Service inconnu suspect : LLC Mail.Ru [résolu]

[Yoshinamori]

Bonjour à toutes et tous,

En faisant le tour des services exécutés j'ai trouvé un certains "LLC Mail.Ru" que je ne connais pas. Après quelques recherches il semblerait que ce soit un virus. J'ai déjà eu des jeux crackés sur cet ordinateur donc peut-être qu'il est venu de là.

Est-ce que vous avez des infos là-dessus ? Et sinon, sauriez-vous m'aider à m'en débarrasser ?

FRST me trouve un service : "S4 mracsvc; C:\Windows\System32\mracsvc.exe [21753376 2021-07-04] (Mail.Ru LLC -> LLC Mail.Ru)"
ainsi qu'un pilote : "S3 mracdrv; C:\Windows\System32\drivers\mracdrv1.sys [20986200 2021-07-04] (Mail.Ru LLC -> LLC Mail.Ru)"

Voici mes fichiers FRST :
FRST.txt : https://pjjoint.malekal.com/files.php?i ... 15b14d7y15
Addition.txt : https://pjjoint.malekal.com/files.php?i ... 1k12f13h13
Shortcut.txt : https://pjjoint.malekal.com/files.php?i ... 8q6h9d5d13

Je vous remercie, et bonne soirée !

[Parisien_entraide]

Bonsoir,

Tu es certain qu'il y a eu que des jeux ? (même si ce que l'on voit dans le Hosts est connu)
Tu parles au passé, mais au présent tu continues avec les produits Adobe etc (et vu que ce sont des progs recherchés, ils le sont aussi par les créateurs de malwares en tous genres)

Vu ce que tu fais (CM individuel, mais ai je besoin d'en dire plus ?) tu n'as pas peur de te faire voler tes comptes de jeux ? pirater des accès etc ?

Defender avait détecté une porte dérobée Backdoor:PHP/OrbWS.WS!MTB
Reste à savoir si il y a eu installation d'un logiciel malveillant etc

Malekal ou Angélique t'en diront plus

[Yoshinamori]

Hello, merci pour le retour !

J'ai les versions officielles d'Adobe depuis plusieurs mois vu que je m'en sers pour le travail justement. Tu penses qu'il resterait des résidus d'anciens logiciels Adobe ?

Il n'y a plus aucun crack d'installé sur l'ordinateur, mais peut-être que pour retirer certains résidus une réinstallation Windows serait nécessaire dans ce cas.

Merci encore

[Parisien_entraide]

La règle c'est de ne pas faire le mélange des genres
Si tu bosses avec un ordi, il ne sert pas pour jouer, télécharger "des trucs" (louches) etc sinon il y a des risques

Si résidus il y a ce n'est pas via des traces d'Adobe (au fait il vaut mieux laisser les maj en tâches pour les produits Adobe puisqu'ils sont légit)
En attendant les confirmations d'infection tu pourrais donner une capture (à l'identique du tuto avec les valeurs C6 etc) de ton SSD ou HD avec https://www.malekal.com/crystaldiskinfo ... isque-dur/ ? Y a un truc qui me chiffonne

[Malekal_morte]

Salut,

Désinstalle CCleaner
Sert à rien.



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2021-11-17 12:18 - 2021-11-17 12:18 - 000001052 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe InDesign 2022.lnk
2021-11-16 13:46 - 2021-11-16 13:46 - 000000000 __HDC C:\ProgramData\{0FAF319A-10AB-4310-AFCB-297525DC56AD}
S4 mracsvc; C:\Windows\System32\mracsvc.exe [21753376 2021-07-04] (Mail.Ru LLC -> LLC Mail.Ru)
S3 mracdrv; C:\Windows\System32\drivers\mracdrv1.sys [20986200 2021-07-04] (Mail.Ru LLC -> LLC Mail.Ru)
C:\Windows\System32\mracsvc.exe
C:\Windows\System32\drivers\mracdrv1.sys 
2021-11-14 12:56 - 2021-11-14 12:56 - 000001250 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 2022.lnk
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Microsoft Edge
(Ne pas utiliser Zeok)

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite


~~

Tu as vu cette détection de Backdoor PHP dans cette sauvegarde ?

Date: 2021-12-06 10:27:27
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Backdoor:PHP/OrbWS.WS!MTB
ID : 2147761377
Gravité : Grave
Catégorie : Porte dérobée
Chemin : file:_C:\Users\amaur\Desktop\BACKUP BDD G&R 06_12_2021\app\wp-content\plugins\zippy\sou.php
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Protection en temps réel
Utilisateur : DESKTOP-3ALBVGG\amaur
Nom du processus : C:\Program Files\7-Zip\7zG.exe
Version de la veille de sécurité : AV: 1.353.2153.0, AS: 1.353.2153.0, NIS: 1.353.2153.0
Version du moteur : AM: 1.1.18700.4, NIS: 1.1.18700.4

[Yoshinamori]

Hello,

En effet il est temps que j'investisse dans un second ordinateur pour pouvoir séparer les activités et limiter les risques.

Merci beaucoup Malekal, j'ai tout fait et c'est niquel. J'avais pas vu la détection de backdoor php, je te remercie de me l'avoir montré. Je vais m'en occuper.

Merci énormément à vous deux et bonne journée

[Parisien_entraide]

Bonjour,

Regarde quand meme avec Crystal Disk Info pour voir si le secteur defectueux est isolé ou pas