backdoor farfli Résolu

Question

Bonjour,
 j'ai fais l'erreur ce matin d'installer un logiciel que je ne connaissais pas et du coup j'ai été infecté, j'ai tout de suite installer malwarebytes pour y remédier mais a chaque redémarrage il retrouve de nouveau les backdoor, j'aimerai savoir si quelqu'un pourrait m'aider s'il vous plait, merci d'avance .




Configuration: Windows / Chrome 93.0.4577.63

MisteryBean · Answer

Bonjour,


On va commencer par un diagnostic du PC :
Bien lire toute la procédure avant de poster les rapports
Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse  

---------------------------------------------------------------------------------------------

--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

MisteryBean · Answer

RE_

Rapport Malwarebytes : https://up.security-x.fr/file.php?h=R4b196fa56dfdbfaded741307d8b72dc1

Je dois m'absenter (un imprévu) , je reviens en fin d'après midi .

En attendant , fais ceci pour réactiver Windows Defender :

Malwarebytes -> Paramètres -> Sécurité -> Centre de sécurité Windows -> décoches "Toujours ajouter Malwarebytes dans le centre de sécurité Windows" --> Redémarres l'ordinateur

 A tout à l'heure

jessyzazz · Answer

j'ai remarqué également des services via ccleaner qui me paraissent nouveau et impossible a désactiver
 ou supprimer :
AppServicea
AppServiceb
AppServiced

MisteryBean · Answer

RE_

--> Copie ce qui se trouve ici : https://textup.fr/582352yk de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Un fichier fixlog est créé au même endroit que FRST , postes le (comme les autres rapports)

--> Relances un scan Malwarebytes et postes le rapport (comme les autres rapports)

jessyzazz · Answer

je  ne pourrais te répondre que demain, merci encore

MisteryBean · Answer

RE_

OK , pas de soucis

MisteryBean · Answer

RE_

Pour Malwarebytes , tu dois mettre les detections en quarantaine .
 Backdoor.Farfli, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceb\PARAMETERS, Aucune action de l'utilisateur, 5178, 954916, 1.0.44958, , ame, , , 

Je te mets la procédure :

=> /!\ Sous Vista, Windows 7 et 8,il faut lancer le fichier par clic-droit ==>> Exécuter en tant qu'administrateur
=> mettre à jour le logiciel avant le scan.
=> Lance la détection par Analyser Maintenant
=> A la fin du scan, si des infections ont été trouvées , clique sur Quarantaine sélectionnée
=> Le PC va redémarrer
=> Postes le rapport

MisteryBean · Answer

RE_

Le rapport que tu as posté indique toujours  Aucune action de l'utilisateur , il faut bien les mettre en quarantaine .

Si ça revient chaque fois , lances l'analyse en mode sans echec 


Que veux tu montrer avec les clés registre Windows defender ?

MisteryBean · Answer

RE_

j'ai relancé en mode sans échec et fais une analyse avec malwarebytes, résultat les 10 éléments mis en quarantaine reviennent encore :'( 

OK, ce qui m'étonne , c'est que dans le premier fixlist , il n'a pas trouvé les services
AppServicea => service non trouvé(e).AppServiceb => service non trouvé(e).AppServiced => service non trouvé(e). 

On va tenter un autre fixlist

start::closeprocesses:createrestorepoint:Unlock: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceadeletekey: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceaUnlock: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicebdeletekey: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicebUnlock: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicecdeletekey: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceccmd: reg query HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceccmd: reg query HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicebcmd: reg query HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceaemptytemp:end::

Postes le fixlog

--------------
--------------------------------

je voulais te montrer les disable antispyware et antivirus que je trouvais étrange. 

Pas de soucis , il ont une valeur à zéro

--------------
--------------------------------

Pour l'exclusion , on verra ensuite

EDIT:
dans le deuxième les services Appservicea , Appserviceb, Appservicec qui ont l'air de poser problème(ils sont apparu après l installation du logiciel contaminé 

C'était quoi le logiciel contaminé ?

MisteryBean · Answer

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le 

start::closeprocesses:createrestorepoint:Unlock: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceadeletekey: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceaUnlock: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicebdeletekey: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicebUnlock: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicecdeletekey: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceccmd: reg query HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceccmd: reg query HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServicebcmd: reg query HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AppServiceaemptytemp:end::

MisteryBean · Answer

RE_

FRST ne trouve pas les services , relances malwarebytes pour voir s'il les détecte

MisteryBean · Answer

RE_

OK , en rentrant , fais ceci :

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le 

start::virustotal: C:\Program Files (x86)\Datacolor\Spyder4Pro\Utility\SpyderUtility.exevirustotal: C:\Windows\system32\1XVU42MI0W.tmp virustotal: C:\Windows\system32\Drivers\U168J2r.sysend::

MisteryBean · Answer

RE_

Pour T , aucune idée , c'est un peu bizarre , on verra tout a l'heure .

Il y a un driver suspect qui est protégé , je n'arrive pas à avoir d'info dessus 
VirusTotal: C:\Windows\system32\Drivers\U168J2r.sys => <==== ATTENTION (Accès refusé)  

Essaie de refaire ceci : https://forums.commentcamarche.net/forum/affich-37345024-backdoor-farfli#24 en mode sans echec

MisteryBean · Answer

RE_

Pour spyderpro, pas de souci , il est sain

-------------------------------------

Regardes si tu vois le fichier sys en gras dans le dossier drivers :
C:\Windows\system32\Drivers\U168J2r.sys 

Si oui , analyses sur virustotal
Si ok , postes l'URL du résultat

MisteryBean · Answer

RE_

OK , il est sain .

Relances un scan FRST et postes les nouveaux rapports pour vérification

MisteryBean · Answer

RE_

OK , c'est propre . 

Concernant T qui t'empêche de redémarrer , est ce que ce ne serait pas µtorrent ? car tu ne l'avais pas au début de la désinfection , et là , on voit qu'il tourne en arrière plan ?

MisteryBean · Answer

vide la quarantaine de Malwarebytes :

Historique des détections --> Éléments en quarantaine --> Coches tout --> Supprimer

Puis désinstalles le pour voir si c'est lui 

-------------
------------------------------

Si pareil , gestionnaire des tâches => onglet démarrage => Désactives tout sauf défender => Redémarres le PC deux fois et vois si c'est pareil

MisteryBean · Answer

Le seconde , c'est le gestionnaire des tâches , on le vois sur ta capture .

Pour T (compliqué à trouver vu qu'il n'apparait pas dans les rapports FRST) , fais ceci :

=> Touches Windows + R
=> Tapes regedit et valides
=> Cliques sur ordinateur 
=> Touches ctrl + F 
=> Tapes t dans la barre de recherche et coches les 4 cases
=> Cliques sur suivant
=> Fais une capture s'il trouve quelque chose

MisteryBean · Answer

RE_

C'est un peu la misère :-(

Est ce que ce "t" apparait dans le gestionnaire des tâches , onglet processus ou détails ?

MisteryBean · Answer

RE_

Est ce que tu as le problème pour soit arrêter , soit pour redémarrer ?

Quand tu redémarres , toutes les applis sont fermées ? 

Essaie ceci :

=> Quand tu as le message , cliques sur annuler 
=> Dans cortana/rechercher , tapes cmd
=> Cliques sur invite de commande en administrateur
=> Dans l'invite , tapes (ou copie/colle) tasklist /m >> c:/tasklist.txt
=> Un fichier tasklist.txt sera créé à la racine de C: , postes le

MisteryBean · Answer

RE_

Dans le fichier texte , rien ne reesort :-(

Pour la ram , si tu cliques sur  mémoire dans l'onglet processus pour avoir les plus gourmand en premier , tu as quoi qui consomme ?

En mode sans echec , si tu redémarres , est ce que tu as le message qu'une appli empêche de redémarrer ?

MisteryBean · Answer

RE_

C'est Windows defender qui pompe , l'infection devait le bloquer , c'est pour ça que maintenant , il a repris son activité 

en mode sans échec je n'ai pas le message de "t" qui empêche de redémarrer. 

Essaie ceci :

=> Windows + R , tapes MSconfig
=> Dans la fenêtre , cliques sur l'onglet services
=> Coches Masquer tout les services Microsoft
=> Fais des captures d'écran pour remettre ensuite ce que tu auras désactivé 
=> Cliques sur Désactiver tout
=> Redémarres le PC
=> Redémarres à nouveau pour voir si tu as toujours le message

MisteryBean · Answer

RE_

En désactivant tout sauf les services microsoft le "t" n'apparait plus au redémarrage.  

OK , donc , ce qu'il faudrait faire , c'est les réactiver un par un puis redémarrer deux fois à chaque fois (un pour la prise en compte , l'autre pour voir si le message est présent) jusqu'à trouver le coupable .

Ou au pire , cinq par cinq, et qd le message réapparait , les redésactiver un à un 

Fais le quand tu as le temps , il n'y a pas d'urgence :-)

Backdoor farfli - Page 1

Discussions similaires

Newsletters