Discussion :

[chrtophe]

Bonsoir,

J'ai un poste infecté avec un truc nommé Schrek quelque chose URL:...

Avast l'a inetrcepté mais affiche le message toutes les 10mn environ. J'arrive pas à m'en débarrasser. J'ai fait un scan Avast au boot, passé adwcleaner, malwarebyrte, le drweb gratuit.

JE n'arrive pas à trouver le process plombé ni l'entrée dans le registre (suis peut-être passé à coté)

Si quelqu'un a une solution, je suis preneur.

Merci d'avance.

[Skyxia]

Bonjour !

Des bons réflexes, coriace si pas suffisant !

Ce que tu peux également tenter c'est d'utiliser : ZHP Cleaner

Si Avast l'a intercepté, peux-tu aller regarde dessus si tu arrive à avoir le nom exact ? Ca pourrait aider pour la recherche de la désinfection

Cordialement.

[chrtophe]

Un peu plus d'infos : connexion annulée à shrek.icu URL:Blacklist.

Google ne donne rien de probant, mise à part les dessins animés.

Je verrais quand j'irais sur place. J'aimerais éviter une réinstall mais sinon temps pis, je la ferais.

Ce qui m'emmerde c'est que je sais pas ce que c'est (scareware, truc bénin ou dangereux).

[Skyxia]

Bonjour,

Au vu de :

1. https://www.urlvoid.com/scan/shrek.icu/

2.

Code txt :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
Domain Name: SHREK.ICU
Registry Domain ID: D103958316-CNIC
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: https://namecheap.com
Updated Date: 2019-05-24T09:14:43.0Z
Creation Date: 2019-05-18T10:47:53.0Z
Registry Expiry Date: 2020-05-18T23:59:59.0Z
Registrar: Namecheap
Registrar IANA ID: 1068
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant Organization: WhoisGuard, Inc.
Registrant State/Province: Panama
Registrant Country: PA
Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Admin Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Tech Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Name Server: DNS1.REGISTRAR-SERVERS.COM
Name Server: DNS2.REGISTRAR-SERVERS.COM
DNSSEC: unsigned
Billing Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone:
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of WHOIS database: 2019-07-05T07:55:42.0Z <<<

For more information on Whois status codes, please visit https://icann.org/epp

>>> IMPORTANT INFORMATION ABOUT THE DEPLOYMENT OF RDAP: please visit
https://www.centralnic.com/support/rdap <<<

The Whois and RDAP services are provided by CentralNic, and contain
information pertaining to Internet domain names registered by our
our customers. By using this service you are agreeing (1) not to use any
information presented here for any purpose other than determining
ownership of domain names, (2) not to store or reproduce this data in
any way, (3) not to use any high-volume, automated, electronic processes
to obtain data from this service. Abuse of this service is monitored and
actions in contravention of these terms will result in being permanently
blacklisted. All data is (c) CentralNic Ltd (https://www.centralnic.com)

Access to the Whois and RDAP services is rate limited. For more
information, visit https://registrar-console.centralnic.com/pub/whois_guidance.

3.

Code txt :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33658
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;shrek.icu.            IN    ANY

;; ANSWER SECTION:
shrek.icu.        3600    IN    SOA    dns1.registrar-servers.com. hostmaster.registrar-servers.com. 2019062000 43200 3600 604800 3601
shrek.icu.        1799    IN    NS    dns1.registrar-servers.com.
shrek.icu.        1799    IN    NS    dns2.registrar-servers.com.
shrek.icu.        59    IN    A    5.188.60.83

ça a pu / ça peut potentiellement servir pour de l'infection, ou du spam, en revanche je trouve rien qui indique comment s'en débarrasser pour le moment :/

Cordialement,