[RelevantKnowledge] Infection.

[NYCtalope]

Bonjour à toutes & tous.

J'ai détécté ce matin au boot de mon pc (W10 version familiale)
un popup m'engageant à mettre à jour RelevantKnowledge.

Intigué par cette demande je fais une rapide recherche sur internet et découvre que c'est un malware.

Dans l'ordre, je procède alors comme suit :

1er) installation de Malwarebytes Anti-Malware (MBAM) et exécution.
reboot à l'invitation.

2ème) après en avoir lu son rapport, désinstallation du programme l'ayant initié (freemp3wmaconverter).
Reboot.

un popup "Update available ! Paramètre incorrect" étant résiliant :

3ème) Installation de AdwCleaner et exécution
reboot à l'invitation
et enregistrement du rapport sur mon bureau.

Mais le Popup décrit ci-dessus est toujours résiliant.

Que faire ? je crains d'être sérieusement infecté.

Merci de vos réponses. A vous lire.

[angelique]

Bonjour/Bonsoir,

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST ou FRST
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
  
  -------------
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  -------------
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[NYCtalope]

https://pjjoint.malekal.com/files.php?i ... y8h15b6m10

https://pjjoint.malekal.com/files.php?i ... 14i12e9b14

Voici les deux rapports demandés... Et merci de la rapidité de votre réponse.

[Malekal_morte]

Quel est le mot de passe ?

[NYCtalope]

Quel est le mot de passe ?

barabar

[Malekal_morte]

ok,

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

CCleaner
CyberLink
Wondershare (utile?)

PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : [https://www.malekal.com/supprimer-cclea ... e-windows/]


~~


Plus de RelevantKnowledge, après il y a ce Free MP3 WMA OGG Converter que l'on peut virer....


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
2018-05-16 09:25 - 2018-05-16 09:25 - 000000000 ____D C:\WINDOWS\System32\Tasks\McAfee
Task: {39C5CFBC-22A7-4937-88EB-36CDD45D690E} - System32\Tasks\Product Updater => C:\Program Files (x86)\Free MP3 WMA OGG Converter\FFProductUpdater.exe [2017-06-01] ()
 C:\Program Files (x86)\Free MP3 WMA OGG Converter
 2018-05-18 19:25 - 2018-05-18 19:25 - 000003382 _____ C:\WINDOWS\System32\Tasks\Product Updater
2018-05-18 19:25 - 2018-05-18 19:25 - 000000000 ____D C:\Users\franc\AppData\Roaming\Free MP3 WMA OGG Converter New Version Available
2018-05-18 19:25 - 2018-05-18 19:25 - 000000000 ____D C:\Users\franc\AppData\Roaming\Free MP3 WMA OGG Converter
2018-05-18 19:24 - 2018-06-04 07:47 - 000000000 ____D C:\Program Files (x86)\Free MP3 WMA OGG Converter
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[NYCtalope]

https://pjjoint.malekal.com/files.php?i ... 3b5j8i6m11

Voici le résultat.

à la suite de quoi :

Le popup récalcitrant à effectivement disparu :

Je suis préoccupé par trois choses :
1) mon pavé numérique ne fonctionne plus.
2) tu me demandes de supprimer Wondershare mais il m'arrive de l'utiliser.
tu me demandes de supprimer CCleaner que j'utilise régulièrement.
C'est quoi le problème avec CCleaner ? je ne le sens pas passer, et je n'ai pas l'impression
qu'il ralentisse particulièrement le système... suite à leur faille découverte dans l'automne,
j'ai updater bien sûr.
(Le mdp du fichier demeure identique.)

3) Est-ce qu'il faut que je change TOUS mes mdp à la suite de cette infection
comme il me semble me souvenir que j'ai lu sur un autre forum ?

[NYCtalope]

NB: malwarebytes m'alerte sur un site nommé Handstrack (?) (je n'ai pas eu le temps de tout lire)
qu'il refuse d'ouvrir et qui semble tenter de faire "intrusion"....

[Malekal_morte]

Pour les mots de passe oui.
Pour Malwarebytes, quel est le processus à l'origine de l'alerte ?
(voir historique et journal d'alerte)

[NYCtalope]

Merci Malekal_morte...
le fichier Malwarebyte (rapport) se trouve là :

https://pjjoint.malekal.com/files.php?i ... 5u8l10j9h6

Merci de ta réponse.

[Malekal_morte]

c'est chrome le processus source :

-Détails du site Web bloqué-
Site Web malveillant: 1
, , Bloqué, [-1], [-1],0.0.0

-Données du site Web-
Catégorie: Logiciel à risque
Domaine: www.hanstrackr.com
Adresse IP: 34.243.188.61
Port: [57210]
Type: En sortie
Fichier: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Réinitialise/Répare les navigateurs WEB concerné(s) par les problèmes :

• Réparer Google Chrome (premier paragraphe)
• puis Nettoyer Google Chrome avec Chrome Cleanup : Chrome cleanup : supprimer les logiciels malveillants

[NYCtalope]

Bonjour Malekal.
Alors voilà j'ai tout fais comme indiqué.
Mais certaines extensions manquaient à l'appel.
Je le s ai donc réactivées, une à une.
Est là UNE extension à de nouveau ranimer ce popup d'alerte Malwarebyte.
Il s'agit de Flash Vidéo Downloader
qui paraît donc suspecte.
Je les ai désactivées dans les paramètres Google Chrome,
et plus de popup Malewarebyte.
Merci pour toutes les réponses concises et claires.
A l'habitude, comme toujours j'ai été dépanné par ce site miracle.
Bonne journée.

[Malekal_morte]

Il y a bcp d'arnaques ou de logiciels mal codés parmi ces téléchargeurs de vidéos...
il faut donc faire attention.