[Backdoor.XTrat] Comment l'enlever ? (Résolu)

[ladcandide]

Bonjour,

Désolé de vous déranger.

En souhaitant installer le logiciel SUPER (qui devait normalement me permettre de convertir des vidéos), j'ai installer plusieurs centaines de divers Malware.
Après l'utilisation de Malwarebytes Anti-Malware (MBAM) et quelques reboots sans défauts, il ne me reste plus que Backdoor.XTrat selon Malwarebyte.
Il semblerait qu'il se trouve dans C:\WINDOWS\MICROSOFT\SVCHOST.EXE (répertoire totalement inaccessible!!!???).
Il me dit bien qu'il le met en quarantaine, mais il est toujours là.

Vu que c'est censé espionner, je n'ose plus me connecter à quoi que ce soit.

Auriez-vous une idée ? Par ce que tout ce que j'ai trouvé sur le web ne nettoie pas cela.

Merci.
Laurent

[Malekal_morte]

Bonsoir,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[ladcandide]

Bonsoir,

Merci!

Voici les rapports :

FRST.txt : https://pjjoint.malekal.com/files.php?i ... 615m6o8y11

Addition.txt :https://pjjoint.malekal.com/files.php?i ... 8k8z8n11j7

Shortcut.txt : https://pjjoint.malekal.com/files.php?i ... 14w14k9e10

[angelique]

Bonjour/Bonsoir

L'application frst.exe est mal plaçé car Exécuté depuis e:\Temp\Desktop

Merci de mettre l'applicatif sur ton Bureau avec le fixlist.txt à coté.

------------------

Malwarebytes a l'air d'avoir viré ton %systemroot%\Microsoft\svchost.exe


------------------------

Ca sert à rien du tout Glary Utilities 5.87 (HKLM-x32\...\Glary Utilities 5) (Version: 5.87.0.108 - Glarysoft Ltd) à part alourdir le système pour du pseudo nettoyage.

A désinstaller via programmes et fonctionnalités (exécuter➬appwiz.cpl)

Contente toi des utilitaires Microsoft inclus au sytème d'exploitation (exécuter➯cleanmgr)

-------------------------

• Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
  
  Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
  Un redémarrage peut être nécessaire (pas obligatoire).
  Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire si ça va.

[ladcandide]

Bonsoir,

Heu... c'est moi qui ai déplacé le bureau sur un autre disque, j'en avais marre de perdre tout mon bazar à chaque fois que je réinstalle.
Mais je l'ai fait avec les outils windows...

J'ai désinstallé Glary.

J'ai appliqué le fixlist dont voici le fichier résultat : https://pjjoint.malekal.com/files.php?i ... 710n14r712

Je me suis permis de faire tourner Malwarebytes et il voit toujours le truc :

backdoor-xrat-malwarebytes.jpg

Merci

[Malekal_morte]

Désinstalle Glary Utilities, sert à rien.

C'est volontaire tous ces miner ?


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
C:\Windows\microsoft
 Startup: C:\Users\Laurent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar977.lnk [2018-02-08]  
 2018-02-08 13:00 - 2018-02-08 13:00 - 000000000 __SHD C:\Users\Laurent\AppData\Roaming\Microsoft Software 
Task: {B74917B3-239E-486C-8885-EA05B795BBB3} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Edge HomeButtonPage: HKU\S-1-5-21-4255001037-933370894-4014299117-1001 -> hxxps://www.nicehash.com/miner/38MCQmTTgmiAUMhXAXwft2NCdQYM3Ns6xy
Edge Session Restore: HKU\S-1-5-21-4255001037-933370894-4014299117-1001 -> est activé.
FF Homepage: Mozilla\Firefox\Profiles\halpx4pk.default -> hxxps://www.malwarebytes.org/restorebrowser/
2018-02-08 16:46 - 2018-02-08 16:49 - 000000000 ____D C:\AdwCleaner
2018-02-08 14:48 - 2018-02-08 14:48 - 000000000 ____D C:\Quarantine
2018-02-08 12:35 - 2017-09-29 19:12 - 000174592 ____N (Microsoft Corporation) C:\WINDOWS\OaaiaWqNKJoi.exe
2018-02-08 12:35 - 2017-09-29 19:12 - 000059904 ____N (Microsoft Corporation) C:\Users\Laurent\AppData\Local\zgDYAweAqNO.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[ladcandide]

J'ai désinstallé Glary car angelique me l'avait demandé.

Les miner sont volontaires et temporaires sur cette machine (manque plus que la carte mère du rig).

Voici le résultat de FRST :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 08.02.2018
Exécuté par Laurent (09-02-2018 01:15:04) Run:2
Exécuté depuis e:\Temp\Desktop
Profils chargés: Laurent (Profils disponibles: defaultuser0 & Laurent)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
C:\Windows\microsoft
Startup: C:\Users\Laurent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar977.lnk [2018-02-08]
2018-02-08 13:00 - 2018-02-08 13:00 - 000000000 __SHD C:\Users\Laurent\AppData\Roaming\Microsoft Software
Task: {B74917B3-239E-486C-8885-EA05B795BBB3} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Edge HomeButtonPage: HKU\S-1-5-21-4255001037-933370894-4014299117-1001 -> hxxps://www.nicehash.com/miner/38MCQmTTgmiAUMhX ... dQYM3Ns6xy
Edge Session Restore: HKU\S-1-5-21-4255001037-933370894-4014299117-1001 -> est activé.
FF Homepage: Mozilla\Firefox\Profiles\halpx4pk.default -> hxxps://www.malwarebytes.org/restorebrowser/
2018-02-08 16:46 - 2018-02-08 16:49 - 000000000 ____D C:\AdwCleaner
2018-02-08 14:48 - 2018-02-08 14:48 - 000000000 ____D C:\Quarantine
2018-02-08 12:35 - 2017-09-29 19:12 - 000174592 ____N (Microsoft Corporation) C:\WINDOWS\OaaiaWqNKJoi.exe
2018-02-08 12:35 - 2017-09-29 19:12 - 000059904 ____N (Microsoft Corporation) C:\Users\Laurent\AppData\Local\zgDYAweAqNO.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
C:\Windows\microsoft => déplacé(es) avec succès
"C:\Users\Laurent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar977.lnk" => non trouvé(e)
C:\Users\Laurent\AppData\Roaming\Microsoft Software => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B74917B3-239E-486C-8885-EA05B795BBB3}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B74917B3-239E-486C-8885-EA05B795BBB3}" => supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager => clé non trouvé(e)
"C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job" => non trouvé(e)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => clé impossible à supprimer, clé était peut-être protégé(e)
"HKU\S-1-5-21-4255001037-933370894-4014299117-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Main\\HomeButtonPage" => non trouvé(e)
HKU\S-1-5-21-4255001037-933370894-4014299117-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ContinuousBrowsing => clé non trouvé(e)
"FF Homepage: Mozilla\Firefox\Profiles\halpx4pk.default -> hxxps://www.malwarebytes.org/restorebrowser/" => non trouvé(e)
"C:\AdwCleaner" => non trouvé(e)
"C:\Quarantine" => non trouvé(e)
"C:\WINDOWS\OaaiaWqNKJoi.exe" => non trouvé(e)
"C:\Users\Laurent\AppData\Local\zgDYAweAqNO.exe" => non trouvé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-4255001037-933370894-4014299117-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-4255001037-933370894-4014299117-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 11558912 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 13701080 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 3833 B
Edge => 29197 B
Chrome => 46144752 B
Firefox => 61161987 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
defaultuser0 => 0 B
Laurent => 91206 B

RecycleBin => 0 B
EmptyTemp: => 126.5 MB données temporaires supprimées.

================================

Je me suis permis de relancer Malwarebytes et en effet maintenant le Backdoor semble être effacé. MERCI!

Un autre truc étrange depuis cette infection, Edge et la seule application du windows store que j'ai sont hors ligne et je ne peux plus m'inscrire avec mon compte microsoft... c'est grave docteur ?

[Malekal_morte]

Tu as une erreur pour Windows Store ?

[ladcandide]

Je pense que Edge et le store sont liés.

Pour Edge j'ai :

Ce site web est introuvable.
Code d’erreur : INET_E_RESOURCE_NOT_FOUND

en gros je ne suis pas connecté...

Lorsque j'essaie de me connecter avec mon compte Microsoft j'ai :

pas franchement clair...

Bien entendu je suis connecté sur Internet.

[ladcandide]

Juste pour être précis, dans l’application courrier de Windows, je reçois bien les mails mais les images dans les mails (même les anciens) ne s'affichent plus... Mais je peux quand-même ouvrir le site de l'image...
Sais pas si ça réveille quelque chose chez vous.

[Malekal_morte]

wow...

Touche Windows + R
Tape msconfig
onglet Services
Clic sur la colonne fabricant pour rassembler les services par fabricant.
Coche tout ce qui est Microsoft
Clic sur OK et redémarre l'ordinateur

Répare Windows Store avec l'outil indiqué sur la page : https://www.malekal.com/windows-10-repa ... ows-store/

[ladcandide]

ça n'a pas marché, j'ai fait tous les cas du "Répare Windows Store" moins un.
Il ne me reste que la réinitialisation sans perte.

Bon, je vais vous laisser en paix et merci beaucoup à toi et ton équipe pour ce que vous faites.

C'est vraiment du bon boulot!



PS: Je ne sais plus si c'est à moi de marquer Résolu ou non.

[ladcandide]

En fait si c'est à moi de le faire.

[Malekal_morte]

oui =)