Trojan diakgcn121016.cl

Breub62 Messages postés 3452 Statut Membre -  
Breub62 Messages postés 3452 Statut Membre -
Bonjour,

J'ai depuis quelques semaines une tentative d'extraction avec Winrar qui se lance toute seule. Rien ne s'installe mais cela revient régulièrement.

En tapant sur google diakgcn121016.cl il semblerait que ce soit un trojan.

Je ne sais pas d'où cela vient ni comment m'en débarrasser. Mon antivirus ne me signale rien et ce n'est pas très contraignant mais si quelqu'un a déjà rencontré ce soucis et connait la solution, je suis preneur.

Merci d'avance

14 réponses

  1. Breub62 Messages postés 3452 Statut Membre 369
     
    *Voici ce que rapporte Winrar :

    Extracting files to C:\Users\***\AppData\Roaming\winlogon folder
    Cannot create libblkmaker_jansson-0.1-0.dll
    Cannot create libblkmaker-0.1-0.dll
    Cannot create libcurl-4.dll
    Cannot create libjansson-4.dll
    Cannot create libusb-1.0.dll
    Cannot create pdcurses.dll
    Cannot create pthreadGC2.dll
    Cannot create zlib1.dll
    0
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    (outil de diagnostic)

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.com/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    ou sinon pour transmettre ton rapport:
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
    Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    colle un rapport de suppression avec adwcleaner

    puis télécharge malwarebyte antimalware , mets le à jour et colle un rapport de recherche rapide avec

    puis remets un rapport zhpdiag tout neuf et explique tes soucis actuels
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut pour info :

    Ce sont des bitcoin-miner dans les dossiers temporaires et quelques uns dans %APPDATA% qui usurpent des noms de fichiers windows.

    Exemple avec [MD5.AA59B15F83B24D0C709CDE556FB4F842] - (...) -- C:\Users\Ezéchiel\AppData\Roaming\winlogon\lass.exe [460800] [PID.5028] : https://www.virustotal.com/gui/file/5b03a5e4bfac718e8ebb2c515900a3e63a00affaa32293547b41079d87e5bae2

    A+
    0
    1. Breub62 Messages postés 3452 Statut Membre 369
       
      Merci pour l'info
      0
  6. Breub62 Messages postés 3452 Statut Membre 369
     
    J'ai ré-exécuté plusieurs fois Malwarebyte et reviennent toujours 2 éléments :

    rapport Malwarebyte

    Sinon mon problèmes initial semble réglé.
    Merci pour l'aide.
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Normal que ça revient : -> Aucune action effectuée.
    0
    1. Breub62 Messages postés 3452 Statut Membre 369
       
      Si si, ça c'est le rapport après le scan. Après ça je supprime la sélection, redémarre et refait un scan mais ces 2 entités reviennent au scan suivant.
      0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ▶ Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.

    ▶ Télécharge OTM (OldTimer) sur ton Bureau :

    ▶ Double-clique sur OTM.exe afin de le lancer.

    ▶ Copie (Ctrl+C) le texte suivant ci-dessous :

    :Reg
    [HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "Load"=-
    


    ▶ Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    ▶ Clique maintenant sur le bouton MoveIt! puis ferme OTM

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    ▶ Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

    *Le nom du rapport correspond au moment de sa création : date_heure.log
    0
    1. Breub62 Messages postés 3452 Statut Membre 369
       
      0
  9. Breub62 Messages postés 3452 Statut Membre 369
     
    OK j'ai refait un scan avec Malwarebyte et tout est OK.

    Merci à vous 2 pour l'aide.
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    c'est pas fini, relis les instructions de jlpjlp
    0
    1. Breub62 Messages postés 3452 Statut Membre 369
       
      Il faut que je relance zhpdiag c'est ça??
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Tu comprends vite :)
      0
    3. Breub62 Messages postés 3452 Statut Membre 369
       
      C'est que je m'y perds avec toutes ces applications... ;-)
      0
  11. Breub62 Messages postés 3452 Statut Membre 369
     
    Le voici, le voilà, le rapport Zhpdiag !
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      c'est le graal de jlpjlp, je le laisse continuer avec toi :)
      bon dimanche ;)
      0
    2. Breub62 Messages postés 3452 Statut Membre 369
       
      Ok merci. Bonne journée ;-)
      0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    O42 - Logiciel: Lollipop - (...) [HKCU][64Bits] -- cpesobq =>Adware.Lollipop
    O69 - SBI: SearchScopes [HKCU] {B03EC238-16D4-4351-B496-A4628B87CC93} - (Web Search) - http://search.conduit.com
    [MD5.0E771375445E13429E68CAE720A48B72] [SPRF][11/05/2013] (...) -- C:\Users\Ezéchiel\AppData\Local\Temp\i4jdel0.exe [35224]
    [MD5.87985DD2DF21D17B8247CAC3896E2DD4] [SPRF][27/01/2013] (.Pas de propriétaire - Danceonmoon.) -- C:\Users\Ezéchiel\AppData\Local\Temp\msyozov.com
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7E685771E24E83F4381D1DB5A45F7B41] =>Toolbar.DeltaSearch
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E5C8B5FB7CB5DD447A0BAAAF637FBD77] =>PUP.ClaroSearch
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF96568971BEAC14B8815883832BD484] =>PUP.ClaroSearch
    EmptyCLSID
    EmptyFlash
    EmptyTemp


    _____________________________________________

    * Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
    * Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
    e script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
    * Clique sur le bouton GO pour lancer le nettoyage
    * Copie/colle la totalité du rapport dans ta prochaine réponse.
    0
  13. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    remets un rapport zhpdiag
    et explique tes soucis

    au fait merci juju666...
    0
    1. Breub62 Messages postés 3452 Statut Membre 369
       
      Voici le rapport : https://www.cjoint.com/c/CEnrDtHbw7j

      Plus de problème à signaler depuis Samedi.

      Merci de votre aide.
      0
    2. Utilisateur anonyme
       
      Salut Breub ;))

      Cela ne veut pas dire que c'est fini pour autant ;)


      Il faut aussi nettoyer tous les outils de désinfections utilisés (ainsi, je crois, que tous les logs associés).

      Laisse jlpjlp finir la désinfection ;)



      @++
      0
    3. Breub62 Messages postés 3452 Statut Membre 369
       
      Quel bordel dis-donc... ;-)

      On est dans un bloc opératoire ou quoi ?
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Salut jlpjlp avec plaisir :)

      @Breub62 :
      Salut,
      On est dans un bloc opératoire ou quoi ?
      Toutafé :o)
      Et comme le captain que je salue au passage te l'indique ce n'est pas terminé, d'ailleurs y'a toujours des trucs néfastes qui tournent sur ton pc
      0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    cela oui c'est pas encore ça...

    evite les cracks et le peer to peer...

    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------

    O39 - APT:Automatic Planified Task - C:\Windows\Tasks\AutoKMS.job [286]
    [MD5.07605ABEB10FC533881C91F19DECF69A] [APT] [AutoKMS] (...) -- C:\windows\AutoKMS\AutoKMS.exe [1923584]
    [MD5.AA59B15F83B24D0C709CDE556FB4F842] - (...) -- C:\Users\Ezéchiel\AppData\Roaming\winlogon\scvhost.exe [460800] [PID.4676]
    [MD5.EBE4B268C8850C5C83D93BECDE898259] [SPRF][13/05/2013] (...) -- C:\Users\Ezéchiel\AppData\Local\Temp\051b2b6f.exe [600415]
    [MD5.0E771375445E13429E68CAE720A48B72] [SPRF][13/05/2013] (...) -- C:\Users\Ezéchiel\AppData\Local\Temp\i4jdel0.exe [35224]
    [MD5.87985DD2DF21D17B8247CAC3896E2DD4] [SPRF][27/01/2013] (.Pas de propriétaire - Danceonmoon.) -- C:\Users\Ezéchiel\AppData\Local\Temp\msyozov.com [849213]
    O42 - Logiciel: Lollipop - (...) [HKCU][64Bits] -- cpesobq =>Adware.Lollipop
    O69 - SBI: SearchScopes [HKCU] {B03EC238-16D4-4351-B496-A4628B87CC93} - (Web Search) - http://search.conduit.com
    [MD5.0E771375445E13429E68CAE720A48B72] [SPRF][11/05/2013] (...) -- C:\Users\Ezéchiel\AppData\Local\Temp\i4jdel0.exe [35224]
    [MD5.87985DD2DF21D17B8247CAC3896E2DD4] [SPRF][27/01/2013] (.Pas de propriétaire - Danceonmoon.) -- C:\Users\Ezéchiel\AppData\Local\Temp\msyozov.com
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7E685771E24E83F4381D1DB5A45F7B41] =>Toolbar.DeltaSearch
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E5C8B5FB7CB5DD447A0BAAAF637FBD77] =>PUP.ClaroSearch
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF96568971BEAC14B8815883832BD484] =>PUP.ClaroSearch
    EmptyCLSID
    EmptyFlash
    EmptyTemp


    _____________________________________________

    * Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
    * Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
    e script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
    * Clique sur le bouton GO pour lancer le nettoyage
    * Copie/colle la totalité du rapport dans ta prochaine réponse.
    0
    1. Breub62 Messages postés 3452 Statut Membre 369
       
      Ok merci. Je vais essayer de faire sans mais je n'en ai plus l'habitude...;-)
      0