Tor installé sans pré-avis => Trojan.Mevade
Résolu
elpens
Messages postés
917
Statut
Contributeur
-
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Est-ce possible que Tor ce soit installé "tout seul" sur une machine?
J'ai un utilisateur qui prétend ne pas l'avoir installé, or il est bel et bien présent sur sa machine...
https://www.numerama.com/magazine/26908-la-poussee-fulgurante-de-tor-serait-due-a-un-malware.html
Mais est-ce vraiment plausible?
Elpens
Est-ce possible que Tor ce soit installé "tout seul" sur une machine?
J'ai un utilisateur qui prétend ne pas l'avoir installé, or il est bel et bien présent sur sa machine...
https://www.numerama.com/magazine/26908-la-poussee-fulgurante-de-tor-serait-due-a-un-malware.html
Mais est-ce vraiment plausible?
Elpens
8 réponses
-
Salut,
Il a pu être installé avec un programme qui s'en sert.
-
Ok,
Tu as des exemples de programmes qui nécessitent d'avoir tor?
-
Comme ça là, non.
Si tu veux vérif pour les virus :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
-
Je te remercie d'avance!
Comme mentionné ce n'est pas sur ma machine, donc toujours difficile de croire les gens.
Je l'ai fait faire un scan OTL avec les options suivantes:
> netsvcs
> msconfig
> safebootminimal
> safebootnetwork
> activex
> drivers32
> %ALLUSERSPROFILE%\Application Data\*.
> %ALLUSERSPROFILE%\Application Data\*.exe /s
> %APPDATA%\*.
> %APPDATA%\*.exe /s
> %temp%\*.exe /s
> %SYSTEMDRIVE%\*.exe
> %systemroot%\*. /mp /s
> %systemroot%\system32\consrv.dll
> %systemroot%\system32\*.dll /lockedfiles
> %windir%\Tasks\*.job /lockedfiles
> %systemroot%\system32\drivers\*.sys /lockedfiles
> %systemroot%\System32\config\*.sav
> /md5start
> explorer.exe
> winlogon.exe
> services.exe
> wininit.exe
> /md5stop
> HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
> HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
> HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
> HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
> CREATERESTOREPOINT
> nslookup https://www.google.fr/?gws_rd=ssl /c
> SAVEMBR:0
> hklm\software\clients\startmenuinternet|command /rs
> hklm\software\clients\startmenuinternet|command /64 /rs
Je vais copier les rapports ou tu me l'as indiqué, je dois juste "anonymiser" qqes info
Je lui ai demandé d'effectuer ce scan à cause de TrendMicro OfficeScan, qui a détecté sur son PC le problème suivant:
Platform: Windows 7 6.1.7601
Virus/Malware: TROJ_MEVADE.UHT
Infection Source:
Infected File/Object: WINS.EXE
Path of file: C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\WINDOWS INTERNET NAME SERVICE\
Scan Type: Real-time Scan
Result: Unable to quarantine the file. Refer to the online help for solutions.
IP Address: [removed]
MAC Address: [removed]
-
-
-
-
c'est bien Mevade qui utilise TOR :
McDonald said Microsoft uncovered evidence linking Sefnit to the Mevade malware used in the world's first large-scale Tor botnet.
"?Recently Trojan:Win32/Mevade made news for being the first large botnet to use Tor to anonymise and hide its network traffic. Within a few weeks, starting mid-August, the number of directly connecting Tor users increased by almost 600 percent - from about 500,000 users per day to more than three million," he wrote. -
-
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Voilà le lien du fichier "OTL"
https://pjjoint.malekal.com/files.php?id=20131001_c5s12k911g11
Je n'aime pas trop le contenu de son "AppData\Local\Temp\"
Il faut également que je lui demande s'il utilise sa "Bing Bar"
-
-
-
c'est connu le coup du hosts :
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 ereg.adobe.com
O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1 wip3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1 adobeereg.com -
-
-
-
Pas l'air infecté - je veux dire y a pas l'air d'y avoir autre chose.
Faire un scan Malwarebytes histoire de.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left -
OK merci beaucoup pour votre analyse!!!!
Est-ce que vous avez une idée de comment enlever mevade?
Car justement, aucun tools n'avait réussit à me confirmer l'éradication
Je suis tombé sur ce site, mais je n'ai pas trop confiance avec ce genre de tools...
-
Assure toi qu'il ne revienne pas, si c'est le cas, on poussera la désinfection.
Par contre, faudrait voir pour changer tous les mots de passe et notamment celui du domaine.
Il peux avoir été récupéré.