trojan QEMU\SYSTEMSERVICES.EXE détecté par Malwarebytes

[HarisHar]

Bonjour,

Suite à quelques problèmes avec mon ordinateur (Malwarebytes Anti-Malware (MBAM) a notamment découvert deux trojans, qui ont maintenant été mis en quarantaine puis supprimés), j'aimerais voir si tout est ok avec mon ordinateur. J'ai suivi le tutoriel FRST. Voici les rapports que le logiciel a généré :

Addition : https://pjjoint.malekal.com/files.php?i ... 15t11r8e15
FRST : https://pjjoint.malekal.com/files.php?i ... 5x126v8n15
Shortcut : https://pjjoint.malekal.com/files.php?i ... 13o6d56z15

Je vous remercie sincèrement par avance.

Cordialement,
Haris

[Malekal_morte]

Salut,

Quels trojan ?
Dans quels fichiers ?
Faudrait donner le rapport MBAM, il est dans l'historique.


Sinon tu as KMSPico sur ce PC ... détecté en HackTool:Win32/AutoKMS.
Possible ça que Malwarebytes a aussi détecté.

Date: 2020-06-04 19:41:36.578
Description:
Antivirus Windows Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : HackTool:Win32/AutoKMS
ID : 2147685180
Gravité : Élevée
Catégorie : Outil
Chemin : containerfile:_C:\Users\Louvet Matthieu\AppData\Local\Temp\Rar$EXa11464.33077\download\MTK2.6B5\Microsoft Toolkit.exe; file:_C:\Users\Louvet Matthieu\AppData\Local\Temp\Rar$EXa11464.33077\download\MTK2.6B5\Microsoft Toolkit.exe; file:_C:\Users\Louvet Matthieu\AppData\Local\Temp\Rar$EXa11464.33077\download\MTK2.6B5\Microsoft Toolkit.exe->[SAResource]->[MSILRES:?.?.resources]
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : DESKTOP-P8TPOOP\Louvet Matthieu
Nom du processus : C:\Program Files\CCleaner\CCleaner64.exe

~~

CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : [https://www.malekal.com/supprimer-cclea ... e-windows/]
Pense aussi à désactiver l'envoie de données dans les options de CCleaner. Elles remontent des informations aux serveurs Avast!

[HarisHar]

Les fichiers détectés par MBAM sont :

Clé du registre: 1
Trojan.Agent, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SystemServices, En quarantaine, 496, 596488, , , ,
Fichier: 1
Trojan.Agent, C:\PROGRAM FILES\QEMU\SYSTEMSERVICES.EXE, En quarantaine, 496, 596488, 1.0.25016, , ame,

Ok pour CCleaner, je vais le supprimer. J'ai adwcleaner aussi, c'est good ça ?

Est-ce que je dois effectuer une correction suite à mes rapports avec FRST ?

Merci pour votre aide !

[Malekal_morte]

Un Trojan miner, je crois.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2020-06-04 20:03 - 2019-07-21 14:53 - 000000000 ___HD C:\Program Files\qemu
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[HarisHar]

Tout c'est bien passé (voir ci-dessous), merci beaucoup Malekal_morte ! Est-ce que tout est rentré dans l'odre à présent ? Et petite question, dois-je changer mes mots de passe ?


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 04-06-2020
Exécuté par Louvet Matthieu (05-06-2020 13:01:25) Run:1
Exécuté depuis C:\Users\Louvet Matthieu\Desktop
Profils chargés: Louvet Matthieu
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
2020-06-04 20:03 - 2019-07-21 14:53 - 000000000 ___HD C:\Program Files\qemu
Hosts:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
C:\Program Files\qemu => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.


Le système a dû redémarrer.

==== Fin de Fixlog 13:04:05 ====

[Malekal_morte]

oui,

Supprime C:\FRST,

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Tu peux améliorer les protections et sécurité de Windows en suivant ces indications :