudi 19 décembre 2019
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 janvier 2025
1 240
8 août 2021 à 14:08
8 août 2021 à 14:08
Salut ,
Pour supprimer ces valeurs dans les clés de registre , tu ne pourras pas directement car elles sont protégés par le système .
Le plus simple à tester , c'est ceci :
=> Cliques sur le bouclier en bas à droite dans la barre des tâches
=> Cliques sur Protection contre les virus et menaces
=> Cliques sur Gérer les paramètres => Ajouter ou supprimer des exclusions
=> Dans la fenêtre Exclusions , tu devrais voir toute la liste qui se trouve dans les clés registre , cliques sur chacune puis supprimer
=> Dis nous si ça fonctionne
Pour supprimer ces valeurs dans les clés de registre , tu ne pourras pas directement car elles sont protégés par le système .
Le plus simple à tester , c'est ceci :
=> Cliques sur le bouclier en bas à droite dans la barre des tâches
=> Cliques sur Protection contre les virus et menaces
=> Cliques sur Gérer les paramètres => Ajouter ou supprimer des exclusions
=> Dans la fenêtre Exclusions , tu devrais voir toute la liste qui se trouve dans les clés registre , cliques sur chacune puis supprimer
=> Dis nous si ça fonctionne
bpautal
Messages postés
153
Date d'inscription
vendredi 3 octobre 2014
Statut
Membre
Dernière intervention
25 novembre 2024
6
8 août 2021 à 17:20
8 août 2021 à 17:20
Bien, j'ai suivi toutes les instructions de Bazfile et rien à faire : impossible de supprimer les clés.
J'ai donc pris la solution de MisteryBean et j'ai pu supprimer ces p... de clés.
Une dernière question :
comme vous avez pu le voir j'ai Malwarebytes et Eset en tâche de fond. Est-ce bien nécessaire avec Windows Defender ? D'autant que la version gratuite de ces produits est limitée.
J'ai donc pris la solution de MisteryBean et j'ai pu supprimer ces p... de clés.
Une dernière question :
comme vous avez pu le voir j'ai Malwarebytes et Eset en tâche de fond. Est-ce bien nécessaire avec Windows Defender ? D'autant que la version gratuite de ces produits est limitée.
bazfile
Messages postés
56852
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 janvier 2025
19 374
Modifié le 8 août 2021 à 19:05
Modifié le 8 août 2021 à 19:05
Windows Defender est suffisant comme antivirus il prend automatiquement le relais dès qu'aucun antivirus toers n'est installé sur le pc, tu peux éventuellement utiliser Malwarebytes en version gratuite (pas en version premium limitée à 15 jours) pour des scans ponctuels, dans sa version gratuite Malwarebytes n'est pas en tâche de fond.
Suite à cette infection n'oublie pas de changer tous tes mots de passe en ligne.
Suite à cette infection n'oublie pas de changer tous tes mots de passe en ligne.
bpautal
Messages postés
153
Date d'inscription
vendredi 3 octobre 2014
Statut
Membre
Dernière intervention
25 novembre 2024
6
9 août 2021 à 08:58
9 août 2021 à 08:58
Un grand merci à vous deux.
Et peut-être à une autre fois.
Cordialement,
B. Pautal
Et peut-être à une autre fois.
Cordialement,
B. Pautal
bazfile
Messages postés
56852
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 janvier 2025
19 374
9 août 2021 à 09:09
9 août 2021 à 09:09
@+ sur CCM.