Problème Trojan.StolenData !

Résolu
Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Il y a peu de temps j'ai subit un piratage car je me suis connecté à un channel TS, et depuis je reçois chaque jour un fichier Trojan.StolenData à cet endroit C:\Users\Valentin\AppData\Roaming\Imminent\Logs. J'ai beau mettre en quarantaine et supprimer les fichiers malveillants avec MalwareBytes, j'en trouve toujours un nouveau (au moins 1 fois par jour)...

Auriez-vous une solution qui pourrait régler mon problème pour de bon svp ?

6 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    1/

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    Task: {B46EA83E-F1D4-4937-B8F0-A48548A08DC2} - System32\Tasks\bktqkn => C:\Users\Valentin\bktqkn\nslpayc.exe [2016-01-28] (AutoIt Team)
    C:\Users\Valentin\bktqkn\
    C:\Users\Valentin\fcbvzlx\
    2016-04-20 23:30 - 2014-10-22 01:51 - 00000000 _RSHD C:\ProgramData\Key-Base
    2016-04-20 13:16 - 2015-12-28 06:29 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51
    Task: {0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} - System32\Tasks\fcbvzlx => C:\Users\Valentin\fcbvzlx\lpuumucg.exe [2016-01-24] (AutoIt Team)
    Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    2/

    Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
    Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
    Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
    Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
    0
    1. Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
       
      Résultats de correction de Farbar Recovery Scan Tool (x64) Version:18-04-2016
      Exécuté par Valentin (2016-04-21 01:13:18) Run:1
      Exécuté depuis C:\Users\Valentin\Desktop
      Profils chargés: Valentin (Profils disponibles: Valentin)
      Mode d'amorçage: Normal
      ==============================================

      fixlist contenu:

      CreateRestorePoint:
      Task: {B46EA83E-F1D4-4937-B8F0-A48548A08DC2} - System32\Tasks\bktqkn => C:\Users\Valentin\bktqkn\nslpayc.exe [2016-01-28] (AutoIt Team)
      C:\Users\Valentin\bktqkn\
      C:\Users\Valentin\fcbvzlx\
      2016-04-20 23:30 - 2014-10-22 01:51 - 00000000 _RSHD C:\ProgramData\Key-Base
      2016-04-20 13:16 - 2015-12-28 06:29 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51
      Task: {0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} - System32\Tasks\fcbvzlx => C:\Users\Valentin\fcbvzlx\lpuumucg.exe [2016-01-24] (AutoIt Team)
      Reboot:


      Le Point de restauration a été créé avec succès.
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B46EA83E-F1D4-4937-B8F0-A48548A08DC2}" => clé supprimé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B46EA83E-F1D4-4937-B8F0-A48548A08DC2}" => clé supprimé(es) avec succès
      C:\Windows\System32\Tasks\bktqkn => déplacé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\bktqkn" => clé supprimé(es) avec succès
      C:\Users\Valentin\bktqkn => déplacé(es) avec succès
      C:\Users\Valentin\fcbvzlx => déplacé(es) avec succès
      C:\ProgramData\Key-Base => déplacé(es) avec succès

      "C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51" dossier déplacer:

      Impossible de déplacer "C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51" => Planifié pour déplacement au redémarrage.

      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF}" => clé supprimé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF}" => clé supprimé(es) avec succès
      C:\Windows\System32\Tasks\fcbvzlx => déplacé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\fcbvzlx" => clé supprimé(es) avec succès

      Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-04-21 01:15:00)

      C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51 => a été déplacé(e) avec succès

      Fin de Fixlog 01:15:00

      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    refais un scan FRST et donne les rapports.
    Le dossier Imminent/Logs tu peux le supprimer.
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette [url=http://www.malekal.com/2013/06/15/tutorial-farbar-recovery-scan-tool-frst/#fix]note explicative avec des captures d'écran[/url].

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :


    CreateRestorePoint:
    CloseProcesses:
    Task: {0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} - System32\Tasks\fcbvzlx => C:\Users\Valentin\fcbvzlx\lpuumucg.exe [2016-01-24] (AutoIt Team)
    Task: {9626D8C0-01AA-419F-A180-129DE9A4001D} - System32\Tasks\tnkmqf => C:\Users\Valentin\tnkmqf\mdnmgl.exe [2015-09-18] (AutoIt Team)
    Task: {AB3669CA-8F33-4ABC-AB39-889329F04241} - System32\Tasks\apxmv => C:\Users\Valentin\apxmv\fhgwdd.exe [2016-01-28] (AutoIt Team)
    Task: {B46EA83E-F1D4-4937-B8F0-A48548A08DC2} - System32\Tasks\bktqkn => C:\Users\Valentin\bktqkn\nslpayc.exe [2016-01-28] (AutoIt Team)
    C:\Users\Valentin\fcbvzlx
    C:\Users\Valentin\tnkmqf
    C:\Users\Valentin\apxmv
    C:\Users\Valentin\bktqkn
    2016-04-21 01:15 - 2016-04-21 01:24 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51
    2016-04-21 01:15 - 2016-04-21 01:15 - 00000000 _RSHD C:\ProgramData\Key-Base
    2016-04-18 08:43 - 2016-04-20 23:52 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\Imminent
    Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ([i] pas obligatoire /i)
    Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    0
    1. Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
       
      Résultats de correction de Farbar Recovery Scan Tool (x64) Version:18-04-2016
      Exécuté par Valentin (2016-04-21 11:47:56) Run:2
      Exécuté depuis C:\Users\Valentin\Desktop
      Profils chargés: Valentin (Profils disponibles: Valentin)
      Mode d'amorçage: Normal
      ==============================================

      fixlist contenu:

      CreateRestorePoint:
      CloseProcesses:
      Task: {0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} - System32\Tasks\fcbvzlx => C:\Users\Valentin\fcbvzlx\lpuumucg.exe [2016-01-24] (AutoIt Team)
      Task: {9626D8C0-01AA-419F-A180-129DE9A4001D} - System32\Tasks\tnkmqf => C:\Users\Valentin\tnkmqf\mdnmgl.exe [2015-09-18] (AutoIt Team)
      Task: {AB3669CA-8F33-4ABC-AB39-889329F04241} - System32\Tasks\apxmv => C:\Users\Valentin\apxmv\fhgwdd.exe [2016-01-28] (AutoIt Team)
      Task: {B46EA83E-F1D4-4937-B8F0-A48548A08DC2} - System32\Tasks\bktqkn => C:\Users\Valentin\bktqkn\nslpayc.exe [2016-01-28] (AutoIt Team)
      C:\Users\Valentin\fcbvzlx
      C:\Users\Valentin\tnkmqf
      C:\Users\Valentin\apxmv
      C:\Users\Valentin\bktqkn
      2016-04-21 01:15 - 2016-04-21 01:24 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51
      2016-04-21 01:15 - 2016-04-21 01:15 - 00000000 _RSHD C:\ProgramData\Key-Base
      2016-04-18 08:43 - 2016-04-20 23:52 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\Imminent
      Reboot:


      Le Point de restauration a été créé avec succès.
      Processus fermé avec succès.
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} => clé non trouvé(e).
      C:\Windows\System32\Tasks\fcbvzlx => non trouvé(e).
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\fcbvzlx => clé non trouvé(e).
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9626D8C0-01AA-419F-A180-129DE9A4001D}" => clé supprimé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9626D8C0-01AA-419F-A180-129DE9A4001D}" => clé supprimé(es) avec succès
      C:\Windows\System32\Tasks\tnkmqf => déplacé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\tnkmqf" => clé supprimé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{AB3669CA-8F33-4ABC-AB39-889329F04241}" => clé supprimé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AB3669CA-8F33-4ABC-AB39-889329F04241}" => clé supprimé(es) avec succès
      C:\Windows\System32\Tasks\apxmv => déplacé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\apxmv" => clé supprimé(es) avec succès
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B46EA83E-F1D4-4937-B8F0-A48548A08DC2} => clé non trouvé(e).
      C:\Windows\System32\Tasks\bktqkn => non trouvé(e).
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\bktqkn => clé non trouvé(e).
      "C:\Users\Valentin\fcbvzlx" => non trouvé(e).
      C:\Users\Valentin\tnkmqf => déplacé(es) avec succès
      C:\Users\Valentin\apxmv => déplacé(es) avec succès
      "C:\Users\Valentin\bktqkn" => non trouvé(e).
      C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51 => déplacé(es) avec succès
      C:\ProgramData\Key-Base => déplacé(es) avec succès
      "C:\Users\Valentin\AppData\Roaming\Imminent" => non trouvé(e).


      Le système a dû redémarrer.

      Fin de Fixlog 11:48:02

      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
         
        faudrait refaire un scan FRST pour voir si encore actif.
        donne les rapports pjjoint.
        0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ca doit être bon.

    Change tous tes mots de passe WEB.

    Refais un scan FRST ce soir, pour être sûr que ce n'est pas revenu.

    Si tu as encore les infos de connexion TS ou comment tu les as récupérés (genre sur un site ou je ne sais quoi) je suis preneur pour voir =)
    0
    1. Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
       
      Non c'était sur un jeu.. x)

      Pour le scan ce soir, comment je sais si y'a pas de soucis ? je te ré-envoie les fichiers ?

      Et j'ai besoin de réinstaller w7 si je veux être tranquille ou pas besoin ? :)
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
       
      Non pas besoin de réinstaller.
      Tu renvoies les liens pjjoint comme déjà fait avant, je regarderai.
      0
    3. Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
       
      D'accord, merci beaucoup :)
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
       
      Rapports corrects =)
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Re,

    Ce n'est pas une question de chance.
    Ces Trojan RAT sont faciles à éviter, pas de cracks/keygen et autres téléchargements douteux et tu auras la paix.
    Une fois que tu auras compris cela... tout ira pour le mieux.

    Fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

    Puis refais un scan FRST et donne les rapports via pjjoint comme la fois d'avant :
    https://forums.commentcamarche.net/forum/affich-33427609-probleme-trojan-stolendata#1

    0
    1. Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
       
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
         
        Ca semble bon.
        Change tous tes mots de passe.
        0
    2. Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
       
      D'accord, merci beaucoup ! On pourra refaire le test dans quelques jours histoire d'être sûr que rien n'est revenu stp ?
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
         
        Pas de soucis :)
        0