Malware : Je n'arrive pas supprimer "rsa64.dll"
Résolu
Babyforce
Messages postés
20
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour tout le monde, j'ai un petit soucis. En effet, j'ai manqué de prudence en surfant sur Internet et je crois que j'ai attrapé un Malware. Je l'ai découvert quand un message d'erreur étrange s'affichait alors que je jouait à un jeu. Au début, je croyais que ça venait du jeu en question. Mais il n'en était rien. Il disait de mémoire "Le chemin C:\ProgramData\Microsoft\Crypto\RSA64\rsa64.exe est introuvable.". C'est ce qui a éveillé des soupçons chez moi. En allant vérifier, je suis bel et bien tombé sur un dossier nommé "RSA64" et le fichier "rsa64.exe" n'existait effectivement pas. Mais le fichier "rsa64.dll" lui était présent. En le scannant avec mon Antivirus (Avast Free Antivirus, je précise), il le détecte comme étant un "Win64:Bot-A [Trj]". Alors il est placé en quarantaine. Plus tard dans la journée, mon Antivirus détecte un virus et le place aussi en quarantaine. C'est en fait le même fichier "rsa64.dll". Alors je supprime tous les fichiers en quarantaine, je redémarre mon ordinateur pour que la suppression soit complète et à ma grande surprise au redémarrage, le même fichier "rsa64.dll" était réapparut encore une fois dans "C:\ProgramData\Microsoft\Crypto\RSA64\". J'ai aussi remarqué que par moment, mon ordinateur "ne détecte plus ma souris, mon clavier et mon casque". C'est à dire, ma souris brille encore comme si elle était branché mais aucun mouvement à l'écran. Pareille pour le clavier et le casque : aucunes réponses. En analysant "rsa64.dll" sur VirusTotal, j'ai trouvé ça : https://www.virustotal.com/gui/file/51e580a54db96d38bf8d8a48f4839119ab05c2f2830442a86772b6e9fbdf624f
Il semblerait que ce soit un "Trojan.Win64.Sathurbot.A" mais je ne sais pas ce que c'est. J'ai aussi remarqué qu'un autre fichier était douteux. En essayant de supprimer le fichier nommé "CryptoProvider.dll" dans le même dossier, il me disait qu'il était utilisé par un autre processus et que sa suppression était impossible. Bizarrement, ce processus est "Explorer.exe". Il a même une description : "Online files icon's overlay". Mais il n'est pas présent dans le processus. J'ai regardé sur les autres ordinateurs de ma famille fonctionnant sur exactement le même système d'exploitation que moi (Windows 7 Edition Integrale 64bits) et eux n'avaient pas le dossier "RSA64".
Donc en résumé, j'ai un fichier "rsa64.dll" présent dans "C:\ProgramData\Microsoft\Crypto\RSA64\" qui réapparaît tous seul quand je le supprime et qui est détecté comme étant un Malware, un fichier présent dans le même dossier nommé "CryptoProvider.dll" qui est impossible à supprimer car utilisé dans l'Explorateur Windows et donc impossible à scanner et par moment, mon matériel (Souris, Clavier, Casque audio) ne répond plus. Pour ceux qui veulent des captures d'écran, les voici :
http://www.noelshack.com/2014-10-1394400275-test1.png
http://www.noelshack.com/2014-10-1394400277-test2.png
http://www.noelshack.com/2014-10-1394400277-test3.png
Merci d'avance pour votre aide et aussi merci d'avoir lu ce pavé de texte. En espérant ne pas avoir à formater mon ordinateur.
Cordialement.
Il semblerait que ce soit un "Trojan.Win64.Sathurbot.A" mais je ne sais pas ce que c'est. J'ai aussi remarqué qu'un autre fichier était douteux. En essayant de supprimer le fichier nommé "CryptoProvider.dll" dans le même dossier, il me disait qu'il était utilisé par un autre processus et que sa suppression était impossible. Bizarrement, ce processus est "Explorer.exe". Il a même une description : "Online files icon's overlay". Mais il n'est pas présent dans le processus. J'ai regardé sur les autres ordinateurs de ma famille fonctionnant sur exactement le même système d'exploitation que moi (Windows 7 Edition Integrale 64bits) et eux n'avaient pas le dossier "RSA64".
Donc en résumé, j'ai un fichier "rsa64.dll" présent dans "C:\ProgramData\Microsoft\Crypto\RSA64\" qui réapparaît tous seul quand je le supprime et qui est détecté comme étant un Malware, un fichier présent dans le même dossier nommé "CryptoProvider.dll" qui est impossible à supprimer car utilisé dans l'Explorateur Windows et donc impossible à scanner et par moment, mon matériel (Souris, Clavier, Casque audio) ne répond plus. Pour ceux qui veulent des captures d'écran, les voici :
http://www.noelshack.com/2014-10-1394400275-test1.png
http://www.noelshack.com/2014-10-1394400277-test2.png
http://www.noelshack.com/2014-10-1394400277-test3.png
Merci d'avance pour votre aide et aussi merci d'avoir lu ce pavé de texte. En espérant ne pas avoir à formater mon ordinateur.
Cordialement.
A voir également:
- Malware : Je n'arrive pas supprimer "rsa64.dll"
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Supprimer malware - Guide
- Anti malware service executable ram - Forum Antivirus
- Win32:malware-gen ✓ - Forum Virus
- Tor jack malware - Forum Virus
18 réponses
Salut,
Tu peux envoyer les fichiers en question sur http://upload.malekal.com stp
~~
faire un scan Malwarebytes.
Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.
si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Tu peux envoyer les fichiers en question sur http://upload.malekal.com stp
~~
faire un scan Malwarebytes.
Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.
si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Bonjour, je n'arrive pas à envoyer les fichiers car l'un est en cours d'utilisation et l'autre le site me dit que "Le fichier choisit est invalide".
Sinon, voici le scan de MalwareBytes à jour :
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2014.03.10.07
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16518
Babyforce :: BABYFORCE-PC [administrateur]
10/03/2014 18:57:17
mbam-log-2014-03-10 (18-57-17).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 216805
Temps écoulé: 5 minute(s), 22 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Users\Babyforce\AppData\Local\Temp\frhrejsd.exe (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Babyforce\AppData\Local\Temp\tmp817E.tmp (Backdooor.HydraLoader) -> Mis en quarantaine et supprimé avec succès.
(fin)
Sinon, voici le scan de MalwareBytes à jour :
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2014.03.10.07
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16518
Babyforce :: BABYFORCE-PC [administrateur]
10/03/2014 18:57:17
mbam-log-2014-03-10 (18-57-17).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 216805
Temps écoulé: 5 minute(s), 22 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Users\Babyforce\AppData\Local\Temp\frhrejsd.exe (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Babyforce\AppData\Local\Temp\tmp817E.tmp (Backdooor.HydraLoader) -> Mis en quarantaine et supprimé avec succès.
(fin)
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Bonjour, j'ai reçu un autre message d'erreur entre temps. Voici une capture d'écran : http://www.noelshack.com/2014-11-1394558983-message-erreur.png
Sinon, voici les liens pour le scan OTL (Fichier OTL.txt et Extra.txt) :
https://pjjoint.malekal.com/files.php?id=20140311_i7s5s10i6k15
https://pjjoint.malekal.com/files.php?id=20140311_f10o6o11w8f15
Sinon, voici les liens pour le scan OTL (Fichier OTL.txt et Extra.txt) :
https://pjjoint.malekal.com/files.php?id=20140311_i7s5s10i6k15
https://pjjoint.malekal.com/files.php?id=20140311_f10o6o11w8f15
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Non, les alertes venaient quand je supprimais "rsa64.dll" et qu'il réapparaissait pendant que l'ordinateur était allumé.
Tant que je ne supprime rien, rien ne se passe. Mais je ne peux supprimer "rsa64.dll" qu'avec l'Antivirus. Sinon, il me dit qu'il est aussi utilisé dans l'exploratueur Windows. Le message d'erreur ne s'affiche qu'une seul fois après le démarrage.
ok,
Tu peux envoyer les deux fichiers suivants sur http://upload.malekal.com
C:\Windows\system\cm106eye.exe
C:\Windows\system\cmau106.dll
(attention c'est dans system et pas system32)
Normalement, ils sont ok mais je voudrais être sûrs.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Tu peux envoyer les deux fichiers suivants sur http://upload.malekal.com
C:\Windows\system\cm106eye.exe
C:\Windows\system\cmau106.dll
(attention c'est dans system et pas system32)
Normalement, ils sont ok mais je voudrais être sûrs.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Essaye ça :
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:files
C:\ProgramData\Microsoft\Crypto\RSA64\rsa64.dll
c:\programdata\Microsoft\Crypto\RSA64\CryptoProvider.dll
* poste le rapport ici
Redémarre l'ordinateur
Vois si les fichiers sont encore en place.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:files
C:\ProgramData\Microsoft\Crypto\RSA64\rsa64.dll
c:\programdata\Microsoft\Crypto\RSA64\CryptoProvider.dll
* poste le rapport ici
Redémarre l'ordinateur
Vois si les fichiers sont encore en place.
Alors j'ai lancé la correction avec ce code, voici le rapport :
========== FILES ==========
C:\ProgramData\Microsoft\Crypto\RSA64\rsa64.dll moved successfully.
File move failed. c:\programdata\Microsoft\Crypto\RSA64\CryptoProvider.dll scheduled to be moved on reboot.
OTL by OldTimer - Version 3.2.69.0 log created on 03112014_235845
Files\Folders moved on Reboot...
File move failed. c:\programdata\Microsoft\Crypto\RSA64\CryptoProvider.dll scheduled to be moved on reboot.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Pour le moment, le dossier "RSA64" ne contient plus "rsa64.dll" et "CryptoProvider.dll" et sont maintenant présent dans "C:\_OTL\MovedFiles\03112014_235845\C_ProgramData\Microsoft\Crypto\RSA64"
========== FILES ==========
C:\ProgramData\Microsoft\Crypto\RSA64\rsa64.dll moved successfully.
File move failed. c:\programdata\Microsoft\Crypto\RSA64\CryptoProvider.dll scheduled to be moved on reboot.
OTL by OldTimer - Version 3.2.69.0 log created on 03112014_235845
Files\Folders moved on Reboot...
File move failed. c:\programdata\Microsoft\Crypto\RSA64\CryptoProvider.dll scheduled to be moved on reboot.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Pour le moment, le dossier "RSA64" ne contient plus "rsa64.dll" et "CryptoProvider.dll" et sont maintenant présent dans "C:\_OTL\MovedFiles\03112014_235845\C_ProgramData\Microsoft\Crypto\RSA64"
Toujours le même problème 'Le fichier choisi est invalide !".
Que je le mette en .zip ou en .rar, c'est le même problème.
Cependant, j'ai réussi à faire analyser "CryptoProvider.dll" sur VirusTotal. Voici le lien : https://www.virustotal.com/gui/file/e45b4542056fbf890bf0a895dd21d7247fb3591f3b77f9fab19187bcb0572464
Que je le mette en .zip ou en .rar, c'est le même problème.
Cependant, j'ai réussi à faire analyser "CryptoProvider.dll" sur VirusTotal. Voici le lien : https://www.virustotal.com/gui/file/e45b4542056fbf890bf0a895dd21d7247fb3591f3b77f9fab19187bcb0572464
ca doit être ton antivirus qui bloque.
Tant pis laisse.
bon tente de vider le dossier C:\_OTL\MoveIT
refais un scan Malwarebytes
vois ce que cela donne avec Avast!.
Tant pis laisse.
bon tente de vider le dossier C:\_OTL\MoveIT
refais un scan Malwarebytes
vois ce que cela donne avec Avast!.
J'ai vidé les dossiers présent dans "C:\_OTL\MoveFiles" avec un outil de suppression définitive (on ne sait jamais...) et tout s'est déroulé correctement. Après un redémarrage, le dossier "RSA64" présent dans "C:\ProgramData\Microsoft\Crypto\" ne contient plus les fichiers "rsa64.dll" et "CryptoProvider.dll" et mon Antivirus ne m'affiche plus de message d'alerte. Il ne reste maintenant que les deux dossiers qui étaient présent dans le même dossier "temp" et "MachineKeys".
J'ai lancé un scan rapide avec MalwareBytes et Avast à jours et aucuns éléments suspects ont été trouvés. J'ai également lancé une analyse dans le dossier "C:\ProgramData" et donc dans le dossier "Crypto" avec ces deux derniers et toujours aucuns éléments trouvés.
J'ai lancé un scan rapide avec MalwareBytes et Avast à jours et aucuns éléments suspects ont été trouvés. J'ai également lancé une analyse dans le dossier "C:\ProgramData" et donc dans le dossier "Crypto" avec ces deux derniers et toujours aucuns éléments trouvés.
