Trojan:Script/Phonzy.A!ml et Trojan:Win32/BatTamper.A détectés

[Dokoama]

Bonjour,

Ça fait plusieurs mois que mon ordinateur portable semble tourner en continue quand il est branché sur secteur (ventilation qui tourne + chaleur qui émane du PC). Et depuis un certain temps maintenant Windows Defender détecte 2 Trojans régulièrement : un "Trojan:Win32/BatTamper.A" et un "Trojan:Script/Phonzy.A!ml" dont je demande la suppression à chaque fois mais qui sont à nouveau détectés peu de temps après quand je relance le PC (2/3 jours).

Je n'arrive pas à m'en défaire malgré une réinstallation complète de Windows 11. Je crois que mes disques durs de sauvegardes sont également infectés.

J'ai également remarqué que je ne peux pas activer dans Windows Defender l'option "intégrité de la mémoire" dans "isolation du noyau". Il m'indique un problème de compatibilité des driver mais ne m'indique pas les drivers qui semblent poser problème.

Merci par avance pour votre aide et propositions de solution :)

[Longaripa]

Bonjour 

Suivez ce tuto  --> https://community.lecrabeinfo.net/blogs/entry/92-désinfection-faire-en-premier-zhpsuite-frst/

Il y a 3 rapports à poster 

 

[Dokoama]

Voilà les 3 rapports :

ZHP : https://www.cjoint.com/c/NGCrGewxTpw
FRST : https://www.cjoint.com/c/NGCrGUOUHbw
Addition : https://www.cjoint.com/c/NGCrIwvLrvw

[Longaripa]

Bonjour 

Rien de spécial dans les rapports. 

Votre disque système manque de place. 

C'est vous qui avez installé Aurora-Agent ? Les détections de WD le concernent.
Ce problème est reporté par ailleurs chez les utilisateurs.
Le fichier incriminé étant un fichier texte, il semble que ce soit une fausse détection. 

Je prépare un script pour nettoyer un peu. 

[Dokoama]

Bonjour

Oui, j'ai remarqué qu'il n'y avait plus de place récemment. Je suis assez surpris qu'il y ait autant de chose sur ce disque car normalement j'installe tout sur le 2eme. Je vais nettoyer un peu.

Oui, c'est moi qui l'ai installé lors de mes recherches de solutions. Je viens de réaliser que les deux fichiers suspectés comme des Trojans par Sécurité Windows sont des fichier liés à Aurora-Agent.

Trojan:Script/Phonzy.A!ml :
file: C:\Program Files\Aurora-Agent\signatures\sigma-rules\public\windows\powershell\powershell_script\posh_ps_tamper_windows_defender_set_mp.yml

Trojan:Win32/BatTamper.A :
file: C:\Program Files\Aurora-Agent\signatures\sigma-rules\public\windows\powershell\powershell_classic\posh_pc_tamper_windows_defender_set_mp.yml

 

D'autre part, quelques informations supplémentaire que j'ai oublié de préciser dans mon premier message :

Depuis 3 semaines j'observe des fenêtres qui s'ouvrent et se ferment instantanément pendant mon utilisation de l'ordinateur sans que je lance quelque chose.

J'ai pu voir aussi avec le gestionnaire des tâches que quand je suis sur secteur la carte graphique tourne à 10%-15% continuellement même quand rien n'est lancé. Je ne sais pas si c'est une valeur normale pour une carte graphique non sollicitée ?

Quelque fois lors de la fermeture de l'ordinateur l'application "Uxd Device" empêche la fermeture et Windows demande si je veux clore l'application pour pouvoir arrêter pleinement l'ordinateur.

Et j'ai pu voir que j'avais des factures d'électricité particulièrement élevée également.

 

Je ne sais pas si tous ces éléments sont significatifs et ou importants ? De mon côté je me demandais si je n'avais pas à faire à un Trojan mineur de crypto ? (je ne sais pas si je fabule)

[Longaripa]

Bonjour 

Essayez de faire de la place sur le disque.

Il y a Wiztree qui est pas mal pour voir les gros fichiers et les gros dossiers. 

Pour UxdDevice, cela arrive de temps en temps. C'est lié à Nvidia. Essayez de mettre à jour les pilotes.
Pour le Trojan miner, c'est possible, mais je n'y crois pas trop, il n'y en a pas de traces.

On va faire un peu de ménage dans les fichiers temporaires, les tâches obsolètes, la corbeille, etc 

Correction avec FRST : 

Copier la totalité du contenu, ( Sélectionner  tout   de start:: à end::  compris  -> Copier) de ce correctif hébergé ici -> https://textup.fr/792348D6

Faites uniquement "copier" pour mettre le texte dans le presse-papier, inutile de coller 

Lancez FRST en tant qu'administrateur par click droit
Cliquez sur "corriger" 

Patientez
Une fois le système redémarré, postez le rapport : fixlog.txt

[Dokoama]

Bonsoir,

Merci beaucoup pour ces indications et vos réponses !

Je mets cela en œuvre dès que je peux, je n'ai pas accès à mon ordinateur pour l'instant.

Je reviens une fois cela fait !

[Dokoama]

Bonjour,

Voici le rapport fixlog.txt :

https://www.cjoint.com/c/NHdjStJur4d

Lors du redémarrage après la procédure, plusieurs fenêtres se sont à nouveau lancées puis refermées instantanément.

[Longaripa]

Bonjour 

Ok pour le rapport.

Comment se comporte le PC ? 

Les fenêtres qui s'ouvrent/se ferment, cela arrive souvent, selon ce qui se lance au démarrage.
Ce n'est généralement pas un signe d'infection.

Désactivez un maximum de choses au démarrage, et voyez si cela disparaît.
 

 

 

[Dokoama]

Bonsoir,

En enlevant les logiciels se lançant au démarrage je n'ai effectivement plus de fenêtres qui s'ouvrent puis se ferment.

Cependant désormais j'en ai qui s'ouvrent puis se ferment pendant mon utilisation de l'ordinateur.

Est ce que cela aussi n'est pas considéré comme un signe d'infection ?

[Longaripa]

Bonjour 

Ce n'est pas forcément signe d'infection, en effet.
On va regarder encore. 

Lancez une analyse avec MalwareBytes, et postez le rapport. 

Refaites aussi les analyses comme indiqué au début et postez les 3 rapports. 

4 rapports à poster.

[Dokoama]

Bonjour,

Voilà les 4 rapports.

MalwareBytes : https://www.cjoint.com/c/NHvsBYcbFKw
ZHP : https://www.cjoint.com/c/NHvsEfVug7w
FRST : https://www.cjoint.com/c/NHvsFePSjZw
Addition : https://www.cjoint.com/c/NHvsGi6YTiw 

J'ai eu également plusieurs blue screens de manière assez aléatoire généralement peu de temps après avoir démarré l'ordinateur. A nouveau je ne sais pas si c'est lié ?

Un grand merci à vous pour votre aide !

[Longaripa]

Bonjour 

Désolé pour le délai. J'étais persuadé d'avoir répondu, mais ça a du se perdre en route. 

Je confirme, pas d'infection. 

Pour les fenêtres en cours de travail, cela  peut venir de tâches d'update programmées.
Pour les écrans bleus, télécharger whocrashed.

https://www.resplendence.com/whocrashed

Poster le résultat. 

[Dokoama]

Bonjour,

Aucun soucis ne vous en faite pas !

Voici le rapport de Whocrashed : https://www.cjoint.com/c/NHysoXqAmuw

Comme cjoint n'acceptais pas les fichier HTML je l'ai transformé en .TXT, j'espère que ça ira pour le lire.

Dites le moi dans le cas contraire.

[Longaripa]

Bonjour 

Pas de problème, en le renommant en html, c'est correct. 

A priori, cela viendrait d'un pilote, et en regroupant avec les infos de addition.txt, plus précisément de 

dddriver64Dcsa.sys , un pilote de diagnostic de Dell.

Il est indiqué ici comment contourner le problème.

[Dokoama]

Bonjour !

En suivant les indications sur le lien que vous m'avez envoyé j'ai renommé le fichier dddriver64Dcsa.sys en dddriver64Dcsa.sys.off cependant au redémarrage de l'ordinateur un nouveau message d'erreur est apparu              indiquant :

"Impossible de charger un pilote sur cet appareil
Pilote : iqvw64e.sys
iqvw64e.sys

Un paramètre de sécurité détecte qu'il s'agit d'un pilote vulnérable et en empêche le chargement. Vous devez régler vos paramètres pour charger ce pilote"

[Longaripa]

Bonjour 

D'après Microsoft, il faudrait désactiver la protection de la mémoire. 

https://support.microsoft.com/en-us/windows/core-isolation-e30ed737-17d8-42f3-a2a9-87521df09b78

Un sujet qui en parle : 

https://answers.microsoft.com/en-us/windows/forum/all/iqvw64esys-a-driver-cannot-load-on-this-device/dcc336f6-8815-4346-952b-fff97fe81523