Bonjour, Il y a peu de temps j'ai subit un piratage car je me suis connecté à un channel TS, et depuis je reçois chaque jour un fichier Trojan.StolenData à cet endroit C:\Users\Valentin\AppData\Roaming\Imminent\Logs. J'ai beau mettre en quarantaine et supprimer les fichiers malveillants avec MalwareBytes, j'en trouve toujours un nouveau (au moins 1 fois par jour)... Auriez-vous une solution qui pourrait régler mon problème pour de bon svp ? Configuration: Windows 7 / Chrome 49.0.2623.112

Salut, Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ). Télécharge et lance le scan FRST, 3 rapports FRST seront générés : FRST.txt Shortcut.txt Additionnal.txt Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Problème Trojan.StolenData ! [Résolu]

Réponse 1 / 6

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
20 avril 2016 à 21:53

Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

FRST.txt
Shortcut.txt
Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
20 avril 2016 à 22:17

Voilà les 3 liens:

- FRST : https://pjjoint.malekal.com/files.php?id=FRST_20160420_k11z13t8o7s9
- Shortcut: https://pjjoint.malekal.com/files.php?id=20160420_p8l95i12x11
- Addition: https://pjjoint.malekal.com/files.php?id=20160420_x12o13813k13

Réponse 2 / 6

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
20 avril 2016 à 22:58

1/

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
Task: {B46EA83E-F1D4-4937-B8F0-A48548A08DC2} - System32\Tasks\bktqkn => C:\Users\Valentin\bktqkn\nslpayc.exe [2016-01-28] (AutoIt Team)
 C:\Users\Valentin\bktqkn\
 C:\Users\Valentin\fcbvzlx\
 2016-04-20 23:30 - 2014-10-22 01:51 - 00000000 _RSHD C:\ProgramData\Key-Base 
 2016-04-20 13:16 - 2015-12-28 06:29 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51 
Task: {0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} - System32\Tasks\fcbvzlx => C:\Users\Valentin\fcbvzlx\lpuumucg.exe [2016-01-24] (AutoIt Team)
 Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2/

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/

Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
20 avril 2016 à 23:16

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:18-04-2016
Exécuté par Valentin (2016-04-21 01:13:18) Run:1
Exécuté depuis C:\Users\Valentin\Desktop
Profils chargés: Valentin (Profils disponibles: Valentin)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
Task: {B46EA83E-F1D4-4937-B8F0-A48548A08DC2} - System32\Tasks\bktqkn => C:\Users\Valentin\bktqkn\nslpayc.exe [2016-01-28] (AutoIt Team)
C:\Users\Valentin\bktqkn\
C:\Users\Valentin\fcbvzlx\
2016-04-20 23:30 - 2014-10-22 01:51 - 00000000 _RSHD C:\ProgramData\Key-Base
2016-04-20 13:16 - 2015-12-28 06:29 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51
Task: {0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} - System32\Tasks\fcbvzlx => C:\Users\Valentin\fcbvzlx\lpuumucg.exe [2016-01-24] (AutoIt Team)
Reboot:

Le Point de restauration a été créé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B46EA83E-F1D4-4937-B8F0-A48548A08DC2}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B46EA83E-F1D4-4937-B8F0-A48548A08DC2}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\bktqkn => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\bktqkn" => clé supprimé(es) avec succès
C:\Users\Valentin\bktqkn => déplacé(es) avec succès
C:\Users\Valentin\fcbvzlx => déplacé(es) avec succès
C:\ProgramData\Key-Base => déplacé(es) avec succès

"C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51" dossier déplacer:

Impossible de déplacer "C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51" => Planifié pour déplacement au redémarrage.

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\fcbvzlx => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\fcbvzlx" => clé supprimé(es) avec succès

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-04-21 01:15:00)

C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51 => a été déplacé(e) avec succès

Fin de Fixlog 01:15:00

Réponse 3 / 6

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
21 avril 2016 à 08:39

refais un scan FRST et donne les rapports.
Le dossier Imminent/Logs tu peux le supprimer.

Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
21 avril 2016 à 09:03

Voilà
- FRST: https://pjjoint.malekal.com/files.php?id=FRST_20160421_o7j6l10o9i7
- Shortcut: https://pjjoint.malekal.com/files.php?id=20160421_g1311i13u5o5
- Addition: https://pjjoint.malekal.com/files.php?id=20160421_q10d1212t6y5 (pas de nouveau fichier créé, c'est toujours le même)

Réponse 4 / 6

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
Modifié par Malekal_morte- le 21/04/2016 à 09:42

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette [url=http://www.malekal.com/2013/06/15/tutorial-farbar-recovery-scan-tool-frst/#fix]note explicative avec des captures d'écran[/url].

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


CreateRestorePoint:
CloseProcesses:
Task: {0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} - System32\Tasks\fcbvzlx => C:\Users\Valentin\fcbvzlx\lpuumucg.exe [2016-01-24] (AutoIt Team)
Task: {9626D8C0-01AA-419F-A180-129DE9A4001D} - System32\Tasks\tnkmqf => C:\Users\Valentin\tnkmqf\mdnmgl.exe [2015-09-18] (AutoIt Team)
Task: {AB3669CA-8F33-4ABC-AB39-889329F04241} - System32\Tasks\apxmv => C:\Users\Valentin\apxmv\fhgwdd.exe [2016-01-28] (AutoIt Team)
Task: {B46EA83E-F1D4-4937-B8F0-A48548A08DC2} - System32\Tasks\bktqkn => C:\Users\Valentin\bktqkn\nslpayc.exe [2016-01-28] (AutoIt Team)
C:\Users\Valentin\fcbvzlx
C:\Users\Valentin\tnkmqf
C:\Users\Valentin\apxmv
 C:\Users\Valentin\bktqkn
  2016-04-21 01:15 - 2016-04-21 01:24 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51 
 2016-04-21 01:15 - 2016-04-21 01:15 - 00000000 _RSHD C:\ProgramData\Key-Base 
 2016-04-18 08:43 - 2016-04-20 23:52 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\Imminent 
  Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ([i] pas obligatoire /i)
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Veuillez appuyer sur une touche pour continuer la désinfection...

Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
21 avril 2016 à 09:49

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:18-04-2016
Exécuté par Valentin (2016-04-21 11:47:56) Run:2
Exécuté depuis C:\Users\Valentin\Desktop
Profils chargés: Valentin (Profils disponibles: Valentin)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Task: {0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} - System32\Tasks\fcbvzlx => C:\Users\Valentin\fcbvzlx\lpuumucg.exe [2016-01-24] (AutoIt Team)
Task: {9626D8C0-01AA-419F-A180-129DE9A4001D} - System32\Tasks\tnkmqf => C:\Users\Valentin\tnkmqf\mdnmgl.exe [2015-09-18] (AutoIt Team)
Task: {AB3669CA-8F33-4ABC-AB39-889329F04241} - System32\Tasks\apxmv => C:\Users\Valentin\apxmv\fhgwdd.exe [2016-01-28] (AutoIt Team)
Task: {B46EA83E-F1D4-4937-B8F0-A48548A08DC2} - System32\Tasks\bktqkn => C:\Users\Valentin\bktqkn\nslpayc.exe [2016-01-28] (AutoIt Team)
C:\Users\Valentin\fcbvzlx
C:\Users\Valentin\tnkmqf
C:\Users\Valentin\apxmv
C:\Users\Valentin\bktqkn
2016-04-21 01:15 - 2016-04-21 01:24 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51
2016-04-21 01:15 - 2016-04-21 01:15 - 00000000 _RSHD C:\ProgramData\Key-Base
2016-04-18 08:43 - 2016-04-20 23:52 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\Imminent
Reboot:

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} => clé non trouvé(e).
C:\Windows\System32\Tasks\fcbvzlx => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\fcbvzlx => clé non trouvé(e).
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9626D8C0-01AA-419F-A180-129DE9A4001D}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9626D8C0-01AA-419F-A180-129DE9A4001D}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\tnkmqf => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\tnkmqf" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{AB3669CA-8F33-4ABC-AB39-889329F04241}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AB3669CA-8F33-4ABC-AB39-889329F04241}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\apxmv => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\apxmv" => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B46EA83E-F1D4-4937-B8F0-A48548A08DC2} => clé non trouvé(e).
C:\Windows\System32\Tasks\bktqkn => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\bktqkn => clé non trouvé(e).
"C:\Users\Valentin\fcbvzlx" => non trouvé(e).
C:\Users\Valentin\tnkmqf => déplacé(es) avec succès
C:\Users\Valentin\apxmv => déplacé(es) avec succès
"C:\Users\Valentin\bktqkn" => non trouvé(e).
C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51 => déplacé(es) avec succès
C:\ProgramData\Key-Base => déplacé(es) avec succès
"C:\Users\Valentin\AppData\Roaming\Imminent" => non trouvé(e).

Le système a dû redémarrer.

Fin de Fixlog 11:48:02

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666 > Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
21 avril 2016 à 10:53

faudrait refaire un scan FRST pour voir si encore actif.
donne les rapports pjjoint.

Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
21 avril 2016 à 10:58

Voilà:

- FRST: https://pjjoint.malekal.com/files.php?id=FRST_20160421_f6x13q11r7y9
- Shortcut: https://pjjoint.malekal.com/files.php?id=20160421_r7p15w13z15x7
- Addition: https://pjjoint.malekal.com/files.php?id=20160421_b5u9r15p13l15

Réponse 5 / 6

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
21 avril 2016 à 11:02

Ca doit être bon.

Change tous tes mots de passe WEB.

Refais un scan FRST ce soir, pour être sûr que ce n'est pas revenu.

Si tu as encore les infos de connexion TS ou comment tu les as récupérés (genre sur un site ou je ne sais quoi) je suis preneur pour voir =)

Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
21 avril 2016 à 11:04

Non c'était sur un jeu.. x)

Pour le scan ce soir, comment je sais si y'a pas de soucis ? je te ré-envoie les fichiers ?

Et j'ai besoin de réinstaller w7 si je veux être tranquille ou pas besoin ? :)

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666 > Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
21 avril 2016 à 11:22

Non pas besoin de réinstaller.
Tu renvoies les liens pjjoint comme déjà fait avant, je regarderai.

Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
21 avril 2016 à 11:23

D'accord, merci beaucoup :)

Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
25 avril 2016 à 08:22

Voilà, j'ai préféré attendre un peu au cas ou :)

- FRST: https://pjjoint.malekal.com/files.php?id=FRST_20160425_k8r5u5x13t6
- Shortcut: https://pjjoint.malekal.com/files.php?id=20160425_g7r7f57h9
- Addition: https://pjjoint.malekal.com/files.php?id=20160425_w6i11g8g11d11

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666 > Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
25 avril 2016 à 08:57

Rapports corrects =)

Réponse 6 / 6

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
5 mars 2017 à 23:22

Re,

Ce n'est pas une question de chance.
Ces Trojan RAT sont faciles à éviter, pas de cracks/keygen et autres téléchargements douteux et tu auras la paix.
Une fois que tu auras compris cela... tout ira pour le mieux.

Fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

Puis refais un scan FRST et donne les rapports via pjjoint comme la fois d'avant :
https://forums.commentcamarche.net/forum/affich-33427609-probleme-trojan-stolendata#1

Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
5 mars 2017 à 23:37

Voilà les rapports:

- FRST: https://pjjoint.malekal.com/files.php?id=FRST_20170305_j11t5c13j14m5
- Shortcut: https://pjjoint.malekal.com/files.php?id=20170305_k11l6i8y5e6
- Addition: https://pjjoint.malekal.com/files.php?id=20170305_e6x13g14l13p14

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666 > Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
6 mars 2017 à 09:33

Ca semble bon.
Change tous tes mots de passe.

Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
6 mars 2017 à 10:32

D'accord, merci beaucoup ! On pourra refaire le test dans quelques jours histoire d'être sûr que rien n'est revenu stp ?

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666 > Atomiiz Messages postés 30 Date d'inscription mercredi 18 février 2015 Statut Membre Dernière intervention 16 juillet 2019
6 mars 2017 à 10:37

Pas de soucis :)