Problème Trojan.StolenData !

Résolu
Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Il y a peu de temps j'ai subit un piratage car je me suis connecté à un channel TS, et depuis je reçois chaque jour un fichier Trojan.StolenData à cet endroit C:\Users\Valentin\AppData\Roaming\Imminent\Logs. J'ai beau mettre en quarantaine et supprimer les fichiers malveillants avec MalwareBytes, j'en trouve toujours un nouveau (au moins 1 fois par jour)...

Auriez-vous une solution qui pourrait régler mon problème pour de bon svp ?



6 réponses

Réponse 1 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
Voilà les 3 liens:

- FRST : https://pjjoint.malekal.com/files.php?id=FRST_20160420_k11z13t8o7s9
- Shortcut: https://pjjoint.malekal.com/files.php?id=20160420_p8l95i12x11
- Addition: https://pjjoint.malekal.com/files.php?id=20160420_x12o13813k13
0
Réponse 2 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
1/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
Task: {B46EA83E-F1D4-4937-B8F0-A48548A08DC2} - System32\Tasks\bktqkn => C:\Users\Valentin\bktqkn\nslpayc.exe [2016-01-28] (AutoIt Team)
 C:\Users\Valentin\bktqkn\
 C:\Users\Valentin\fcbvzlx\
 2016-04-20 23:30 - 2014-10-22 01:51 - 00000000 _RSHD C:\ProgramData\Key-Base 
 2016-04-20 13:16 - 2015-12-28 06:29 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51 
Task: {0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} - System32\Tasks\fcbvzlx => C:\Users\Valentin\fcbvzlx\lpuumucg.exe [2016-01-24] (AutoIt Team)
 Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

2/


Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
0
Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:18-04-2016
Exécuté par Valentin (2016-04-21 01:13:18) Run:1
Exécuté depuis C:\Users\Valentin\Desktop
Profils chargés: Valentin (Profils disponibles: Valentin)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
Task: {B46EA83E-F1D4-4937-B8F0-A48548A08DC2} - System32\Tasks\bktqkn => C:\Users\Valentin\bktqkn\nslpayc.exe [2016-01-28] (AutoIt Team)
C:\Users\Valentin\bktqkn\
C:\Users\Valentin\fcbvzlx\
2016-04-20 23:30 - 2014-10-22 01:51 - 00000000 _RSHD C:\ProgramData\Key-Base
2016-04-20 13:16 - 2015-12-28 06:29 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51
Task: {0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} - System32\Tasks\fcbvzlx => C:\Users\Valentin\fcbvzlx\lpuumucg.exe [2016-01-24] (AutoIt Team)
Reboot:


Le Point de restauration a été créé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B46EA83E-F1D4-4937-B8F0-A48548A08DC2}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B46EA83E-F1D4-4937-B8F0-A48548A08DC2}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\bktqkn => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\bktqkn" => clé supprimé(es) avec succès
C:\Users\Valentin\bktqkn => déplacé(es) avec succès
C:\Users\Valentin\fcbvzlx => déplacé(es) avec succès
C:\ProgramData\Key-Base => déplacé(es) avec succès

"C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51" dossier déplacer:

Impossible de déplacer "C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51" => Planifié pour déplacement au redémarrage.

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\fcbvzlx => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\fcbvzlx" => clé supprimé(es) avec succès

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-04-21 01:15:00)

C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51 => a été déplacé(e) avec succès

Fin de Fixlog 01:15:00

0
Réponse 3 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
refais un scan FRST et donne les rapports.
Le dossier Imminent/Logs tu peux le supprimer.
0
Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
Voilà
- FRST: https://pjjoint.malekal.com/files.php?id=FRST_20160421_o7j6l10o9i7
- Shortcut: https://pjjoint.malekal.com/files.php?id=20160421_g1311i13u5o5
- Addition: https://pjjoint.malekal.com/files.php?id=20160421_q10d1212t6y5 (pas de nouveau fichier créé, c'est toujours le même)
0
Réponse 4 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette [url=http://www.malekal.com/2013/06/15/tutorial-farbar-recovery-scan-tool-frst/#fix]note explicative avec des captures d'écran[/url].

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 


CreateRestorePoint:
CloseProcesses:
Task: {0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} - System32\Tasks\fcbvzlx => C:\Users\Valentin\fcbvzlx\lpuumucg.exe [2016-01-24] (AutoIt Team)
Task: {9626D8C0-01AA-419F-A180-129DE9A4001D} - System32\Tasks\tnkmqf => C:\Users\Valentin\tnkmqf\mdnmgl.exe [2015-09-18] (AutoIt Team)
Task: {AB3669CA-8F33-4ABC-AB39-889329F04241} - System32\Tasks\apxmv => C:\Users\Valentin\apxmv\fhgwdd.exe [2016-01-28] (AutoIt Team)
Task: {B46EA83E-F1D4-4937-B8F0-A48548A08DC2} - System32\Tasks\bktqkn => C:\Users\Valentin\bktqkn\nslpayc.exe [2016-01-28] (AutoIt Team)
C:\Users\Valentin\fcbvzlx
C:\Users\Valentin\tnkmqf
C:\Users\Valentin\apxmv
 C:\Users\Valentin\bktqkn
  2016-04-21 01:15 - 2016-04-21 01:24 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51 
 2016-04-21 01:15 - 2016-04-21 01:15 - 00000000 _RSHD C:\ProgramData\Key-Base 
 2016-04-18 08:43 - 2016-04-20 23:52 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\Imminent 
  Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ([i] pas obligatoire /i)
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


Veuillez appuyer sur une touche pour continuer la désinfection...
0
Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:18-04-2016
Exécuté par Valentin (2016-04-21 11:47:56) Run:2
Exécuté depuis C:\Users\Valentin\Desktop
Profils chargés: Valentin (Profils disponibles: Valentin)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Task: {0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} - System32\Tasks\fcbvzlx => C:\Users\Valentin\fcbvzlx\lpuumucg.exe [2016-01-24] (AutoIt Team)
Task: {9626D8C0-01AA-419F-A180-129DE9A4001D} - System32\Tasks\tnkmqf => C:\Users\Valentin\tnkmqf\mdnmgl.exe [2015-09-18] (AutoIt Team)
Task: {AB3669CA-8F33-4ABC-AB39-889329F04241} - System32\Tasks\apxmv => C:\Users\Valentin\apxmv\fhgwdd.exe [2016-01-28] (AutoIt Team)
Task: {B46EA83E-F1D4-4937-B8F0-A48548A08DC2} - System32\Tasks\bktqkn => C:\Users\Valentin\bktqkn\nslpayc.exe [2016-01-28] (AutoIt Team)
C:\Users\Valentin\fcbvzlx
C:\Users\Valentin\tnkmqf
C:\Users\Valentin\apxmv
C:\Users\Valentin\bktqkn
2016-04-21 01:15 - 2016-04-21 01:24 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51
2016-04-21 01:15 - 2016-04-21 01:15 - 00000000 _RSHD C:\ProgramData\Key-Base
2016-04-18 08:43 - 2016-04-20 23:52 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\Imminent
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0CE7FAD3-2855-4CBF-B85E-8FB728FBBAEF} => clé non trouvé(e).
C:\Windows\System32\Tasks\fcbvzlx => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\fcbvzlx => clé non trouvé(e).
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9626D8C0-01AA-419F-A180-129DE9A4001D}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9626D8C0-01AA-419F-A180-129DE9A4001D}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\tnkmqf => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\tnkmqf" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{AB3669CA-8F33-4ABC-AB39-889329F04241}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AB3669CA-8F33-4ABC-AB39-889329F04241}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\apxmv => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\apxmv" => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B46EA83E-F1D4-4937-B8F0-A48548A08DC2} => clé non trouvé(e).
C:\Windows\System32\Tasks\bktqkn => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\bktqkn => clé non trouvé(e).
"C:\Users\Valentin\fcbvzlx" => non trouvé(e).
C:\Users\Valentin\tnkmqf => déplacé(es) avec succès
C:\Users\Valentin\apxmv => déplacé(es) avec succès
"C:\Users\Valentin\bktqkn" => non trouvé(e).
C:\Users\Valentin\AppData\Roaming\7AA807FB-6BE9-4B08-B237-F01C467FBC51 => déplacé(es) avec succès
C:\ProgramData\Key-Base => déplacé(es) avec succès
"C:\Users\Valentin\AppData\Roaming\Imminent" => non trouvé(e).


Le système a dû redémarrer.

Fin de Fixlog 11:48:02

0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
faudrait refaire un scan FRST pour voir si encore actif.
donne les rapports pjjoint.
0
Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
Voilà:

- FRST: https://pjjoint.malekal.com/files.php?id=FRST_20160421_f6x13q11r7y9
- Shortcut: https://pjjoint.malekal.com/files.php?id=20160421_r7p15w13z15x7
- Addition: https://pjjoint.malekal.com/files.php?id=20160421_b5u9r15p13l15
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Ca doit être bon.

Change tous tes mots de passe WEB.

Refais un scan FRST ce soir, pour être sûr que ce n'est pas revenu.

Si tu as encore les infos de connexion TS ou comment tu les as récupérés (genre sur un site ou je ne sais quoi) je suis preneur pour voir =)
0
Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
Non c'était sur un jeu.. x)

Pour le scan ce soir, comment je sais si y'a pas de soucis ? je te ré-envoie les fichiers ?

Et j'ai besoin de réinstaller w7 si je veux être tranquille ou pas besoin ? :)
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
Non pas besoin de réinstaller.
Tu renvoies les liens pjjoint comme déjà fait avant, je regarderai.
0
Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
D'accord, merci beaucoup :)
0
Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
Voilà, j'ai préféré attendre un peu au cas ou :)

- FRST: https://pjjoint.malekal.com/files.php?id=FRST_20160425_k8r5u5x13t6
- Shortcut: https://pjjoint.malekal.com/files.php?id=20160425_g7r7f57h9
- Addition: https://pjjoint.malekal.com/files.php?id=20160425_w6i11g8g11d11
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
Rapports corrects =)
0
Réponse 6 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Re,

Ce n'est pas une question de chance.
Ces Trojan RAT sont faciles à éviter, pas de cracks/keygen et autres téléchargements douteux et tu auras la paix.
Une fois que tu auras compris cela... tout ira pour le mieux.

Fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

Puis refais un scan FRST et donne les rapports via pjjoint comme la fois d'avant :
https://forums.commentcamarche.net/forum/affich-33427609-probleme-trojan-stolendata#1

0
Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
Voilà les rapports:

- FRST: https://pjjoint.malekal.com/files.php?id=FRST_20170305_j11t5c13j14m5
- Shortcut: https://pjjoint.malekal.com/files.php?id=20170305_k11l6i8y5e6
- Addition: https://pjjoint.malekal.com/files.php?id=20170305_e6x13g14l13p14
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
Ca semble bon.
Change tous tes mots de passe.
0
Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
D'accord, merci beaucoup ! On pourra refaire le test dans quelques jours histoire d'être sûr que rien n'est revenu stp ?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > Atomiiz Messages postés 30 Date d'inscription   Statut Membre Dernière intervention  
 
Pas de soucis :)
0