Trojan downloader

Résolu/Fermé
Mymiee Messages postés 3 Date d'inscription mardi 25 octobre 2016 Statut Membre Dernière intervention 26 octobre 2016 - 25 oct. 2016 à 22:23
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 26 oct. 2016 à 17:08
Bonjour,
Windows defender a détecté cette menace sur mon ordinateur: TrojanDownloader:Win32/Powsheldow.B
Quelqu'un peu m'aider à m'en débarasser? Lorsque je fais supprimer tout, ça revient dans le prochain scan.
Merci!

4 réponses

Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
25 oct. 2016 à 22:33
Salut,

Sur la détection.
Clic sur détails et copie/colle le contenu ici.
0
Mymiee Messages postés 3 Date d'inscription mardi 25 octobre 2016 Statut Membre Dernière intervention 26 octobre 2016
25 oct. 2016 à 22:47
Catégorie : Cheval de Troie téléchargeur

Description : Ce programme est dangereux et il télécharge d’autres programmes.

Action recommandée : Supprimer immédiatement ce logiciel.

Éléments :
amsi:PowerShell_C:\WINDOWS\system32\WindowsPowershell\v1.0\powershell.exe_10.0.14393.00000000000000001

Obtenez plus d’informations sur cet élément en ligne.
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
Modifié par Malekal_morte- le 26/10/2016 à 08:55
ok,

Possible Malware Fileless.

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.



Veuillez appuyer sur une touche pour continuer la désinfection...
0
Mymiee Messages postés 3 Date d'inscription mardi 25 octobre 2016 Statut Membre Dernière intervention 26 octobre 2016
26 oct. 2016 à 15:43
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
26 oct. 2016 à 16:13
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
Task: {3D290668-BBD7-4A0D-8B99-4BA0375055EA} - System32\Tasks\{7E008652-1213-7267-F9EF-48EE65B472F0}
Task: {08578F86-EF78-4A30-B4EE-DBC13AE1D2CB} - System32\Tasks\{72FC710B-A661-EE02-0D9D-A3F09290D256}
2016-03-21 22:30 - 2016-03-21 22:30 - 0000000 _____ () C:\Users\Myriam\AppData\Roaming\Microsoft\6CA6.tmp
2016-09-02 19:10 - 2016-09-02 19:10 - 0000000 _____ () C:\Users\Myriam\AppData\Roaming\Microsoft\CFC3.tmp
Hosts:
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

0
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 17-10-2016
Exécuté par Myriam (26-10-2016 10:19:20) Run:1
Exécuté depuis C:\Users\Myriam\Desktop
Profils chargés: Myriam (Profils disponibles: Myriam)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Task: {3D290668-BBD7-4A0D-8B99-4BA0375055EA} - System32\Tasks\{7E008652-1213-7267-F9EF-48EE65B472F0}
Task: {08578F86-EF78-4A30-B4EE-DBC13AE1D2CB} - System32\Tasks\{72FC710B-A661-EE02-0D9D-A3F09290D256}
2016-03-21 22:30 - 2016-03-21 22:30 - 0000000 _____ () C:\Users\Myriam\AppData\Roaming\Microsoft\6CA6.tmp
2016-09-02 19:10 - 2016-09-02 19:10 - 0000000 _____ () C:\Users\Myriam\AppData\Roaming\Microsoft\CFC3.tmp
Hosts:
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:


Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3D290668-BBD7-4A0D-8B99-4BA0375055EA}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3D290668-BBD7-4A0D-8B99-4BA0375055EA}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{7E008652-1213-7267-F9EF-48EE65B472F0} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{7E008652-1213-7267-F9EF-48EE65B472F0}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{08578F86-EF78-4A30-B4EE-DBC13AE1D2CB}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{08578F86-EF78-4A30-B4EE-DBC13AE1D2CB}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{72FC710B-A661-EE02-0D9D-A3F09290D256} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{72FC710B-A661-EE02-0D9D-A3F09290D256}" => clé supprimé(es) avec succès
C:\Users\Myriam\AppData\Roaming\Microsoft\6CA6.tmp => déplacé(es) avec succès
C:\Users\Myriam\AppData\Roaming\Microsoft\CFC3.tmp => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-4153747659-118552529-77492079-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-4153747659-118552529-77492079-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========

Erreur: (0) Impossible de créer un point de restauration.

=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 29234590 B
Java, Flash, Steam htmlcache => 506 B
Windows/system/drivers => 256435143 B
Edge => 0 B
Chrome => 78008323 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 122910 B
Myriam => 57908693 B

RecycleBin => 214885927 B
EmptyTemp: => 607.1 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 10:19:39

0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576 > Mymiee
26 oct. 2016 à 16:21
Vois si les alertes s'arrêtent.
0
je vais repartir un scan alors
0
Il n'est pas réapparu dans le scan que j'ai lancé. Je suppose que c'est réglé. Merci beaucoup :)
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
26 oct. 2016 à 17:08
0