Bonjour,
Le ventilateur de mon PC commençait à faire des bruits étranges, j'ai fait une analyse antivirus windows et il m'a détecté un Trojan, j'ai donc décidé de faire un FRST dont voici les liens ci dessous
Je vous remercie d'avance grandement pour votre aide ! (FRST - ADDITION - SHORTCUT)
https://pjjoint.malekal.com/files.php?i ... p14x5f5z14
https://pjjoint.malekal.com/files.php?i ... u8l13b11v9
https://pjjoint.malekal.com/files.php?i ... 8w11m9w9u9
Trojan/FRST Win32/PossibleHostsFileHijack [Résolu]
Modérateurs : Mods Windows, Helper
- Messages : 4
- Inscription : 20 mai 2023 14:00
- Messages : 15411
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Trojan/FRST
Bonjour
Malekal ou Angélique t'en diront plus mais à la base le problème est en lien avec le jeu
Honkai Star Rail
et possiblement le launcher puisqu'il semble qu'il en existe plusieurs dont pour outrepasser l'anti cheat de Steam par ex (sinon il ne foncitonne pas
COGNOSPHERE PTE. LTD. -> HoYoverse) C:\Users\hugor\Desktop\HonkaiStarRail\launcher.exe
Les antivirus peuvent couiner, parce qu'il tente de modifier le fichier Hosts Win32/PossibleHostsFileHijack
Visiblement cela a été bloqué puisque tu devrais avoir ces lignes dans le fichier HOSTS
0.0.0.0 overseauspider.yuanshen.com
0.0.0.0 log-upload-os.hoyoverse.com
0.0.0.0 log-upload.mihoyo.com
0.0.0.0 uspider.yuanshen.com
0.0.0.0 sg-public-data-api.hoyoverse.com
0.0.0.0 prd-lender.cdp.internal.unity3d.com
0.0.0.0 pense- prd-knob.data.ie.unity3d.com
0.0.0.0 thind-gke-usc.prd.data.corp.unity3d.com
0.0.0.0 cdp.cloud.unity3d.com
0.0.0.0 remote-config-proxy-prd.uca.cloud.unity3d.com
Le jeu fonctionne? (je note des autorisation dans le firewall)
Au delà de cela tout dépend aussi OU tu as été récup le jeu, parce que vu que tu as un Qbitorrent et des Applis ADOBE dont je doute de la légalité tout est possible
Alors Microsoft le déclare comme possiblement malveillant, mais en Chine c'est le gouvernement qui en fait état
https://www.pockettactics.com/honkai-star-rail/scam
même si les raisons sont possiblement autres (Conflit avec TENCENT et d'autres investisseurs Chinois à travers OPERA)
Néanmoins vu l'engouement sur le jeu, les pirates ont du en fait une cible
Du reste dans le log c'est amusant de voir qu'OPERA est ciblé (donc possible hijack) puisque ce navigateur est.. Chinois et possiblement lié au gouvernement Chinois, mais OPERA ce sont AUSSI des investisseurs privés Chinois, qui visent les jeux (cela rapporte)
Malekal ou Angélique t'en diront plus mais à la base le problème est en lien avec le jeu
Honkai Star Rail
et possiblement le launcher puisqu'il semble qu'il en existe plusieurs dont pour outrepasser l'anti cheat de Steam par ex (sinon il ne foncitonne pas
COGNOSPHERE PTE. LTD. -> HoYoverse) C:\Users\hugor\Desktop\HonkaiStarRail\launcher.exe
Les antivirus peuvent couiner, parce qu'il tente de modifier le fichier Hosts Win32/PossibleHostsFileHijack
Visiblement cela a été bloqué puisque tu devrais avoir ces lignes dans le fichier HOSTS
0.0.0.0 overseauspider.yuanshen.com
0.0.0.0 log-upload-os.hoyoverse.com
0.0.0.0 log-upload.mihoyo.com
0.0.0.0 uspider.yuanshen.com
0.0.0.0 sg-public-data-api.hoyoverse.com
0.0.0.0 prd-lender.cdp.internal.unity3d.com
0.0.0.0 pense- prd-knob.data.ie.unity3d.com
0.0.0.0 thind-gke-usc.prd.data.corp.unity3d.com
0.0.0.0 cdp.cloud.unity3d.com
0.0.0.0 remote-config-proxy-prd.uca.cloud.unity3d.com
Le jeu fonctionne? (je note des autorisation dans le firewall)
Au delà de cela tout dépend aussi OU tu as été récup le jeu, parce que vu que tu as un Qbitorrent et des Applis ADOBE dont je doute de la légalité tout est possible
Alors Microsoft le déclare comme possiblement malveillant, mais en Chine c'est le gouvernement qui en fait état
https://www.pockettactics.com/honkai-star-rail/scam
même si les raisons sont possiblement autres (Conflit avec TENCENT et d'autres investisseurs Chinois à travers OPERA)
Néanmoins vu l'engouement sur le jeu, les pirates ont du en fait une cible
Du reste dans le log c'est amusant de voir qu'OPERA est ciblé (donc possible hijack) puisque ce navigateur est.. Chinois et possiblement lié au gouvernement Chinois, mais OPERA ce sont AUSSI des investisseurs privés Chinois, qui visent les jeux (cela rapporte)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 4
- Inscription : 20 mai 2023 14:00
Re: Trojan/FRST
Bonjour et merci beaucoup de la réponse rapide !
Ca m'étonne beaucoup que ce soit la faute de ce jeu en particulier (Honkai : Star Rail), je l'ai téléchargé sur l'Epic Games store, le jeu est plutôt populaire en ce moment effectivement et pour le coup il fonctionne parfaitement. Je vais quand même vérifier les problèmes liés au launcher pour être sur !
J'avais certains doutes aussi sur Opera GX qui pouvait utiliser beaucoup de ressources merci beaucoup pour la confirmation !!
Ca m'étonne beaucoup que ce soit la faute de ce jeu en particulier (Honkai : Star Rail), je l'ai téléchargé sur l'Epic Games store, le jeu est plutôt populaire en ce moment effectivement et pour le coup il fonctionne parfaitement. Je vais quand même vérifier les problèmes liés au launcher pour être sur !
J'avais certains doutes aussi sur Opera GX qui pouvait utiliser beaucoup de ressources merci beaucoup pour la confirmation !!
- Messages : 15411
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Trojan/FRST
De toutes les façons il est possible que ce soit un faux positif, mais il y a un lien avec l'installation de toutes les façons
Faut attendre le verdict de Malekal ou Angélique
Quant à OPERA, c'est à oublier :-)
viewtopic.php?t=68853
Faut attendre le verdict de Malekal ou Angélique
Quant à OPERA, c'est à oublier :-)
viewtopic.php?t=68853
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 32082
- Inscription : 28 févr. 2008 13:58
- Localisation : Breizhilienne
Re: Trojan/FRST Win32/PossibleHostsFileHijack
Bonjour/Bonsoir
Rien de particulier sur tes rapports
Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Rien de particulier sur tes rapports
Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique
Merci.
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique
Merci.- Messages : 4
- Inscription : 20 mai 2023 14:00
Re: Trojan/FRST Win32/PossibleHostsFileHijack
Bonsoir, voici le contenu du dossier fixlog.txt :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 21-05-2023
Exécuté par hugor (21-05-2023 22:19:48) Run:2
Exécuté depuis C:\Users\hugor\Desktop
Profils chargés: hugor
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
S3 klupd_8be0e26fa_arkmon_F68CBDD9; \??\C:\logs\tron\raw_logs\Temp\F68CBDD9AE594B726FFD0FDB048B0239\klupd_8be0e26fa_arkmon.sys [X]
S3 rsDwf; \SystemRoot\system32\DRIVERS\rsDwf.sys [X]
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
Hosts:
EmptyTemp:
*****************
Le Point de restauration a été créé avec succès.
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\MRT => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Edge => supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\klupd_8be0e26fa_arkmon_F68CBDD9 => supprimé(es) avec succès
klupd_8be0e26fa_arkmon_F68CBDD9 => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\rsDwf => supprimé(es) avec succès
rsDwf => service supprimé(es) avec succès
========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========
Erreur?: Reconstruction du parametre de compteur de performance impossible a partir du magasin de stockage systeme?; le code d’erreur est 2
========= Fin de CMD: =========
========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========
Infos?: Reconstruction du parametre de compteur de performance reussie a partir du magasin de stockage systeme
========= Fin de CMD: =========
========= "C:\Windows\SysWOW64\lodctr.exe" /R =========
Infos?: Reconstruction du parametre de compteur de performance reussie a partir du magasin de stockage systeme
========= Fin de CMD: =========
========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========
Infos?: Reconstruction du parametre de compteur de performance reussie a partir du magasin de stockage systeme
========= Fin de CMD: =========
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
=========== EmptyTemp: ==========
FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 107511834 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 880684966 B
Windows/system/drivers => 39782414 B
Edge => 0 B
Brave => 457214216 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 1796526 B
NetworkService => 18237962 B
hugor => 106640370 B
RecycleBin => 0 B
EmptyTemp: => 1.5 GB données temporaires supprimées.
================================
Le système a dû redémarrer.
==== Fin de Fixlog 22:21:14 ====
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 21-05-2023
Exécuté par hugor (21-05-2023 22:19:48) Run:2
Exécuté depuis C:\Users\hugor\Desktop
Profils chargés: hugor
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
S3 klupd_8be0e26fa_arkmon_F68CBDD9; \??\C:\logs\tron\raw_logs\Temp\F68CBDD9AE594B726FFD0FDB048B0239\klupd_8be0e26fa_arkmon.sys [X]
S3 rsDwf; \SystemRoot\system32\DRIVERS\rsDwf.sys [X]
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
Hosts:
EmptyTemp:
*****************
Le Point de restauration a été créé avec succès.
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\MRT => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Edge => supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\klupd_8be0e26fa_arkmon_F68CBDD9 => supprimé(es) avec succès
klupd_8be0e26fa_arkmon_F68CBDD9 => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\rsDwf => supprimé(es) avec succès
rsDwf => service supprimé(es) avec succès
========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========
Erreur?: Reconstruction du parametre de compteur de performance impossible a partir du magasin de stockage systeme?; le code d’erreur est 2
========= Fin de CMD: =========
========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========
Infos?: Reconstruction du parametre de compteur de performance reussie a partir du magasin de stockage systeme
========= Fin de CMD: =========
========= "C:\Windows\SysWOW64\lodctr.exe" /R =========
Infos?: Reconstruction du parametre de compteur de performance reussie a partir du magasin de stockage systeme
========= Fin de CMD: =========
========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========
Infos?: Reconstruction du parametre de compteur de performance reussie a partir du magasin de stockage systeme
========= Fin de CMD: =========
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
=========== EmptyTemp: ==========
FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 107511834 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 880684966 B
Windows/system/drivers => 39782414 B
Edge => 0 B
Brave => 457214216 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 1796526 B
NetworkService => 18237962 B
hugor => 106640370 B
RecycleBin => 0 B
EmptyTemp: => 1.5 GB données temporaires supprimées.
================================
Le système a dû redémarrer.
==== Fin de Fixlog 22:21:14 ====
- Messages : 32082
- Inscription : 28 févr. 2008 13:58
- Localisation : Breizhilienne
Re: Trojan/FRST Win32/PossibleHostsFileHijack
Voila c’est tout
Suppression de FRST
Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage
Suppression de FRST
Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique
Merci.- Messages : 4
- Inscription : 20 mai 2023 14:00
Re: Trojan/FRST Win32/PossibleHostsFileHijack
Encore une fois merci beaucoup pour votre aide !
- Messages : 15411
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Trojan/FRST Win32/PossibleHostsFileHijack
Garde quand meme en mémoire ce qui est en lien avec le jeu, car c'est de fait et par le passé avec l'éditeur il y avait eu un problème similaire lié à des items, astuces etc balancées en lien via discord ou intégrés dans un launcher
Idem pour le fichier HOSTS..
A remplir si tu as des soucis
Idem pour le fichier HOSTS..
A remplir si tu as des soucis
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 6 Réponses
- 462 Vues
-
Dernier message par Kether
-
- 4 Réponses
- 836 Vues
-
Dernier message par Malekal_morte
-
- 14 Réponses
- 522 Vues
-
Dernier message par Malekal_morte
-
- 10 Réponses
- 176 Vues
-
Dernier message par Malekal_morte
-
- 5 Réponses
- 505 Vues
-
Dernier message par Malekal_morte