Behavior:Win32/Interhta.Int et virus VBS/PowerShell, fenetre navigateur s'ouvrant...

[tuxpux]

Bonjour et tous.
Je me permet de vous solliciter car je rencontre un soucis sur mon ordinateur (win 11) qui de manière régulière, essaye d'executer des fichiers vbs qui étaient présents dans C:\user\public et que j'ai supprimé de mon coté.
Ainsi qu'un virus Powershell et des détections Behavior:Win32/Interhta.Int.

J'ai executé une analyse Malwarebytes Anti-Malware (MBAM) et AdwCleaner et j'ai fait une analyse antivirus avec ESET node 32.
Certains fichiers ont été placés en quarantaine, mais le pb persiste.

J'ai fait une analyse FRST dont voici les fichiers :
FRST.txt
https://pjjoint.malekal.com/files.php?i ... 7g9t6x11b8
Addition.txt
https://pjjoint.malekal.com/files.php?i ... 11n10y8l10

Une autre fenetre (chrome) s'ouvre vers une url https://detail-booking.com.br/agosto.html (présent dans fichier txt)

Je pense que mon navigateur est infecté et j'aimerais obtenir votre aide sur la résolution de ce pb.

D'avance merci et belle soirée

[Malekal_morte]

Bonjour,

AdwCleaner ne vise pas ce type de menaces.
Tu peux le supprimer.

En effet :

Date: 2024-10-11 07:22:02
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Behavior:Win32/Interhta.Int
ID : 2147849222
Gravité : Grave
Catégorie : Comportement suspect
Chemin : behavior:_process: C:\Windows\System32\mshta.exe, pid126116226487513; process:_pid:10280,ProcessStart:133730977215346363
Origine de la détection : Inconnu
Type de détection : Concret
Source de détection : Inconnu
Utilisateur :
Nom du processus : Unknown

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {A6DF9D4D-7211-43C5-9DE3-51263CFACD62} - System32\Tasks\Booking2024 => C:\WINDOWS\system32\cmd.exe [323584 2024-06-13] (Microsoft Windows -> Microsoft Corporation) -> /c start /min PowerShell -ex Bypass C:\Users\Public\Atendimento.ps1 <==== ATTENTION
Task: {28ED3C0C-A46F-473D-B847-137A737D543E} - System32\Tasks\Office => C:\Users\Public\Roll.vbs  (Pas de fichier)
2024-10-11 14:54 - 2024-05-07 07:07 - 000000130 _____ C:\Users\Accueil\AppData\LocalLow\9498dc05e0927dcde519fe0dd41a79f85be655907583740605d8915881e76e4b
2024-10-11 14:50 - 2024-05-06 07:16 - 000021931 _____ C:\Users\Accueil\AppData\LocalLow\f0bd7242f24af4be262400d50b17db2d7622b80c86e4861cba393d43b6136484
2024-10-11 10:01 - 2024-07-02 10:45 - 000037882 _____ C:\Users\Accueil\AppData\LocalLow\2897bb1a5bcf0a3300d47216e0c864ca2ac0979ff3f1415f091596f46c1f6e37
2024-10-11 10:01 - 2024-07-02 10:45 - 000000130 _____ C:\Users\Accueil\AppData\LocalLow\51cfc48d818b795cb95b7f4680105df57e1b210a3609fe1392d2baefaf9c0835
2024-10-11 06:48 - 2024-08-30 09:21 - 000083476 _____ C:\Users\Accueil\AppData\LocalLow\6581e5fb96a723b6b643576e9704b3107803c8e4b4f0c849d43547a29d4fac2d
2024-10-11 06:43 - 2024-05-06 07:05 - 000000130 _____ C:\Users\Accueil\AppData\LocalLow\9d425a308d6494d0d72b2a6b1234027c987b621625f728f9d7d63762f729979a
2024-10-11 06:23 - 2024-06-14 09:19 - 000019049 _____ C:\Users\Accueil\AppData\LocalLow\81c2c6d17633d013498b1d512ff19fb22776048dbf9546c84468e9f2efeb415d
2024-10-08 18:00 - 2024-06-14 09:19 - 000000130 _____ C:\Users\Accueil\AppData\LocalLow\c167a670d081771de5c01a3bb4d28ed333fab58be9ba814efdd65c2581f25f21
2024-10-07 14:44 - 2024-05-06 07:16 - 000000130 _____ C:\Users\Accueil\AppData\LocalLow\a108409db9b40b9097329b5fd06dc86ccaaf915c3b3c3b5c827cf18cf4a9a8ce
2024-10-07 09:36 - 2024-06-10 09:51 - 000109836 _____ C:\Users\Accueil\AppData\LocalLow\fedbcdadee895c41aad14cb6733b199678f1a04d1068197ffb1f4f85392a7bd1
2024-10-07 09:36 - 2024-06-10 09:51 - 000000130 _____ C:\Users\Accueil\AppData\LocalLow\4a7ac5e600c06ea2872304266024b83383dd44a21aad2a47ff6640ca8aaf2380
2024-10-07 09:35 - 2024-05-06 15:56 - 000024644 _____ C:\Users\Accueil\AppData\LocalLow\176c263927248e57f33d384c3d956c8412951b35db83f7aa9ff161391185043f
2024-10-07 09:35 - 2024-05-06 15:56 - 000000130 _____ C:\Users\Accueil\AppData\LocalLow\583bead68ba638560d879c91a1e8904971fb4b2f322bc551ed3d9d4ea33fce16
Task: {4FAEB6EB-D7E5-4872-B369-B17914D2584A} - System32\Tasks\Edge => C:\Users\Public\tron.vbs  (Pas de fichier)
C:\Users\Public\Atendimento.ps1
Hosts:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

Important :

Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :

Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corriger.



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

3)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[tuxpux]

Bonjour et merci pour ton retour.
J'ai appliqué le correctif et voici les 2 nouveaux fichiers.

Merci encore pour le taff !

FRST
https://pjjoint.malekal.com/files.php?i ... q13j10t9w6

Addition
https://pjjoint.malekal.com/files.php?i ... p12r12f6x8

Bonne journée

[Malekal_morte]

ok, il reste une tâche planifiée pour l'ouverture du lien detail-booking.com.br.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2024-09-30 08:34 - 2024-09-30 08:34 - 000000016 _____ C:\ProgramData\rtpeskt
2024-09-30 08:34 - 2024-09-30 08:34 - 000000012 _____ C:\ProgramData\ydrvadqt.mih
2024-09-30 08:34 - 2024-09-30 08:34 - 000000012 _____ C:\ProgramData\qojddsbn.wfa
2024-09-30 08:34 - 2024-09-30 08:34 - 000000012 _____ C:\ProgramData\oonnotob.rki
2024-09-30 08:34 - 2024-09-30 08:34 - 000000012 _____ C:\ProgramData\incpdhtp.brp
2024-09-30 08:34 - 2024-09-30 08:34 - 000000008 _____ C:\ProgramData\snxldftn.dxk
2024-09-30 08:34 - 2024-09-30 08:34 - 000000008 _____ C:\ProgramData\dqfgxrjo.etv
2024-10-14 15:10 - 2024-10-14 15:20 - 000035644 _____ C:\Users\Accueil\AppData\LocalLow\2897bb1a5bcf0a3300d47216e0c864ca2ac0979ff3f1415f091596f46c1f6e37
2024-10-14 15:10 - 2024-10-14 15:20 - 000000130 _____ C:\Users\Accueil\AppData\LocalLow\51cfc48d818b795cb95b7f4680105df57e1b210a3609fe1392d2baefaf9c0835
2024-10-14 15:10 - 2024-10-14 15:11 - 000011216 _____ C:\Users\Accueil\AppData\LocalLow\6581e5fb96a723b6b643576e9704b3107803c8e4b4f0c849d43547a29d4fac2d
2024-10-14 15:10 - 2024-10-14 15:10 - 000000026 _____ C:\Users\Accueil\AppData\LocalLow\9498dc05e0927dcde519fe0dd41a79f85be655907583740605d8915881e76e4b
Task: {8D621B09-91D4-4993-897C-7B5CBF6370B0} - System32\Tasks\CcleanUpdata23 => C:\WINDOWS\system32\mshta.exe [32768 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> hxxps://detail-booking.com.br/agosto.html
Hosts:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

Important :

Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :

Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corriger.