Connection suspectes à des sites .xyz Résolu/Fermé

Question

Bonjour, depuis maintenant deux jours, mon antivirus (bitdefender total security) détecte des connexions à des sites "suspects" en .xyz de manière assez fréquente. Je ne suis pas a l'origine de ces recherches d'ou mon inquiétude...J'ai d'abord essayé de blocker l'url du site en question en le bloquant dans windows. Ca a marché mais maintenant il detecte des connexions sur un autre site ! Je vous mets une image en pj pour pouvoir m'aider

MisteryBean · Answer

Bonjour,


On va commencer par un diagnostic du PC :
Bien lire toute la procédure avant de poster les rapports
Ne pas les poster directement dans les messages car ils sont illisibles et incomplets
Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse  

---------------------------------------------------------------------------------------------

--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

raph.polo · Answer

merci de ton aide, j'installe le logiciel demandé et j'essaie de t'envoyer les rapports dans la soirée 

PS : je peux desinistaller le logiciel après avoir eu les rapports ?

raph.polo · Answer

voilà les liens demandés

FRST : https://up.security-x.fr/file.php?h=Rd41d8cd98f00b204e9800998ecf8427e
Addition : https://up.security-x.fr/file.php?h=Rd41d8cd98f00b204e9800998ecf8427e

MisteryBean · Answer

RE_

Les deux liens sont vides , il faut refaire

raph.polo · Answer

ah mince ! d'accord

raph.polo · Answer

les voilà

FRST https://up.security-x.fr/file.php?h=R105d944d8c2491565d12480b2e1759f7
Addition https://up.security-x.fr/file.php?h=R1d010f12425793578dbd0cf519b36b8f

MisteryBean · Answer

RE_

Le fichier hosts a été modifié , c'est toi qui l'a fait ?

2022-02-19 17:20 - 2022-02-19 20:01 - 000000934 _____ C:\WINDOWS\system32\drivers\etc\hosts127.0.0.1 hxxps://akasulbac.xyz/ut?x=pdw5rTY7XTYFpds5qN5GqN4VpdbVr7xZri97gHaFvjmSqjgJpek6qc96hjZUhTmMpdDMhTn%3D

raph.polo · Answer

oui c'était pour bloquer l'url suspecte mais comme je te l'ai expliqué plus en haut l'url a changé donc au final ce n'est plus super utile :/

Si ça peut t'aider, c'est tout le temps le même type d'url avec la même forme et la connexion est détectée dès que j'active internet

MisteryBean · Answer

RE_

Il manque la fin du rapport FRST , mais on verra ensuite si tu as toujours le problème 

Désinstalles Wondershare Helper Compact 2.6.0

--> Copie ce qui se trouve ici : https://textup.fr/613983U8 de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Le PC va redémarrer

--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports

--> Dis moi si tu as toujours le problème .

raph.polo · Answer

merci de ton aide, veux tu d'abord avoir la fin du rapport avant que je fasse ce que tu me demande ?

PS: dans ton texte, pourquoi veux tu bloquer geforcenow dans le pare-feu ?

MisteryBean · Answer

RE_

 merci de ton aide, veux tu d'abord avoir la fin du rapport avant que je fasse ce que tu me demande ?  

Non , fais le correctif et on verra ensuite selon si tu as encore le souci

PS: dans ton texte, pourquoi veux tu bloquer geforcenow dans le pare-feu ? 

Je ne le bloque pas , je supprime une règle du pare feu obsolète (regardes en bout de ligne , tu as "pas de fichier")

raph.polo · Answer

d'accord je tente ce que tu m'as envoyé
et wondershare je le désinstalle manuellement ?

MisteryBean · Answer

RE_

et wondershare je le désinstalle manuellement ?  

OUI

raph.polo · Answer

c'est fait ! et juste pour savoir que fait ton patch exactement ?

MisteryBean · Answer

--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports--> Dis moi si tu as toujours le problème .

raph.polo · Answer

j'ai mis le texte et fait corriger mon pc à redemarré.
voilà le fixlog https://up.security-x.fr/file.php?h=Redaf5b72753c54b942476f4c0c4520ab
pour l'instant pas de connexion mais à cause de quoi j'avais ces connexions ???

MisteryBean · Answer

RE_

OK pour le fixlog 

 c'est fait ! et juste pour savoir que fait ton patch exactement ? pour l'instant pas de connexion mais à cause de quoi j'avais ces connexions ???  

Il sert à nettoyer le PC de fichiers obsolètes ainsi que des infections si présentes.

Ici , je pense que cela provenait d'extensions suspectes sur Chrome et EDGE que j'ai supprimé via le fixlist.

Si c'est OK , tu pourras faire ceci pour terminer :

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renomme FRST/FRST64.exe en uninstall.exe et exécute-le. 

La procédure nécessite un redémarrage

raph.polo · Answer

jusque là tout était nickel mais l'antivirus me détecte une connexion à la même url :(   
est ce que je dois refaire un scan frst puis te le redonner histoire de voir si il y a encore des problèmes ? 

PS : je n'ai rien fait d'anormal entre le fix et maintenant
s'il s'agit bien d'un extension suspecte j'ai utilisé opera gx et chrome comme navigateurs ces deux derniers jours

MisteryBean · Answer

RE_

Je me demande si ce n'est pas ton AV qui fait du zèle . Virustotal ne détecte rien :
https://www.virustotal.com/gui/url/fdef220a890cc89ed52456b7a02b747aea6f12b22bb58316c5585015de293cfa/detection

-------------
---------------------------

Relances une analyse FRST et postes les nouveaux rapports pour voir

raph.polo · Answer

bah je me dis aussi j'ai fait pareil avec virus total 
je te transmets les rapports rapidement ( je désactive la whitelist de frst pour tout analyser ? )

MisteryBean · Answer

je te transmets les rapports rapidement ( je désactive la whitelist de frst pour tout analyser ? )  

Non , pas la peine , la liste blanche enlève les processus légitimes connus pour éviter des rapports trop longs

raph.polo · Answer

ok voilà les deux liens

frst https://up.security-x.fr/file.php?h=R9788a65c3eeba6f389d345eb3208b715
addition https://up.security-x.fr/file.php?h=Rf3e7bcb4d01e1e2cbc5a73ddb724cbb0

MisteryBean · Answer

RE_

Le PC est propre . Deux solutions :

-> Soit tu mets en exception dans Bitdefender 

-> Soit tu essaie de trouver l'origine en faisant ceci :

=> ouvres le gestionnaire des tâches (clic droit barre des tâches)
=> onglet démarrage , désactives tout sauf l'antivirus
=> Redémarres le PC et vois ce que ça donne

Si pas mieux :

=> Windows + R , tapes MSconfig
=> Dans la fenêtre , cliques sur l'onglet services
=> Coches Masquer tout les services Microsoft
=> Fais des captures d'écran pour remettre ensuite ce que tu auras désactivé
=> Cliques sur Désactiver tout
=> Redémarres le PC
=> Redémarres à nouveau pour voir si tu as toujours le problème 

Si le problème se règle , il faudra réactiver un à un jusqu'à trouver le coupable

raph.polo · Answer

merci de ton aide je commence avec la première solution puis je te redis tout ça !

raph.polo · Answer

j'ai tout désactivé au démarrage mais le problème persiste, je vais donc essayer la deuxième solution. Si je désactive les services, il ne va pas y avoir de problème avec win 10 ? 

PS : j'ai plusieurs services d'éditeur inconnu je commence par ceux-là ?
J'ai également eu une notification de mon AV m'indiquant que la pare feu avait été activé alors que c'était déjà le cas ( si ça peut t'aider)

MisteryBean · Answer

RE_

Il faut masquer les services Microsoft pour éviter les problèmes :

=> Coches Masquer tout les services Microsoft=> Fais des captures d'écran pour remettre ensuite ce que tu auras désactivé=> Cliques sur Désactiver tout

raph.polo · Answer

d'accord j'essaie cette option et je te dis s'il y a du changement
Est-ce que je dois désactiver les services de l'Av et veux tu que je te transmettes les Screenshots ?

MisteryBean · Answer

Est-ce que je dois désactiver les services de l'Av et veux tu que je te transmettes les Screenshots ?  

Quand tu édites , je ne vois pas forcément le message , il vaut en écrire un à la suite .

Comme pour le gestionnaire des tâches , ne désactives pas l'AV si présent .
Les screenshots , c'est pour toi ensuite pour réactiver ce que tu auras désactivé

raph.polo · Answer

Re 
J'ai commencé par désactiver un service appelé "Intel security assist helper" qui était pourtant d'éditeur inconnu...Et plus de connexions suspectes ! Un GRAND merci pour ton aide et tes conseils :)

Ps : je te redis d'ici quelques jours pour voir si il n'y a pas de changement

MisteryBean · Answer

RE_

J'ai commencé par désactiver un service appelé "Intel security assist helper" qui était pourtant d'éditeur inconnu...Et plus de connexions suspectes 

Etonnant , vu que l'éditeur est bien Intel . De toutes façons , tu peux le désinstaller , il sert pas à grand chose

Intel® Security Assist (HKLM-x32\...\{4B230374-6475-4A73-BA6E-41015E9C5013}) (Version: 1.0.0.532 - Intel Corporation)  
https://www-minitool-com.translate.goog/lib/intel-security-assist.html?_x_tr_sl=en&_x_tr_tl=fr&_x_tr_hl=fr&_x_tr_pto=sc

raph.polo · Answer

bah au final c'est pas ça il y a des nouvelles connexions ! je vais devenir fou x) bah je désactive tous les services et je vais faire 1 par 1 pas le choix

MisteryBean · Answer

RE_

Si tu ne trouves pas , tu peux contacter le support BitDefender par rapport à ton problème .

Tu crée un log des détections puis tu ouvres un ticket pour leur envoyer

raph.polo · Answer

re 
bon ça fait longtemps desolé pour l'absence 
J'ai essayé de savoir d'ou venait le problème et j'en ai déduit que dès que je me connectais à chrome une connection était detectée 
C'est pourquoi j'ai reset le naviguateur et tout est rentré dans l'ordre !
merci de ton aide

Connection suspectes à des sites .xyz

33 réponses

Discussions similaires