Sujet Précédent Sujet Suivant

Problème avec VboxHeadless.exe (infection)

Résolu/Fermé
ColinRigou - Modifié le 1 mai 2019 à 13:55
 Will - 28 sept. 2019 à 13:50
Bonjour,
Je me permets de vous adresser ce post car j'ai un problème :
suite à l’exécution d'un programme malveillant, je me suis retrouvé sans gestionnaire de tache fonctionnel.
J'ai donc cherché sur des forums, et j'ai réussi en passant par l'éditeur de registre à tout remettre à la normale.
Un problème subsiste, VBoxHeadless.exe se lance à chaque démarrage et occupe une grosse partie de mon cpu. Je peux évidement mettre 'fin à la tache', mais je préférerais pouvoir supprimer le programme (qui n'est pas dans la liste affichée après Windows+r et appwiz.cpl).
Merci d'avance de vos réponses !

edit: j'ai effectué un scan adwcleaner uniquement sans incidence sur mon probème.



Configuration: Windows / Chrome 73.0.3683.103

1 réponse

Réponse 1 / 1
bazfile Messages postés 53675 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 24 avril 2024 18 469
Modifié le 1 mai 2019 à 14:17
Bonjour,
Ce processus appartient au logiciel VirtualBox regarde s'il fait parti des programmes installés.
Sinon:
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci :

Puis coche la case shortcut comme ceci :

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.

1
ColinRigou
1 mai 2019 à 14:31
Virtual box n'est pas installé,
Voici le résultat de l'analyse
addition.txt :
https://pjjoint.malekal.com/files.php?id=20190501_y14e5m7r8l12
shortcut.txt:
https://pjjoint.malekal.com/files.php?id=20190501_x13n15n5j15f15
FRST.txt:
https://pjjoint.malekal.com/files.php?id=FRST_20190501_n712n10h12i12
Merci !!
0
bazfile Messages postés 53675 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 24 avril 2024 18 469
1 mai 2019 à 15:35
.
Tu avais bien VirtualBox sur ton pc il a tout simplement était mal désinstallé.

Pas de trace de ton fichier VBoxHeadless.exe refait un rapport FRST uniquement le rapport FRST, tu lances FRST tu décoches les cases registre, processus et addition.txt et tu lances l'analyse tu mets le lien du fichier FRST dans ta réponse, fait-le qu'à la fin c'est à dire après avoir fait la correction avec le script qui suit.

Tu as Norton Security installé sur ton pc inutile de le garder vu que tu as Avast comme protection résidente.

Je sais que tu as désactivé Norton Security au profit d'Avast mais Norton lance encore certains processus cela ralenti ton pc, donc vu que tu ne t'en sers plus, désinstalle Norton Security avec l'outil de désinstallation de Norton voir cette page paragraphe Suppression de Norton en bas de page.

Ton pc est encore infecté.
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
CloseProcesses:
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [9859168 2018-06-13] (Mail.Ru LLC -> LLC Mail.Ru)  
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction
GroupPolicy: Restriction ? 
GroupPolicy\User: Restriction ? 
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
EmptyTemp:
Reboot:
End::

2- Une fois le script copié revient dans FRST clique sur Corriger FRST va prendre automatiquement le script dans le presse papier et l'exécuter.
Laisse la correction se faire une fois qu'elle est terminée redémarre ton ordinateur.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Fait un nouveau rapport FRST comme expliqué au début de ce message.
0
ColinRigou
1 mai 2019 à 15:57
Voici le fichier fixlog.txt:
https://pjjoint.malekal.com/files.php?id=20190501_t12l13o8o13n15
et voici le rapport FRST réalisé après le fixlog:
https://pjjoint.malekal.com/files.php?id=FRST_20190501_u10m8t7d12v5


Norton a été supprimé (merci !)
0
bazfile Messages postés 53675 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 24 avril 2024 18 469
Modifié le 1 mai 2019 à 16:13
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
CloseProcesses:
S1 VBoxNetLwf; \SystemRoot\system32\DRIVERS\VBoxNetLwf.sys [X]
S3 mracsvc; C:\WINDOWS\System32\mracsvc.exe [10642704 2018-06-13] (Mail.Ru LLC -> LLC Mail.Ru)
S3 VBoxNetAdp; pas de ImagePath
R2 VBoxVmService; C:\vms\VBoxVmService64.exe [127488 2017-10-19] () [Fichier non signé]
C:\Program Files\Oracle\VirtualBox
C:\vms
EmptyTemp:
Reboot:
End::

2- Une fois le script copié revient dans FRST clique sur Corriger FRST va prendre automatiquement le script dans le presse papier et l'exécuter.
Laisse la correction se faire une fois qu'elle est terminée redémarre ton ordinateur.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Vérifie et dis-moi si ton problème est toujours présent.
0
ColinRigou
1 mai 2019 à 16:26
https://pjjoint.malekal.com/files.php?id=20190501_s8k11o9x7e11
voici le fixlog !
Au redémarrage, plus de virtual box dans mon gestionnaire des taches, tout est revenu à la normale !
merci bcp d'avoir pris de ton temps pour m'aider !
0