Malware MosaïcLoader
Résolu
bpautal
Messages postés
153
Date d'inscription
Statut
Membre
Dernière intervention
-
bazfile Messages postés 58600 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
bazfile Messages postés 58600 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour à Tous,
Je viens de lire votre article sue le malware MosaïcLoader.
J'ai regardé dans le registre et j'ai bien les clés que vous mentionnez.
Mais comment s"en débarrasser puisqu'on ne peut pas les supprimer ?
Y-a t'il une solution ?
Cordialement,
B. Pautal
Je viens de lire votre article sue le malware MosaïcLoader.
J'ai regardé dans le registre et j'ai bien les clés que vous mentionnez.
Mais comment s"en débarrasser puisqu'on ne peut pas les supprimer ?
Y-a t'il une solution ?
Cordialement,
B. Pautal
A voir également:
- Malware MosaïcLoader
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Supprimer malware - Guide
- Anti malware service executable ram - Forum Antivirus
- Win32:malware-gen ✓ - Forum Virus
- Tor jack malware - Forum Virus
10 réponses
Bonjour,
je crois que tu te fais peur pour rien.
si c'est celui-là https://www.commentcamarche.net/securite/virus/1441-detecter-le-malware-mosaicloader/
Si ce sont celles là :
les clés en gras sont normales ce sont les extensions, processus, ou chemin qui sont indiqués entre parenthèse qui ne le sont pas, il faut bien lire ce qui est indiqué et essayer de comprendre avant de s'affoler pour rien.
Donne une capture d'écran de tes clés de registre voir https://www.commentcamarche.net/infos/25913-forum-ccm-mode-d-emploi-inserer-une-image-dans-un-message/
Si tes clés de registre ont des extensions processus ou chemin douteux et uniquement dans ce cas fait ce qui suit, attention si je n'ai pas la capture d'écran je ne donnerais pas suite à ta demande, il faut répondre à l'intégralité de ce qui est demandé, je dis ça car beaucoup ne le font pas et passent directement à FRST.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci:
Clique sur Analyser à la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .
Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne les deux liens générés par Cjoint dans ton prochain message.
je crois que tu te fais peur pour rien.
Je viens de lire votre article
si c'est celui-là https://www.commentcamarche.net/securite/virus/1441-detecter-le-malware-mosaicloader/
J'ai regardé dans le registre et j'ai bien les clés que vous mentionnez.
Si ce sont celles là :
les clés en gras sont normales ce sont les extensions, processus, ou chemin qui sont indiqués entre parenthèse qui ne le sont pas, il faut bien lire ce qui est indiqué et essayer de comprendre avant de s'affoler pour rien.
Donne une capture d'écran de tes clés de registre voir https://www.commentcamarche.net/infos/25913-forum-ccm-mode-d-emploi-inserer-une-image-dans-un-message/
Si tes clés de registre ont des extensions processus ou chemin douteux et uniquement dans ce cas fait ce qui suit, attention si je n'ai pas la capture d'écran je ne donnerais pas suite à ta demande, il faut répondre à l'intégralité de ce qui est demandé, je dis ça car beaucoup ne le font pas et passent directement à FRST.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci:
Clique sur Analyser à la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .
Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne les deux liens générés par Cjoint dans ton prochain message.
Bonjour Bazfile,
Et merci de ta réponse. Oui, il s'agit bien de l'article mentionné dans ton lien.
Je joins les copies d'écran demandées.
J'attend ton feu vert pour passer à la suite.
Et merci de ta réponse. Oui, il s'agit bien de l'article mentionné dans ton lien.
Je joins les copies d'écran demandées.
J'attend ton feu vert pour passer à la suite.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai, effectivement, Malwarebytes et Eset mais je n'ai pas fait de nettoyage avec depuis l'article dans CCM. Ils sont tous les deux en tâche de fond.
je n'ai pas fait de nettoyage avec depuis l'article dans CCM
Tu en avais fait un avant ?
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
C:\WINDOWS\PublicGaming\appsetup.exe
C:\WINDOWS\PublicGaming\prun.exe
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll]
CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
5- va dans les 3 clés de registre dont tu m'as donné les captures d'écran plus haut et supprime tout à part la ligne par défaut, pour supprimer les clés il suffit de cliquer avec le bouton droit de ta souris sur les clés présentes dans le cadre de droite excepté la clé par défaut et de choisir "supprimer" une fois les clés supprimées tu devrais avoir ceci :
Clique sur l'image pour l'agrandir.
C'est d'ailleurs expliqué dans le tutoriel que tu as lu :
6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
.
Bonjour Bazfile,
Voici le lien pour le fichier fixlog.txt.
Je suis allé dans le registre et c'est toujours impossible de supprimer les clés ! Ou alors il y a un truc pour forcer la suppression ?
https://www.cjoint.com/c/KHihRcIehvF
Voici le lien pour le fichier fixlog.txt.
Je suis allé dans le registre et c'est toujours impossible de supprimer les clés ! Ou alors il y a un truc pour forcer la suppression ?
https://www.cjoint.com/c/KHihRcIehvF
Tu as fait deux fois la correction par conséquence je ne peux pas voir si appsetup.exe et prun.exe étaient présents va dans la quarantaine de FRST et dis-moi si C:\WINDOWS\PublicGaming\appsetup.exe et C:\WINDOWS\PublicGaming\prun.exe sont présents dans la quarantaine.
La quarantaine de FRST se trouve dans : C:\FRST\Quarantine
Démarre Windows 10 en mode sans échec https://www.malekal.com/demarrer-windows10-mode-echec/#Demarrer_Windows_10_en_mode_sans_echec
Comme précédemment fait la correction qui suit avec FRST attention ouvre bien FRST en tant qu'administrateur :
Puis une fois ton pc redémarré démarre-le à nouveau en mode sans échec et essaie à nouveau de supprimer les clés.
La quarantaine de FRST se trouve dans : C:\FRST\Quarantine
Démarre Windows 10 en mode sans échec https://www.malekal.com/demarrer-windows10-mode-echec/#Demarrer_Windows_10_en_mode_sans_echec
Comme précédemment fait la correction qui suit avec FRST attention ouvre bien FRST en tant qu'administrateur :
Start::
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
EmptyTemp:
End::
Puis une fois ton pc redémarré démarre-le à nouveau en mode sans échec et essaie à nouveau de supprimer les clés.
Le dossier "quarantine" est vide !
Est-ce que je fais quand même les opérations suivantes ?
Est-ce que je fais quand même les opérations suivantes ?
Est-ce que je fais quand même les opérations suivantes ?
Oui, si ça ne fonctionne pas fait ce qui est indiqué par MisteryBean ci-dessous.
Et si aucune solution ne fonctionne, je te donnerais une autre solution.
Le dossier "quarantine" est vide !
Cela signifie que les fichiers concernant cette infections sont absents et que l'infection n'est plus active seules les clés restent.
Salut ,
Pour supprimer ces valeurs dans les clés de registre , tu ne pourras pas directement car elles sont protégés par le système .
Le plus simple à tester , c'est ceci :
=> Cliques sur le bouclier en bas à droite dans la barre des tâches
=> Cliques sur Protection contre les virus et menaces
=> Cliques sur Gérer les paramètres => Ajouter ou supprimer des exclusions
=> Dans la fenêtre Exclusions , tu devrais voir toute la liste qui se trouve dans les clés registre , cliques sur chacune puis supprimer
=> Dis nous si ça fonctionne
Pour supprimer ces valeurs dans les clés de registre , tu ne pourras pas directement car elles sont protégés par le système .
Le plus simple à tester , c'est ceci :
=> Cliques sur le bouclier en bas à droite dans la barre des tâches
=> Cliques sur Protection contre les virus et menaces
=> Cliques sur Gérer les paramètres => Ajouter ou supprimer des exclusions
=> Dans la fenêtre Exclusions , tu devrais voir toute la liste qui se trouve dans les clés registre , cliques sur chacune puis supprimer
=> Dis nous si ça fonctionne
Bien, j'ai suivi toutes les instructions de Bazfile et rien à faire : impossible de supprimer les clés.
J'ai donc pris la solution de MisteryBean et j'ai pu supprimer ces p... de clés.
Une dernière question :
comme vous avez pu le voir j'ai Malwarebytes et Eset en tâche de fond. Est-ce bien nécessaire avec Windows Defender ? D'autant que la version gratuite de ces produits est limitée.
J'ai donc pris la solution de MisteryBean et j'ai pu supprimer ces p... de clés.
Une dernière question :
comme vous avez pu le voir j'ai Malwarebytes et Eset en tâche de fond. Est-ce bien nécessaire avec Windows Defender ? D'autant que la version gratuite de ces produits est limitée.
Windows Defender est suffisant comme antivirus il prend automatiquement le relais dès qu'aucun antivirus toers n'est installé sur le pc, tu peux éventuellement utiliser Malwarebytes en version gratuite (pas en version premium limitée à 15 jours) pour des scans ponctuels, dans sa version gratuite Malwarebytes n'est pas en tâche de fond.
Suite à cette infection n'oublie pas de changer tous tes mots de passe en ligne.
Suite à cette infection n'oublie pas de changer tous tes mots de passe en ligne.
