Trojan Hijack.autoconfigurl

Résolu
Tex78970 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention   -  
bazfile Messages postés 58600 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -

Bonjour,

J'ai un Trojan impossible à supprimer. Il revient à chaque démarrage de mon pc.

Pouvez-vous m'aider svp.

Voici le rapport de Malwarebytes


www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 16/10/2022
Durée d'analyse: 18:49
Fichier journal: 8c5c6f08-4d72-11ed-b96a-f02f74018466.json

-Informations du logiciel-
Version: 4.5.15.215
Version de composants: 1.0.1784
Version de pack de mise à jour: 1.0.61141
Licence: Essai

-Informations système-
Système d'exploitation: Windows 11 (Build 22621.674)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-MC6B2V4\decot

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 324120
Menaces détectées: 6
Menaces mises en quarantaine: 0
Temps écoulé: 0 min, 23 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Détection
PUM: Détection

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 1
Hijack.AutoConfigURL.PrxySvrRST, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\NLASVC\PARAMETERS\INTERNET\MANUALPROXIES, Aucune action de l'utilisateur, 3593, -1, 0.0.0, , action, , , 

Valeur du registre: 5
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-21-1062329354-3094022230-633412400-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AUTOCONFIGURL, Aucune action de l'utilisateur, 3593, 1090681, 1.0.61141, , ame, , , 
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-21-1062329354-3094022230-633412400-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AUTOCONFIGURL, Aucune action de l'utilisateur, 3593, -1, 0.0.0, , action, , , 
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, Aucune action de l'utilisateur, 3593, -1, 0.0.0, , action, , , 
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-21-1062329354-3094022230-633412400-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, Aucune action de l'utilisateur, 3593, -1, 0.0.0, , action, , , 
Hijack.AutoConfigURL.PrxySvrRST, HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, Aucune action de l'utilisateur, 3593, -1, 0.0.0, , action, , , 

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 0
(Aucun élément malveillant détecté)

Secteur physique: 0
(Aucun élément malveillant détecté)

WMI: 0
(Aucun élément malveillant détecté)


(end)

Windows / Edge 106.0.1370.47

A voir également:

8 réponses

Réponse 1 / 8
bazfile Messages postés 58600 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 799
 

Bonjour.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur PJJOINT puis donne les deux liens générés par PJJOINT dans ta réponse.
0
Réponse 2 / 8
Tex78970 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
 

Merci de ta réponse ! Alors voici les 2 liens:

https://pjjoint.malekal.com/files.php?id=20221016_w7w8b15m10c5 

https://pjjoint.malekal.com/files.php?id=20221016_c5d8j15j11w10 
0
bazfile Messages postés 58600 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 799
 

Il manque le rapport FRST.

0
Réponse 3 / 8
Tex78970 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
 

https://pjjoint.malekal.com/files.php?id=FRST_20221016_e7v15t13q6b10 

C'est bon ? 
0
Réponse 4 / 8
bazfile Messages postés 58600 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 799
 

Pas d'infection.

Juste quelques processus orphelins.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
Task: {111f73a7-d4ef-471d-ad08-1f9a89850958} - pas de chemin du fichier
Task: {1D7EFB84-C3EB-467F-955F-1D730CD5EBE8} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => C:\WINDOWS\system32\MusNotification.exe /RunOnAC RebootDialog (Pas de fichier)
Task: {509BA2E5-8263-4333-A1FB-656912032CE8} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe (Pas de fichier)
Task: {CC988E93-3D01-41A7-9B50-A40BEA098D23} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => C:\WINDOWS\system32\MusNotification.exe /RunOnBattery RebootDialog (Pas de fichier)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\WINDOWS\system32\MusNotification.exe (Pas de fichier)
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Tex78970 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
 

Bonjour, 

Désolé pour le temps de réponse. Voici le résultat

https://pjjoint.malekal.com/files.php?id=20221017_p5d12o11i12x11 

Malwarebytes me détecte encore les mêmes 6 erreurs.

Merci d'avance de votre aide.
0
bazfile Messages postés 58600 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 799
 

Il n'y a pas d'infection ni de proxy dans le rapport FRST, probablement des clés de registre obsolètes que Malwarebytes détecte.

Comme précédemment fait cette correction avec FRST et donne le fixlog.

 
Start::
CreateRestorePoint:
CloseProcesses:
RemoveProxy:
EmptyTemp:
End::
0
Réponse 6 / 8
Tex78970 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
 

Voici le résultat

https://pjjoint.malekal.com/files.php?id=20221017_x11f7b7y12e14 

Bonne nouvelle, Malwarebytes ne détecte plus de nouvelles menaces.

Cependant, j'ai les 6 anciennes menaces du scan d'avant qui sont mis en quarantaine. 

Je peux les supprimer en étant sur?

Merci à vous.
0
bazfile Messages postés 58600 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 799
 

Oui.

Malwarebytes trouvait des clé de registres obsolètes tout ça n'était que du faux positif.

0
Réponse 7 / 8
Tex78970 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
 

Je vous remercie beaucoup d'avoir pris de votre temps pour résoudre définitivement mon problème. 

Franchement c'est super !
0
bazfile Messages postés 58600 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 799
 

Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

0
Réponse 8 / 8
Tex78970 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
 

C'est fait, merci !
0
bazfile Messages postés 58600 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 799
 

De rien. :)

@+ sur CCM.

0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
cheval de troie trojan
idnoder -
idnoder -

42 réponses
Trojan Csrss.exe
stevenw -
stevenw -

4 réponses