Virus Stolen.data

Gigi31 -  
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Bonjour,
Depuis quelques jours, à chaque fois que je démarre mon PC, je lance un scan Malwarebytes Anti Malware. Tout les jours le même résultat : Stolen Data (File) / Stolen Data (Folder) / Malware Trace (registry key) venant du dossier Roaming / dclogs
Après suppression avec Malwarebytes, ils disparaissent. Si je redémarre mon PC, ils reviennent.
Merci beaucoup

A voir également:

10 réponses

Réponse 1 / 10
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Salut,

Ce sont les restes d'un RAT.


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
0
Réponse 2 / 10
Gigi31
 
Merci pour votre rapidité
Lien du fichier OTL.txt : http://pjjoint.malekal.com/files.php?id=20130418_o14y14k12v12l13
0
Réponse 3 / 10
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Panneau de Configuration => Programmes et fonctionnalités.
Désinstalle :
Spybot - dépassé et inefficace
Vshare


Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2012/12/05 17:26:45 | 000,000,000 | ---D | M] (Real-Debrid - Plugin) -- C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid
[2012/06/16 11:37:18 | 000,011,655 | ---- | M] () (No name found) -- C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\firefox\profiles\fpbq02da.default\extensions\chromium@seedbox.fr.xpi
[2013/03/27 18:38:46 | 000,004,366 | ---- | M] () (No name found) -- C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\firefox\profiles\fpbq02da.default\extensions\firefox@mega.co.nz.xpi
[2012/11/16 11:45:02 | 000,013,447 | ---- | M] () (No name found) -- C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\firefox\profiles\fpbq02da.default\extensions\ipfuck@p4ul.info.xpi
[2013/01/31 13:38:01 | 000,204,940 | ---- | M] () (No name found) -- C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\firefox\profiles\fpbq02da.default\extensions\OneClickDownload@OneClickDownload.com.xpi
[2013/04/02 11:02:25 | 000,000,000 | ---D | C] -- C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2542115
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2542115
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4

* redemarre le pc sous windows et poste le rapport ici


Change tes mots de passe WEB (Facebook / mot de passe WEB etc).


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 4 / 10
Gigi31701 Messages postés 5 Statut Membre
 
Voila le rapport
Karpesky est désactivé impossible de l'activer
A chaque démarrage le disque est vérifié


========== OTL ==========
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\modules folder moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\locale\it-IT folder moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\locale\fr-FR folder moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\locale\es-ES folder moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\locale\en-US folder moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\locale\en-GB folder moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\locale\ar-AR folder moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\locale\ar folder moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\locale folder moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\defaults\preferences folder moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\defaults folder moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\chrome\content\images folder moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\chrome\content folder moved successfully.
Folder move failed. C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\chrome scheduled to be moved on reboot.
Folder move failed. C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid scheduled to be moved on reboot.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\firefox\profiles\fpbq02da.default\extensions\chromium@seedbox.fr.xpi moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\firefox\profiles\fpbq02da.default\extensions\firefox@mega.co.nz.xpi moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\firefox\profiles\fpbq02da.default\extensions\ipfuck@p4ul.info.xpi moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\firefox\profiles\fpbq02da.default\extensions\OneClickDownload@OneClickDownload.com.xpi moved successfully.
C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1\x86\x86 folder moved successfully.
C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1\x86 folder moved successfully.
C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 folder moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!

OTL by OldTimer - Version 3.2.69.0 log created on 04182013_103556

Files\Folders moved on Reboot...
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid\chrome folder moved successfully.
C:\Users\MDLBEAUZELLE\AppData\Roaming\mozilla\Firefox\Profiles\fpbq02da.default\extensions\real@debrid folder moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


Merci Encore
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Et tu as désinstallé et réinstalle Kaspersky ?

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 6 / 10
Gigi31701 Messages postés 5 Statut Membre
 
Non je suis sur un serveur
0
Réponse 7 / 10
Gigi31701 Messages postés 5 Statut Membre
 
Je dois faire la mise a jour pour le réactiver
0
Réponse 8 / 10
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
KAV version 6, c'est un peu vieillot en effet.

Sinon change bien tous les mots de passe, ils ont été volés.
Désinstalle Spybot, sert à rien.
Malwarebyte suffit.

Fais en sorte d'avoir un antivirus fonctionnel.
0
Réponse 9 / 10
Gigi31701 Messages postés 5 Statut Membre
 
OK merci encore Kapersky est a nouveau opérationnel

Mais pourquoi A chaque démarrage le disque est vérifié ?
0
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
parce qu'un scan au démarrage est paramétré.
Regarde dans le paramétrage de Kaspersky et enlève le.
0
Réponse 10 / 10
Gigi31701 Messages postés 5 Statut Membre
 
Encore Merci pour votre Aide
Tout est revenu dans l'ordre
En ce qui concerne "Mais pourquoi A chaque démarrage le disque est vérifié ?"
C'est un Bug Suite à l'installation de la mise à jour Microsoft KB2823324

Si d'autres ont des problèmes avec Kaspersky voila le lien

https://support.kaspersky.com/fr/14575

Bonne Journée
0
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
ha ok c'est un checkdisk, je pensais un scan Kaspersky...
C'était pas clair.

Oui effectivement une mise à jour de Microsoft est connu pour donner ce résoultat, voir un écran noir et l'impossibilité de démarrer en mode normal.
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses