Logiciel malveillant détecté

Bonjour.

Télécharge FRST .

Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ puis donne les deux liens générés par https://www.cjoint.com/ dans ta réponse. 

Merci beaucoup bazfile,

Je t'envoie les liens comme tu me l'as demandé.

Le logiciels qui est bloqué par Malwarebytes et qu'il n'arrive as à supprimer s'appelle : crxdragonupdate.com

et celui qui apparait quand je clique sur un lien Google Chrome et qui m'empêche de faire quoi que ce soit : Dragonorders.com

https://www.cjoint.com/c/NBwtac104rq 

Je n'arrive pas à mettre l'autre lien, je le fais suivre dans le message qui suit.

Merci

Deuxième lien, j'ai eu un peu de mal à suivre la procédure. Je manque d'habitude. https://www.cjoint.com/c/NBws4kxlw8q  

@Mahamali56 StatutMembre .

Ton pc est bien infecté.

Supprime l'extension TropaeolumMajus qui est dans Google Chrome et dans Edge, si tu n'y arrives pas ou qu'elle n'est pas visible, pas d'inquiétude la correction FRST qui suit finira de la supprimer.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
GroupPolicy\User: Restriction ? 
HKLM\SOFTWARE\Policies\Google: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction 
Task: {5E9BE8B5-37C4-46B5-A5F9-968396B5950B} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem123.0.6288.0{20DF9D2D-9305-4AA4-922D-F5BB0FB35DCB} => C:\Program Files (x86)\Google\GoogleUpdater\123.0.6288.0\updater.exe [4682528 2024-02-08] (Google LLC -> Google LLC) 
HKU\S-1-5-21-2123058746-3684523357-4272769664-1001\...\Run: [AdobeBridge] => [X]
Task: {C7E6AC1E-235C-4BA6-9D1B-2CB52C792A6D} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe  --automatic (No File)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (No File)
S2 GoogleUpdaterInternalService123.0.6288.0; C:\Program Files (x86)\Google\GoogleUpdater\123.0.6288.0\updater.exe [4682528 2024-02-08] (Google LLC -> Google LLC) 
S2 GoogleUpdaterService123.0.6288.0; C:\Program Files (x86)\Google\GoogleUpdater\123.0.6288.0\updater.exe [4682528 2024-02-08] (Google LLC -> Google LLC)
Edge HKLM-x32\...\Edge\Extension: [ilmjbgiecbgkmepblgofekmfbibffafn] - C:\\Users\\Mimi\\AppData\\Local\\apps.crx [2023-12-21]
CHR HKLM-x32\...\Chrome\Extension: [ilmjbgiecbgkmepblgofekmfbibffafn] - C:\\Users\\Mimi\\AppData\\Local\\apps.crx [2023-12-21]
FirewallRules: [{86CE14F6-6C7B-47C3-8730-75FD4199B31A}] => (Allow) C:\Users\Mimi\Documents\Studio-Scrap 9\StudioScrap.exe => No File
FirewallRules: [{0F215B1B-50BE-4BCC-AEA9-5204E9864DA0}] => (Allow) C:\Users\Mimi\Documents\Studio-Scrap 9\StudioScrap.exe => No File
C:\Program Files (x86)\Google\GoogleUpdater\123.0.6288.0\updater.exe 
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.

Merci bazfile, je fais ça tout de suite.

https://https//www.cjoint.com/c/NBwuWklVgMq

C'était un peu compliqué car le Frst en français ne voulait pas s'ouvrir, je l'ai donc fait en anglais et je suis très peu anglophone.

Je n'ai pas vu le fichier Fixlog dont tu me parles je ne suis donc pas sûre de t'envoyer le bon.J'ai fait la correction et c'est le dernier apparu.

Pour le logiciel malveillant ce n'est pas "TropaeolumMajus" que j'ai totalement désactivé faute de ne pouvoir le supprimer. C'est "crxdragonupdate.com" ou "dragonorders.com". En fait, quand j'ouvre Google Chrome, un popup MAM apparait juste 2 ou 3 secondes pour m'informer qu'il est toujours là. quand je clique sur un site pour l'ouvrir, la page qui s'ouvre est celle de "dragonorders" et je suppose que je devrais cliquer dessus pour aller sur le site que je veux voir, ce que je ne fais pas bien sûr.

https://www.cjoint.com/c/NBwuWklVgMq

J'espère que c'est le bon mais le PopUp est toujours là. J'espère que j'ai été assez claire. Merci.

Je pense qu'il est un peu tard pour continuer. Je ne voudrais pas abuser. Tu peux répondre demain si tu veux bien;

Merci encore et bonne soirée.

Pour le logiciel malveillant ce n'est pas ""TropaeolumMajus que j'ai totalement désactivé faute de ne pouvoir le supprimer. C'est "crxdragonupdate.com" ou "dragonorders.com".

TropaeolumMajus est une extension parasite ne t'attends pas à retrouver les mêmes noms que ceux que te donne MBAM, ce n'était pas le seul problème il y avait d'autres choses beaucoup plus embêtantes.

Je n'ai pas le fixlog, donc je ne suis pas certain que tu ais fais ce qu'il fallait faire, car je vois que tu n'as pas fait exactement ce que je t'aivais demandé, tu as mis FRST dans le dossier des téléchargements alors que je t'avais bien indiqué de le mettre sur le bureau (voir mon premier message) donc fait exactement comme c'est indiqué.

Refait la correction FRST et attention fait exactement comme cela est indiqué, une fois que c'est fait donne le lien du fixlog.

Bonjour bazfile,

En fait il est impossible d'exécuter FRST en mode administrateur. Ni même de l'exécuter tout court. Hier, je n'y suis arrivée qu'en le téléchargeant en anglais sur un autre site. C'est sûrement pour ça que ça n'a pas marché et maintenant je suis complêtement bloquée. Que faire ?

Il ne faut pas le télécharger ailleurs, je l'ai mis en ligne tu peux le télécharger via ce lien https://transfert.free.fr/TX51BXB .

Si tu n'y arrives pas je ne pourrais rien faire de plus pour toi.

Merci beaucoup de m'avoir consacré du temps. Non, je n'ai pas réussi à exécuter le logiciel. Je pense que le virus doit tout bloquer. Juste une petite question supplémentaire.

Crois-tu que si je fais une réinitialisation de mon PC ça pourra supprimer ce logiciel qui me pose tant de problèmes ?

Je te souhaite une bonne journée et merci encore pour tout.

Je ne comprends pas pourquoi FRST ne fonctionne pas sur ton pc alors que tu as pu faire l'analyse et me transmettre les rapports.

Si tu réinitialises ton pc cela supprimera probablement l'infection.

Comme je t'ai dit plus haut, FRST a fonctionné quand je l'ai téléchargé en anglais sur un autre site mais je ne comprends pas l'anglais. Par contre quand je télécharge avec ton lien et que je le mets sur le bureau, je n'ai plus la main et j'ai beau cliquer il ne se passe rien. 

Avec l'autre lien en anglais j'ai pu faire l'analyse mais apparement la correction ne s'est pas faite. Je craque, aide-moi encore un peu, si tu peux ????

La correction via mon script FRST désinfecterait ton pc, dommage que tu n'y arrives pas, tu peux éventuellement faire un scan en ligne avec ESET ONLINE SCANNER.

Merci pour tout, j'essaie tout de suite et si ça ne marche pas je réinitialiserai.

Je laisserai un post sur CCM si ça a marché. 

Bonne journée à toi.

OK, pour le moment le scan cherche mais n'a encore rien trouvé. Je lancerai FRST dès que c'est fini mais j'ai l'impression qu'il y en a pour un moment.

ESET n'a rien détecté mais le logiciel malveillant est toujours là ????. Je vais tenter la réinitialisation à moins que tu aies une autre idée.

Bonjour,

je pense vous avez attraper un dropper se lance dans la ram le declancheur c'est chrome soit le essayer de le nettoyer ou carrement de le reinstaller.

pourquoi ne pas essayer de reset chrome, essayer ceci

https://github.com/ps81frt/WindowsCleaner/tree/main

Appuyer sur code en vert et telecharger de ZIP

Puit lancer cleaner.bat

!!! va supprimer et nettoyer chrome le reset sera remis a zero plus de mdp ect.... sera clean

ou alors avec Reinstallerchrome.bat va supprimer et reinstaller Google

PS:

Ont peut aussi voir si chrome est corrompu. Ouvrez powershell et copier-coller ceci/

ont regarde si il est bien signer:

sigcheck64.exe "C:\Program Files\Google\Chrome\Application\chrome.exe"

Regarde intégrité le hash

Get-FileHash -Path "C:\Program Files\Google\Chrome\Application\chrome.exe" | Format-List

Partager une capture ou photo des sortie des 2 commande 

Avant de réinitialiser : Le virus (ou autre) TropaeolumMajus.com

Je sais que c'est une extention Chrome et il est écrit : Votre navigateur est géré par votre organisation. Je crois que tout vient de là. Qu'en penses-tu ?

Bonjour Bazfile,

Je viens encore une fois vers toi car l'extension que j'avais supprimée sur Chrome est encore dans Edge. Comme j'utilise rarement ce navigateur je ne m'en étais pas aperçue. J'ai réussi à débloquer FRST, est-ce que je peux t'envoyer le rapport d'analyse ? J'attends ta réponse avant de l'envoyer. 

Merci par avance