Stolen Data et Malware Trace

Résolu
easynote62 -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Depuis quelques jours, à chaque fois que je démarre mon PC, je lance un scan Malwarebytes Anti Malware. Tout les jours le même résultat : Stolen Data (File) / Stolen Data (Folder) / Malware Trace (registry key) venant du dossier Roaming / dclogs

Après suppression avec Malwarebytes, ils disparaissent. Si je redémarre mon PC, ils reviennent. Norton ne trouve rien sur mon PC.

De plus, depuis que c'est apparut, plus moyen d'utiliser l'accent circonflexe et le tréma sur une lettre du clavier.

Au démarrage du PC, je me retrouve avec une fenêtre d'erreur :

Engine::CLocaleManager::LoadLocaleList (...) : FAILED : Can't open 'xml/Locale.xml' for reading

Voilà en espérant pouvoir avoir de l'aide car j'ai vu que ce genre de chose servait à volé des mots de passe .....

PS : J'avoue que ça doit être parce que j'ai téléchargé de la m***e sur mon PC, là je regrette beaucoup .... D'après certaine réponse, il faut supprimer des trucs genre les "keyg*n" mais je ne comprend pas comme les trouver et comment les supprimer :'(

Merci d'avance

9 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Fais un scan OTL

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
    Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  2. easynote62
     
    Merci pour ta réponse !

    Je pose le lien dès que c'est terminé.

    Par contre, à la fin du tuto, il est dit de faire "OTL en Correction". Je le fais ou j'attend ta réponse ? Merci !
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ça c'est après analyse pour virer les mrdes :)
      0
  3. easynote62
     
    Voilà, je crois que c'est bon : http://pjjoint.malekal.com/files.php?id=20130316_s15q5q15e6s8

    En meme temps que tu regarde pour mes malwares, si tu vois des programme inutile ou de m****e, hésite pas :) Merci !
    0
    1. easynote62
       
      Arf, je viens de voir qu'il fallait mettre OTL sur le bureau pour faire l'analyse, pas fait .... Je recommence sur le bureau ?
      0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Envoie les fichiers suivants sur http://upload.malekal.com à partir du bouton parcourir :
    C:\Users\Anne\AppData\Local\Temp\file.exe
    C:\Users\Anne\AppData\Roaming\anneder.exe
    C:\Users\Anne\AppData\Local\Temp\utildel.exe

    Relance OTL.
    o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

    :OTL
    CHR - plugin: Software Update (Enabled) = C:\Program Files (x86)\Software\Update\1.2.201.0\npSoftwareOneClick8.dll
    O4 - HKCU..\Run: [Microsoft .NET Framework v3.5] C:\Users\Anne\AppData\Local\Temp\file.exe (Fenomen Games)
    [2013/03/14 13:35:30 | 000,820,880 | ---- | M] () -- C:\Users\Anne\AppData\Roaming\gtre.exe
    [2013/03/14 13:22:03 | 000,820,568 | ---- | M] () -- C:\Users\Anne\AppData\Roaming\anneder.exe
    [2013/03/16 14:01:56 | 000,711,680 | ---- | M] (Cedant Software Inc.) -- C:\Users\Anne\AppData\Local\Temp\utildel.exe

    * redemarre le pc sous windows et poste le rapport ici
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. easynote62
     
    Résultat :

    ========== OTL ==========
    File C:\Program Files (x86)\Software\Update\1.2.201.0\npSoftwareOneClick8.dll not found.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Microsoft .NET Framework v3.5 deleted successfully.
    C:\Users\Anne\AppData\Local\Temp\file.exe moved successfully.
    C:\Users\Anne\AppData\Roaming\gtre.exe moved successfully.
    C:\Users\Anne\AppData\Roaming\anneder.exe moved successfully.
    C:\Users\Anne\AppData\Local\Temp\utildel.exe moved successfully.

    OTL by OldTimer - Version 3.2.69.0 log created on 03162013_152053

    Après redémarrage, toujours l'erreur au lancement décrite dans mon 1er post :(

    Je relance une analyse complète avec OTL ?
    0
  7. easynote62
     
    D'accord ^^ Les mots de passe qui ne s'enregistre pas sur le Pc (exemple banque), il faut les changer aussi ?

    Je te poste mon scan quand il est finit !
    0
    1. easynote62
       
      Scan Malwarebyte :

      Malwarebytes Anti-Malware (PRO) 1.70.0.1100
      www.malwarebytes.org

      Version de la base de données: v2013.03.16.06

      Windows 7 Service Pack 1 x64 NTFS
      Internet Explorer 9.0.8112.16421
      Anne :: ANNE-PC [administrateur]

      Protection: Activé

      16/03/2013 15:29:12
      MBAM-log-2013-03-16 (15-33-20).txt

      Type d'examen: Examen rapide
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 206515
      Temps écoulé: 3 minute(s), 59 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 1
      HKCU\Software\DC3_FEXEC (Malware.Trace) -> Aucune action effectuée.

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 1
      C:\Users\Anne\AppData\Roaming\dclogs (Stolen.Data) -> Aucune action effectuée.

      Fichier(s) détecté(s): 1
      C:\Users\Anne\AppData\Roaming\dclogs\2013-03-16-7.dc (Stolen.Data) -> Aucune action effectuée.

      (fin)
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      " Aucune action effectuée. " - tu as bien supprimé les éléments détectés?
      0
    3. easynote62
       
      Malwarebytes Anti-Malware (PRO) 1.70.0.1100
      www.malwarebytes.org

      Version de la base de données: v2013.03.16.06

      Windows 7 Service Pack 1 x64 NTFS
      Internet Explorer 9.0.8112.16421
      Anne :: ANNE-PC [administrateur]

      Protection: Activé

      16/03/2013 15:29:12
      mbam-log-2013-03-16 (15-29-12).txt

      Type d'examen: Examen rapide
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 206515
      Temps écoulé: 3 minute(s), 59 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 1
      HKCU\Software\DC3_FEXEC (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 1
      C:\Users\Anne\AppData\Roaming\dclogs (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.

      Fichier(s) détecté(s): 1
      C:\Users\Anne\AppData\Roaming\dclogs\2013-03-16-7.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.

      (fin)

      Voilà avec la suppression, désolé j'attendais ta réponse avant de le faire
      0
  8. easynote62
     
    Plus d'erreur au lancement, la touche ôö remarche, après 2 redémarrage, malwarebyte ne trouve rien :D un énorme merci Malekal_morte ! une dernière question, avec ODT et le site http://pjjoint.malekal.com, je peux évaluer le rapport et avoir les lignes qui sont mauvaises (plusieurs d'après ce que j'avais vu avant de redémarrer plusieurs fois. Tu pense que ce serait bien de le faire et de corriger ? Et comment corriger ces problèmes, simplement en supprimant les fichiers ou dossiers indiqué ? Encore un très grand merci !
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu peux évaluer oui, si tu as un doute sur une ligne https://www.virustotal.com/gui/ ou tu te demandes.

      Attention à ce que tu télécharges à l'avenir!
      0
    2. easynote62
       
      Oh oui je vais faire attention maintenant :$ Encore un très grand merci ! Je vais voir si je peux mettre résolu et ensuite voir pour virer tout le bordel qu'il reste sur mon PC !

      Passe une bonne fin de journée !
      0
  9. belaesarius
     
    Bonjour je me retrouve avec le même problème , j'ai donc suivis la procédure décrite est voila le résultat :

    http://pjjoint.malekal.com/files.php?id=20130526_z8u5g5t6v10

    http://pjjoint.malekal.com/files.php?id=20130526_b15b14k9v14m14
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Relance OTL.
      o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
      Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

      :OTL
      O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll (Yontoo LLC)
      [2012/11/09 00:53:26 | 000,000,000 | ---D | M] -- C:\Users\Belaesarius\AppData\Roaming\Babylon
      [2012/09/14 01:23:24 | 000,000,000 | ---D | M] -- C:\Users\Belaesarius\AppData\Roaming\dclogs

      * redemarre le pc sous windows et poste le rapport ici


      ~~


      Change tes mots de passe ils ont été volés.
      0
    2. belaesarius
       
      ========== OTL ==========
      Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ deleted successfully.
      C:\Program Files (x86)\Yontoo\YontooIEClient.dll moved successfully.
      C:\Users\Belaesarius\AppData\Roaming\Babylon folder moved successfully.
      Folder C:\Users\Belaesarius\AppData\Roaming\dclogs\ not found.

      OTL by OldTimer - Version 3.2.69.0 log created on 05262013_143801
      0
    3. belaesarius
       
      j'ai pas encore redémarrer je le fait : p
      0
    4. belaesarius
       
      Malwarebytes Anti-Malware 1.75.0.1300
      www.malwarebytes.org

      Version de la base de données: v2013.05.26.03

      Windows 7 Service Pack 1 x64 NTFS
      Internet Explorer 10.0.9200.16576
      Belaesarius :: BELAESARIUS-PC [administrateur]

      26/05/2013 14:41:22
      mbam-log-2013-05-26 (14-41-22).txt

      Type d'examen: Examen rapide
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 239749
      Temps écoulé: 2 minute(s), 12 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      (fin) [ RESOLU] merci pour l'aide apporter
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Change bien tous tes mots de passe (Facebook, mail etc).
      ils ont été volés.
      0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Non change tes mots de passe WEB (Facebook, mail), jeux en ligne etc, ils ont été volés.
    Refais un scan Malwarebyte et donne le rapport.
    -1