Sujet Précédent Sujet Suivant

Trojan Hijack.autoconfigurl

Résolu/Fermé
Tex78970 Messages postés 7 Date d'inscription dimanche 16 octobre 2022 Statut Membre Dernière intervention 17 octobre 2022 - 16 oct. 2022 à 19:05
bazfile Messages postés 53529 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 avril 2024 - 17 oct. 2022 à 15:00

Bonjour,

J'ai un Trojan impossible à supprimer. Il revient à chaque démarrage de mon pc.

Pouvez-vous m'aider svp.

Voici le rapport de Malwarebytes


www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 16/10/2022
Durée d'analyse: 18:49
Fichier journal: 8c5c6f08-4d72-11ed-b96a-f02f74018466.json

-Informations du logiciel-
Version: 4.5.15.215
Version de composants: 1.0.1784
Version de pack de mise à jour: 1.0.61141
Licence: Essai

-Informations système-
Système d'exploitation: Windows 11 (Build 22621.674)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-MC6B2V4\decot

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 324120
Menaces détectées: 6
Menaces mises en quarantaine: 0
Temps écoulé: 0 min, 23 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Détection
PUM: Détection

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 1
Hijack.AutoConfigURL.PrxySvrRST, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\NLASVC\PARAMETERS\INTERNET\MANUALPROXIES, Aucune action de l'utilisateur, 3593, -1, 0.0.0, , action, , , 

Valeur du registre: 5
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-21-1062329354-3094022230-633412400-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AUTOCONFIGURL, Aucune action de l'utilisateur, 3593, 1090681, 1.0.61141, , ame, , , 
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-21-1062329354-3094022230-633412400-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AUTOCONFIGURL, Aucune action de l'utilisateur, 3593, -1, 0.0.0, , action, , , 
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, Aucune action de l'utilisateur, 3593, -1, 0.0.0, , action, , , 
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-21-1062329354-3094022230-633412400-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, Aucune action de l'utilisateur, 3593, -1, 0.0.0, , action, , , 
Hijack.AutoConfigURL.PrxySvrRST, HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, Aucune action de l'utilisateur, 3593, -1, 0.0.0, , action, , , 

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 0
(Aucun élément malveillant détecté)

Secteur physique: 0
(Aucun élément malveillant détecté)

WMI: 0
(Aucun élément malveillant détecté)


(end)

Windows / Edge 106.0.1370.47

8 réponses

Réponse 1 / 8
bazfile Messages postés 53529 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 avril 2024 18 446
16 oct. 2022 à 19:15

Bonjour.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur PJJOINT puis donne les deux liens générés par PJJOINT dans ta réponse.
0
Réponse 2 / 8
Tex78970 Messages postés 7 Date d'inscription dimanche 16 octobre 2022 Statut Membre Dernière intervention 17 octobre 2022
Modifié le 16 oct. 2022 à 19:28

Merci de ta réponse ! Alors voici les 2 liens:

https://pjjoint.malekal.com/files.php?id=20221016_w7w8b15m10c5 

https://pjjoint.malekal.com/files.php?id=20221016_c5d8j15j11w10 
0
bazfile Messages postés 53529 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 avril 2024 18 446
16 oct. 2022 à 19:29

Il manque le rapport FRST.

0
Réponse 3 / 8
Tex78970 Messages postés 7 Date d'inscription dimanche 16 octobre 2022 Statut Membre Dernière intervention 17 octobre 2022
Modifié le 16 oct. 2022 à 20:43

https://pjjoint.malekal.com/files.php?id=FRST_20221016_e7v15t13q6b10 

C'est bon ? 
0
Réponse 4 / 8
bazfile Messages postés 53529 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 avril 2024 18 446
16 oct. 2022 à 22:09

Pas d'infection.

Juste quelques processus orphelins.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
Task: {111f73a7-d4ef-471d-ad08-1f9a89850958} - pas de chemin du fichier
Task: {1D7EFB84-C3EB-467F-955F-1D730CD5EBE8} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => C:\WINDOWS\system32\MusNotification.exe /RunOnAC RebootDialog (Pas de fichier)
Task: {509BA2E5-8263-4333-A1FB-656912032CE8} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe (Pas de fichier)
Task: {CC988E93-3D01-41A7-9B50-A40BEA098D23} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => C:\WINDOWS\system32\MusNotification.exe /RunOnBattery RebootDialog (Pas de fichier)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\WINDOWS\system32\MusNotification.exe (Pas de fichier)
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Tex78970 Messages postés 7 Date d'inscription dimanche 16 octobre 2022 Statut Membre Dernière intervention 17 octobre 2022
Modifié le 17 oct. 2022 à 14:18

Bonjour, 

Désolé pour le temps de réponse. Voici le résultat

https://pjjoint.malekal.com/files.php?id=20221017_p5d12o11i12x11 

Malwarebytes me détecte encore les mêmes 6 erreurs.

Merci d'avance de votre aide.
0
bazfile Messages postés 53529 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 avril 2024 18 446
Modifié le 17 oct. 2022 à 14:27

Il n'y a pas d'infection ni de proxy dans le rapport FRST, probablement des clés de registre obsolètes que Malwarebytes détecte.

Comme précédemment fait cette correction avec FRST et donne le fixlog.

 
Start::
CreateRestorePoint:
CloseProcesses:
RemoveProxy:
EmptyTemp:
End::
0
Réponse 6 / 8
Tex78970 Messages postés 7 Date d'inscription dimanche 16 octobre 2022 Statut Membre Dernière intervention 17 octobre 2022
Modifié le 17 oct. 2022 à 14:42

Voici le résultat

https://pjjoint.malekal.com/files.php?id=20221017_x11f7b7y12e14 

Bonne nouvelle, Malwarebytes ne détecte plus de nouvelles menaces.

Cependant, j'ai les 6 anciennes menaces du scan d'avant qui sont mis en quarantaine. 

Je peux les supprimer en étant sur?

Merci à vous.
0
bazfile Messages postés 53529 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 avril 2024 18 446
17 oct. 2022 à 14:41

Oui.

Malwarebytes trouvait des clé de registres obsolètes tout ça n'était que du faux positif.

0
Réponse 7 / 8
Tex78970 Messages postés 7 Date d'inscription dimanche 16 octobre 2022 Statut Membre Dernière intervention 17 octobre 2022
17 oct. 2022 à 14:45

Je vous remercie beaucoup d'avoir pris de votre temps pour résoudre définitivement mon problème. 

Franchement c'est super !
0
bazfile Messages postés 53529 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 avril 2024 18 446
17 oct. 2022 à 14:48

Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

0
Réponse 8 / 8
Tex78970 Messages postés 7 Date d'inscription dimanche 16 octobre 2022 Statut Membre Dernière intervention 17 octobre 2022
17 oct. 2022 à 14:59

C'est fait, merci !
0
bazfile Messages postés 53529 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 avril 2024 18 446
17 oct. 2022 à 15:00

De rien. :)

@+ sur CCM.

0

Discussions similaires

Hijack.AutoConfigURL.PrxySvrRST
concombre -
Malekal_morte- -

11 réponses