Menace détectée : Hijack.shell et Hijack.UserInit

[nikko_nc]

Bonjour,

Après une analyse de MalwareBytes, je viens de trouver ces 2 malwares : Hijack.shell et Hijack.UserInit
Comment faire pour les supprimer en évitant des dégats collatéraux ?!

Après lecture de quelques sujet dans le même genre sur le forum, je viens de télecharger et installer RogueKiller et FRST si besoin...

Je précise que je suis sur Windows 10 64 bits.

Merci d'avance

[nikko_nc]

Pour info je viens de faire un scan avec FRST.
Voila les rapports que j'ai eu :
FRST.txt : https://pjjoint.malekal.com/files.php?i ... 12h5g15t12
Addition.txt : https://pjjoint.malekal.com/files.php?i ... 2r15s6z7y8
Shortcut.txt : https://pjjoint.malekal.com/files.php?i ... 8v6r5p6l15

[angelique]

Bonjour/Bonsoir

ces entrées n'ont rien à faire là effectivement.





Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

[nikko_nc]

Hello,
Déjà merci pour ton aide ;)

voila la copie du fixlog.txt

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 10.10.2018
Exécuté par chti_ (16-10-2018 07:12:10) Run:1
Exécuté depuis C:\Users\chti_\Desktop
Profils chargés: chti_ (Profils disponibles: chti_ & ETIP Nico)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKLM-x32\...\Winlogon: [Userinit] userinit.exe,"C:\WINDOWS\system32\clientsvr.exe"
HKU\S-1-5-21-2536384890-2949524129-4286660235-1001\...\Winlogon: [Shell] explorer.exe,"C:\ProgramData\179994\helper.exe" <==== ATTENTION
Startup: C:\Users\chti_\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Update.exe [2018-10-03] ()
2018-10-03 09:33 - 2016-09-28 11:50 - 000000000 __SHD C:\ProgramData\179994
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit" => supprimé(es) avec succès
"HKU\S-1-5-21-2536384890-2949524129-4286660235-1001\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell" => supprimé(es) avec succès
C:\Users\chti_\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Update.exe => déplacé(es) avec succès
C:\ProgramData\179994 => déplacé(es) avec succès

=========== EmptyTemp: ==========

BITS transfer queue => 11821056 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 70397186 B
Java, Flash, Steam htmlcache => 1566 B
Windows/system/drivers => 829359 B
Edge => 187597161 B
Chrome => 0 B
Firefox => 288484601 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 7168 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 66942 B
NetworkService => 0 B
chti_ => 80918592 B
ETIP Nico => 1429143 B

RecycleBin => 273618 B
EmptyTemp: => 612.1 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 07:13:18 ====

[angelique]

Plus de détection de MalwareBytes ?

Si c'est le cas, tu peux supprimer frt, ses rapports et C:\FRST

Possible que c'était un Trojan RAT donc change tous tes mots de passe (bank, mail, etc.....)

[nikko_nc]

Super, plus rien de détecté par MalwareBytes.

Merci pour ton aide en toutcas, d'habitude j'arrive à me débrouiller mais la j'étais un peu largué !

Plus qu'à commencer la longue liste des mots de passe à changer...