Trojan.BrowserHijacker et Double accent circonflexe [résolu]

[Solitairecity]

Bonjour, je sais que le sujet est récurent avec 2 cas les 2 derniers jours mais moi aussi j'ai ce problème qui est clairement un trojan, malgré les nombreuses tentatives de supprimer ce virus avec malware bytes (qui le détecte à chaque fois) quand je redémarre mon pc le problème continu. Je sais déjà que le problème est lié à une erreur de ma part en essayant de crack un logiciel :/ Merci d'avance à ceux qui répondront !

FRST: https://pjjoint.malekal.com/files.php?i ... 13y11j7w10
Addition : https://pjjoint.malekal.com/files.php?i ... b13e7d11j9
Shortcut : https://pjjoint.malekal.com/files.php?i ... h7h11m1015

Voici un screenshot du Trojan.BrowserHijacker détecté par MBAM :

Screenshot_1.png

et :

Date: 2021-05-29 21:46:15
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:MSIL/ClipBanker.MR!MTB
ID : 2147781259
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\Pol\AppData\Roaming\7809939.exe
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Protection en temps réel
Utilisateur : POL\Pol
Nom du processus : C:\Users\Pol\AppData\Local\Temp\RarSFX3\GloryWSetp.exe
Version de la veille de sécurité : AV: 1.339.1626.0, AS: 1.339.1626.0, NIS: 1.339.1626.0
Version du moteur : AM: 1.1.18100.6, NIS: 1.1.18100.6

Date: 2021-05-29 21:45:45
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Skeeyah!MSR
ID : 2147750583
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\Pol\AppData\Local\Temp\install.dll
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Protection en temps réel
Utilisateur : POL\Pol
Nom du processus : C:\Users\Pol\AppData\Local\Temp\RarSFX3\Crack.exe

[Parisien_entraide]

Bonsoir,

Malekal ou Angélique te répondront, mais "Je sais déjà que le problème est lié à une erreur de ma part en essayant de crack un logiciel

Sauf que tu n' pas qu'un logiciel cracké (on peut parler des logiciels Adobe par ex )

Déjà tu as récup
Getintopc.com_MagicDraw.UML.Enterprise.v16.6.SP1.rar
MagicDraw UML_19.0 LTR SP4_Crack.txt

https://getintopc.com ----> Ce site n'a que des versions vérolées

Je vois que tu as quelques jeux dont ceux d'ORIGIN...
Si tu tombes sur un crack vérolé qui pompe tes login/mdp tu peux dire adieu à tes jeux (ton trojan suivant les versions peut avoir fonction password stealer -voleur de mots de passe)

Idem avec les anti cheats qui réagissent curieusement si certaine adresses mémoires sont utilisées (qu'ils prendront pour une modification des fichiers de jeux. Au final : Le BAN et qui peut etre définitif pour ton compte ORIGIN donc.. TOUS les jeux ORIGIN (déjà vu avec Punkbuster l'ancien anti cheat)
Sachant en plus que les interfaces de jeux font un scan au lancement...

Curiosité :

Tu as un "A:\Logiciel\" ou un A:\Origin\
C'est étonnant que cela fonctionne bien, vu que la lettre A est reservée par Microsoft/Windows pour.. le lecteur de disquettes
A l'install il est étonnant qu'ORIGN accepte la lettre A en tant qu'unité de disque
Idem pour Steam A:\Jeux\Steam
(C'est DAEMON Tools ? le truc instable qui fait souvent planter les jeux)

[Solitairecity]

Effectivement le soucis vient bien de MagicDraw. Il y a déjà quelques trucs que tu m'apprends que je ne savais pas et que je vais changer, je sais que crack est une des pires idées, j'essaie de faire attention au maximum, depuis 5 ans que j'ai mon pc c'est le seul virus que j'ai eu et je m'en suis rendu compte rapidement et je me suis donc connecté à rien du tout depuis que j'ai le probleme (j'ai essayé d'avoir magic draw dimanche en fin d'après midi et je m'en suis rendu compte 1 ou 2h après).
Je sais que j'ai n'importe quoi ça me servira de leçon ... Merci pour la réponse.

[Malekal_morte]

Salut,

Quelle sont les détections MBAM ?



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {2EFB46EB-11E4-4BFA-B059-54B7F51F5CA5} - System32\Tasks\QWMCXsddcHEk => C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\QWMCXsddcHEk\QWMCXsddcHEk.dll",QWMCXsddcHEk <==== ATTENTION
Task: {56525C0F-0974-4828-B044-AC1B98FF366C} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\SystemInfoTool => C:\Users\Pol\AppData\Roaming\\sysinfotool\\sitool.exe <==== ATTENTION
C:\Program Files (x86)\QWMCXsddcHEk
2021-05-31 20:09 - 2021-05-31 20:40 - 000000000 ___HD C:\ProgramData\Rlhla
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

et :

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

[Solitairecity]

Merci de la réponse, MBAM trouve un trojan.WebHijacker si je ne me trompe pas, je fais la correction FRST cette après midi je ne suis pas chez moi actuellement.

[Malekal_morte]

ok ça roule =)

[Solitairecity]

Du coup, voici le fixlog (au cas où il y en aurait besoin) et le scan NOD32, au passage je rectifie ce n'est pas Trojan.WebHijacker mais Trojan.BrowserHijacker

Fixlog : https://pjjoint.malekal.com/files.php?i ... t9u6h15g11
NOD32 : https://pjjoint.malekal.com/files.php?i ... 2b14m5o5j9

[Malekal_morte]

ok merci je corrige.

Bizarre que NOD32 ne détecte rien.
Cela donne quoi en ce qui concerne le problème de double accent circonflexe ?

Tu peux redonner un rapport de scan FRST ?

[Solitairecity]

J'ai toujours le problème d'accent, pour le NOD32 j'ai fait une analyse que du disque C car juste celle là m'a pris plus d'une demi heure :/
Voilà le FRST :

FRST : https://pjjoint.malekal.com/files.php?i ... 12e6g13n11
Addition : https://pjjoint.malekal.com/files.php?i ... m15x13j8q5
Shortcut : https://pjjoint.malekal.com/files.php?i ... 4j5w8u8t14

[Malekal_morte]

Tu peux scanner ce fichier C:\Windows\system32\C_32770.NLS sur Virustotal pour voir.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2021-05-30 22:30 - 2021-05-30 22:30 - 000000000 _____ C:\Program Files (x86)\temp_files
2021-05-30 22:20 - 2021-05-30 22:36 - 000000000 ____D C:\Users\Pol\AppData\Local\sysinfoappl
2021-05-30 22:20 - 2021-05-30 22:20 - 000000000 ____D C:\Users\Pol\AppData\Local\AdvinstAnalytics
2021-05-29 21:46 - 2021-05-30 23:08 - 000000000 ____D C:\Users\Pol\AppData\LocalLow\gC9tT2iQ3s
2021-05-29 21:46 - 2021-05-29 21:46 - 000000000 ____D C:\Users\Pol\AppData\LocalLow\Wallets
2021-05-29 21:43 - 2021-05-29 21:43 - 005808322 _____ C:\Users\Pol\Downloads\SysML_v16_6_for_keygen.zip
2021-05-29 21:24 - 2021-05-29 21:25 - 272493004 _____ C:\Users\Pol\Downloads\_Getintopc.com_MagicDraw.UML.Enterprise.v16.6.SP1.rar
2021-05-29 21:21 - 2021-05-29 21:21 - 001478187 _____ (Igor Pavlov) C:\Users\Pol\Downloads\sevenzip-setup.exe
2021-05-29 21:21 - 2021-05-29 21:21 - 001478187 _____ (Igor Pavlov) C:\Users\Pol\Downloads\sevenzip-setup (1).exe
2021-05-29 21:18 - 2021-05-29 21:18 - 000688136 _____ C:\Users\Pol\Downloads\MagicDraw UML 19.0 LTR SP4.zip
2021-05-29 21:18 - 2021-05-29 21:18 - 000000152 _____ C:\Users\Pol\Downloads\MagicDraw UML_19.0 LTR SP4_Crack.txt
2021-05-29 19:02 - 2021-05-29 19:02 - 000000000 ____D C:\Users\Pol\Documents\GanttProject
2021-05-26 21:16 - 2021-05-26 21:16 - 000173750 _____ C:\Users\Pol\Downloads\casform_10.0.rar
2021-05-26 20:21 - 2021-05-26 20:21 - 018305443 _____ C:\Users\Pol\Downloads\fa124_2_win.zip
Task: {0E2FA6E3-EE4A-46EA-9875-889549E282A4} - \AgorapolisLauncher -> Pas de fichier <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[Solitairecity]

Je fais le FRST tout de suite en attendant voilà le virus total qui ne détecte rien du tout :/ https://www.virustotal.com/gui/file/8fa ... /detection

[Solitairecity]

Le fixlog si besoin : https://pjjoint.malekal.com/files.php?i ... d12s7m7z11

J'ai toujours le problème, je pense que tu en sais largement plus que moi sur le sujet mais à savoir que le virus se "réinstalle" après chaque démarrage du pc et après quelques minutes si je le supprime avec mbam, avec ça j'ai une extension du mon navigateur (Brave) qui s'installe à chaque fois (quand je fais une recherche une page bing s'ouvre avec la meme recherche quelques secondes après). J'ai mis 2 screens en pj, c'est l'endroit où se trouve l'extension en question.
Dans le cas où rien ne fonctionne si je reset mon pc en réinstallant windows je devrai plus avoir de soucis ?

[Malekal_morte]

Le problème c'est que je ne vois rien d'autres d'anormal.

Tu peux désinstaller Brave
Supprime C:\Users\Pol\AppData\Local\BraveSoftware
Et ce dossier Rlhla

Vois si ça revient au démarrage.

[Solitairecity]

D'accord je fais ça tout de suite

[Solitairecity]

Le problème continu :/ j'ai désinstaller Brave et meme sur google chrome l'extension s'installe dessus