Malware detecté avec Malwarebytes

Résolu
Chris - 24 janv. 2024 à 15:30
bazfile Messages postés 56441 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 novembre 2024 - 25 janv. 2024 à 10:24

Bonjour, ce matin j'ai voulu installer Malwarebytes un ami me la conseillé mais il est un peut comme moi il s'y connais pas trop. En faisant un scan sa m'as détecté plein d'élément que sa ma mis en quarantaine mais il y en a un qui revient en boucle et indefiniment et on ne sait pas comment je pourrais le nettoyer si quelqu'un serait m'aider ce serait super sympa je suis un peut une quiche quand sa touche l'info :x 

En vous remerciant d'avance

Je vous met le nom / Emplacement si sa peut vous aidez : Trojan.EMBCryptMSIL.Generic dans le ficher C:\ProgramData\Edges\Security

Windows / Chrome 120.0.0.0

A voir également:

5 réponses

bazfile Messages postés 56441 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 novembre 2024 19 285
24 janv. 2024 à 15:39

Bonjour.

Télécharge FRST .

Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser


Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ puis donne les deux liens générés par https://www.cjoint.com/ dans ta réponse. 


1
bazfile Messages postés 56441 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 novembre 2024 19 285
Modifié le 24 janv. 2024 à 23:19

D'après Windows Defender tu as téléchargé des trucs pas très nets, Windows Defender t'a d'ailleurs prévenu, il s'agit de fichiers qui sont ou étaient sur ton bureau, il s'agit de:

C:\Users\Utilisateur\OneDrive\Bureau\DefCon\DefCon\dControl.exe
C:\Users\Utilisateur\OneDrive\Bureau\mod menu\inject.exe

Ceci est à titre d'information, si ces fichiers .exe sont toujours sur ton bureau soit tu les supprimes, soit si tu es certains qu'ils sont sains tu les gardes, à toi de voir.



Désinstalle Webadvisor par McAfee c'est un adware.



Désinfection du pc :

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3939861466-4038206387-2218296357-1001\...\Run: [Vdtiytdlsgj] => C:\Users\Utilisateur\AppData\Roaming\Vdtiytdlsgj.exe (Pas de fichier)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
GroupPolicy-Firefox: Restriction 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Synchronizer_for_installation_and_disk_space.lnk [2024-01-23]
ShortcutTarget: Synchronizer_for_installation_and_disk_space.lnk -> C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Templates\Synchronizer_for_installation_and_disk_space\Synchronizer_for_installation_and_disk_space.exe (Pas de fichier)
Task: {8427F8FA-AB72-4235-8500-74C5498BCC3C} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe  --automatic (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
Task: {2383F644-FC01-4080-BF4C-7A263827F7E6} - System32\Tasks\Telemetry Logging => C:\Users\Utilisateur\AppData\Roaming\Microsoft\TelemetryServices\fodhelper.exe  (Pas de fichier) 
S2 EdgeUpdateTaskMachined; C:\ProgramData\Edges\Security\EdgeMain.exe [X]
S2 Killer Provider Data Helper Service; %SystemRoot%\System32\drivers\Intel\Killer\KillerProviderDataHelperService.exe [X]
S3 bits; C:\Windows\System32\svchost.exe [79920 2022-05-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 bits; C:\Windows\SysWOW64\svchost.exe [48096 2022-05-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
CustomCLSID: HKU\S-1-5-21-3939861466-4038206387-2218296357-1001_Classes\CLSID\{50726f74-6f6e-2e56-504e-000000000000}\localserver32 -> "C:\Program Files\Proton\VPN\v3.2.7\ProtonVPN.exe" -ToastActivated => Pas de fichier
CustomCLSID: HKU\S-1-5-21-3939861466-4038206387-2218296357-1001_Classes\CLSID\{eb1fdd5b-8f70-4b5a-b230-998a2dc19303}\localserver32 -> C:\Users\Utilisateur\AppData\Local\Programs\Guilded\resources\app.asar.unpacked\node_modules\node-notifier\vendor\snoreToast\snoretoast-x64.exe => Pas de fichier
FirewallRules: [TCP Query User{662B3F99-D116-41D7-89AE-A632D52E893F}C:\users\utilisateur\appdata\local\programs\guilded\guilded.exe] => (Allow) C:\users\utilisateur\appdata\local\programs\guilded\guilded.exe => Pas de fichier
FirewallRules: [UDP Query User{A83542D0-52AD-4C92-834D-3DC38DFCD93A}C:\users\utilisateur\appdata\local\programs\guilded\guilded.exe] => (Allow) C:\users\utilisateur\appdata\local\programs\guilded\guilded.exe => Pas de fichier
FirewallRules: [{47c12bd1-fdc6-4e51-999d-561109434ebf}] => (Allow) C:\Program Files\ldplayer9box\Ld9BoxHeadless.exe => Pas de fichier
FirewallRules: [{2a99fe79-f4b5-4d5f-91f7-a2264a4d3360}] => (Allow) C:\Program Files\ldplayer9box\VBoxNetNAT.exe => Pas de fichier
FirewallRules: [{62f7bda3-a9e7-4671-bac5-2a52bad2c2ad}] => (Allow) C:\LDPlayer\LDPlayer9\dnplayer.exe => Pas de fichier
FirewallRules: [{A80DD56F-5A60-42E6-861F-115A599AA1E8}] => (Allow) C:\Users\Utilisateur\AppData\Roaming\uTorrent\uTorrent.exe => Pas de fichier
FirewallRules: [{36CE645C-353A-4323-9C39-7E9988E8EA34}] => (Allow) C:\Users\Utilisateur\AppData\Roaming\uTorrent\uTorrent.exe => Pas de fichier
FirewallRules: [{53CBE218-06D3-40DD-9755-BE886735C53C}] => (Allow) C:\Program Files\Trust.Zone VPN Client\tzclient.exe => Pas de fichier
FirewallRules: [{E75D4267-082E-4BAC-A14C-AA69C7F28BD4}] => (Allow) C:\Program Files\Trust.Zone VPN Client\tzclient_x64.exe => Pas de fichier
FirewallRules: [{43BF787C-9977-45EF-90C9-CEFCE39FD294}] => (Allow) C:\Program Files\Trust.Zone VPN Client\trustzone.exe => Pas de fichier
FirewallRules: [{71ACB733-3A96-4C6F-86F6-3403B5ECFE59}] => (Allow) C:\Program Files\Trust.Zone VPN Client\trustzone_x64.exe => Pas de fichier
Hosts:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


1
bazfile Messages postés 56441 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 novembre 2024 19 285
25 janv. 2024 à 00:48

Le fixlog est OK, ton pc est propre.


Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


1
Chris_7861 Messages postés 3 Date d'inscription mercredi 24 janvier 2024 Statut Membre Dernière intervention 25 janvier 2024
25 janv. 2024 à 00:56

Ok nickel merci beaucoup pour l'aide :) Passe un bonne soirée / nuit  

0
bazfile Messages postés 56441 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 novembre 2024 19 285 > Chris_7861 Messages postés 3 Date d'inscription mercredi 24 janvier 2024 Statut Membre Dernière intervention 25 janvier 2024
25 janv. 2024 à 10:24

@+ sur CCM 

0
Chris_7861 Messages postés 3 Date d'inscription mercredi 24 janvier 2024 Statut Membre Dernière intervention 25 janvier 2024
24 janv. 2024 à 17:12

Bonjour merci pour t'as réponse voici les deux doc :

FRST : https://www.cjoint.com/c/NAyqlaayqM4

Addition : https://www.cjoint.com/c/NAyqmLWETL4

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Chris_7861 Messages postés 3 Date d'inscription mercredi 24 janvier 2024 Statut Membre Dernière intervention 25 janvier 2024
25 janv. 2024 à 00:40

D'accord merci. Voilà j'ai desinstallé ce que tu m'as dit et fais la désinfection du pc avec FRST. Ampès le redemarage de l'ordi j'ai relancer un scan Malwarebytes afin de voir si ils continuais à mettre des trucs en quarantaine en boucle et ce n'est plus le cas il a juste trouver un seul elements suspect je te le met en screen ci dessous savoir si juste le mettre en quarantaine suffit ou si je dois faire autre chose je te met avec le fixlog savoir si tout est bon 

Screen Malwerebytes : https://www.cjoint.com/c/NAyxEAbtcC4
Fixlog : https://www.cjoint.com/c/NAyxE1o3Es4

hltorflibufy (je sais pas si tu en as besoin au cas ou) https://www.cjoint.com/c/NAyxEQwo8R4

0