[résolu] pc infecte hier ?

Salut à tous :

pc un peu sensible donc je reste au taquet , hier j'ai eu un cas particulier , donc je vais resumer les faits :

je me fait une petite partie de " League of legends" et apres ma partie je vois sur le bureau ouvert en grand une demande d'autorisation d’exécution d'installation de programme pour un .jss

j'ai bien entendu immédiatement fermé , (sans l'avoir screené desolé ... ) et fait bizarre mon "Keyscrambler" etait off (rouge) alors que ca n'arrive quasi jamais

je ne trouve aucun programme dans "download ", dans firefox ni dans Chrome et je n'ai été sur aucun site inconnu / bizarre juste avant

j ai fait un scan malwayrebiite / avira :

seul resultat mais sur un repertoire tres sensible, le F2A :

Beginning disinfection:
C:\Users\Lancien\Downloads\google_authenticator\Google Authenticator.exe ()
 [DETECTION] Contains suspicious code HEUR/APC (Cloud)
 [WARNING]   The file was ignored.

sinon cela pour zpdiag:
http://www.cjoint.com/c/FCjjSRvcsDk

rogues killer n'a rien donné ,

merci de vos eclairages

bonjour,
est ce que tawk.to te dit quelque chose?
Sinon en dehors d'un manque d'espace sur le disque C je ne vois rien de bien méchant sur le rapport.

Pour ce qui est de keyscrambler s'il fonctionne maintenant c'était peut-être juste un bug temporaire, il m'est déjà arrivé d'avoir un agent avast qui plante sans raison et qu'il soit impossible à réactiver sans redémarrer.

Pour l'alerte en question c'est un fichier javascript, il est donc possible que ce soit lié au jeu puisque tu jouais juste avant mais normalement ca vient du web ce genre de truc. Cela dit je n'en vois pas de traces sur ton rapport. Tu as vidé les fichiers temporaires d'internet entre l'alerte et zhpdiag?

salut Hornet, merci pour ta reponse ,

oui tawk.to pas de soucis ,

sinon non je n'ai rien vidé entre temps

et j'ai no scrypt sur firefox,

par contre rien sur chrome mais je ne navigue que sur 2/3 sites de confiance ,

ca m'etonne que ca vienne du jeu mince alors j'aurais du le screen

je ne suis pas certains que ca vienne du jeu, mais sachant qu'il s'agit d'un jeu en ligne, il est possible qu'il ai tenté de télécharger quelque chose (qui soit utile ou pas ca je n'en sait rien).

En tout cas aucune trace d'infection sur le rapport, donc puisque ton antivirus, et malwarebytes n'ont rien trouvé, pour moi il n'y a rien d'autre à faire, tu n'as pas autoriser l'installation donc il n'y à rien à supprimer.

ok ca marche et pour le cloud / detection sur le google auth, cest un faux positif ?

sinon ca sera bon tu peux cloturer merci de ton aide

oui c'est un faux positif. C'est juste une detection basée sur le comportement du programme.

Sur ce, je clos ;-) si besoin de revenir dessus, fais un petit passage ici : https://morbak-home.forumgratuit.org/contact

sujet déverrouillé sur demande de l'auteur, on reprend?

c'est reaaparu :

http://www.noelshack.com/2016-10-1457788656-virus.png

cest ca : mtrcs_123018.js de s372.meetrics.net

trouvé sur  malekal : https://forum.malekal.com/infections-mtrcs-123018-s372-meetrics-net-t54684.html



1) c'est grave docteur  ? :   Reads the cryptographic machine GUID
Reads the active computer name
 (https://www.hybrid-analysis.com/sample/53f33ea5d2b4b3e0ded5b2e55ff8766dfb9d4abd89da6952c6ef3c924c6b1b68?environmentId=1)

merci
2) sinon donc adwcleaner detecte rien malwayre bit etc pareil

avec la capture on y voit un peu plus clair. ca apparait sans raison sur le bureau ou seulement quand tu lance le navigateur web?

regarde dans la liste des programmes ou dans les extensions de tes navigateurs si tu as unicobrowser, si oui, désinstalle le, sinon, fais un scan avec zhpdiag : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois#14662


Si ca n'est pas déja fais, de"sactive windows script hosts comme expliqué ici : https://morbak-home.forumgratuit.org/t866-terminer-une-desinfection#14912

alors non c'est apparu comme cela sur le bureau sans réseau aucune tout mes onglets ouverts depuis le matin

http://www.cjoint.com/c/FCmoJaXNiMk

voila , non je n'ai rien trouvé dans les modules extensions de Chrome ni Firefox

j'ai rajouté "scrypt safe sur Chrome" (pas d'anti scrypt auparavant) et desactivé  windows script hosts

je sais pas si ca peut t'aider mais il donnait ca comme fix sur l'autre site

CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/deta ... ihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/deta ... ihfajigkka
EmptyTemp:

passe ce script avec zhpfix et dit moi si tu as encore des soucis : http://www.cjoint.com/data3/FCmpsn1IuR2_script.txt
utilisation de zhpfix : https://morbak-home.forumgratuit.org/t998-desinfection-modes-d-emplois-des-logiciels#14664

voila un grand merci a toi
http://www.cjoint.com/c/FCmpHFkKs1k

tres bien je te fais signe si ca reapparait encore

Reads the cryptographic machine GUID
Reads the active computer name

donc ca c'est les effets du virus, cest grave ou un petit virus ?

oui c'est ce qu'il fait et non ca n'est pas grave, il est capable de voir le nom de l'ordinateur et son identifiant, c'est juste un programme potentiellement indesirable selon ce que j'ai pu trouver comme info

n'oublie pas de signaler si tu remarque un soucis de fonctionnement, un programme disparu ou autre.

donc je reviens d'une petite sieste et la je vois encore ce programme sur mon bureau sauf que la telechargé et executé ? c'est bizarre ca avait freeze j'ai stop le programme avec ctrl alt suppr

(Chrome avait planté aussi on dirait)

bref sinon avec glasswire j'ai pu voir une activité :  c:\program files\windows defender\mpcmdrun.exe

je reboot mon pc et je lande zphdiag?

redémarre le pc oui mais passe FRST pour voir : https://morbak-home.forumgratuit.org/t998-de-desinfection-les-modes-d-emplois#14660
Et si tu bloque l'adresse indiqué avec malwarebytes, tu as encore des soucis?
Pour le processus que tu donne il appartient à windows defender.

http://www.cjoint.com/c/FCmtLAyS3Zk

addition

http://www.cjoint.com/c/FCmtNs2WDAk

merci

je reboot le pc now

ces fichiers te disent quelque chose?
D:\Program Files (x86)\WlanWpsSvc.exe
D:\Program Files (x86)\WlanDll.dll
C'est censé être lié à ta carte réseau mais l'emplacement sur le lecteur D me parait curieux.

Sinon, à moins que j'ai besoin de lunettes, je ne vois rien non plus qui pourrait expliquer ce soucis sur les rapport FRST.

C'est toujours la même adresse qui est donné par malwarebytes? si oui tu as essayé de la bloquer pour voir ce que ca donne?
Si ca ne change rien, purge ta connexion réseau en suivant ce tuto : https://morbak-home.forumgratuit.org/t642-reinitialiser-la-connexion-internet et par précaution, réinitialise aussi ton modem des fois que ce serait lui qui soit touché. Si tu ne sais pas comment faire, dis moi le nom de ton opérateur.

Le fait d'avoir desactivé windows script host permet d'empecher windows d'executer les fichiers .js et compagnie, ca permet d'éviter une eventuelle infection, mais bon, j'aimerais bien quand même qu'on stoppe les essais de téléchargements du fichier c'est ca le soucis quand même.

les 2 fichiers sont pas recents 2008-2011 donc ca doit pas etre ca

j'ai aucune alerte sur malwayrebytes mais j'ai bloqué l'adresse web avec une extension chrome

blocksite

1 ) donc la j'attends et si je revois le download je purge ma connection ?

2)  comment je peux etre sur que rien ne s'est installé ?

merci de ton aide en tout cas

d'après les rapports que tu as fournis tu n'as rien de malicieux qui se soit installé récemment sur le pc. Si quelque chose s'était installé, ca apparaitrait dans les dossiers/fichiers récemment créés/modifiés listés par zhpdiag par exemple.

Je ne sais pas pourquoi, j'ai en tête que tu as malwarebytes pro depuis le début du sujet ^^ L'adresse, tu peux la bloquer simplement dans ton fichier hosts aussi en ajoutant la ligne :
127.0.0.1 s372.meetrics.net
Si ca ne marche pas, parfois il faut mettre une tabulation entre l'adresse et l'ip, et non pas un espace.
pour plus d'infos sur le fichier hosts : https://morbak-home.forumgratuit.org/t104-le-fichier-hosts

pour ce qui est de la connexion internet, moi je dirais de réinitialiser la carte réseau dès que tu peux, ca va vite mais ca nécessite un redémarrage.

ok je te dis si le virus reapparait mais ca me semble clean pour le moment

jai reinitialisé l'IP etc avec l'invite de commande en suivant le tutorial

j'ai essayé de bloquer par contre via le fichier host mais je m'y prends mal surement (a savoir que j'ai transformé le fichier en.txt car je l'ai modifié via le block notes ) en tout cas ca ne bloque pas Morback pourtant j'ai bien essayé

une fois les modifications faites, il faut supprimer l'extension du fichier pour que windows l'utilise, si tu laisse .txt ca ne marchera pas.

Autre point étrange, certains windows refusent de le prendre en compte si le fichier est créé par les utilisateurs, il faut parfois changer le propriétaire du fichier pour mettre "SYSTEM" pour que ca marche.

salut

toujours pas reeapparu donc merci tout m'a l'air clean pour le moment

https://forum.malekal.com/impossible-telecharger-mtrcs-123018-s372-meetrics-t54684-15.html

ils galerent bien la visiblement aussi à le faire partir

je resume j'ai donc bloqué l'adresse du site / et mis un noscrypt sous l'explorateur windows

Hello, je te conseille d'attendre quelques jours quand même pour être sur que le soucis ne revient pas (il suffit que l'adresse change pour que le blocage soit inefficace) et par précaution refaire sous peu un scan zhpdiag pour controler que tout va bien.

Process explorer c'est peut-être une bonne idée pour trouver le processus responsable qui serait peut-être visible comme infectieux. Tu as une explication ici aussi si besoin : https://morbak-home.forumgratuit.org/t927-process-explorer-un-gestionnaire-de-taches-ameliore
En faisant un double-clic sur les processus tu as accès aux propriétés, l'onglet tcp/ip indique les connexions internet et les adresses, donc on pourrait voir quel processus se connecte à l'adresse en question au moment ou le message s'affiche, seulement comme on a aucune idée du processus qui peut être responsable, ca peut être long de regarder pour tous les processus.