backdoor farfliRésolu/Fermé

Question

Bonjour,
 j'ai fais l'erreur ce matin d'installer un logiciel que je ne connaissais pas et du coup j'ai été infecté, j'ai tout de suite installer malwarebytes pour y remédier mais a chaque redémarrage il retrouve de nouveau les backdoor, j'aimerai savoir si quelqu'un pourrait m'aider s'il vous plait, merci d'avance .




Configuration: Windows / Chrome 93.0.4577.63

MisteryBean · Answer

Bonjour,


On va commencer par un diagnostic du PC :
Bien lire toute la procédure avant de poster les rapports
Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse  

---------------------------------------------------------------------------------------------

--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

MisteryBean · Answer

RE_

Rapport Malwarebytes : https://up.security-x.fr/file.php?h=R4b196fa56dfdbfaded741307d8b72dc1

Je dois m'absenter (un imprévu) , je reviens en fin d'après midi .

En attendant , fais ceci pour réactiver Windows Defender :

Malwarebytes -> Paramètres -> Sécurité -> Centre de sécurité Windows -> décoches "Toujours ajouter Malwarebytes dans le centre de sécurité Windows" --> Redémarres l'ordinateur

 A tout à l'heure

jessyzazz · Answer

j'ai remarqué également des services via ccleaner qui me paraissent nouveau et impossible a désactiver
 ou supprimer :
AppServicea
AppServiceb
AppServiced

MisteryBean · Answer

RE_

--> Copie ce qui se trouve ici : https://textup.fr/582352yk de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Un fichier fixlog est créé au même endroit que FRST , postes le (comme les autres rapports)

--> Relances un scan Malwarebytes et postes le rapport (comme les autres rapports)

jessyzazz · Answer

je  ne pourrais te répondre que demain, merci encore

MisteryBean · Answer

RE_

OK , pas de soucis

MisteryBean · Answer

RE_

Pour Malwarebytes , tu dois mettre les detections en quarantaine .
 Backdoor.Farfli, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceb\PARAMETERS, Aucune action de l'utilisateur, 5178, 954916, 1.0.44958, , ame, , , 

Je te mets la procédure :

=> /!\ Sous Vista, Windows 7 et 8,il faut lancer le fichier par clic-droit ==>> Exécuter en tant qu'administrateur
=> mettre à jour le logiciel avant le scan.
=> Lance la détection par Analyser Maintenant
=> A la fin du scan, si des infections ont été trouvées , clique sur Quarantaine sélectionnée
=> Le PC va redémarrer
=> Postes le rapport

MisteryBean · Answer

RE_

Le rapport que tu as posté indique toujours  Aucune action de l'utilisateur , il faut bien les mettre en quarantaine .

Si ça revient chaque fois , lances l'analyse en mode sans echec 


Que veux tu montrer avec les clés registre Windows defender ?

MisteryBean · Answer

RE_

j'ai relancé en mode sans échec et fais une analyse avec malwarebytes, résultat les 10 éléments mis en quarantaine reviennent encore :'( 

OK, ce qui m'étonne , c'est que dans le premier fixlist , il n'a pas trouvé les services
AppServicea => service non trouvé(e).AppServiceb => service non trouvé(e).AppServiced => service non trouvé(e). 

On va tenter un autre fixlist

start::closeprocesses:createrestorepoint:Unlock: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceadeletekey: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceaUnlock: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicebdeletekey: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicebUnlock: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicecdeletekey: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceccmd: reg query HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceccmd: reg query HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicebcmd: reg query HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceaemptytemp:end::

Postes le fixlog

--------------
--------------------------------

je voulais te montrer les disable antispyware et antivirus que je trouvais étrange. 

Pas de soucis , il ont une valeur à zéro

--------------
--------------------------------

Pour l'exclusion , on verra ensuite

EDIT:
dans le deuxième les services Appservicea , Appserviceb, Appservicec qui ont l'air de poser problème(ils sont apparu après l installation du logiciel contaminé 

C'était quoi le logiciel contaminé ?

MisteryBean · Answer

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le 

start::closeprocesses:createrestorepoint:Unlock: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceadeletekey: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceaUnlock: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicebdeletekey: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicebUnlock: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicecdeletekey: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceccmd: reg query HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceccmd: reg query HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicebcmd: reg query HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceaemptytemp:end::

MisteryBean · Answer

RE_

FRST ne trouve pas les services , relances malwarebytes pour voir s'il les détecte

MisteryBean · Answer

RE_

OK , en rentrant , fais ceci :

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le 

start::virustotal: C:\Program Files (x86)\Datacolor\Spyder4Pro\Utility\SpyderUtility.exevirustotal: C:\Windows\system32\1XVU42MI0W.tmp virustotal: C:\Windows\system32\Drivers\U168J2r.sysend::

MisteryBean · Answer

RE_

Pour T , aucune idée , c'est un peu bizarre , on verra tout a l'heure .

Il y a un driver suspect qui est protégé , je n'arrive pas à avoir d'info dessus 
VirusTotal: C:\Windows\system32\Drivers\U168J2r.sys => <==== ATTENTION (Accès refusé)  

Essaie de refaire ceci : https://forums.commentcamarche.net/forum/affich-37345024-backdoor-farfli#24 en mode sans echec

MisteryBean · Answer

RE_

Pour spyderpro, pas de souci , il est sain

-------------------------------------

Regardes si tu vois le fichier sys en gras dans le dossier drivers :
C:\Windows\system32\Drivers\U168J2r.sys 

Si oui , analyses sur virustotal
Si ok , postes l'URL du résultat

MisteryBean · Answer

RE_

OK , il est sain .

Relances un scan FRST et postes les nouveaux rapports pour vérification

MisteryBean · Answer

RE_

OK , c'est propre . 

Concernant T qui t'empêche de redémarrer , est ce que ce ne serait pas µtorrent ? car tu ne l'avais pas au début de la désinfection , et là , on voit qu'il tourne en arrière plan ?

MisteryBean · Answer

vide la quarantaine de Malwarebytes :

Historique des détections --> Éléments en quarantaine --> Coches tout --> Supprimer

Puis désinstalles le pour voir si c'est lui 

-------------
------------------------------

Si pareil , gestionnaire des tâches => onglet démarrage => Désactives tout sauf défender => Redémarres le PC deux fois et vois si c'est pareil

MisteryBean · Answer

Le seconde , c'est le gestionnaire des tâches , on le vois sur ta capture .

Pour T (compliqué à trouver vu qu'il n'apparait pas dans les rapports FRST) , fais ceci :

=> Touches Windows + R
=> Tapes regedit et valides
=> Cliques sur ordinateur 
=> Touches ctrl + F 
=> Tapes t dans la barre de recherche et coches les 4 cases
=> Cliques sur suivant
=> Fais une capture s'il trouve quelque chose

MisteryBean · Answer

RE_

C'est un peu la misère :-(

Est ce que ce "t" apparait dans le gestionnaire des tâches , onglet processus ou détails ?

MisteryBean · Answer

RE_

Est ce que tu as le problème pour soit arrêter , soit pour redémarrer ?

Quand tu redémarres , toutes les applis sont fermées ? 

Essaie ceci :

=> Quand tu as le message , cliques sur annuler 
=> Dans cortana/rechercher , tapes cmd
=> Cliques sur invite de commande en administrateur
=> Dans l'invite , tapes (ou copie/colle) tasklist /m >> c:/tasklist.txt
=> Un fichier tasklist.txt sera créé à la racine de C: , postes le

MisteryBean · Answer

RE_

Dans le fichier texte , rien ne reesort :-(

Pour la ram , si tu cliques sur  mémoire dans l'onglet processus pour avoir les plus gourmand en premier , tu as quoi qui consomme ?

En mode sans echec , si tu redémarres , est ce que tu as le message qu'une appli empêche de redémarrer ?

MisteryBean · Answer

RE_

C'est Windows defender qui pompe , l'infection devait le bloquer , c'est pour ça que maintenant , il a repris son activité 

en mode sans échec je n'ai pas le message de "t" qui empêche de redémarrer. 

Essaie ceci :

=> Windows + R , tapes MSconfig
=> Dans la fenêtre , cliques sur l'onglet services
=> Coches Masquer tout les services Microsoft
=> Fais des captures d'écran pour remettre ensuite ce que tu auras désactivé 
=> Cliques sur Désactiver tout
=> Redémarres le PC
=> Redémarres à nouveau pour voir si tu as toujours le message

MisteryBean · Answer

RE_

En désactivant tout sauf les services microsoft le "t" n'apparait plus au redémarrage.  

OK , donc , ce qu'il faudrait faire , c'est les réactiver un par un puis redémarrer deux fois à chaque fois (un pour la prise en compte , l'autre pour voir si le message est présent) jusqu'à trouver le coupable .

Ou au pire , cinq par cinq, et qd le message réapparait , les redésactiver un à un 

Fais le quand tu as le temps , il n'y a pas d'urgence :-)

Backdoor farfli

23 réponses

Bien lire toute la procédure avant de poster les rapports

Newsletters