Backdoor:Win32/Dodiw.A, Backdoor:MSIL/Nanocore et Apparition du logiclel Huorong Internet Security

[sharukan]

Bonjour,

Suite à un message d'erreur me demandant de me deconnecter de mon compte windows parce qu'un autre compte Adm1n demandait l'autorisation sous windows
Cela m'a mis la puce à l'oreille, que j'ai pu etre infecté. et j'ai remarqué qu'un logiciel Huorong s'était installé également.
et en tombant sur votre site, j'ai suivi votre tutorial, et partage mes fichiers FSTR pour vous demander votre aide.

Je vous partage mes rapports FRST

https://pjjoint.malekal.com/files.php?i ... x1211t12l5
https://pjjoint.malekal.com/files.php?i ... x6t12z6w11


Je vous remercie de votre aide.

[Malekal_morte]

Salut,

Ton PC est infecté par un Trojan RAT.

Code : Tout sélectionner

Date: 2021-12-16 18:38:13
Description: 
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
[b]Nom : Backdoor:MSIL/Nanocore.S!MTB[/b]
ID : 2147752157
Gravité : Grave
Catégorie : Porte dérobée
Chemin : file:_C:\.hi.exe; file:_C:\opp.exe
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Système
Utilisateur : AUTORITE NT\Système
Nom du processus : Unknown
Version de la veille de sécurité : AV: 1.355.356.0, AS: 1.355.356.0, NIS: 0.0.0.0
Version du moteur : AM: 1.1.18800.4, NIS: 0.0.0.0

Date: 2021-12-16 18:38:13
Description: 
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
[b]Nom : Backdoor:Win32/Dodiw.A[/b]
ID : 2147696785
Gravité : Grave
Catégorie : Porte dérobée
Chemin : containerfile:_C:\eh.exe; containerfile:_C:\yay.exe; file:_C:\eh.exe->(UPX); file:_C:\yay.exe->(UPX)
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Système
Utilisateur : AUTORITE NT\Système
Nom du processus : Unknown
Version de la veille de sécurité : AV: 1.355.356.0, AS: 1.355.356.0, NIS: 0.0.0.0
Version du moteur : AM: 1.1.18800.4, NIS: 0.0.0.0

Désinstalle Cisco Webex Meetings




Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [System Update] => C:\windows\security\limp\update.exe [834048 2009-08-07] () [Fichier non signé] <==== ATTENTION
HKU\S-1-5-18\...\Run: [Updates] => C:\WINDOWS\system32\config\systemprofile\AppData\Roaming\Microsoft\Updates\svchost.vbs (Pas de fichier) <==== ATTENTION
2021-07-23 19:20 - 2021-07-23 19:20 - 000000000 ____D () C:\Users\Public\daemon.exe
2021-07-23 19:20 - 2021-07-23 19:20 - 000000000 ____D () C:\Users\Public\xmrzig.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Internet Explorer
(Ne pas utiliser Zeok)

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint