Malwarebytes échec de la suppression de menaces [résolu]

[Skaylla]

Bonjour la communauté,

ça fait plusieurs jours que je constate des bizarreries sur mon pc.

Après analyse anti-virus via Malwarebytes Anti-Malware (MBAM) hier, il a trouvé 12 élèments détectés et n'en a mis aucun en quarantaine.
Aujourd'hui il y a eu 16 éléments détectés et il en a ignoré 3 et en a mis 13 en quarantaine.

Il me semble que c'est sérieux, il y avait écrit qu'il s'agissait de phishing.

Merci pour votre aide.

Lien des fichier FRST :

addition : https://pjjoint.malekal.com/files.php?i ... 10o5x5l5c9
frst : https://pjjoint.malekal.com/files.php?i ... b10u8d12r6
shortcut : https://pjjoint.malekal.com/files.php?i ... 8j5o7k12d8

[Malekal_morte]

Salut,

Ok mais on ne sait pas de quoi tu parles, puisque tu ne fournis aucun rapport de scan de MBAM avec les détections.
Vas dans l'historique et donne en un.

Sinon tu as des applications inutiles qui encombrent le PC

Bit Driver Updater (inutile et dangereux)
CCleaner (inutile)
WireVpn (VPN inconnu donc potentiellement dangereux - à lire : VPN gratuits : attention aux malwares et arnaques

Sinon tu as une détection de trojan dans un fichier Adobe.
C'est une version légitime d'Adobe ou une version crackée ?

Date: 2023-03-15 15:46:34
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Vigorf.A
ID : 2147714384
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Program Files\Common Files\Adobe\Adobe XD\XD_sp.exe
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : LAPTOP-RMAH72RG\Norac
Nom du processus : C:\Users\Norac\AppData\Local\ESET\ESETOnlineScanner\ESETOnlineScanner.exe
Version de la veille de sécurité : AV: 1.385.68.0, AS: 1.385.68.0, NIS: 1.385.68.0
Version du moteur : AM: 1.1.20100.6, NIS: 1.1.20100.6

[Skaylla]

Salut et merci pour la réponse,

Voici le rapport de MBAM :

Code : Tout sélectionner

Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 20/03/2023
Durée d'analyse: 18:07
Fichier journal: ac441cd2-c741-11ed-8916-000000000000.json

-Informations du logiciel-
Version: 4.5.24.248
Version de composants: 1.0.1952
Version de pack de mise à jour: 1.0.66910
Licence: Essai

-Informations système-
Système d'exploitation: Windows 10 (Build 19045.2728)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: LAPTOP-RMAH72RG\Norac

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 308252
Menaces détectées: 16
Menaces mises en quarantaine: 0
Temps écoulé: 2 min, 22 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Détection
PUM: Détection

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 0
(Aucun élément malveillant détecté)

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 3
PUP.Optional.StartPage, C:\USERS\NORAC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 1\Sync Data\LevelDB, Aucune action de l'utilisateur, 416, 1089829, , , , , , 
PUP.Optional.StartPage, C:\USERS\NORAC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 1\Sync Data\LevelDB, Aucune action de l'utilisateur, 416, 1089830, , , , , , 
PUP.Optional.StartPage, C:\USERS\NORAC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 1\Sync Data\LevelDB, Aucune action de l'utilisateur, 416, 1089829, , , , , , 

Fichier: 13
PUP.Optional.StartPage, C:\Users\Norac\AppData\Local\Google\Chrome\User Data\Profile 1\Sync Data\LevelDB\000005.ldb, Aucune action de l'utilisateur, 416, 1089829, , , , , 04F3763E21F50B63D843DA7E1AB30A3B, 4090EA60D1D88B16F6F515C70A209B51B2FBD82BF3C8020E764675592CC78484
PUP.Optional.StartPage, C:\Users\Norac\AppData\Local\Google\Chrome\User Data\Profile 1\Sync Data\LevelDB\000007.ldb, Aucune action de l'utilisateur, 416, 1089829, , , , , 957337DE32704C5739A1C8C7BA55A3DE, C4517B6FBE5C9939EF67101338115B12723663A26589AA760BF3269EC560421C
PUP.Optional.StartPage, C:\Users\Norac\AppData\Local\Google\Chrome\User Data\Profile 1\Sync Data\LevelDB\000009.ldb, Aucune action de l'utilisateur, 416, 1089829, , , , , E4B6BE98D1AAC5B1DCDA5E23D65C13EA, 3595DB94924683A9E94CAEBBFAFE192AEEFB8C406DA4D27B8CC8CD698E859854
PUP.Optional.StartPage, C:\Users\Norac\AppData\Local\Google\Chrome\User Data\Profile 1\Sync Data\LevelDB\000010.log, Aucune action de l'utilisateur, 416, 1089829, , , , , 5F3F8BDD7D92BF1BB4FA639A55AEC221, 48C4EE341F4DC82F0A40FFD635148EDA94ADA595BEE025451885BC241CFE98EA
PUP.Optional.StartPage, C:\Users\Norac\AppData\Local\Google\Chrome\User Data\Profile 1\Sync Data\LevelDB\000011.ldb, Aucune action de l'utilisateur, 416, 1089829, , , , , 025303AF893168F3170AE963E63F236C, 7665AB7335DDC639C0D2B2558675696838FE7E343E0771ECFEF2C29830F36F75
PUP.Optional.StartPage, C:\Users\Norac\AppData\Local\Google\Chrome\User Data\Profile 1\Sync Data\LevelDB\CURRENT, Aucune action de l'utilisateur, 416, 1089829, , , , , 46295CAC801E5D4857D09837238A6394, 0F1BAD70C7BD1E0A69562853EC529355462FCD0423263A3D39D6D0D70B780443
PUP.Optional.StartPage, C:\Users\Norac\AppData\Local\Google\Chrome\User Data\Profile 1\Sync Data\LevelDB\LOCK, Aucune action de l'utilisateur, 416, 1089829, , , , , , 
PUP.Optional.StartPage, C:\Users\Norac\AppData\Local\Google\Chrome\User Data\Profile 1\Sync Data\LevelDB\LOG, Aucune action de l'utilisateur, 416, 1089829, , , , , 4C331CAAB9D12A1BBFFCA18F2C39CC88, 49B577FEB575F6BEB889C12B7F49F5E82E596474C816F2BEB48E96195E58EEBC
PUP.Optional.StartPage, C:\Users\Norac\AppData\Local\Google\Chrome\User Data\Profile 1\Sync Data\LevelDB\LOG.old, Aucune action de l'utilisateur, 416, 1089829, , , , , 8FAEB1E85EC3041EA4FD1AC8798D5272, E3CB67A2BA945CEED1ABAD092582A61A825B0C4EDE60B87832BA094CF0C46D27
PUP.Optional.StartPage, C:\Users\Norac\AppData\Local\Google\Chrome\User Data\Profile 1\Sync Data\LevelDB\MANIFEST-000001, Aucune action de l'utilisateur, 416, 1089829, , , , , 468FB9EFF0FBAE8CA76187DFDB7D69CD, BEEE5C4E0A86B15494DEE884B4FD2896A50E1B954D41B36833AF48AA722421D1
PUP.Optional.StartPage, C:\USERS\NORAC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 7\Secure Preferences, Aucune action de l'utilisateur, 416, 1089829, 1.0.66910, , ame, , B33AE1024F537C592E6D02392F60932A, F0EDF3B82A4B206560D1C0D89F97E2744BB91AA01C0C973E36B2B13E1629879D
PUP.Optional.StartPage, C:\USERS\NORAC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 7\Secure Preferences, Aucune action de l'utilisateur, 416, 1089830, 1.0.66910, , ame, , B33AE1024F537C592E6D02392F60932A, F0EDF3B82A4B206560D1C0D89F97E2744BB91AA01C0C973E36B2B13E1629879D
PUP.Optional.StartPage, C:\USERS\NORAC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 7\Secure Preferences, Aucune action de l'utilisateur, 416, 1089829, 1.0.66910, , ame, , B33AE1024F537C592E6D02392F60932A, F0EDF3B82A4B206560D1C0D89F97E2744BB91AA01C0C973E36B2B13E1629879D

Secteur physique: 0
(Aucun élément malveillant détecté)

WMI: 0
(Aucun élément malveillant détecté)


(end)

En parallèle j'ai suivi vos instructions et désinstallé CC et WireVpn, mais je n'ai pas réussi à désinstaller BitDriver Updater.
Dans le panneau de configuration, au moment de la suppression ça m'indique : " une erreur s'est produite lors de la tentative de désinstallation de BDU. Cet élément est peut-être désinstallé, mais je ne l'ai jamais désinstallé, puisque je l'ai utilisé il n'y a pas longtemps.

Pour Adobe XD il s'agit de la version payante via la suite "Créative Cloud Desktop", que je n'arrivais pas à mettre à jour à cause d'une erreur 506 et je l'ai solutionné hier grâce à un tuto.

[Parisien_entraide]

Bonsoir,

Tu as le lien de ce tuto ? (Vu qu'adobe est une cible premiere, qu'il y a de faux/vrais sites d'aides avec patches, add on etc et que le .exe cité est lié depuis 2021 à des véroles)
Néanmoins ton erreur 506 est possiblement en lien avec des éléments (taches) désactivées d'adobe
Il y en a quelques unes dans ton log

Sinon je confirme pour le VPN Wire / Hola
Source douteuse Chinoise avec ce programme récent qui était sur Mac mais pas disponible sur leur store, uniquement sur le site Web Chinois avec visiblement une version PC maintenant : Shanghai Zherui Network Technology Co., Ltd.

Sinon ton bitUpdater est lié à Bit Guardian, le truc foireux, pas connu, où il est impossible de savoir qui est derrière
https://www.bit-guardian.com/about-us/

[angelique]

Les détections, vu qu'elles reviennent concernent ton profil chrome qui est synchronisé (Google\Chrome\User Data\Profile 1\Sync Data), donc ça revient automatiquement

https://www.malekal.com/synchroniser-go ... istorique/

[Skaylla]

Oui voici le lien du tuto: https://www.youtube.com/watch?v=eAxcfqZeJmk.

Pour est-ce que c'est normal que je n'y arrive pas le désinstaller et comment est-ce que je peux faire ?

Ok, pas de soucis, j'ai supprimé wire vpn.

Bonsoir,

Tu as le lien de ce tuto ? (Vu qu'adobe est une cible premiere, qu'il y a de faux/vrais sites d'aides avec patches, add on etc et que le .exe cité est lié depuis 2021 à des véroles)
Néanmoins ton erreur 506 est possiblement en lien avec des éléments (taches) désactivées d'adobe
Il y en a quelques unes dans ton log

Sinon je confirme pour le VPN Wire / Hola
Source douteuse Chinoise avec ce programme récent qui était sur Mac mais pas disponible sur leur store, uniquement sur le site Web Chinois avec visiblement une version PC maintenant : Shanghai Zherui Network Technology Co., Ltd.

Sinon ton bitUpdater est lié à Bit Guardian, le truc foireux, pas connu, où il est impossible de savoir qui est derrière
https://www.bit-guardian.com/about-us/

[Skaylla]

Est-ce que ça veut dire qu'il peut y avoir un problème du côté de la synchronisation de mon compte gmail ?

Les détections, vu qu'elles reviennent concernent ton profil chrome qui est synchronisé (Google\Chrome\User Data\Profile 1\Sync Data), donc ça revient automatiquement

https://www.malekal.com/synchroniser-go ... istorique/

[Parisien_entraide]

J'ai regardé la vidéo...

En fait cela active HKLM\Software\Policies\Microsoft\Windows\Appx!AllowAllTrustedApps

Ce paramètre de stratégie vous permet de gérer l'installation d'applications "line-of-business" (LOB) approuvées ou d'applications Windows Store signées par le développeur.
Si vous activez ce paramètre de stratégie, vous pouvez installer n'importe quelle application Windows Store LOB ou signée par le développeur (qui doit être signée avec une chaîne de certificats pouvant être validée avec succès par l'ordinateur local).
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, vous ne pouvez pas installer les applications LOB ou Windows Store signées par le développeur.

Pour la désinstallation essaie avec https://www.malekal.com/revo-uninstalle ... acilement/
En espérant qu'ils aient ce prog dans leur base (en mode forcé)

[Malekal_morte]

Est-ce que ça veut dire qu'il peut y avoir un problème du côté de la synchronisation de mon compte gmail ?

Non.
MBAM détecte un contenu malveillant dans des fichiers de TON profile Google Chrome (rien à voir avec Gmail).
Ce sont des fichiers qui sont sur ton ordinateur mais si tu as un profil Google Chrome synchronisé, ça ne sert à rien de les supprimer car ils reviendront par ce dernier.
Ca peut expliquer pourquoi les détections bouclent.

Déjà, ce n'est pas un trojan ou une menace importante.
A la limite, je pense même que tu pourrais ignorer ces détections MBAM.

Essaye ceci, sur Google Chrome :
CTRL+ALT+Suppr
Coche que Images et fichiers (cache)
Efface les données.

Vois si MBAM continue de détecter des éléments malveillants.

[Skaylla]

Merci beaucoup pour vos réponses, j'ai réussi à désinstaller Bit Guardian et Update.
Voici le lien de la dernière analyse MBAM qui a trouvé 26 menaces.


Comment est-ce que je peux faire pour savoir si mon compte a été piraté et comment faire pour le nettoyer ?

Parce que y'a quelque moi je me suis fait piraté mes comptes : twitter, twitch que j'ai récupéré. Et pour mes comptes Insta et Fb, je les ai complétement perdu, quelqu'un a changé mes mdp et quand j'ai nettoyé le cache de mon pc et dû ressaisir mon mdp, ça ne marchait pas et l'adresse de secours avait été changée ! J'imagine que ducoup c'est possible que les "phisheurs" aient encore accès à ma boite mail. Comment le vérifier et le corriger, pour mes comptes Insta et Fb, je me suis faite une raison...

Je vais essayer de voir ce que je peux faire pour mon compte chrome.

Merci beaucoup !

[Skaylla]

J'ai oublié le dernier compte rendu de MBAM :
https://pjjoint.malekal.com/files.php?i ... 1012y12z12

Et je n'arrive plus à ouvrir Word et Excel, depuis les dernières analyses MBAM.

[Malekal_morte]

Désinstalle MBAM pour voir.

Pour les problèmes d'ouverture d'Excel ou Word, il se passe quoi "rien" ?

Pour sécuriser tes comptes internet : Comment protéger ses comptes internet

[Skaylla]

Oui il n'y avait aucune action quand j'essayais d'ouvrir la suite Office, mais c'est bon ça-refonctionne !

Merci pour le lien, je vais regarder ça.

[Malekal_morte]

ok je passe le sujet en résolu =)

[Skaylla]

ok je passe le sujet en résolu =)

Merci pour votre aide à suivre si jamais.