Logiciel malveillant détectéRésolu/Fermé

Question

Bonjour,

Malwarebytes bloque un logiciel à risque mais il ne peut ni le mettre en quarantaine, ni le supprimer. Il y a donc sans arrêt un popup qui me prévient que le logiciel "dragonorders"est bloqué. Apparement il est dans Google Chrome mais il n'est pas détecté par l'antivirus et il n'apparait nulle part. J'ai essayé tout ce que j'ai pu trouver sur internet mais il est toujours là. Il bloque les logiciels de suppression comme "Virus Total" ou "FRST" qui sont conseillés sur les forums.

J'ai besoin d'aide. Merci à ceux qui pourront e dépanner.

Windows / Chrome 122.0.0.0

bazfile · Answer

Bonjour.

Télécharge FRST .

Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ puis donne les deux liens générés par https://www.cjoint.com/ dans ta réponse.

Mahamali56 · Answer

Merci beaucoup bazfile,

Je t'envoie les liens comme tu me l'as demandé.

Le logiciels qui est bloqué par Malwarebytes et qu'il n'arrive as à supprimer s'appelle : crxdragonupdate.com

et celui qui apparait quand je clique sur un lien Google Chrome et qui m'empêche de faire quoi que ce soit : Dragonorders.com

https://www.cjoint.com/c/NBwtac104rq

Je n'arrive pas à mettre l'autre lien, je le fais suivre dans le message qui suit.

Merci

Mahamali56 · Answer

Deuxième lien, j'ai eu un peu de mal à suivre la procédure. Je manque d'habitude. https://www.cjoint.com/c/NBws4kxlw8q

bazfile · Answer

@Mahamali56 .

Ton pc est bien infecté.

Supprime l'extension TropaeolumMajus qui est dans Google Chrome et dans Edge, si tu n'y arrives pas ou qu'elle n'est pas visible, pas d'inquiétude la correction FRST qui suit finira de la supprimer.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
GroupPolicy\User: Restriction ? 
HKLM\SOFTWARE\Policies\Google: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction 
Task: {5E9BE8B5-37C4-46B5-A5F9-968396B5950B} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem123.0.6288.0{20DF9D2D-9305-4AA4-922D-F5BB0FB35DCB} => C:\Program Files (x86)\Google\GoogleUpdater\123.0.6288.0\updater.exe [4682528 2024-02-08] (Google LLC -> Google LLC) 
HKU\S-1-5-21-2123058746-3684523357-4272769664-1001\...\Run: [AdobeBridge] => [X]
Task: {C7E6AC1E-235C-4BA6-9D1B-2CB52C792A6D} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe  --automatic (No File)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (No File)
S2 GoogleUpdaterInternalService123.0.6288.0; C:\Program Files (x86)\Google\GoogleUpdater\123.0.6288.0\updater.exe [4682528 2024-02-08] (Google LLC -> Google LLC) 
S2 GoogleUpdaterService123.0.6288.0; C:\Program Files (x86)\Google\GoogleUpdater\123.0.6288.0\updater.exe [4682528 2024-02-08] (Google LLC -> Google LLC)
Edge HKLM-x32\...\Edge\Extension: [ilmjbgiecbgkmepblgofekmfbibffafn] - C:\Users\Mimi\AppData\Local\apps.crx [2023-12-21]
CHR HKLM-x32\...\Chrome\Extension: [ilmjbgiecbgkmepblgofekmfbibffafn] - C:\Users\Mimi\AppData\Local\apps.crx [2023-12-21]
FirewallRules: [{86CE14F6-6C7B-47C3-8730-75FD4199B31A}] => (Allow) C:\Users\Mimi\Documents\Studio-Scrap 9\StudioScrap.exe => No File
FirewallRules: [{0F215B1B-50BE-4BCC-AEA9-5204E9864DA0}] => (Allow) C:\Users\Mimi\Documents\Studio-Scrap 9\StudioScrap.exe => No File
C:\Program Files (x86)\Google\GoogleUpdater\123.0.6288.0\updater.exe 
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.

Mahamali56 · Answer

Merci bazfile, je fais ça tout de suite.

Mahamali56 · Answer

https://https//www.cjoint.com/c/NBwuWklVgMq

C'était un peu compliqué car le Frst en français ne voulait pas s'ouvrir, je l'ai donc fait en anglais et je suis très peu anglophone.

Je n'ai pas vu le fichier Fixlog dont tu me parles je ne suis donc pas sûre de t'envoyer le bon.J'ai fait la correction et c'est le dernier apparu.

Pour le logiciel malveillant ce n'est pas "TropaeolumMajus" que j'ai totalement désactivé faute de ne pouvoir le supprimer. C'est "crxdragonupdate.com" ou "dragonorders.com". En fait, quand j'ouvre Google Chrome, un popup MAM apparait juste 2 ou 3 secondes pour m'informer qu'il est toujours là. quand je clique sur un site pour l'ouvrir, la page qui s'ouvre est celle de "dragonorders" et je suppose que je devrais cliquer dessus pour aller sur le site que je veux voir, ce que je ne fais pas bien sûr.

https://www.cjoint.com/c/NBwuWklVgMq

J'espère que c'est le bon mais le PopUp est toujours là. J'espère que j'ai été assez claire. Merci.

Mahamali56 · Answer

Je pense qu'il est un peu tard pour continuer. Je ne voudrais pas abuser. Tu peux répondre demain si tu veux bien;

Merci encore et bonne soirée.

bazfile · Answer

Pour le logiciel malveillant ce n'est pas ""TropaeolumMajus que j'ai totalement désactivé faute de ne pouvoir le supprimer. C'est "crxdragonupdate.com" ou "dragonorders.com".

TropaeolumMajus est une extension parasite ne t'attends pas à retrouver les mêmes noms que ceux que te donne MBAM, ce n'était pas le seul problème il y avait d'autres choses beaucoup plus embêtantes.

Je n'ai pas le fixlog, donc je ne suis pas certain que tu ais fais ce qu'il fallait faire, car je vois que tu n'as pas fait exactement ce que je t'aivais demandé, tu as mis FRST dans le dossier des téléchargements alors que je t'avais bien indiqué de le mettre sur le bureau (voir mon premier message) donc fait exactement comme c'est indiqué.

Refait la correction FRST et attention fait exactement comme cela est indiqué, une fois que c'est fait donne le lien du fixlog.

Mahamali56 · Answer

Bonjour bazfile,

En fait il est impossible d'exécuter FRST en mode administrateur. Ni même de l'exécuter tout court. Hier, je n'y suis arrivée qu'en le téléchargeant en anglais sur un autre site. C'est sûrement pour ça que ça n'a pas marché et maintenant je suis complêtement bloquée. Que faire ?

bazfile · Answer

Il ne faut pas le télécharger ailleurs, je l'ai mis en ligne tu peux le télécharger via ce lien https://transfert.free.fr/TX51BXB .

Si tu n'y arrives pas je ne pourrais rien faire de plus pour toi.

Mahamali56 · Answer

Merci beaucoup de m'avoir consacré du temps. Non, je n'ai pas réussi à exécuter le logiciel. Je pense que le virus doit tout bloquer. Juste une petite question supplémentaire.

Crois-tu que si je fais une réinitialisation de mon PC ça pourra supprimer ce logiciel qui me pose tant de problèmes ?

Je te souhaite une bonne journée et merci encore pour tout.

bazfile · Answer

Je ne comprends pas pourquoi FRST ne fonctionne pas sur ton pc alors que tu as pu faire l'analyse et me transmettre les rapports.

Si tu réinitialises ton pc cela supprimera probablement l'infection.

Mahamali56 · Answer

Comme je t'ai dit plus haut, FRST a fonctionné quand je l'ai téléchargé en anglais sur un autre site mais je ne comprends pas l'anglais. Par contre quand je télécharge avec ton lien et que je le mets sur le bureau, je n'ai plus la main et j'ai beau cliquer il ne se passe rien.

Avec l'autre lien en anglais j'ai pu faire l'analyse mais apparement la correction ne s'est pas faite. Je craque, aide-moi encore un peu, si tu peux ????

bazfile · Answer

La correction via mon script FRST désinfecterait ton pc, dommage que tu n'y arrives pas, tu peux éventuellement faire un scan en ligne avec ESET ONLINE SCANNER.

Mahamali56 · Answer

Merci pour tout, j'essaie tout de suite et si ça ne marche pas je réinitialiserai.

Je laisserai un post sur CCM si ça a marché.

Bonne journée à toi.

Mahamali · Answer

OK, pour le moment le scan cherche mais n'a encore rien trouvé. Je lancerai FRST dès que c'est fini mais j'ai l'impression qu'il y en a pour un moment.

Mahamali56 · Answer

ESET n'a rien détecté mais le logiciel malveillant est toujours là ????. Je vais tenter la réinitialisation à moins que tu aies une autre idée.

steph810 · Answer

Bonjour,

je pense vous avez attraper un dropper se lance dans la ram le declancheur c'est chrome soit le essayer de le nettoyer ou carrement de le reinstaller.

pourquoi ne pas essayer de reset chrome, essayer ceci

https://github.com/ps81frt/WindowsCleaner/tree/main

Appuyer sur code en vert et telecharger de ZIP

Puit lancer cleaner.bat

!!! va supprimer et nettoyer chrome le reset sera remis a zero plus de mdp ect.... sera clean

ou alors avec Reinstallerchrome.bat va supprimer et reinstaller Google

PS:

Ont peut aussi voir si chrome est corrompu. Ouvrez powershell et copier-coller ceci/

ont regarde si il est bien signer:

sigcheck64.exe "C:\Program Files\Google\Chrome\Application\chrome.exe"

Regarde intégrité le hash

Get-FileHash -Path "C:\Program Files\Google\Chrome\Application\chrome.exe" | Format-List

Partager une capture ou photo des sortie des 2 commande

Mahamali56 · Answer

Avant de réinitialiser : Le virus (ou autre) TropaeolumMajus.com

Je sais que c'est une extention Chrome et il est écrit : Votre navigateur est géré par votre organisation. Je crois que tout vient de là. Qu'en penses-tu ?

Mahamali56 · Answer

Bonjour Bazfile,

Je viens encore une fois vers toi car l'extension que j'avais supprimée sur Chrome est encore dans Edge. Comme j'utilise rarement ce navigateur je ne m'en étais pas aperçue. J'ai réussi à débloquer FRST, est-ce que je peux t'envoyer le rapport d'analyse ? J'attends ta réponse avant de l'envoyer.

Merci par avance

Mahamali56 · Answer

Je t'envoie les liens en deux fois. Je n'arrive pas à les envoyer ensembles

https://www.cjoint.com/c/NBBmifTFcsq

Mahamali56 · Answer

https://www.cjoint.com/c/NBBmmSLvHgq

bazfile · Answer

@Mahamali56 .

À la vue des nouveaux rapports FRST on voit que la première correction FRST n'avait pas été faite, espérons que cette fois tu vas réussir.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Sélectionne et copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
GroupPolicy\User: Restriction ? 
HKLM\SOFTWARE\Policies\Google: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction
Task: {7DD0C671-BB6A-4038-961D-630C18DD9617} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem124.0.6315.0{FDC98B00-6631-4618-9F4E-EB4FDCDFABC2} => C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC)
S2 GoogleUpdaterInternalService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) 
S2 GoogleUpdaterService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) 
Edge HKLM-x32\...\Edge\Extension: [ilmjbgiecbgkmepblgofekmfbibffafn] - C:\Users\Mimi\AppData\Local\apps.crx [2023-12-21]
CHR HKLM-x32\...\Chrome\Extension: [ilmjbgiecbgkmepblgofekmfbibffafn] - C:\Users\Mimi\AppData\Local\apps.crx [2023-12-21]
FirewallRules: [{86CE14F6-6C7B-47C3-8730-75FD4199B31A}] => (Allow) C:\Users\Mimi\Documents\Studio-Scrap 9\StudioScrap.exe => Pas de fichier
FirewallRules: [{0F215B1B-50BE-4BCC-AEA9-5204E9864DA0}] => (Allow) C:\Users\Mimi\Documents\Studio-Scrap 9\StudioScrap.exe => Pas de fichier
C:\Users\Mimi\AppData\Local\apps.crx
C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Mahamali56 · Answer

Voici le fichier. J'espère que je n'ai pas fait d'erreur.

https://www.cjoint.com/c/NBBnLPrwcmq

bazfile · Answer

@Mahamali56 .

Bravo ! tu as réussi, normalement tu ne dois plus avoir de problème, à toi de me le dire.

Annuler

Mahamali56 · Answer

Merci, merci Bazfile, je ne sais pas ce que j'aurais fait sans toi. Tout est parfait et l'horrible extension a disparu. Je ne sais pas comment j'ai pu l'attraper mais maintenant je saurai comment la supprimer, elle et d'autres.

Je te remercie beaucoup pour tout le temps que tu m'as accordé.

Bonne journée et à une prochaine fois peut-être.

Mireille

Mahamali56 · Answer

Merci beaucoup, je fais ça tout de suite.

jejouss · Answer

Bonjour, j'ai exactement le même problème que mahamali56, pouvez vous m'aider svp, je suis dépasser, merci

Logiciel malveillant détecté

28 réponses

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Discussions similaires

Newsletters