Trojan.Bedep : Avast menace détectée non stop
Résolu
Lana013
Messages postés
9
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Depuis quelques jours, dès que je suis sur internet Avast affiche qu'une menace a été détectée et ce toutes les 3 min environ...
Quand je clique sur plus de détails, on me dit que l'infection est bloquée...
Pouvez vous m'aider?
Merci d'avance
Depuis quelques jours, dès que je suis sur internet Avast affiche qu'une menace a été détectée et ce toutes les 3 min environ...
Quand je clique sur plus de détails, on me dit que l'infection est bloquée...
Pouvez vous m'aider?
Merci d'avance
9 réponses
Bonjour.
Qu'est ce qu'il a détecté ?
Avast voit pas mal de faux positifs.
S'il a bloqué quelque chose cela doit se voir dans la quarantaine.
Qu'est ce qu'il a détecté ?
Avast voit pas mal de faux positifs.
S'il a bloqué quelque chose cela doit se voir dans la quarantaine.
Salut,
Tu peux donner des informations sur cette détection ?
Pour vérifier si infecté :
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Tu peux donner des informations sur cette détection ?
Pour vérifier si infecté :
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Il ne détecte jamais la même chose...
Là par exemple la dernière menace:
URL: http://ajfszwomnhdfcyy.com/memberlist.php
Infection: URL:Mal
Processus: C:\Windows\explorer.exe
Là par exemple la dernière menace:
URL: http://ajfszwomnhdfcyy.com/memberlist.php
Infection: URL:Mal
Processus: C:\Windows\explorer.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci pour la réponse!
Voici les liens des 3 rapports:
-FRST:
https://pjjoint.malekal.com/files.php?id=20150822_f12i6o10s14b14
-Additional:
https://pjjoint.malekal.com/files.php?id=20150822_b5e12m11j14e15
-Shortcut:
https://pjjoint.malekal.com/files.php?id=20150822_m11v14s11x6x15
Voici les liens des 3 rapports:
-FRST:
https://pjjoint.malekal.com/files.php?id=20150822_f12i6o10s14b14
-Additional:
https://pjjoint.malekal.com/files.php?id=20150822_b5e12m11j14e15
-Shortcut:
https://pjjoint.malekal.com/files.php?id=20150822_m11v14s11x6x15
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
CustomCLSID: HKU\S-1-5-21-3232172790-4029978810-1246134726-1000_Classes\CLSID\{F9E1BD9A-84B5-4D12-9195-0B3E7D86FD35}\InprocServer32 -> C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}\icmp.dll (Microsoft Corporation)
C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
CustomCLSID: HKU\S-1-5-21-3232172790-4029978810-1246134726-1000_Classes\CLSID\{F9E1BD9A-84B5-4D12-9195-0B3E7D86FD35}\InprocServer32 -> C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}\icmp.dll (Microsoft Corporation)
C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:21-08-2015 03
Exécuté par MHGuasco (2015-08-22 19:23:50) Run:1
Exécuté depuis C:\Users\MHGuasco\Desktop
Profils chargés: MHGuasco & UpdatusUser (Profils disponibles: MHGuasco & UpdatusUser)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CustomCLSID: HKU\S-1-5-21-3232172790-4029978810-1246134726-1000_Classes\CLSID\{F9E1BD9A-84B5-4D12-9195-0B3E7D86FD35}\InprocServer32 -> C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}\icmp.dll (Microsoft Corporation)
C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}
"HKU\S-1-5-21-3232172790-4029978810-1246134726-1000_Classes\CLSID\{F9E1BD9A-84B5-4D12-9195-0B3E7D86FD35}" => clé supprimé(es) avec succès
"C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}" dossier déplacer:
Impossible de déplacer "C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}" => Planifié pour déplacement au redémarrage.
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2015-08-22 19:28:20)<=
C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A} => a été déplacé(e) avec succès
Exécuté par MHGuasco (2015-08-22 19:23:50) Run:1
Exécuté depuis C:\Users\MHGuasco\Desktop
Profils chargés: MHGuasco & UpdatusUser (Profils disponibles: MHGuasco & UpdatusUser)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CustomCLSID: HKU\S-1-5-21-3232172790-4029978810-1246134726-1000_Classes\CLSID\{F9E1BD9A-84B5-4D12-9195-0B3E7D86FD35}\InprocServer32 -> C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}\icmp.dll (Microsoft Corporation)
C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}
"HKU\S-1-5-21-3232172790-4029978810-1246134726-1000_Classes\CLSID\{F9E1BD9A-84B5-4D12-9195-0B3E7D86FD35}" => clé supprimé(es) avec succès
"C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}" dossier déplacer:
Impossible de déplacer "C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}" => Planifié pour déplacement au redémarrage.
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2015-08-22 19:28:20)<=
C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A} => a été déplacé(e) avec succès
Fin de Fixlog 19:28:20
Merci fichier reçu, Trojan.Bedep
La détection n'est pas terrible : https://www.virustotal.com/gui/file/ed81ba4888e5f823c9251b48afb6027af13fce7e7fee486f9faac6ac1535db73
Antivirus Résultat Mise à jour
ESET-NOD32 a variant of Win64/Kryptik.AAN 20150822
F-Secure Trojan:W64/Bedep.E 20150821
Malwarebytes Trojan.FakeMS 20150822
La détection n'est pas terrible : https://www.virustotal.com/gui/file/ed81ba4888e5f823c9251b48afb6027af13fce7e7fee486f9faac6ac1535db73
Antivirus Résultat Mise à jour
ESET-NOD32 a variant of Win64/Kryptik.AAN 20150822
F-Secure Trojan:W64/Bedep.E 20150821
Malwarebytes Trojan.FakeMS 20150822
Si tu veux =)
=> Tutorial Malwarebyte
et change tous tes mots de passe aussi.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
=> Tutorial Malwarebyte
et change tous tes mots de passe aussi.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
=)
Change bien tes mots de passe, c'est important.
Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Change bien tes mots de passe, c'est important.
Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left