[Backdoor.XTrat] Comment l'enlever ? (Résolu)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
ladcandide
newbie
newbie
Messages : 8
Inscription : 08 févr. 2018 15:10

[Backdoor.XTrat] Comment l'enlever ? (Résolu)

Message par ladcandide » 08 févr. 2018 15:42

Bonjour,

Désolé de vous déranger.

En souhaitant installer le logiciel SUPER (qui devait normalement me permettre de convertir des vidéos), j'ai installer plusieurs centaines de divers Malware.
Après l'utilisation de Malwarebytes Anti-Malware (MBAM) et quelques reboots sans défauts, il ne me reste plus que Backdoor.XTrat selon Malwarebyte.
Il semblerait qu'il se trouve dans C:\WINDOWS\MICROSOFT\SVCHOST.EXE (répertoire totalement inaccessible!!!???).
Il me dit bien qu'il le met en quarantaine, mais il est toujours là.

Vu que c'est censé espionner, je n'ose plus me connecter à quoi que ce soit.

Auriez-vous une idée ? Par ce que tout ce que j'ai trouvé sur le web ne nettoie pas cela.

Merci.
Laurent
Dernière édition par ladcandide le 09 févr. 2018 18:49, édité 1 fois.




Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90203
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Backdoor.XTrat] Comment l'enlever ? (en cours)

Message par Malekal_morte » 08 févr. 2018 17:06

Bonsoir,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 28706
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: [Backdoor.XTrat] Comment l'enlever ? (en cours)

Message par angelique » 08 févr. 2018 20:11

Bonjour/Bonsoir

L'application frst.exe est mal plaçé car Exécuté depuis e:\Temp\Desktop

Merci de mettre l'applicatif sur ton Bureau avec le fixlist.txt à coté.

------------------

Malwarebytes a l'air d'avoir viré ton %systemroot%\Microsoft\svchost.exe


------------------------

Ca sert à rien du tout Glary Utilities 5.87 (HKLM-x32\...\Glary Utilities 5) (Version: 5.87.0.108 - Glarysoft Ltd) à part alourdir le système pour du pseudo nettoyage.

A désinstaller via programmes et fonctionnalités (exécuter➬appwiz.cpl)

Contente toi des utilitaires Microsoft inclus au sytème d'exploitation (exécuter➯cleanmgr)

-------------------------
  • Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

    Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
    Un redémarrage peut être nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire si ça va.
Pièces jointes
fixlist.txt
(1018 octets) Téléchargé 14 fois
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
Son2Tek➬ http://www.son2teuf.org/sons/lives/techno/

ladcandide
newbie
newbie
Messages : 8
Inscription : 08 févr. 2018 15:10

Re: [Backdoor.XTrat] Comment l'enlever ? (en cours)

Message par ladcandide » 08 févr. 2018 20:42

Bonsoir,

Heu... c'est moi qui ai déplacé le bureau sur un autre disque, j'en avais marre de perdre tout mon bazar à chaque fois que je réinstalle.
Mais je l'ai fait avec les outils windows...

J'ai désinstallé Glary.

J'ai appliqué le fixlist dont voici le fichier résultat : https://pjjoint.malekal.com/files.php?i ... 710n14r712

Je me suis permis de faire tourner Malwarebytes et il voit toujours le truc :
backdoor-xrat-malwarebytes.jpg
Backdoor Xrat sur Malwarebytes
Merci


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90203
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Backdoor.XTrat] Comment l'enlever ? (en cours)

Message par Malekal_morte » 08 févr. 2018 21:49

Désinstalle Glary Utilities, sert à rien.

C'est volontaire tous ces miner ?


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
C:\Windows\microsoft
 Startup: C:\Users\Laurent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar977.lnk [2018-02-08]  
 2018-02-08 13:00 - 2018-02-08 13:00 - 000000000 __SHD C:\Users\Laurent\AppData\Roaming\Microsoft Software 
Task: {B74917B3-239E-486C-8885-EA05B795BBB3} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Edge HomeButtonPage: HKU\S-1-5-21-4255001037-933370894-4014299117-1001 -> hxxps://www.nicehash.com/miner/38MCQmTTgmiAUMhXAXwft2NCdQYM3Ns6xy
Edge Session Restore: HKU\S-1-5-21-4255001037-933370894-4014299117-1001 -> est activé.
FF Homepage: Mozilla\Firefox\Profiles\halpx4pk.default -> hxxps://www.malwarebytes.org/restorebrowser/
2018-02-08 16:46 - 2018-02-08 16:49 - 000000000 ____D C:\AdwCleaner
2018-02-08 14:48 - 2018-02-08 14:48 - 000000000 ____D C:\Quarantine
2018-02-08 12:35 - 2017-09-29 19:12 - 000174592 ____N (Microsoft Corporation) C:\WINDOWS\OaaiaWqNKJoi.exe
2018-02-08 12:35 - 2017-09-29 19:12 - 000059904 ____N (Microsoft Corporation) C:\Users\Laurent\AppData\Local\zgDYAweAqNO.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

ladcandide
newbie
newbie
Messages : 8
Inscription : 08 févr. 2018 15:10

Re: [Backdoor.XTrat] Comment l'enlever ? (en cours)

Message par ladcandide » 08 févr. 2018 22:06

J'ai désinstallé Glary car angelique me l'avait demandé.

Les miner sont volontaires et temporaires sur cette machine (manque plus que la carte mère du rig).

Voici le résultat de FRST :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 08.02.2018
Exécuté par Laurent (09-02-2018 01:15:04) Run:2
Exécuté depuis e:\Temp\Desktop
Profils chargés: Laurent (Profils disponibles: defaultuser0 & Laurent)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
C:\Windows\microsoft
Startup: C:\Users\Laurent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar977.lnk [2018-02-08]
2018-02-08 13:00 - 2018-02-08 13:00 - 000000000 __SHD C:\Users\Laurent\AppData\Roaming\Microsoft Software
Task: {B74917B3-239E-486C-8885-EA05B795BBB3} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Edge HomeButtonPage: HKU\S-1-5-21-4255001037-933370894-4014299117-1001 -> hxxps://www.nicehash.com/miner/38MCQmTTgmiAUMhX ... dQYM3Ns6xy
Edge Session Restore: HKU\S-1-5-21-4255001037-933370894-4014299117-1001 -> est activé.
FF Homepage: Mozilla\Firefox\Profiles\halpx4pk.default -> hxxps://www.malwarebytes.org/restorebrowser/
2018-02-08 16:46 - 2018-02-08 16:49 - 000000000 ____D C:\AdwCleaner
2018-02-08 14:48 - 2018-02-08 14:48 - 000000000 ____D C:\Quarantine
2018-02-08 12:35 - 2017-09-29 19:12 - 000174592 ____N (Microsoft Corporation) C:\WINDOWS\OaaiaWqNKJoi.exe
2018-02-08 12:35 - 2017-09-29 19:12 - 000059904 ____N (Microsoft Corporation) C:\Users\Laurent\AppData\Local\zgDYAweAqNO.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
C:\Windows\microsoft => déplacé(es) avec succès
"C:\Users\Laurent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar977.lnk" => non trouvé(e)
C:\Users\Laurent\AppData\Roaming\Microsoft Software => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B74917B3-239E-486C-8885-EA05B795BBB3}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B74917B3-239E-486C-8885-EA05B795BBB3}" => supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager => clé non trouvé(e)
"C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job" => non trouvé(e)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => clé impossible à supprimer, clé était peut-être protégé(e)
"HKU\S-1-5-21-4255001037-933370894-4014299117-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Main\\HomeButtonPage" => non trouvé(e)
HKU\S-1-5-21-4255001037-933370894-4014299117-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ContinuousBrowsing => clé non trouvé(e)
"FF Homepage: Mozilla\Firefox\Profiles\halpx4pk.default -> hxxps://www.malwarebytes.org/restorebrowser/" => non trouvé(e)
"C:\AdwCleaner" => non trouvé(e)
"C:\Quarantine" => non trouvé(e)
"C:\WINDOWS\OaaiaWqNKJoi.exe" => non trouvé(e)
"C:\Users\Laurent\AppData\Local\zgDYAweAqNO.exe" => non trouvé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-4255001037-933370894-4014299117-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-4255001037-933370894-4014299117-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 11558912 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 13701080 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 3833 B
Edge => 29197 B
Chrome => 46144752 B
Firefox => 61161987 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
defaultuser0 => 0 B
Laurent => 91206 B

RecycleBin => 0 B
EmptyTemp: => 126.5 MB données temporaires supprimées.

================================
Je me suis permis de relancer Malwarebytes et en effet maintenant le Backdoor semble être effacé. MERCI!

Un autre truc étrange depuis cette infection, Edge et la seule application du windows store que j'ai sont hors ligne et je ne peux plus m'inscrire avec mon compte microsoft... c'est grave docteur ?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90203
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Backdoor.XTrat] Comment l'enlever ? (en cours)

Message par Malekal_morte » 09 févr. 2018 11:25

Tu as une erreur pour Windows Store ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

ladcandide
newbie
newbie
Messages : 8
Inscription : 08 févr. 2018 15:10

Re: [Backdoor.XTrat] Comment l'enlever ? (en cours)

Message par ladcandide » 09 févr. 2018 14:18

Je pense que Edge et le store sont liés.

Pour Edge j'ai :
Ce site web est introuvable.
Code d’erreur : INET_E_RESOURCE_NOT_FOUND
en gros je ne suis pas connecté...

Lorsque j'essaie de me connecter avec mon compte Microsoft j'ai :
Image
pas franchement clair...

Bien entendu je suis connecté sur Internet.

ladcandide
newbie
newbie
Messages : 8
Inscription : 08 févr. 2018 15:10

Re: [Backdoor.XTrat] Comment l'enlever ? (en cours)

Message par ladcandide » 09 févr. 2018 15:49

Juste pour être précis, dans l’application courrier de Windows, je reçois bien les mails mais les images dans les mails (même les anciens) ne s'affichent plus... Mais je peux quand-même ouvrir le site de l'image...
Sais pas si ça réveille quelque chose chez vous.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90203
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Backdoor.XTrat] Comment l'enlever ? (en cours)

Message par Malekal_morte » 09 févr. 2018 17:11

wow...

Touche Windows + R
Tape msconfig
onglet Services
Clic sur la colonne fabricant pour rassembler les services par fabricant.
Coche tout ce qui est Microsoft
Clic sur OK et redémarre l'ordinateur

Répare Windows Store avec l'outil indiqué sur la page : https://www.malekal.com/windows-10-repa ... ows-store/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

ladcandide
newbie
newbie
Messages : 8
Inscription : 08 févr. 2018 15:10

Re: [Backdoor.XTrat] Comment l'enlever ? (en cours)

Message par ladcandide » 09 févr. 2018 18:43

ça n'a pas marché, j'ai fait tous les cas du "Répare Windows Store" moins un.
Il ne me reste que la réinitialisation sans perte. Blue_PDT_01_50

Bon, je vais vous laisser en paix et merci beaucoup à toi et ton équipe pour ce que vous faites.

C'est vraiment du bon boulot!

:niquel:

PS: Je ne sais plus si c'est à moi de marquer Résolu ou non.

ladcandide
newbie
newbie
Messages : 8
Inscription : 08 févr. 2018 15:10

Re: [Backdoor.XTrat] Comment l'enlever ? (Résolu)

Message par ladcandide » 09 févr. 2018 18:49

En fait si c'est à moi de le faire.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90203
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Backdoor.XTrat] Comment l'enlever ? (Résolu)

Message par Malekal_morte » 10 févr. 2018 12:52

oui =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »