Un trojan MSIL6.JNA dans l'appdata
Résolu/Fermé
rngerfire07
Messages postés
8
Date d'inscription
dimanche 25 janvier 2015
Statut
Membre
Dernière intervention
27 janvier 2015
-
Modifié par rngerfire07 le 25/01/2015 à 18:15
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 27 janv. 2015 à 17:52
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 27 janv. 2015 à 17:52
A voir également:
- Un trojan MSIL6.JNA dans l'appdata
- Appdata - Guide
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan wacatac ✓ - Forum Virus
- Trojan b901 system32 win config 34 ✓ - Forum Virus
- Trojan al11 - Forum Virus
3 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 668
Modifié par Malekal_morte- le 25/01/2015 à 19:21
Modifié par Malekal_morte- le 25/01/2015 à 19:21
envoie C:\Users\Loik\AppData\Local\Temp\MSDCSC\msdcsc.exe sur http://upload.malekal.com
Si ça ne fonctionne pas, zip le fichier et envoie le zip par email : spamhere-@wanadoo.fr
Ton PC est infecté par des [www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/ RATs] et quelques adwares, AVG en détecte un.
Cela permet le contrôle de l'ordinateur et voler tous les mots de passe.
Compte tenu de tous les cracks/keygen présents sur le rapport, c'est venu par là, je pense.
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Run: [rundll32] => C:\Users\Loik\AppData\Local\Temp\MSDCSC\msdcsc.exe [32768 2014-03-20] (Microsoft Corporation) <===== ATTENTION
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\CurrentVersion\Windows: [Load] C:\Users\Loik\LOCALS~1\Temp\msrkvcf.bat <===== ATTENTION
HKU\S-1-5-21-1983023509-1559568970-2500222694-1008\...\Run: [rundll32] => C:\Users\Laurie\AppData\Local\Temp\MSDCSC\msdcsc.exe <===== ATTENTION
CHR HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
CHR HKLM-x32\...\Chrome\Extension: [dednnpigldgdbpgcdpfppmlcnnbjciel] - C:\Users\Loik\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx [2012-03-24]
CHR HKLM-x32\...\Chrome\Extension: [gdlgbpbmiiagaikjbednkikinokbkbcb] - C:\Users\Loik\AppData\Local\ColorMyFacebook\Chrome\ColorMyFacebook.crx [2012-08-08]
CHR HKLM-x32\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
S2 Adobe Licensing Console; %SystemRoot%\system32\msvfd32.exe [X] <==== ATTENTION
ShortcutTarget: start.lnk -> C:\Users\Loik\x113e4u167\bjahwknbpx.vbs ()
C:\Users\Loik\x113e4u167
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.
A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Si ça ne fonctionne pas, zip le fichier et envoie le zip par email : spamhere-@wanadoo.fr
Ton PC est infecté par des [www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/ RATs] et quelques adwares, AVG en détecte un.
Cela permet le contrôle de l'ordinateur et voler tous les mots de passe.
Compte tenu de tous les cracks/keygen présents sur le rapport, c'est venu par là, je pense.
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Run: [rundll32] => C:\Users\Loik\AppData\Local\Temp\MSDCSC\msdcsc.exe [32768 2014-03-20] (Microsoft Corporation) <===== ATTENTION
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\CurrentVersion\Windows: [Load] C:\Users\Loik\LOCALS~1\Temp\msrkvcf.bat <===== ATTENTION
HKU\S-1-5-21-1983023509-1559568970-2500222694-1008\...\Run: [rundll32] => C:\Users\Laurie\AppData\Local\Temp\MSDCSC\msdcsc.exe <===== ATTENTION
CHR HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
CHR HKLM-x32\...\Chrome\Extension: [dednnpigldgdbpgcdpfppmlcnnbjciel] - C:\Users\Loik\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx [2012-03-24]
CHR HKLM-x32\...\Chrome\Extension: [gdlgbpbmiiagaikjbednkikinokbkbcb] - C:\Users\Loik\AppData\Local\ColorMyFacebook\Chrome\ColorMyFacebook.crx [2012-08-08]
CHR HKLM-x32\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
S2 Adobe Licensing Console; %SystemRoot%\system32\msvfd32.exe [X] <==== ATTENTION
ShortcutTarget: start.lnk -> C:\Users\Loik\x113e4u167\bjahwknbpx.vbs ()
C:\Users\Loik\x113e4u167
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.
A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 668
27 janv. 2015 à 17:52
27 janv. 2015 à 17:52
ok =)
je pense que l'on a terminé.
Fais un scan Malwarebytes toutes les deux / trois jours en le mettant bien à jour avant, histoire de désinfecter les restes =)
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
je pense que l'on a terminé.
Fais un scan Malwarebytes toutes les deux / trois jours en le mettant bien à jour avant, histoire de désinfecter les restes =)
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 668
Modifié par Malekal_morte- le 25/01/2015 à 17:57
Modifié par Malekal_morte- le 25/01/2015 à 17:57
Salut,
Commence par ceci :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Commence par ceci :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
rngerfire07
Messages postés
8
Date d'inscription
dimanche 25 janvier 2015
Statut
Membre
Dernière intervention
27 janvier 2015
25 janv. 2015 à 17:59
25 janv. 2015 à 17:59
D'accord je fais ça maintenant merci !
rngerfire07
Messages postés
8
Date d'inscription
dimanche 25 janvier 2015
Statut
Membre
Dernière intervention
27 janvier 2015
25 janv. 2015 à 18:16
25 janv. 2015 à 18:16
Ok c'est fait :)
J'espere que toi (Ou quelqun d'autre !) pourront m'aider :)
J'espere que toi (Ou quelqun d'autre !) pourront m'aider :)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 668
25 janv. 2015 à 18:17
25 janv. 2015 à 18:17
si tu donnes les rapports demandés, oui =)
rngerfire07
Messages postés
8
Date d'inscription
dimanche 25 janvier 2015
Statut
Membre
Dernière intervention
27 janvier 2015
>
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
25 janv. 2015 à 18:21
25 janv. 2015 à 18:21
J'ai rajouté les trois liens pjjpoints en haut :) (dans ma question) Tu les vois ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 668
25 janv. 2015 à 19:12
25 janv. 2015 à 19:12
oui, ok.
je regarde.
je regarde.
Modifié par rngerfire07 le 25/01/2015 à 19:35
Ran by Loik at 2015-01-25 13:32:17 Run:1
Running from C:\Users\Loik\Desktop
Loaded Profiles: Loik & Laurie (Available profiles: Loik & Laurie & Invité)
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Run: [rundll32] => C:\Users\Loik\AppData\Local\Temp\MSDCSC\msdcsc.exe [32768 2014-03-20] (Microsoft Corporation) <===== ATTENTION
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\CurrentVersion\Windows: [Load] C:\Users\Loik\LOCALS~1\Temp\msrkvcf.bat <===== ATTENTION
HKU\S-1-5-21-1983023509-1559568970-2500222694-1008\...\Run: [rundll32] => C:\Users\Laurie\AppData\Local\Temp\MSDCSC\msdcsc.exe <===== ATTENTION
CHR HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
CHR HKLM-x32\...\Chrome\Extension: [dednnpigldgdbpgcdpfppmlcnnbjciel] - C:\Users\Loik\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx [2012-03-24]
CHR HKLM-x32\...\Chrome\Extension: [gdlgbpbmiiagaikjbednkikinokbkbcb] - C:\Users\Loik\AppData\Local\ColorMyFacebook\Chrome\ColorMyFacebook.crx [2012-08-08]
CHR HKLM-x32\...\Chrome\Extension: [ifcbjghlcdpkfaikncnblpalhpghdnhe] - C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx [2012-12-15]
S2 Adobe Licensing Console; %SystemRoot%\system32\msvfd32.exe [X] <==== ATTENTION
ShortcutTarget: start.lnk -> C:\Users\Loik\x113e4u167\bjahwknbpx.vbs ()
C:\Users\Loik\x113e4u167
*****************
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\Software\Microsoft\Windows\CurrentVersion\Run\\rundll32 => value deleted successfully.
HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load => Value was restored successfully.
HKU\S-1-5-21-1983023509-1559568970-2500222694-1008\Software\Microsoft\Windows\CurrentVersion\Run\\rundll32 => value deleted successfully.
"HKU\S-1-5-21-1983023509-1559568970-2500222694-1001\SOFTWARE\Google\Chrome\Extensions\ifcbjghlcdpkfaikncnblpalhpghdnhe" => Key deleted successfully.
C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx => Moved successfully.
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dednnpigldgdbpgcdpfppmlcnnbjciel" => Key deleted successfully.
C:\Users\Loik\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx => Moved successfully.
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\gdlgbpbmiiagaikjbednkikinokbkbcb" => Key deleted successfully.
C:\Users\Loik\AppData\Local\ColorMyFacebook\Chrome\ColorMyFacebook.crx => Moved successfully.
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ifcbjghlcdpkfaikncnblpalhpghdnhe" => Key deleted successfully.
"C:\Users\Loik\AppData\Local\CRE\ifcbjghlcdpkfaikncnblpalhpghdnhe.crx" => File/Directory not found.
Adobe Licensing Console => Service deleted successfully.
C:\Users\Loik\x113e4u167\bjahwknbpx.vbs => Moved successfully.
C:\Users\Loik\x113e4u167 => Moved successfully.
==== End of Fixlog 13:32:17 ====
Je vais à présent redemarrer mon ordinateur et faire la suite avec malwerbyte :) Merci !
Par exemple je n'arrive pas a t'envoyer le fichier. Le dossier apprait comme vide.
25 janv. 2015 à 21:11
Bon j'ai tout fait ce que tu as dit ! (Sauf envoyer le fichier car je n'arrive pas à le trouver, le dossier semble vide)
Est ce qu'il y a d'autre étape a faire ou mon ordi est désormais ''sans virus'' ?
26 janv. 2015 à 08:56
Refais une analyse FRST et donne le rapport via pjjoint.
26 janv. 2015 à 22:50
FRST: https://pjjoint.malekal.com/files.php?id=20150126_b8k8k9t7u13
Addition: https://pjjoint.malekal.com/files.php?id=20150126_e13l12e8z8b10
Shortcut: https://pjjoint.malekal.com/files.php?id=20150126_g7x14j9t8l13
Quand tu les aura regardé dis moi si tout est ok :)
Et vraiment merci pour tout ! Tu accepte les donations ?
27 janv. 2015 à 09:12
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
Startup: C:\Users\Loik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk
ShortcutTarget: start.lnk -> C:\Users\Loik\x113e4u167\bjahwknbpx.vbs (No File)
AppInit_DLLs-x32: c:\progra~3\bitguard\271769~1.27\{c16c1~1\bitguard.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\bitguard.dll File Not Found
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found
CHR HomePage: Default -> hxxp://mysearch.avg.com?cid={6F80AC27-8D32-4C77-BB31-D565153C7061}&mid=f2f4afba7f4247d1aca655c62f5e5f10-51828b54d83ada3d4a8e6cb998a113053ef26f86&lang=fr&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-04-19 11:40:50&v=18.1.7.598&pid=safeguard&sg=&sap=hp [Pays US - 172.229.183.117]
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
* Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=
* Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=
Fais des scans Malwarebytes ces prochains jours.
Mais bon, vu comment tu télécharges des cracks & co, je pense que tu vas réinfecter ton PC rapidemment.
Change tous tes mots de passe.