Trojan/FRST Win32/PossibleHostsFileHijack [Résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Kiitsu
Messages : 4
Inscription : 20 mai 2023 14:00

Trojan/FRST Win32/PossibleHostsFileHijack [Résolu]

par Kiitsu »

Bonjour,

Le ventilateur de mon PC commençait à faire des bruits étranges, j'ai fait une analyse antivirus windows et il m'a détecté un Trojan, j'ai donc décidé de faire un FRST dont voici les liens ci dessous

Je vous remercie d'avance grandement pour votre aide ! (FRST - ADDITION - SHORTCUT)

https://pjjoint.malekal.com/files.php?i ... p14x5f5z14

https://pjjoint.malekal.com/files.php?i ... u8l13b11v9

https://pjjoint.malekal.com/files.php?i ... 8w11m9w9u9
Avatar de l’utilisateur
Parisien_entraide
Messages : 17157
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Trojan/FRST

par Parisien_entraide »

Bonjour

Malekal ou Angélique t'en diront plus mais à la base le problème est en lien avec le jeu

Honkai Star Rail

et possiblement le launcher puisqu'il semble qu'il en existe plusieurs dont pour outrepasser l'anti cheat de Steam par ex (sinon il ne foncitonne pas
COGNOSPHERE PTE. LTD. -> HoYoverse) C:\Users\hugor\Desktop\HonkaiStarRail\launcher.exe

Les antivirus peuvent couiner, parce qu'il tente de modifier le fichier Hosts Win32/PossibleHostsFileHijack

Visiblement cela a été bloqué puisque tu devrais avoir ces lignes dans le fichier HOSTS


0.0.0.0 overseauspider.yuanshen.com
0.0.0.0 log-upload-os.hoyoverse.com
0.0.0.0 log-upload.mihoyo.com
0.0.0.0 uspider.yuanshen.com
0.0.0.0 sg-public-data-api.hoyoverse.com
0.0.0.0 prd-lender.cdp.internal.unity3d.com
0.0.0.0 pense- prd-knob.data.ie.unity3d.com
0.0.0.0 thind-gke-usc.prd.data.corp.unity3d.com
0.0.0.0 cdp.cloud.unity3d.com
0.0.0.0 remote-config-proxy-prd.uca.cloud.unity3d.com

Le jeu fonctionne? (je note des autorisation dans le firewall)


Au delà de cela tout dépend aussi OU tu as été récup le jeu, parce que vu que tu as un Qbitorrent et des Applis ADOBE dont je doute de la légalité tout est possible

Alors Microsoft le déclare comme possiblement malveillant, mais en Chine c'est le gouvernement qui en fait état
https://www.pockettactics.com/honkai-star-rail/scam
même si les raisons sont possiblement autres (Conflit avec TENCENT et d'autres investisseurs Chinois à travers OPERA)

Néanmoins vu l'engouement sur le jeu, les pirates ont du en fait une cible
Du reste dans le log c'est amusant de voir qu'OPERA est ciblé (donc possible hijack) puisque ce navigateur est.. Chinois et possiblement lié au gouvernement Chinois, mais OPERA ce sont AUSSI des investisseurs privés Chinois, qui visent les jeux (cela rapporte)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Kiitsu
Messages : 4
Inscription : 20 mai 2023 14:00

Re: Trojan/FRST

par Kiitsu »

Bonjour et merci beaucoup de la réponse rapide !

Ca m'étonne beaucoup que ce soit la faute de ce jeu en particulier (Honkai : Star Rail), je l'ai téléchargé sur l'Epic Games store, le jeu est plutôt populaire en ce moment effectivement et pour le coup il fonctionne parfaitement. Je vais quand même vérifier les problèmes liés au launcher pour être sur !

J'avais certains doutes aussi sur Opera GX qui pouvait utiliser beaucoup de ressources merci beaucoup pour la confirmation !!
Avatar de l’utilisateur
Parisien_entraide
Messages : 17157
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Trojan/FRST

par Parisien_entraide »

De toutes les façons il est possible que ce soit un faux positif, mais il y a un lien avec l'installation de toutes les façons

Faut attendre le verdict de Malekal ou Angélique

Quant à OPERA, c'est à oublier :-)
viewtopic.php?t=68853
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
angelique
Messages : 32255
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Trojan/FRST Win32/PossibleHostsFileHijack

par angelique »

Bonjour/Bonsoir


Rien de particulier sur tes rapports


Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Kiitsu
Messages : 4
Inscription : 20 mai 2023 14:00

Re: Trojan/FRST Win32/PossibleHostsFileHijack

par Kiitsu »

Bonsoir, voici le contenu du dossier fixlog.txt :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 21-05-2023
Exécuté par hugor (21-05-2023 22:19:48) Run:2
Exécuté depuis C:\Users\hugor\Desktop
Profils chargés: hugor
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
S3 klupd_8be0e26fa_arkmon_F68CBDD9; \??\C:\logs\tron\raw_logs\Temp\F68CBDD9AE594B726FFD0FDB048B0239\klupd_8be0e26fa_arkmon.sys [X]
S3 rsDwf; \SystemRoot\system32\DRIVERS\rsDwf.sys [X]
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
Hosts:
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\MRT => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Edge => supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\klupd_8be0e26fa_arkmon_F68CBDD9 => supprimé(es) avec succès
klupd_8be0e26fa_arkmon_F68CBDD9 => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\rsDwf => supprimé(es) avec succès
rsDwf => service supprimé(es) avec succès

========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Erreur?: Reconstruction du parametre de compteur de performance impossible a partir du magasin de stockage systeme?; le code d’erreur est 2

========= Fin de CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Infos?: Reconstruction du parametre de compteur de performance reussie a partir du magasin de stockage systeme

========= Fin de CMD: =========


========= "C:\Windows\SysWOW64\lodctr.exe" /R =========


Infos?: Reconstruction du parametre de compteur de performance reussie a partir du magasin de stockage systeme

========= Fin de CMD: =========


========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========


Infos?: Reconstruction du parametre de compteur de performance reussie a partir du magasin de stockage systeme

========= Fin de CMD: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 107511834 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 880684966 B
Windows/system/drivers => 39782414 B
Edge => 0 B
Brave => 457214216 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 1796526 B
NetworkService => 18237962 B
hugor => 106640370 B

RecycleBin => 0 B
EmptyTemp: => 1.5 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 22:21:14 ====
Avatar de l’utilisateur
angelique
Messages : 32255
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Trojan/FRST Win32/PossibleHostsFileHijack

par angelique »

Voila c’est tout

Suppression de FRST

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Kiitsu
Messages : 4
Inscription : 20 mai 2023 14:00

Re: Trojan/FRST Win32/PossibleHostsFileHijack

par Kiitsu »

Encore une fois merci beaucoup pour votre aide !
Avatar de l’utilisateur
Parisien_entraide
Messages : 17157
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Trojan/FRST Win32/PossibleHostsFileHijack

par Parisien_entraide »

Garde quand meme en mémoire ce qui est en lien avec le jeu, car c'est de fait et par le passé avec l'éditeur il y avait eu un problème similaire lié à des items, astuces etc balancées en lien via discord ou intégrés dans un launcher

Idem pour le fichier HOSTS..
A remplir si tu as des soucis
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »