Un trojan MSIL6.JNA dans l'appdata

Résolu
rngerfire07 Messages postés 8 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Liens pjjpoint (Scan FRST) https://pjjoint.malekal.com/files.php?id=20150125_e107x8n5i5 (FRST.txt) https://pjjoint.malekal.com/files.php?id=20150125_n14m10t10b8t12 (addition.txt)
https://pjjoint.malekal.com/files.php?id=20150125_z15n6o10r11d12 (shortcut.txt)

Bonjour, plusieurs fois par jour mon antivirus m'averti qu'il y a un trojan dans l'appdata. Je fais supprimé et tout, mais il fini tout le temps par revenir !


Une fois j'ai réussi à le remarqué dans le gestionnaire de tache (sous l'onglet processus). J'ai cliquer sur ouvrir l'emplacement du fichier et ça ma amené pile à l'endroit du fichier (appdata/local/temp etc..). Mais quelques seconde après mon antivirus la détecté et la effacer et il a disparu.
Aider moi s'il vous plait !

3 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    envoie C:\Users\Loik\AppData\Local\Temp\MSDCSC\msdcsc.exe sur http://upload.malekal.com
    Si ça ne fonctionne pas, zip le fichier et envoie le zip par email : spamhere-@wanadoo.fr

    Ton PC est infecté par des [www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/ RATs] et quelques adwares, AVG en détecte un.

    Cela permet le contrôle de l'ordinateur et voler tous les mots de passe.

    Compte tenu de tous les cracks/keygen présents sur le rapport, c'est venu par là, je pense.

    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Run: [rundll32] => C:\Users\Loik\AppData\Local\Temp\MSDCSC\msdcsc.exe [32768 2014-03-20] (Microsoft Corporation) <===== ATTENTION
    HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\CurrentVersion\Windows: [Load] C:\Users\Loik\LOCALS~1\Temp\msrkvcf.bat <===== ATTENTION
    HKU\S-1-5-21-1983023509-1559568970-2500222694-1008\...\Run: [rundll32] => C:\Users\Laurie\AppData\Local\Temp\MSDCSC\msdcsc.exe <===== ATTENTION
    CHR HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
    CHR HKLM-x32\...\Chrome\Extension: [dednnpigldgdbpgcdpfppmlcnnbjciel] - C:\Users\Loik\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx [2012-03-24]
    CHR HKLM-x32\...\Chrome\Extension: [gdlgbpbmiiagaikjbednkikinokbkbcb] - C:\Users\Loik\AppData\Local\ColorMyFacebook\Chrome\ColorMyFacebook.crx [2012-08-08]
    CHR HKLM-x32\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
    S2 Adobe Licensing Console; %SystemRoot%\system32\msvfd32.exe [X] <==== ATTENTION
    ShortcutTarget: start.lnk -> C:\Users\Loik\x113e4u167\bjahwknbpx.vbs ()
    C:\Users\Loik\x113e4u167

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    Scan Malwarebytes (temps : environ 40min de scan):
    ==================================================
    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour puis lance un examen.

    A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
    Redémarre l'ordinateur si besoin.
    Après redémarrage, relance Malwarebytes.
    Vas chercher le rapport dans l'onglet Historique.
    A gauche Journal des examens.
    Doube-clic sur l'examen dans la liste.
    Puis en bas Copier dans le presse papier
    Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
    Clic sur envoyer.
    Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    1
    1. rngerfire07 Messages postés 8 Statut Membre
       
      Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 24-01-2015 01
      Ran by Loik at 2015-01-25 13:32:17 Run:1
      Running from C:\Users\Loik\Desktop
      Loaded Profiles: Loik & Laurie (Available profiles: Loik & Laurie & Invité)
      Boot Mode: Normal
      ==============================================

      Content of fixlist:
      *****************
      HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Run: [rundll32] => C:\Users\Loik\AppData\Local\Temp\MSDCSC\msdcsc.exe [32768 2014-03-20] (Microsoft Corporation) <===== ATTENTION
      HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\CurrentVersion\Windows: [Load] C:\Users\Loik\LOCALS~1\Temp\msrkvcf.bat <===== ATTENTION
      HKU\S-1-5-21-1983023509-1559568970-2500222694-1008\...\Run: [rundll32] => C:\Users\Laurie\AppData\Local\Temp\MSDCSC\msdcsc.exe <===== ATTENTION
      CHR HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
      CHR HKLM-x32\...\Chrome\Extension: [dednnpigldgdbpgcdpfppmlcnnbjciel] - C:\Users\Loik\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx [2012-03-24]
      CHR HKLM-x32\...\Chrome\Extension: [gdlgbpbmiiagaikjbednkikinokbkbcb] - C:\Users\Loik\AppData\Local\ColorMyFacebook\Chrome\ColorMyFacebook.crx [2012-08-08]
      CHR HKLM-x32\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
      S2 Adobe Licensing Console; %SystemRoot%\system32\msvfd32.exe [X] <==== ATTENTION
      ShortcutTarget: start.lnk -> C:\Users\Loik\x113e4u167\bjahwknbpx.vbs ()
      C:\Users\Loik\x113e4u167
      *****************

      HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\Software\Microsoft\Windows\CurrentVersion\Run\\rundll32 => value deleted successfully.
      HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load => Value was restored successfully.
      HKU\S-1-5-21-1983023509-1559568970-2500222694-1008\Software\Microsoft\Windows\CurrentVersion\Run\\rundll32 => value deleted successfully.
      "HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\SOFTWARE\Google\Chrome\Extensions\ifcbjghlcdpkfaikncnblpalhpghdnhe" => Key deleted successfully.
      C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx => Moved successfully.
      "HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dednnpigldgdbpgcdpfppmlcnnbjciel" => Key deleted successfully.
      C:\Users\Loik\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx => Moved successfully.
      "HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\gdlgbpbmiiagaikjbednkikinokbkbcb" => Key deleted successfully.
      C:\Users\Loik\AppData\Local\ColorMyFacebook\Chrome\ColorMyFacebook.crx => Moved successfully.
      "HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ifcbjghlcdpkfaikncnblpalhpghdnhe" => Key deleted successfully.
      "C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx" => File/Directory not found.
      Adobe Licensing Console => Service deleted successfully.
      C:\Users\Loik\x113e4u167\bjahwknbpx.vbs => Moved successfully.
      C:\Users\Loik\x113e4u167 => Moved successfully.

      ==== End of Fixlog 13:32:17 ====


      Je vais à présent redemarrer mon ordinateur et faire la suite avec malwerbyte :) Merci !
      Par exemple je n'arrive pas a t'envoyer le fichier. Le dossier apprait comme vide.
      0
    2. rngerfire07 Messages postés 8 Statut Membre
       
      Voila le liens pour le rapport d'examen: https://pjjoint.malekal.com/files.php?id=20150125_h14h12k10m15m12

      Bon j'ai tout fait ce que tu as dit ! (Sauf envoyer le fichier car je n'arrive pas à le trouver, le dossier semble vide)

      Est ce qu'il y a d'autre étape a faire ou mon ordi est désormais ''sans virus'' ?
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Change tous tes mots de passe. Ils ont été volés.
      Refais une analyse FRST et donne le rapport via pjjoint.
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui que des restes.


      Voici la correction à effectuer avec FRST.
      Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

      Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
      Copie/colle dedans ce qui suit :

      Startup: C:\Users\Loik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk
      ShortcutTarget: start.lnk -> C:\Users\Loik\x113e4u167\bjahwknbpx.vbs (No File)
      AppInit_DLLs-x32: c:\progra~3\bitguard\271769~1.27\{c16c1~1\bitguard.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\bitguard.dll File Not Found
      AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found
      CHR HomePage: Default -> hxxp://mysearch.avg.com?cid={6F80AC27-8D32-4C77-BB31-D565153C7061}&mid=f2f4afba7f4247d1aca655c62f5e5f10-51828b54d83ada3d4a8e6cb998a113053ef26f86&lang=fr&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-04-19 11:40:50&v=18.1.7.598&pid=safeguard&sg=&sap=hp [Pays US - 172.229.183.117]

      Une fois, le texte coller dans le bloc-note.
      Menu Fichier puis Enregistrer sous.
      A gauche, place toi sur le bureau.
      Dans le champs en bas, nom du fichier mets : fixlist.txt
      Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

      Relance FRST et clic sur le bouton Fix
      Selon comment un redémarrage est nécessaire (pas obligatoire).
      Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

      Redémarre l'ordinateur

      Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
      * Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
      * Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=
      * Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=




      Fais des scans Malwarebytes ces prochains jours.
      Mais bon, vu comment tu télécharges des cracks & co, je pense que tu vas réinfecter ton PC rapidemment.
      Change tous tes mots de passe.
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok =)

    je pense que l'on a terminé.

    Fais un scan Malwarebytes toutes les deux / trois jours en le mettant bien à jour avant, histoire de désinfecter les restes =)

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    1
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Commence par ceci :

    Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
    Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
    * FRST.txt
    * Shortcut.txt
    * Additionnal.txt

    Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
    1. rngerfire07 Messages postés 8 Statut Membre
       
      D'accord je fais ça maintenant merci !
      0
    2. rngerfire07 Messages postés 8 Statut Membre
       
      Ok c'est fait :)
      J'espere que toi (Ou quelqun d'autre !) pourront m'aider :)
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      si tu donnes les rapports demandés, oui =)
      0
      1. rngerfire07 Messages postés 8 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        J'ai rajouté les trois liens pjjpoints en haut :) (dans ma question) Tu les vois ?
        0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui, ok.
      je regarde.
      0