Demande d'aide rapport FRST

Résolu
Arkanium -  
bazfile Messages postés 58598 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonsoir,

J'aurai besoin d'aide s'il vous plait pour un check de mes rapports FRST, car tout à l'heure en faisant un scan windows defender à la suite d'un redémarrage tout seul j'ai eu une détection de Trojan:Script/Wacatac.B!ml je l'ai mis en quarantaine puis supprimé j'espère que désormais il n'y a plus d'infection..

FRST: https://pjjoint.malekal.com/files.php?id=FRST_20210819_t10c135d8x11
Addition : https://pjjoint.malekal.com/files.php?id=20210819_v12q8g12d7t6

Cordialement,

5 réponses

Réponse 1 / 5
fabul Messages postés 40882 Date d'inscription   Statut Modérateur Dernière intervention   5 704
 
Salut,

Vérifies ton PC avec UnHackMe "First Scan" à l'installation trouvera peut être quelque chose.

Mais attention avant de supprimer quelque chose de suspect, il peut s'agir de bons fichiers, drivers (.sys)

Analyses avec VirusTotal Uploader > Envoyer Vers > VirusTotal

https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps

Tu peux désactiver ou supprimer du démarrage automatique des éléments tiers (Pas de Microsoft) soit en les décochant, ou par clic droit > Delete (Supprimer) dans les sections "Logon" et "Scheduled Tasks" de Autoruns lancé en tant qu'administrateur.

Regarder tes services dans sa section "Services" , mais ne pas les désactiver si parfois utiles, c'est mieux de les passer en mode "Manuel" (Pour démarrer en cas de besoin) avec services.msc de Windows, par clic droit sur le bouton Démarrer > Exécuter

Les changements seront pris en compte en redémarrant Windows.
0
Réponse 2 / 5
Arkanium
 
Bonsoir,

Merci pour votre réponse, il est vrai que je trouvais ça étrange que personne me réponde, j'aurai quand même aimé avoir un avis sur mes logs FRST.

En attendant j'ai fait un scan avec UnHackMe et il n'a rien trouvé.

Cordialement,
0
fabul Messages postés 40882 Date d'inscription   Statut Modérateur Dernière intervention   5 704
 
je ne lis pas les scans FRST, si tu veux me faire un log, fais un Anti Spyware Full Check > Save log

Comme j'ai expliqué ici https://forums.commentcamarche.net/forum/affich-37318991-demande-d-aide-rapport-frst#3

Mais héberges le sur cjoint (regrunlog.txt)

https://www.cjoint.com/
0
Réponse 3 / 5
fabul Messages postés 40882 Date d'inscription   Statut Modérateur Dernière intervention   5 704
 
Tu peux utiliser "Reanimator" par le bouton à côté de l'orloge, fermer la première fenêtre > par le X en haut à droite, et dans l'onglet "Reanimator" > Scan for malware... pour un Deep Scan.

Tu as Anti Spyware Full Check aussi pour en savoir plus sur ton système.

Encore, attention à ce que tu supprimes, ce n'est pas un antivirus "normal" mais un outil de recherche de malwares pour diagnostiquer soi même.
0
Réponse 4 / 5
fabul Messages postés 40882 Date d'inscription   Statut Modérateur Dernière intervention   5 704
 
Si tu veux continuer après la fin de la période d'essai de 30 jours, RegRun Reanimator (Semblable) est totalement gratuit.

Il permet de faire le principal de ce que fait UnHackMe pour les scans et suppression, mais ne surveille pas.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
bazfile Messages postés 58598 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 798
 
Bonjour,

Vu que tu as fait un scan avec Unackme refait une analyse FRST et donne les rapports comme précédemment.

Windows Defender donne des alertes alors qu'il n'y a rien, pour le trojan wacatac on a plein de sujet similaires sur ce forum en général cette détection c'est du grand n'importe quoi, pour toi c'est une détection qui a été faite dans le cache du navigateur internet Edge donc pas vraiment risquée.

Par contre tu as un proxy installé sur ton pc est-ce toi qui l'a configuré ? Si ce proxy n'est pas de toi veux-tu que je le supprime ? 
ProxyServer: [S-1-5-21-1095748605-1356585720-444523471-1001] => http=127.0.0.1:62644;https=127.0.0.1:62644;ftp=:21


Tu as aussi une suspicion de rootkit.

J'attends ta réponse.

0
Arkanium
 
Bonjour,

Merci pour ta réponse , pour le proxy j’étais au courant toutefois je veux bien que tu le supprime s’il te plaît. Pour le rootkit ça me fait un peu plus peur , comment peut on le supprimer ?

Cordialement,
0
bazfile Messages postés 58598 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 798 > Arkanium
 
Pour le rootkit ce n'est qu'une suspicion je t'ai demandé un nouveau rapport FRST il faudrait le faire et me donner les rapports.
0
Arkanium > bazfile Messages postés 58598 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
Voici les liens:
(PS: pour le lien du FRST je n'ai pas réussi à l'upload sur pjjoint de malekal (page blanche lors de l'upload, je pense qu'ils ont un soucis)

FRST: https://www.cjoint.com/c/KHvmrbZWfRI
Additions: https://pjjoint.malekal.com/files.php?id=20210821_t13z15x15b10f10

Cordialement,
0
bazfile Messages postés 58598 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 798 > Arkanium
 
Attention comme tu l'as demandé le script qui suit supprime le proxy et le cache d'Edge où Windows Defender avait trouvé le fichier infecté par Wacatac.B!ml, pour le rootkit plus de trace UnHackMe que tu as utilisé a dû remettre les clés de registre en ordre.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SetupRST_ModeSwitch.lnk [2021-01-16]
ShortcutTarget: SetupRST_ModeSwitch.lnk -> C:\Users\Teddy\Downloads\DRV_RST_Intel_CML_TP_W10_64_V17941017_20200806R\Install\SetupRST.exe (Pas de fichier)
Task: {9a0d9dbe-780b-428a-9cf1-f5141e5b86fc} - pas de chemin du fichier
FF Plugin-x32: @google.com/zxwebplugin -> C:\Windows\system32\npzxwebplugin.dll [Pas de fichier]
S3 fiddrv64; pas de ImagePath
U0 Partizan; system32\drivers\Partizan.sys [X]
S3 pmem; \??\C:\Users\Teddy\AppData\Local\Temp\_MEI197082\drivers\winpmem64.sys [X] 
S3 VBAudioVMVAIOMME; \SystemRoot\System32\drivers\vbaudio_vmvaio64_win10.sys [X]
C:\Users\Teddy\AppData\Local\Microsoft\Edge\User Data\Default\Cache\f_00067e
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

.
0
Arkanium > bazfile Messages postés 58598 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
Tout d'abord, merci beaucoup pour ton aide.
Voici le fichier fixlog : https://www.cjoint.com/c/KHvm6IXuIWI
0

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
impossible d'afficher le tableau dynamique sur un rapport existant
Pierre -
Adrien71 -

3 réponses
Problém affichage du tableau croisé dynamique
BK -
Raymond PENTIER -

2 réponses
Tableau croisé dynamique
Joh67 -
Joh67 -

2 réponses