Sujet Précédent Sujet Suivant

Trojan détecté par Edge / windows 10 https://trackr1.co.in

Résolu
goldi3131 Messages postés 13 Date d'inscription lundi 12 août 2019 Statut Membre Dernière intervention 17 mars 2024 - Modifié le 17 mars 2024 à 17:43
bazfile Messages postés 53724 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 - 17 mars 2024 à 21:41

Bonjour,

Un Trojan semble détecté par Edge sous windows 10.

J'ai analysé avec FRST et voilà les deux fichiers qu'il me génère (FRST.txt et additions.txt) : 

https://pjjoint.malekal.com/files.php?id=FRST_20240317_m9f913t9t10

https://pjjoint.malekal.com/files.php?id=20240317_d8f5w7z12x6

Voilà aussi une copie d'écran : 

Si cela vous inspire pour un correctif à générer, merci par avance ! :)
Windows / Chrome 122.0.0.0

5 réponses

Réponse 1 / 5
bazfile Messages postés 53724 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 18 480
17 mars 2024 à 20:15

Bonjour @goldi3131 StatutMembre .

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
Edge Notifications: Default -> hxxps://trackr1.co.in
HKU\S-1-5-21-2188513227-1328061625-1089122177-1004\...\Run: [TomTomHOME.exe] => "D:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe" (Pas de fichier)
HKU\S-1-5-21-2188513227-1328061625-1089122177-1004\...\Run: [EADM] => "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart (Pas de fichier)
HKLM\...\Print\Monitors\HP 8e11 Status Monitor: hpinksts8e11LM.dll (Pas de fichier)
SearchScopes: HKU\S-1-5-21-2188513227-1328061625-1089122177-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2188513227-1328061625-1089122177-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FirewallRules: [TCP Query User{85E6AAED-C00F-4B90-B5DA-4C94643D8F05}C:\program files\hp\hp photosmart plus b210 series\bin\hpnetworkcommunicator.exe] => (Block) C:\program files\hp\hp photosmart plus b210 series\bin\hpnetworkcommunicator.exe => Pas de fichier
FirewallRules: [UDP Query User{B905A4A7-E45F-49D7-BB3C-71D1C513FFAD}C:\program files\hp\hp photosmart plus b210 series\bin\hpnetworkcommunicator.exe] => (Block) C:\program files\hp\hp photosmart plus b210 series\bin\hpnetworkcommunicator.exe => Pas de fichier
FirewallRules: [TCP Query User{34400A66-C0B5-4BB0-BAD5-947299751DDE}C:\program files\hp\hp photosmart plus b210 series\bin\hpnetworkcommunicatorcom.exe] => (Allow) C:\program files\hp\hp photosmart plus b210 series\bin\hpnetworkcommunicatorcom.exe => Pas de fichier
FirewallRules: [UDP Query User{31D2243A-3A6C-4845-8CB5-907C55B1B716}C:\program files\hp\hp photosmart plus b210 series\bin\hpnetworkcommunicatorcom.exe] => (Allow) C:\program files\hp\hp photosmart plus b210 series\bin\hpnetworkcommunicatorcom.exe => Pas de fichier
FirewallRules: [TCP Query User{9C71E9CB-5067-4730-9522-EB3C31A08565}C:\users\paul\appdata\local\temp\temp1_sdvfrsimlinker_next (2).zip\sdvfrsimlinkernext.exe] => (Allow) C:\users\paul\appdata\local\temp\temp1_sdvfrsimlinker_next (2).zip\sdvfrsimlinkernext.exe => Pas de fichier
FirewallRules: [UDP Query User{03BEDCB2-5BA0-41AF-9F75-4886545041B4}C:\users\paul\appdata\local\temp\temp1_sdvfrsimlinker_next (2).zip\sdvfrsimlinkernext.exe] => (Allow) C:\users\paul\appdata\local\temp\temp1_sdvfrsimlinker_next (2).zip\sdvfrsimlinkernext.exe => Pas de fichier
FirewallRules: [{96D41FCF-C81D-4069-B51E-5DC97A322864}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.112.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Pas de fichier
FirewallRules: [{96E7426D-FA09-47B5-9CDC-8BE2D131B7A6}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.112.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Pas de fichier
FirewallRules: [{9EB41585-00CD-4958-9DF3-1AD410F08163}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.112.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Pas de fichier
FirewallRules: [{CB2C508B-B65F-4243-AE40-BA5F9E726045}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.112.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Pas de fichier
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
0
Réponse 2 / 5
goldi3131 Messages postés 13 Date d'inscription lundi 12 août 2019 Statut Membre Dernière intervention 17 mars 2024
17 mars 2024 à 20:32

Merci, je vais faire ça rapidement et vous tenir au courant dans tous les cas. Comment analysez-vous les fichiers *.txt, c'est manuel ou il existe une procédure automatisée ? Si c'est manuel, quelle est l'idée générale ?
0
bazfile Messages postés 53724 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 18 480
Modifié le 17 mars 2024 à 20:53

C'est manuel, FRST c'est du sur-mesure, pas de procédure automatisée car ça c'est bon pour les antivirus pas pour FRST, l'idée générale c'est trouver les infections présentes dans le rapport puis faire un script pour les supprimer, cela demande une bonne connaissance de Windows afin de ne pas faire n'importe quoi, car FRST supprime tout ce qu'on lui demande de supprimer.

0
Réponse 3 / 5
goldi3131 Messages postés 13 Date d'inscription lundi 12 août 2019 Statut Membre Dernière intervention 17 mars 2024
17 mars 2024 à 21:12

OK, je comprends. Merci en tout cas pour le retour rapide et voilà le log : https://www.cjoint.com/c/NCrt7m3cjMI

Le problème n'apparait plus actuellement, ce qui est bon signe mais je sais que c'était revenu quand un antivirus classique l'avait provisoirement enlevé.
0
Réponse 4 / 5
bazfile Messages postés 53724 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 18 480
Modifié le 17 mars 2024 à 21:23

La notification est supprimée et ne reviendra pas à moins que tu fasses encore une fois la même erreur, il faut faire attention aux popups, si tu clique sur autoriser la notification s'enregistre dans ton navigateur, exemples de popups installant des notifications:

Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
goldi3131 Messages postés 13 Date d'inscription lundi 12 août 2019 Statut Membre Dernière intervention 17 mars 2024
Modifié le 17 mars 2024 à 21:35

Merci ainsi que pour le conseil et pour m'avoir permis de comprendre d'où venait le souci !

Bonne soirée à vous @bazfile StatutModérateur, Contributeur sécurité
0
bazfile Messages postés 53724 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 18 480
17 mars 2024 à 21:41

Bonne soirée également.

0