Malware "Yahoo Update", infection de Chrome et logs inquiétants

user_avatar natinusala

Salut à vous,

Je suis aux prises d'une espèce de malware/PUP/adware. Je ne sais pas ce qu'il fait, mais de temps en temps j'ai une popup qui apparaît au pif sur mon bureau. Ce n'est pas exactement celle ci mais c'est très similaire.

C'est à priori un malware connu sous le nom de "Yahoo Update", une simple recherche Google donne quelques résultats. C'est aussi à priori une infection de Chrome, que j'utilise comme navigateur principal.

Vous vous en doutez, si je poste ici c'est que ni MalwareBytes ni AdwCleaner n'ont réussi à m'en débarrasser. Voici ce que je sais sur cette infection :

  • La popup utilise l'outil de Windows pour afficher du HTML dans une fenêtre (j'ai oublié le nom :x)
  • La popup apparaît sur une tâche planifiée que j'ai supprimé à la main, que Adwcleaner a aussi supprimé
  • Chrome semble être infecté, et aussi être la source du problème (une extension malicieuse ?)
  • Lorsque je regarde dans le gestionnaire des tâches, d'où vient cette popup je tombe sur des fichiers logs qui ont été supprimés quand j'ai fermé la popup.

Ces logs parlaient d'une installation puis d'une désinstallation du malware, d'une injection dans Chrome (chrmstp.exe), du remplacement de chaque raccourci de chaque navigateur du PC vers le malware... Le malware s'appelle lui-même "div", et est censé être installé dans C:\\Program Files (x86)\html\div\div.exe. J'y suis allé, il n'y a rien. Il y a également l'utilisateur css qui est mentionné, car les logs parlent de C:\\Users\css. Cet utilisateur n'existe pas.

Vous pouvez les lire ici si vous souhaitez : http://pastebin.com/QspiZjz5 (ce ne sont pas les miens mais d'autres identiques que j'ai trouvé sur le net, les mêmes logs sont produits pour chaque instance du malware à priori)

Auriez-vous des pistes pour m'orienter ? Est-ce que je devrais nuke Chrome de mon PC, faire un scan avec Adwcleaner et MalwareBytes puis le réinstaller ? Ou est-ce que c'est indépendant ? D'autres sources parlent d'un rootkit, j'ai un peu peur x)

Merci d'avance :)

 

Re: Malware "Yahoo Update", infection de Chrome et logs inquiétants

Bonjour !

Pouvez-vous partager les rapports d'AdwCleaner et Malwarebytes ?

Merci,

Re: Malware "Yahoo Update", infection de Chrome et logs inquiétants

Il n'y en a pas car ils ne détectent rien. Adwcleaner l'a détecté une fois puis supprimé mais a priori non car j'ai toujours la popup. Il ne détecte plus rien donc je suppose qu'il a supprimé la source mais que la saleté est installée quelque part.

Re: Malware "Yahoo Update", infection de Chrome et logs inquiétants

Salut :)

Les logs de AdwCleaner ne sont plus présents dans C:/AdwCleaner ?

Peux-tu tout de même lancer à nouveau une analyse complète avec Malwarebytes et partager le rapport généré ?

Aussi, pour obtenir un peu plus de détails, peux-tu suivre les indications suivante :

  • Rendez-vous sur la page de téléchargement de ZHPDiag, puis cliquez sur Télécharger;
  • Enregistrez le fichier et lancez-le;
  • Cliquez sur l'icône "Scanner" afin de réaliser une analyse complète puis patientez, cela peut durer quelques minutes;
  • À la fin de l'analyse, cliquez sur l'icône "Rapport", un rapport va s'ouvrir, et s'enregistre sur votre bureau;
  • Rendez-vous sur Up2Share, puis hébergez le rapport et postez le lien dans votre prochaine réponse.

Merci.

Re: Malware "Yahoo Update", infection de Chrome et logs inquiétants

Salut !

Oui en effet les logs sont bien toujours présents dans C:\\AdwCleaner. Je les ais regardés et ils sont tous identiques, sauf la date : https://pastebin.com/b3zuzCPV (ce qui veut dire que le truc revient après la suppression)

Cela reflète bien ce que je pensais : j'ai une popup, je lance AdwCleaner qui détecte un truc, le supprime puis ne détecte plus rien. La popup revient quelques jours plus tard, je lance AdwCleaner pour virer le malware, il le détecte, puis plus rien, plus la popup revient... Ce qui est drôle c'est que je ne suis jamais allé sur Softonic, tu t'en doutes bien.

Voici les logs MBAM : https://up2sha.re/file?f=sT6XNt4CiRFQ

et ZHPDiag : https://up2sha.re/file?f=ppG5ll2ZuZ9X

ZHPDiag voit le même PUP que AdwCleaner, le truc AkamaiHD, je n'ai aucune idée de ce que c'est...

Merci de ton aide !

Re: Malware "Yahoo Update", infection de Chrome et logs inquiétants

On a un peu plus d'informations déjà ! :)

Je reviens vers toi dès que possible.

Re: Malware "Yahoo Update", infection de Chrome et logs inquiétants

Hello,

Peux-tu télécharger et exécuter Chrome Cleanup Tool ?

***

***

Re: Malware "Yahoo Update", infection de Chrome et logs inquiétants

Hello,

AkamaiHD installe d'autres logiciels douteux.

La suite :

  • Rendez-vous sur la page de téléchargement de ZHPFix, puis cliquez sur le bouton bleu "Télécharger";
  • Enregistrez le fichier sur votre bureau et lancez-le (par un clic-droit -> Exécuter en temps qu'administrateur);
  • Laissez-vous guider pendant l'installation, à la fin, un raccourci se crée sur votre bureau, lancez-le (clic-droit -> "Exécuter en temps qu'administrateur");
  • Cliquez sur l'icône "Importer";
  • Copiez/collez le script suivant, incluant Script ZHPFix :
Script ZHPFix

FirewallRaz
EmptyPrefetch
EmptyTemp
EmptyFlash

G0 - GCSP: Secure Preferences [User Data\Default][HomePage] http://searchinterneat-a.akamaihd.net/  =>.Superfluous.AkamaiHD
R5 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888   =>Hijacker.Proxy

ProxyFix
IFEOFix
  • Cliquez sur le bouton "GO" pour lancer le nettoyage, confirmez et patientez pendant le traitement;
  • À la fin, un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur votre bureau;
  • Copiez/collez le contenu du rapport dans votre prochaine réponse ou hébergez-le sur Up2Sha.re.

++ 

  1. Home
  2. Forum
  3. Désinfection
  4. Malware "Yahoo Update", infection de Chrome et logs inquiétants