Un trojan MSIL6.JNA dans l'appdata
Résolu
rngerfire07
Messages postés
8
Statut
Membre
-
Malekal_morte- Messages postés 184347 Statut Modérateur, Contributeur sécurité -
Malekal_morte- Messages postés 184347 Statut Modérateur, Contributeur sécurité -
Liens pjjpoint (Scan FRST) https://pjjoint.malekal.com/files.php?id=20150125_e107x8n5i5 (FRST.txt) https://pjjoint.malekal.com/files.php?id=20150125_n14m10t10b8t12 (addition.txt)
https://pjjoint.malekal.com/files.php?id=20150125_z15n6o10r11d12 (shortcut.txt)
Bonjour, plusieurs fois par jour mon antivirus m'averti qu'il y a un trojan dans l'appdata. Je fais supprimé et tout, mais il fini tout le temps par revenir !
Une fois j'ai réussi à le remarqué dans le gestionnaire de tache (sous l'onglet processus). J'ai cliquer sur ouvrir l'emplacement du fichier et ça ma amené pile à l'endroit du fichier (appdata/local/temp etc..). Mais quelques seconde après mon antivirus la détecté et la effacer et il a disparu.
Aider moi s'il vous plait !
https://pjjoint.malekal.com/files.php?id=20150125_z15n6o10r11d12 (shortcut.txt)
Bonjour, plusieurs fois par jour mon antivirus m'averti qu'il y a un trojan dans l'appdata. Je fais supprimé et tout, mais il fini tout le temps par revenir !
Une fois j'ai réussi à le remarqué dans le gestionnaire de tache (sous l'onglet processus). J'ai cliquer sur ouvrir l'emplacement du fichier et ça ma amené pile à l'endroit du fichier (appdata/local/temp etc..). Mais quelques seconde après mon antivirus la détecté et la effacer et il a disparu.
Aider moi s'il vous plait !
A voir également:
- Un trojan MSIL6.JNA dans l'appdata
- Appdata - Guide
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan al11 ✓ - Forum Virus
- Trojan b901 system32 win config 34 ✓ - Forum Virus
- %Appdata minecraft - Forum Minecraft
3 réponses
envoie C:\Users\Loik\AppData\Local\Temp\MSDCSC\msdcsc.exe sur http://upload.malekal.com
Si ça ne fonctionne pas, zip le fichier et envoie le zip par email : spamhere-@wanadoo.fr
Ton PC est infecté par des [www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/ RATs] et quelques adwares, AVG en détecte un.
Cela permet le contrôle de l'ordinateur et voler tous les mots de passe.
Compte tenu de tous les cracks/keygen présents sur le rapport, c'est venu par là, je pense.
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Run: [rundll32] => C:\Users\Loik\AppData\Local\Temp\MSDCSC\msdcsc.exe [32768 2014-03-20] (Microsoft Corporation) <===== ATTENTION
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\CurrentVersion\Windows: [Load] C:\Users\Loik\LOCALS~1\Temp\msrkvcf.bat <===== ATTENTION
HKU\S-1-5-21-1983023509-1559568970-2500222694-1008\...\Run: [rundll32] => C:\Users\Laurie\AppData\Local\Temp\MSDCSC\msdcsc.exe <===== ATTENTION
CHR HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
CHR HKLM-x32\...\Chrome\Extension: [dednnpigldgdbpgcdpfppmlcnnbjciel] - C:\Users\Loik\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx [2012-03-24]
CHR HKLM-x32\...\Chrome\Extension: [gdlgbpbmiiagaikjbednkikinokbkbcb] - C:\Users\Loik\AppData\Local\ColorMyFacebook\Chrome\ColorMyFacebook.crx [2012-08-08]
CHR HKLM-x32\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
S2 Adobe Licensing Console; %SystemRoot%\system32\msvfd32.exe [X] <==== ATTENTION
ShortcutTarget: start.lnk -> C:\Users\Loik\x113e4u167\bjahwknbpx.vbs ()
C:\Users\Loik\x113e4u167
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.
A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Si ça ne fonctionne pas, zip le fichier et envoie le zip par email : spamhere-@wanadoo.fr
Ton PC est infecté par des [www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/ RATs] et quelques adwares, AVG en détecte un.
Cela permet le contrôle de l'ordinateur et voler tous les mots de passe.
Compte tenu de tous les cracks/keygen présents sur le rapport, c'est venu par là, je pense.
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Run: [rundll32] => C:\Users\Loik\AppData\Local\Temp\MSDCSC\msdcsc.exe [32768 2014-03-20] (Microsoft Corporation) <===== ATTENTION
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\CurrentVersion\Windows: [Load] C:\Users\Loik\LOCALS~1\Temp\msrkvcf.bat <===== ATTENTION
HKU\S-1-5-21-1983023509-1559568970-2500222694-1008\...\Run: [rundll32] => C:\Users\Laurie\AppData\Local\Temp\MSDCSC\msdcsc.exe <===== ATTENTION
CHR HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
CHR HKLM-x32\...\Chrome\Extension: [dednnpigldgdbpgcdpfppmlcnnbjciel] - C:\Users\Loik\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx [2012-03-24]
CHR HKLM-x32\...\Chrome\Extension: [gdlgbpbmiiagaikjbednkikinokbkbcb] - C:\Users\Loik\AppData\Local\ColorMyFacebook\Chrome\ColorMyFacebook.crx [2012-08-08]
CHR HKLM-x32\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
S2 Adobe Licensing Console; %SystemRoot%\system32\msvfd32.exe [X] <==== ATTENTION
ShortcutTarget: start.lnk -> C:\Users\Loik\x113e4u167\bjahwknbpx.vbs ()
C:\Users\Loik\x113e4u167
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.
A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
ok =)
je pense que l'on a terminé.
Fais un scan Malwarebytes toutes les deux / trois jours en le mettant bien à jour avant, histoire de désinfecter les restes =)
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
je pense que l'on a terminé.
Fais un scan Malwarebytes toutes les deux / trois jours en le mettant bien à jour avant, histoire de désinfecter les restes =)
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Salut,
Commence par ceci :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Commence par ceci :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Ran by Loik at 2015-01-25 13:32:17 Run:1
Running from C:\Users\Loik\Desktop
Loaded Profiles: Loik & Laurie (Available profiles: Loik & Laurie & Invité)
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Run: [rundll32] => C:\Users\Loik\AppData\Local\Temp\MSDCSC\msdcsc.exe [32768 2014-03-20] (Microsoft Corporation) <===== ATTENTION
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\CurrentVersion\Windows: [Load] C:\Users\Loik\LOCALS~1\Temp\msrkvcf.bat <===== ATTENTION
HKU\S-1-5-21-1983023509-1559568970-2500222694-1008\...\Run: [rundll32] => C:\Users\Laurie\AppData\Local\Temp\MSDCSC\msdcsc.exe <===== ATTENTION
CHR HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
CHR HKLM-x32\...\Chrome\Extension: [dednnpigldgdbpgcdpfppmlcnnbjciel] - C:\Users\Loik\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx [2012-03-24]
CHR HKLM-x32\...\Chrome\Extension: [gdlgbpbmiiagaikjbednkikinokbkbcb] - C:\Users\Loik\AppData\Local\ColorMyFacebook\Chrome\ColorMyFacebook.crx [2012-08-08]
CHR HKLM-x32\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
S2 Adobe Licensing Console; %SystemRoot%\system32\msvfd32.exe [X] <==== ATTENTION
ShortcutTarget: start.lnk -> C:\Users\Loik\x113e4u167\bjahwknbpx.vbs ()
C:\Users\Loik\x113e4u167
*****************
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\Software\Microsoft\Windows\CurrentVersion\Run\\rundll32 => value deleted successfully.
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load => Value was restored successfully.
HKU\S-1-5-21-1983023509-1559568970-2500222694-1008\Software\Microsoft\Windows\CurrentVersion\Run\\rundll32 => value deleted successfully.
"HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\SOFTWARE\Google\Chrome\Extensions\ifcbjghlcdpkfaikncnblpalhpghdnhe" => Key deleted successfully.
C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx => Moved successfully.
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dednnpigldgdbpgcdpfppmlcnnbjciel" => Key deleted successfully.
C:\Users\Loik\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx => Moved successfully.
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\gdlgbpbmiiagaikjbednkikinokbkbcb" => Key deleted successfully.
C:\Users\Loik\AppData\Local\ColorMyFacebook\Chrome\ColorMyFacebook.crx => Moved successfully.
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ifcbjghlcdpkfaikncnblpalhpghdnhe" => Key deleted successfully.
"C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx" => File/Directory not found.
Adobe Licensing Console => Service deleted successfully.
C:\Users\Loik\x113e4u167\bjahwknbpx.vbs => Moved successfully.
C:\Users\Loik\x113e4u167 => Moved successfully.
==== End of Fixlog 13:32:17 ====
Je vais à présent redemarrer mon ordinateur et faire la suite avec malwerbyte :) Merci !
Par exemple je n'arrive pas a t'envoyer le fichier. Le dossier apprait comme vide.
Bon j'ai tout fait ce que tu as dit ! (Sauf envoyer le fichier car je n'arrive pas à le trouver, le dossier semble vide)
Est ce qu'il y a d'autre étape a faire ou mon ordi est désormais ''sans virus'' ?
Refais une analyse FRST et donne le rapport via pjjoint.
FRST: https://pjjoint.malekal.com/files.php?id=20150126_b8k8k9t7u13
Addition: https://pjjoint.malekal.com/files.php?id=20150126_e13l12e8z8b10
Shortcut: https://pjjoint.malekal.com/files.php?id=20150126_g7x14j9t8l13
Quand tu les aura regardé dis moi si tout est ok :)
Et vraiment merci pour tout ! Tu accepte les donations ?
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
Startup: C:\Users\Loik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk
ShortcutTarget: start.lnk -> C:\Users\Loik\x113e4u167\bjahwknbpx.vbs (No File)
AppInit_DLLs-x32: c:\progra~3\bitguard\271769~1.27\{c16c1~1\bitguard.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\bitguard.dll File Not Found
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found
CHR HomePage: Default -> hxxp://mysearch.avg.com?cid={6F80AC27-8D32-4C77-BB31-D565153C7061}&mid=f2f4afba7f4247d1aca655c62f5e5f10-51828b54d83ada3d4a8e6cb998a113053ef26f86&lang=fr&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-04-19 11:40:50&v=18.1.7.598&pid=safeguard&sg=&sap=hp [Pays US - 172.229.183.117]
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
* Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=
* Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=
Fais des scans Malwarebytes ces prochains jours.
Mais bon, vu comment tu télécharges des cracks & co, je pense que tu vas réinfecter ton PC rapidemment.
Change tous tes mots de passe.