Malware : Je n'arrive pas supprimer "rsa64.dll" [Résolu/Fermé]

Signaler
Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015
-
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
-
Bonjour tout le monde, j'ai un petit soucis. En effet, j'ai manqué de prudence en surfant sur Internet et je crois que j'ai attrapé un Malware. Je l'ai découvert quand un message d'erreur étrange s'affichait alors que je jouait à un jeu. Au début, je croyais que ça venait du jeu en question. Mais il n'en était rien. Il disait de mémoire "Le chemin C:\ProgramData\Microsoft\Crypto\RSA64\rsa64.exe est introuvable.". C'est ce qui a éveillé des soupçons chez moi. En allant vérifier, je suis bel et bien tombé sur un dossier nommé "RSA64" et le fichier "rsa64.exe" n'existait effectivement pas. Mais le fichier "rsa64.dll" lui était présent. En le scannant avec mon Antivirus (Avast Free Antivirus, je précise), il le détecte comme étant un "Win64:Bot-A [Trj]". Alors il est placé en quarantaine. Plus tard dans la journée, mon Antivirus détecte un virus et le place aussi en quarantaine. C'est en fait le même fichier "rsa64.dll". Alors je supprime tous les fichiers en quarantaine, je redémarre mon ordinateur pour que la suppression soit complète et à ma grande surprise au redémarrage, le même fichier "rsa64.dll" était réapparut encore une fois dans "C:\ProgramData\Microsoft\Crypto\RSA64\". J'ai aussi remarqué que par moment, mon ordinateur "ne détecte plus ma souris, mon clavier et mon casque". C'est à dire, ma souris brille encore comme si elle était branché mais aucun mouvement à l'écran. Pareille pour le clavier et le casque : aucunes réponses. En analysant "rsa64.dll" sur VirusTotal, j'ai trouvé ça : https://www.virustotal.com/gui/file/51e580a54db96d38bf8d8a48f4839119ab05c2f2830442a86772b6e9fbdf624f
Il semblerait que ce soit un "Trojan.Win64.Sathurbot.A" mais je ne sais pas ce que c'est. J'ai aussi remarqué qu'un autre fichier était douteux. En essayant de supprimer le fichier nommé "CryptoProvider.dll" dans le même dossier, il me disait qu'il était utilisé par un autre processus et que sa suppression était impossible. Bizarrement, ce processus est "Explorer.exe". Il a même une description : "Online files icon's overlay". Mais il n'est pas présent dans le processus. J'ai regardé sur les autres ordinateurs de ma famille fonctionnant sur exactement le même système d'exploitation que moi (Windows 7 Edition Integrale 64bits) et eux n'avaient pas le dossier "RSA64".

Donc en résumé, j'ai un fichier "rsa64.dll" présent dans "C:\ProgramData\Microsoft\Crypto\RSA64\" qui réapparaît tous seul quand je le supprime et qui est détecté comme étant un Malware, un fichier présent dans le même dossier nommé "CryptoProvider.dll" qui est impossible à supprimer car utilisé dans l'Explorateur Windows et donc impossible à scanner et par moment, mon matériel (Souris, Clavier, Casque audio) ne répond plus. Pour ceux qui veulent des captures d'écran, les voici :
http://www.noelshack.com/2014-10-1394400275-test1.png
http://www.noelshack.com/2014-10-1394400277-test2.png
http://www.noelshack.com/2014-10-1394400277-test3.png

Merci d'avance pour votre aide et aussi merci d'avoir lu ce pavé de texte. En espérant ne pas avoir à formater mon ordinateur.

Cordialement.

18 réponses

Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
Salut,

Tu peux envoyer les fichiers en question sur http://upload.malekal.com stp

~~

faire un scan Malwarebytes.

Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.




Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015

Bonjour, je n'arrive pas à envoyer les fichiers car l'un est en cours d'utilisation et l'autre le site me dit que "Le fichier choisit est invalide".

Sinon, voici le scan de MalwareBytes à jour :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.03.10.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16518
Babyforce :: BABYFORCE-PC [administrateur]

10/03/2014 18:57:17
mbam-log-2014-03-10 (18-57-17).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 216805
Temps écoulé: 5 minute(s), 22 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Babyforce\AppData\Local\Temp\frhrejsd.exe (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Babyforce\AppData\Local\Temp\tmp817E.tmp (Backdooor.HydraLoader) -> Mis en quarantaine et supprimé avec succès.

(fin)
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015

Bonjour, j'ai reçu un autre message d'erreur entre temps. Voici une capture d'écran : http://www.noelshack.com/2014-11-1394558983-message-erreur.png


Sinon, voici les liens pour le scan OTL (Fichier OTL.txt et Extra.txt) :
https://pjjoint.malekal.com/files.php?id=20140311_i7s5s10i6k15
https://pjjoint.malekal.com/files.php?id=20140311_f10o6o11w8f15
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
Tu as encore des alertes Avast! ?
Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015

Non, les alertes venaient quand je supprimais "rsa64.dll" et qu'il réapparaissait pendant que l'ordinateur était allumé.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
et là, ça continue ?
Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015

Tant que je ne supprime rien, rien ne se passe. Mais je ne peux supprimer "rsa64.dll" qu'avec l'Antivirus. Sinon, il me dit qu'il est aussi utilisé dans l'exploratueur Windows. Le message d'erreur ne s'affiche qu'une seul fois après le démarrage.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
ok,

Tu peux envoyer les deux fichiers suivants sur http://upload.malekal.com
C:\Windows\system\cm106eye.exe
C:\Windows\system\cmau106.dll

(attention c'est dans system et pas system32)

Normalement, ils sont ok mais je voudrais être sûrs.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015

C'est fait.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
Essaye ça :

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:files
C:\ProgramData\Microsoft\Crypto\RSA64\rsa64.dll
c:\programdata\Microsoft\Crypto\RSA64\CryptoProvider.dll

* poste le rapport ici


Redémarre l'ordinateur


Vois si les fichiers sont encore en place.

Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015

Alors j'ai lancé la correction avec ce code, voici le rapport :

========== FILES ==========
C:\ProgramData\Microsoft\Crypto\RSA64\rsa64.dll moved successfully.
File move failed. c:\programdata\Microsoft\Crypto\RSA64\CryptoProvider.dll scheduled to be moved on reboot.

OTL by OldTimer - Version 3.2.69.0 log created on 03112014_235845

Files\Folders moved on Reboot...
File move failed. c:\programdata\Microsoft\Crypto\RSA64\CryptoProvider.dll scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Pour le moment, le dossier "RSA64" ne contient plus "rsa64.dll" et "CryptoProvider.dll" et sont maintenant présent dans "C:\_OTL\MovedFiles\03112014_235845\C_ProgramData\Microsoft\Crypto\RSA64"
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
tu peux envoyer tous les deux fichiers qui se trouve dans C:\_OTL\MovedFiles\03112014_235845\C_ProgramData\Microsoft\Crypto\RSA64 sur http://upload.malekal.com

Ensuite tu vides le dossiers en questions.
Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015

Le site me dit encore "Le fichier choisi est invalide !".

Ce message s'affiche pour les deux fichiers.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
zip les fichiers :)
Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015

Toujours le même problème 'Le fichier choisi est invalide !".

Que je le mette en .zip ou en .rar, c'est le même problème.

Cependant, j'ai réussi à faire analyser "CryptoProvider.dll" sur VirusTotal. Voici le lien : https://www.virustotal.com/gui/file/e45b4542056fbf890bf0a895dd21d7247fb3591f3b77f9fab19187bcb0572464
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
ca doit être ton antivirus qui bloque.
Tant pis laisse.


bon tente de vider le dossier C:\_OTL\MoveIT

refais un scan Malwarebytes

vois ce que cela donne avec Avast!.
Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015

J'ai vidé les dossiers présent dans "C:\_OTL\MoveFiles" avec un outil de suppression définitive (on ne sait jamais...) et tout s'est déroulé correctement. Après un redémarrage, le dossier "RSA64" présent dans "C:\ProgramData\Microsoft\Crypto\" ne contient plus les fichiers "rsa64.dll" et "CryptoProvider.dll" et mon Antivirus ne m'affiche plus de message d'alerte. Il ne reste maintenant que les deux dossiers qui étaient présent dans le même dossier "temp" et "MachineKeys".
J'ai lancé un scan rapide avec MalwareBytes et Avast à jours et aucuns éléments suspects ont été trouvés. J'ai également lancé une analyse dans le dossier "C:\ProgramData" et donc dans le dossier "Crypto" avec ces deux derniers et toujours aucuns éléments trouvés.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
ok, change tes mots de passe aussi, ils ont probablement été volés.
Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015

Tous ? Même si je ne les ai pas tapé au clavier ?
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
Pas grave, change les.
Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015

C'est fait ! Et maintenant ?
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
Si tu n'as plus de détections, ça doit être bon.
Fait des scans Malwarebytes ces prochains jours.
Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015

Dois-je aussi supprimer le dossier "RSA64" ?
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
s'il est vide, tu peux oui.
Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015

Non, il contient des dossiers qui contiennent eux même des fichiers. Seulement, les ordinateurs de ma familles tournant sur le même système d'exploitation que moi ne l'ont pas. C'est pour ça que je pose la question.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
alors laisse le.
Messages postés
20
Date d'inscription
dimanche 9 mars 2014
Statut
Membre
Dernière intervention
11 septembre 2015

Ok. Merci beaucoup de m'avoir aidé :D

Je serais plus prudent la prochaine fois et je vais suivre t'es tuto pour ne pas me faire infecter à nouveau.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 025
pas de problème :)


Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html