Infection double accent circonflexe et TrojanDropper:PowerShell/PowerSploit!MSR

[Tatu76]

Bonjour !

Mon petit Windows 11 me fait le coup des doubles accents circonflexe sur les navigateurs.

J'ai fait tourner Malwarebyte qui a supprimé des choses, mais visiblement, pas suffisamment...

Voici les fichiers qui sont sorti de FRST.

Merci d'avance pour le temps passé et votre aide.

[Parisien_entraide]

Bonsoir

Malekal ou Angélique jetteront un oeil mais lorsque je vois

CCleaner (inutile)
uTorrent
Daemon tools
un VPN

l'équipement de base du parfait petit ingénieur en objets trouvés cela ne présage rien de bon
Et.. Bingo

Nom : HackTool:Win32/AutoKMS (installé ou pas)
ah puis un autre Nom : TrojanDropper:PowerShell/PowerSploit!MSR

En attendant un possible fixe si Defender n'a pas tout vu et stoppé un peu de lecture
Au tout début il y a un lien sur les KMS et ensuite ce que tu risques avec les programmes et jeux (parce que j'ai noté quelques applications etc dont je doute de la légalité

viewtopic.php?t=71178

[Malekal_morte]

Bonjour,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {3213D6C1-13EC-4E2C-A4B9-9CC15F8DCACF} - System32\Tasks\administartor => C:\Users\tatuf\AppData\Roaming\PerfLogs\System.vbs [134 2022-10-13] () [Fichier non signé]
C:\Users\tatuf\AppData\Roaming\PerfLogs
2022-11-23 13:32 - 2022-11-23 13:33 - 000000000 ____D C:\Users\tatuf\AppData\Roaming\PerfLogs
2022-11-23 13:32 - 2022-11-23 13:32 - 000003562 _____ C:\Windows\system32\Tasks\administartor
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[Tatu76]

Bonjour,

Voici le contenu du fixLog.txt :


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 26-11-2022
Exécuté par tatuf (27-11-2022 13:24:04) Run:1
Exécuté depuis F:\
Profils chargés: tatuf & YES
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
Task: {3213D6C1-13EC-4E2C-A4B9-9CC15F8DCACF} - System32\Tasks\administartor => C:\Users\tatuf\AppData\Roaming\PerfLogs\System.vbs [134 2022-10-13] () [Fichier non signé]
C:\Users\tatuf\AppData\Roaming\PerfLogs
2022-11-23 13:32 - 2022-11-23 13:33 - 000000000 ____D C:\Users\tatuf\AppData\Roaming\PerfLogs
2022-11-23 13:32 - 2022-11-23 13:32 - 000003562 ___ C:\Windows\system32\Tasks\administartor
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Erreur: (0) Impossible de créer un point de restauration.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3213D6C1-13EC-4E2C-A4B9-9CC15F8DCACF}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3213D6C1-13EC-4E2C-A4B9-9CC15F8DCACF}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\administartor => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\administartor" => supprimé(es) avec succès
C:\Users\tatuf\AppData\Roaming\PerfLogs => déplacé(es) avec succès
"C:\Users\tatuf\AppData\Roaming\PerfLogs" => non trouvé(e)
"C:\Windows\system32\Tasks\administartor" => non trouvé(e)

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1862458568-663821622-2028957480-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1862458568-663821622-2028957480-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1862458568-663821622-2028957480-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1862458568-663821622-2028957480-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 1310720 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 57263223 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 567147242 B
Windows/system/drivers => 207844585 B
Edge => 0 B
Chrome => 567192868 B
Firefox => 493296 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 32048 B
NetworkService => 37268 B
tatuf => 19606958 B
YES => 79622007 B

RecycleBin => 0 B
EmptyTemp: => 1.4 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 13:24:21 ====


J'ai suivi le reste de la procédure sans problèmes et la chose qui est sûre, c'est que je n'ai plus le problème de double accent circonflexe.


Ci dessous, les liens pour les nouveaux FRST.txt et Addition.txt :

https://pjjoint.malekal.com/files.php?i ... x5b12e10o5

https://pjjoint.malekal.com/files.php?i ... 76s11y9k12


Concernant votre message parisien_entraide, tout d'abord, grand merci pour les liens (meme si j'ai été perdu dans les details trop techniques). Je pensais pas du tout que c'était encore tant que ça répandu.
Mais résultat, ça fait naître plusieurs questions dans ma tête et si vous avez des éléments de réponse, je suis preneur.

Tout d'abord, Ccleaner qui serait inutile, est ce que vous pourriez développer ? Parce que c'est vrai que c'est juste un très vieux réflexe de ma part de "passer un coup de Ccleaner" quand quelque chose va pas sur mon PC mais je ne sais pas vraiment ce qu'il fait vraiment.

D'un autre côté, ce genre de réparation n'est pas du tout reproductible d'un PC à un autre n'est ce pas ? Je veux dire, chaque FRST Scan est différent et donc nécessite obligatoirement que quelqu'un regarde manuellement et crée lui même un code correctif ?


En tous cas, grand merci pour l'aide apportée.

[Parisien_entraide]

Bonjour



FRST :
Chaque FRST est propre à chaque utilisateur
Chaque FIx apporté est propre à ce que racontent les logs FRST de chaque utilisateur

Les liens sur les KMS, programmes crackés etc..
Relis bien pour t'en imprégner, n'oublie pas les liens du site et forums qui sont cités et si cela devient technique, il suffit de passer pour reprendre les descriptions et conséquence



CCLEANER (tu voulais que je développe, et bien cela va être le cas :-)


Dans le contexte d'une infection on voit souvent passer en conseil sur les forums "Passe un coup de CCleaner !" (meme si maintenant cela a un peu évolué, et où il est dit de " Passe un coup de Adwcleaner" , ce qui n'est pas mieux dans l'absolu puisque on ne passe pas x programmes espérant tout virer d'un coup de baguette magique
On fait une analyse à la place (FRST) pour ensuite utiliser la méthode adéquate en corrélation avec l'infection

Le risque étant avec les passages d'outils divers et variés, que meme si l'infection est éradiquée, Windows, ses fichiers, la base de registre etc ne seront pas, ou alors mal réparés (majorité des cas)

A cela on y ajoute ceux qui vont essayer de faire peur en listant les MRU (fichiers qui meme si nettoyés vont réapparaitre.. au démarrage de l'ordinateur)
On peut en tromper certains du reste en créant un dossier vide, avec le nom d'une infection, et.... ils en verront une
https://www.malekal.com/adwcleaner-zhpc ... habitudes/

CCleaner peut mettre un sérieux bazar si le PC est infecté (voulant par ex virer des fichiers en TEMP alors que l'infection est active et y place des fichiers) Idem pour un nettoyage registre avec CCleaner
Pire avec les infections modernes, intelligentes, le malware se voyant attaquer par le nettoyage peut essayer de s'auto détruire, mais en proiitera au passage pour semer le bazar dans des parties de Windows (donc BSOD, impossibilité de réparer sans tout réinstaller etc)


ENSUITE

Les gens installent pas défaut CCleaner alors que
https://www.malekal.com/supprimer-cclea ... e-windows/

Donc si lancé au démarrage avec le nettoyage automatique,puis avec la fonction monitoring ou surveillance du système en temps réel c'est complètement improductif !
Tout ce qui est nettoyé (les .dll par ex) seront retéléchargées ensuite, donc cela consommera des ressources, mais aussi va générer des écritures inutiles sur le SSD

Sachant en plus que les gens vont y coller du glary utilities par ex pour n'en citer qu'un qui fait la meme chose, donc ce sont les plantages assurés en aléatoire mais surtout en jeux

CCleaner a mis une protection qui empeche de nettoyer si les fichiers ont moins de 24H
Ca ce n'est utile que SI l'utilisateur utilise la veille profonde/hybride (sinon plantage assuré)
De plus c'est un peu comme avec les nettoyeurs de Microsoft qui laissent en place nombre de fichiers, logs parce qu'ils ont moins de 7 jours (cela peut servir à la télémétrie)


Concernant le nettoyage du registre :
CCleaner nettoie les entrées du registre Windows orphelines et les fichiers temporaires et journaux de Windows.... C'est TOUT Autrement dit il n' a rien de dangereux là dedans (je ne parle pas de l'utilité ou pas de la chose mais de la dangerosité)
C'est ce que font en partie les désinstalleurs comme REVO etc

On est TRES loin d'un Argente Registry Cleaner par ex
Donc si il y a un problème avec le nettoyage du registre avec CCleaner, c'est que le PC n'était pas sain/stable à la base (du reste dans un autre forum j'ai souvent vu des gens fustiger CCleaner comme la source d'instabilité de leur PC alors que l'analyse FRST indiquaient de sérieuses infections non détectées, d'usage de cracks ou d'un Windows non légal (KMS Spico etc)


Par contre après une analyse FRST et son fix pour neutraliser une infection, CCleaner peut être utile pour nettoyer certains malwares qui laissent des morceaux de fichiers un peu partout dont dans les dossiers temporaires,
idem le nettoyeur de registre pour virer les clés après le fix de FRST (clé qui pointait vers un programme malfaisant qui se lançait au démarrage par ex et qui n'existe plus)
Cela ne va en RIEN accélérer le PC mais c'est plus propre



CCleaner est populaire et RIEN ne dit qu'il ne subira pas une autre attaque comme
viewtopic.php?t=58502

Sans compter surtout que son comportent n'est pas de confiance (CCleaner appartient désormais à AVAST/AVG qui au passage a été racheté par .. NORTON°
viewtopic.php?f=11&t=64256&p=478935#p478935


Perso j'ai gardé CCleaner pour une simple raison : On peut aller voir après analyse, dans les dossiers, le détail de ce qui peut être effacé, comme les logs par ex (pour les éditer et voir ce que cela raconte avec Notepad++ ) alors que la majorité des nettoyeurs ne te permettent pas de voir vraiment ce qu'ils effacent (du moins en détail)
Ensuite avec l'extension CCenhancer on améliore et on affine (mais bien regarder les impacts. On ne coche pas tout comme un bourrin)
https://singularlabs.com/software/ccenh ... cenhancer/

Cela me permet dans un contexte vie privée, de virer la télémetrie de Razer Synapse, Origin, Steam et des tas de fichiers inutiles générés par les applications
Cele me permet aussi de virer certais cookies persistants

Il ne faut pas hésiter avec autoruns de virer les tâche programmées de CCleaner via l'onglet "sheduled tasks" (il suffit de décocher)
https://www.malekal.com/autoruns/

et pour finir ; Empêcher CCleaner de communiquer vers l'extérieur via le firewall, en le bloquant



Sinon en alternatives pour nettoyer MAIS axé vie privée que je conseille
https://www.malekal.com/privazer-nettoyer-windows/


Et pour les autres
https://www.malekal.com/alternative-ccl ... r-windows/



Et à méditer (après tout dépend comment on considère la chose : Gain de place, sécurité des données personnelles (télémétrie), ... )
https://www.malekal.com/logiciels-netto ... efficaces/