Malware : Je n'arrive pas supprimer "rsa64.dll"Résolu/Fermé

Question

Bonjour tout le monde, j'ai un petit soucis. En effet, j'ai manqué de prudence en surfant sur Internet et je crois que j'ai attrapé un Malware. Je l'ai découvert quand un message d'erreur étrange s'affichait alors que je jouait à un jeu. Au début, je croyais que ça venait du jeu en question. Mais il n'en était rien. Il disait de mémoire "Le chemin C:\ProgramData\Microsoft\Crypto\RSA64\rsa64.exe est introuvable.". C'est ce qui a éveillé des soupçons chez moi. En allant vérifier, je suis bel et bien tombé sur un dossier nommé "RSA64" et le fichier "rsa64.exe" n'existait effectivement pas. Mais le fichier "rsa64.dll" lui était présent. En le scannant avec mon Antivirus (Avast Free Antivirus, je précise), il le détecte comme étant un "Win64:Bot-A [Trj]". Alors il est placé en quarantaine. Plus tard dans la journée, mon Antivirus détecte un virus et le place aussi en quarantaine. C'est en fait le même fichier "rsa64.dll". Alors je supprime tous les fichiers en quarantaine, je redémarre mon ordinateur pour que la suppression soit complète et à ma grande surprise au redémarrage, le même fichier "rsa64.dll" était réapparut encore une fois dans "C:\ProgramData\Microsoft\Crypto\RSA64\". J'ai aussi remarqué que par moment, mon ordinateur "ne détecte plus ma souris, mon clavier et mon casque". C'est à dire, ma souris brille encore comme si elle était branché mais aucun mouvement à l'écran. Pareille pour le clavier et le casque : aucunes réponses. En analysant "rsa64.dll" sur VirusTotal, j'ai trouvé ça : https://www.virustotal.com/gui/file/51e580a54db96d38bf8d8a48f4839119ab05c2f2830442a86772b6e9fbdf624f
Il semblerait que ce soit un "Trojan.Win64.Sathurbot.A" mais je ne sais pas ce que c'est. J'ai aussi remarqué qu'un autre fichier était douteux. En essayant de supprimer le fichier nommé "CryptoProvider.dll" dans le même dossier, il me disait qu'il était utilisé par un autre processus et que sa suppression était impossible. Bizarrement, ce processus est "Explorer.exe". Il a même une description : "Online files icon's overlay". Mais il n'est pas présent dans le processus. J'ai regardé sur les autres ordinateurs de ma famille fonctionnant sur exactement le même système d'exploitation que moi (Windows 7 Edition Integrale 64bits) et eux n'avaient pas le dossier "RSA64".

Donc en résumé, j'ai un fichier "rsa64.dll" présent dans "C:\ProgramData\Microsoft\Crypto\RSA64\" qui réapparaît tous seul quand je le supprime et qui est détecté comme étant un Malware, un fichier présent dans le même dossier nommé "CryptoProvider.dll" qui est impossible à supprimer car utilisé dans l'Explorateur Windows et donc impossible à scanner et par moment, mon matériel (Souris, Clavier, Casque audio) ne répond plus. Pour ceux qui veulent des captures d'écran, les voici :
http://www.noelshack.com/2014-10-1394400275-test1.png
http://www.noelshack.com/2014-10-1394400277-test2.png
http://www.noelshack.com/2014-10-1394400277-test3.png

Merci d'avance pour votre aide et aussi merci d'avoir lu ce pavé de texte. En espérant ne pas avoir à formater mon ordinateur.

Cordialement.

Malekal_morte- · Answer

Salut,

Tu peux envoyer les fichiers en question sur http://upload.malekal.com stp

~~

faire un scan Malwarebytes.

Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse. 
!!! Malwarebyte doit être à jour avant de faire le scan !!! 
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer. 

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.


 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Babyforce · Answer

Bonjour, je n'arrive pas à envoyer les fichiers car l'un est en cours d'utilisation et l'autre le site me dit que "Le fichier choisit est invalide".

Sinon, voici le scan de MalwareBytes à jour :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.03.10.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16518
Babyforce :: BABYFORCE-PC [administrateur]

10/03/2014 18:57:17
mbam-log-2014-03-10 (18-57-17).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 216805
Temps écoulé: 5 minute(s), 22 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Babyforce\AppData\Local\Temp\frhrejsd.exe (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Babyforce\AppData\Local\Temp	mp817E.tmp (Backdooor.HydraLoader) -> Mis en quarantaine et supprimé avec succès.

(fin)

Malekal_morte- · Answer

Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Babyforce · Answer

Bonjour, j'ai reçu un autre message d'erreur entre temps. Voici une capture d'écran : http://www.noelshack.com/2014-11-1394558983-message-erreur.png


Sinon, voici les liens pour le scan OTL (Fichier OTL.txt et Extra.txt) :
https://pjjoint.malekal.com/files.php?id=20140311_i7s5s10i6k15
https://pjjoint.malekal.com/files.php?id=20140311_f10o6o11w8f15

Malekal_morte- · Answer

Tu as encore des alertes Avast! ?

Babyforce · Answer

Non, les alertes venaient quand je supprimais "rsa64.dll" et qu'il réapparaissait pendant que l'ordinateur était allumé.

Malekal_morte- · Answer

ok, 

Tu peux envoyer les deux fichiers suivants sur http://upload.malekal.com
C:\Windows\system\cm106eye.exe
C:\Windows\system\cmau106.dll 

(attention c'est dans system et pas system32)

Normalement, ils sont ok mais je voudrais être sûrs.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Babyforce · Answer

C'est fait.

Malekal_morte- · Answer

Essaye ça :

 Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:files
C:\ProgramData\Microsoft\Crypto\RSA64\rsa64.dll
c:\programdata\Microsoft\Crypto\RSA64\CryptoProvider.dll

* poste le rapport ici 


Redémarre l'ordinateur


Vois si les fichiers sont encore en place.

Babyforce · Answer

Alors j'ai lancé la correction avec ce code, voici le rapport : 

========== FILES ==========
C:\ProgramData\Microsoft\Crypto\RSA64\rsa64.dll moved successfully.
File move failed. c:\programdata\Microsoft\Crypto\RSA64\CryptoProvider.dll scheduled to be moved on reboot.
 
OTL by OldTimer - Version 3.2.69.0 log created on 03112014_235845

Files\Folders moved on Reboot...
File move failed. c:\programdata\Microsoft\Crypto\RSA64\CryptoProvider.dll scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Pour le moment, le dossier "RSA64" ne contient plus "rsa64.dll" et "CryptoProvider.dll" et sont maintenant présent dans "C:\_OTL\MovedFiles\03112014_235845\C_ProgramData\Microsoft\Crypto\RSA64"

Malekal_morte- · Answer

ca doit être ton antivirus qui bloque.
Tant pis laisse.


bon tente de vider le dossier C:\_OTL\MoveIT

refais un scan Malwarebytes

vois ce que cela donne avec Avast!.

Babyforce · Answer

J'ai vidé les dossiers présent dans "C:\_OTL\MoveFiles" avec un outil de suppression définitive (on ne sait jamais...) et tout s'est déroulé correctement. Après un redémarrage, le dossier "RSA64" présent dans "C:\ProgramData\Microsoft\Crypto\" ne contient plus les fichiers "rsa64.dll" et "CryptoProvider.dll" et mon Antivirus ne m'affiche plus de message d'alerte. Il ne reste maintenant que les deux dossiers qui étaient présent dans le même dossier "temp" et "MachineKeys".
J'ai lancé un scan rapide avec MalwareBytes et Avast à jours et aucuns éléments suspects ont été trouvés. J'ai également lancé une analyse dans le dossier "C:\ProgramData" et donc dans le dossier "Crypto" avec ces deux derniers et toujours aucuns éléments trouvés.

Malekal_morte- · Answer

ok, change tes mots de passe aussi, ils ont probablement été volés.

Babyforce · Answer

Tous ? Même si je ne les ai pas tapé au clavier ?

Malekal_morte- · Answer

Pas grave, change les.

Babyforce · Answer

C'est fait ! Et maintenant ?

Malekal_morte- · Answer

Si tu n'as plus de détections, ça doit être bon.
Fait des scans Malwarebytes ces prochains jours.

Babyforce · Answer

Dois-je aussi supprimer le dossier "RSA64" ?

Malware : Je n'arrive pas supprimer "rsa64.dll"

18 réponses

Discussions similaires

Newsletters