Tor installé sans pré-avis => Trojan.Mevade
Résolu/Fermé
elpens
Messages postés
815
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
-
Modifié par Malekal_morte- le 1/10/2013 à 15:18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 2 oct. 2013 à 11:48
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 2 oct. 2013 à 11:48
A voir également:
- Tor installé sans pré-avis => Trojan.Mevade
- Telecharger tor - Télécharger - Confidentialité
- Installer windows 10 sans compte microsoft - Guide
- Jeux qui s'installe tout seul android ✓ - Forum Téléphones & tablettes Android
- Canon pixma mg2500 installation sans cd - Forum Imprimante
- Installer linux sans clé usb ✓ - Forum Ubuntu
8 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
1 oct. 2013 à 14:47
1 oct. 2013 à 14:47
Salut,
Il a pu être installé avec un programme qui s'en sert.
Il a pu être installé avec un programme qui s'en sert.
elpens
Messages postés
815
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
136
1 oct. 2013 à 14:57
1 oct. 2013 à 14:57
Ok,
Tu as des exemples de programmes qui nécessitent d'avoir tor?
Tu as des exemples de programmes qui nécessitent d'avoir tor?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
1 oct. 2013 à 14:58
1 oct. 2013 à 14:58
Comme ça là, non.
Si tu veux vérif pour les virus :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Si tu veux vérif pour les virus :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
elpens
Messages postés
815
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
136
1 oct. 2013 à 15:05
1 oct. 2013 à 15:05
Je te remercie d'avance!
Comme mentionné ce n'est pas sur ma machine, donc toujours difficile de croire les gens.
Je l'ai fait faire un scan OTL avec les options suivantes:
Je vais copier les rapports ou tu me l'as indiqué, je dois juste "anonymiser" qqes info
Je lui ai demandé d'effectuer ce scan à cause de TrendMicro OfficeScan, qui a détecté sur son PC le problème suivant:
Comme mentionné ce n'est pas sur ma machine, donc toujours difficile de croire les gens.
Je l'ai fait faire un scan OTL avec les options suivantes:
> netsvcs
> msconfig
> safebootminimal
> safebootnetwork
> activex
> drivers32
> %ALLUSERSPROFILE%\Application Data\*.
> %ALLUSERSPROFILE%\Application Data\*.exe /s
> %APPDATA%\*.
> %APPDATA%\*.exe /s
> %temp%\*.exe /s
> %SYSTEMDRIVE%\*.exe
> %systemroot%\*. /mp /s
> %systemroot%\system32\consrv.dll
> %systemroot%\system32\*.dll /lockedfiles
> %windir%\Tasks\*.job /lockedfiles
> %systemroot%\system32\drivers\*.sys /lockedfiles
> %systemroot%\System32\config\*.sav
> /md5start
> explorer.exe
> winlogon.exe
> services.exe
> wininit.exe
> /md5stop
> HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
> HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
> HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
> HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
> CREATERESTOREPOINT
> nslookup https://www.google.fr/?gws_rd=ssl /c
> SAVEMBR:0
> hklm\software\clients\startmenuinternet|command /rs
> hklm\software\clients\startmenuinternet|command /64 /rs
Je vais copier les rapports ou tu me l'as indiqué, je dois juste "anonymiser" qqes info
Je lui ai demandé d'effectuer ce scan à cause de TrendMicro OfficeScan, qui a détecté sur son PC le problème suivant:
Platform: Windows 7 6.1.7601
Virus/Malware: TROJ_MEVADE.UHT
Infection Source:
Infected File/Object: WINS.EXE
Path of file: C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\WINDOWS INTERNET NAME SERVICE\
Scan Type: Real-time Scan
Result: Unable to quarantine the file. Refer to the online help for solutions.
IP Address: [removed]
MAC Address: [removed]
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
1 oct. 2013 à 15:15
1 oct. 2013 à 15:15
bha il est infecté par un bot.
Je sais que les antivirus avaient parlé dernièrement d'un bot qui utilise tor, mais c'est assez débile s'il doit installer Tor pour fonctionner Oo
Je sais que les antivirus avaient parlé dernièrement d'un bot qui utilise tor, mais c'est assez débile s'il doit installer Tor pour fonctionner Oo
elpens
Messages postés
815
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
136
1 oct. 2013 à 15:16
1 oct. 2013 à 15:16
le serpent qui se mange la queue
elpens
Messages postés
815
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
136
1 oct. 2013 à 15:17
1 oct. 2013 à 15:17
Je lui ai fait installé RUBotted de TrendMicro, mais il n'a rien detecté
Ensuite un scan Adwcleaner qui n'a rien donné
Puis MalwareBytes qui n'a rien fait non plus
Ensuite un scan Adwcleaner qui n'a rien donné
Puis MalwareBytes qui n'a rien fait non plus
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
1 oct. 2013 à 15:18
1 oct. 2013 à 15:18
c'est bien Mevade qui utilise TOR :
McDonald said Microsoft uncovered evidence linking Sefnit to the Mevade malware used in the world's first large-scale Tor botnet.
"?Recently Trojan:Win32/Mevade made news for being the first large botnet to use Tor to anonymise and hide its network traffic. Within a few weeks, starting mid-August, the number of directly connecting Tor users increased by almost 600 percent - from about 500,000 users per day to more than three million," he wrote.
McDonald said Microsoft uncovered evidence linking Sefnit to the Mevade malware used in the world's first large-scale Tor botnet.
"?Recently Trojan:Win32/Mevade made news for being the first large botnet to use Tor to anonymise and hide its network traffic. Within a few weeks, starting mid-August, the number of directly connecting Tor users increased by almost 600 percent - from about 500,000 users per day to more than three million," he wrote.
elpens
Messages postés
815
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
136
1 oct. 2013 à 15:21
1 oct. 2013 à 15:21
tiens, j'avais manqué ca! Merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
elpens
Messages postés
815
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
136
1 oct. 2013 à 15:15
1 oct. 2013 à 15:15
Voilà le lien du fichier "OTL"
https://pjjoint.malekal.com/files.php?id=20131001_c5s12k911g11
Je n'aime pas trop le contenu de son "AppData\Local\Temp\"
Il faut également que je lui demande s'il utilise sa "Bing Bar"
https://pjjoint.malekal.com/files.php?id=20131001_c5s12k911g11
Je n'aime pas trop le contenu de son "AppData\Local\Temp\"
Il faut également que je lui demande s'il utilise sa "Bing Bar"
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
1 oct. 2013 à 15:24
1 oct. 2013 à 15:24
tant qu'à faire, t'aurais pu anonymiser son cr@ck adobe :p
elpens
Messages postés
815
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
136
1 oct. 2013 à 15:35
1 oct. 2013 à 15:35
je suis bluffé... comment faites-vous pour arriver à des résultats comme ça en quelques secondes???
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
1 oct. 2013 à 15:35
1 oct. 2013 à 15:35
c'est connu le coup du hosts :
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 ereg.adobe.com
O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1 wip3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1 adobeereg.com
elpens
Messages postés
815
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
136
1 oct. 2013 à 15:38
1 oct. 2013 à 15:38
ok ok, j'hallucine! Il faut vraiment que je me fasse la main avec ces rapports, j'ai encore tellement à apprendre!
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
1 oct. 2013 à 15:39
1 oct. 2013 à 15:39
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié par Malekal_morte- le 1/10/2013 à 15:44
Modifié par Malekal_morte- le 1/10/2013 à 15:44
Pas l'air infecté - je veux dire y a pas l'air d'y avoir autre chose.
Faire un scan Malwarebytes histoire de.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Faire un scan Malwarebytes histoire de.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
elpens
Messages postés
815
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
136
Modifié par elpens le 1/10/2013 à 15:55
Modifié par elpens le 1/10/2013 à 15:55
OK merci beaucoup pour votre analyse!!!!
Est-ce que vous avez une idée de comment enlever mevade?
Car justement, aucun tools n'avait réussit à me confirmer l'éradication
Je suis tombé sur ce site, mais je n'ai pas trop confiance avec ce genre de tools...
Est-ce que vous avez une idée de comment enlever mevade?
Car justement, aucun tools n'avait réussit à me confirmer l'éradication
Je suis tombé sur ce site, mais je n'ai pas trop confiance avec ce genre de tools...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
1 oct. 2013 à 15:56
1 oct. 2013 à 15:56
Supprime le dossier C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\WINDOWS INTERNET NAME SERVICE\
en mode sans échec.
Assure toi qu'il ne revienne pas.
Fais un scan Malwarebytes.
en mode sans échec.
Assure toi qu'il ne revienne pas.
Fais un scan Malwarebytes.
elpens
Messages postés
815
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
136
1 oct. 2013 à 15:58
1 oct. 2013 à 15:58
Ok, merci encore 1000x !!!!!!!!!
Vous êtes d'une efficacité incroyable!
Je ferme le topic si résolu!
Merci encore à vous 2!
Vous êtes d'une efficacité incroyable!
Je ferme le topic si résolu!
Merci encore à vous 2!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
2 oct. 2013 à 11:48
2 oct. 2013 à 11:48
Assure toi qu'il ne revienne pas, si c'est le cas, on poussera la désinfection.
Par contre, faudrait voir pour changer tous les mots de passe et notamment celui du domaine.
Il peux avoir été récupéré.
Par contre, faudrait voir pour changer tous les mots de passe et notamment celui du domaine.
Il peux avoir été récupéré.