Trojan stolen data // Backdoor agent

Résolu/Fermé
chocoda321
Messages postés
7
Date d'inscription
mardi 23 février 2016
Statut
Membre
Dernière intervention
29 octobre 2016
- 29 oct. 2016 à 13:09
Malekal_morte-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
- 29 oct. 2016 à 16:06
Salut tt le monde je suis infecté par les deux type de virus cité dans le titre Malwarebytes anti malware les détectes a chaque fois les supprime (il réaparraissent tout les jours) comment je l'ai chopper? j'ai laissé mon ordi a mon cousin un peu plus jeune jsp ce qu'il a foutu dessus j'étais pas là voici un screen pour mieux comprendre ma situation merci de m'aider :)

5 réponses

Malekal_morte-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 557
29 oct. 2016 à 13:29
Hello,

Pour voir s'il y a des restes :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
chocoda321
Messages postés
7
Date d'inscription
mardi 23 février 2016
Statut
Membre
Dernière intervention
29 octobre 2016

29 oct. 2016 à 13:44
0
Malekal_morte-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 557
29 oct. 2016 à 14:23
Pas mal de Trojan RAT :/
Pas bon ça.

Suis ces deux étapes.

1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1233239379-66981917-1128448775-1000\...\Run: [Catalogue de sécurité (.cat)] => C:\Users\pc\AppData\Roaming\Catalogue de sécurité (.cat)\PresentationFontCache.exe [1546400 2016-07-31] (Microsoft Corporation)
HKU\S-1-5-21-1233239379-66981917-1128448775-1000\...\Run: [Silcion] => C:\Users\pc\AppData\Roaming\Siliocon\isis.exe [2075760 2016-08-01] (Microsoft Corporation)
HKU\S-1-5-21-1233239379-66981917-1128448775-1000\...\Run: [VEFLSQM] => wscript.exe //B //E:vbs C:\Users\pc\AppData\Local\Temp\VEFLSQM <===== ATTENTION
2016-10-29 10:21 - 2016-10-29 10:38 - 00000000 ____D C:\Users\pc\AppData\Roaming\Imminent
2016-08-01 19:02 - 2016-08-01 15:02 - 0036489 ___SH () C:\Users\pc\AppData\Roaming\KOMieXJfYPbJgBDSgCA
2016-07-25 03:49 - 2016-07-24 19:44 - 0036283 ___SH () C:\Users\pc\AppData\Roaming\LMOEOhDbKOgSFMRUSMf
2016-07-25 03:49 - 2016-07-24 19:44 - 0222224 ___SH () C:\Users\pc\AppData\Roaming\NTWYFEZOWeVM
2016-08-01 19:02 - 2016-08-01 15:02 - 0311824 ___SH () C:\Users\pc\AppData\Roaming\SRSTZhbVPaNR
2016-08-01 19:02 - 2016-08-01 15:02 - 0936960 ___SH (AutoIt Team) C:\Users\pc\AppData\Roaming\Tasktcp.exe
2016-06-26 21:56 - 2014-11-11 18:48 - 0284456 _____ (Valve Corporation) C:\Program Files (x86)\WriteMiniDump.exe
2016-06-28 01:01 - 2016-06-28 01:01 - 0002048 _____ () C:\Program Files (x86)\ssfn31734053211279555
2016-06-27 21:35 - 2016-06-27 21:35 - 0002048 ____H () C:\Program Files (x86)\ssfn5299047912649614543
Task: {F4B57039-C52A-47EF-89B2-BEFB240D5F31} - System32\Tasks\Update\Explorateur Windowsx => C:\Users\pc\AppData\Roaming\Explorateur Windowsx\explorers.exe [2016-07-31] (Microsoft Corporation) <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


2/

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
0
chocoda321
Messages postés
7
Date d'inscription
mardi 23 février 2016
Statut
Membre
Dernière intervention
29 octobre 2016

29 oct. 2016 à 14:57
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 29-10-2016
Exécuté par pc (29-10-2016 13:39:58) Run:1
Exécuté depuis C:\Users\pc\Desktop
Profils chargés: pc (Profils disponibles: pc)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1233239379-66981917-1128448775-1000\...\Run: [Catalogue de sécurité (.cat)] => C:\Users\pc\AppData\Roaming\Catalogue de sécurité (.cat)\PresentationFontCache.exe [1546400 2016-07-31] (Microsoft Corporation)
HKU\S-1-5-21-1233239379-66981917-1128448775-1000\...\Run: [Silcion] => C:\Users\pc\AppData\Roaming\Siliocon\isis.exe [2075760 2016-08-01] (Microsoft Corporation)
HKU\S-1-5-21-1233239379-66981917-1128448775-1000\...\Run: [VEFLSQM] => wscript.exe //B //E:vbs C:\Users\pc\AppData\Local\Temp\VEFLSQM <===== ATTENTION
2016-10-29 10:21 - 2016-10-29 10:38 - 00000000 ____D C:\Users\pc\AppData\Roaming\Imminent
2016-08-01 19:02 - 2016-08-01 15:02 - 0036489 ___SH () C:\Users\pc\AppData\Roaming\KOMieXJfYPbJgBDSgCA
2016-07-25 03:49 - 2016-07-24 19:44 - 0036283 ___SH () C:\Users\pc\AppData\Roaming\LMOEOhDbKOgSFMRUSMf
2016-07-25 03:49 - 2016-07-24 19:44 - 0222224 ___SH () C:\Users\pc\AppData\Roaming\NTWYFEZOWeVM
2016-08-01 19:02 - 2016-08-01 15:02 - 0311824 ___SH () C:\Users\pc\AppData\Roaming\SRSTZhbVPaNR
2016-08-01 19:02 - 2016-08-01 15:02 - 0936960 ___SH (AutoIt Team) C:\Users\pc\AppData\Roaming\Tasktcp.exe
2016-06-26 21:56 - 2014-11-11 18:48 - 0284456 _____ (Valve Corporation) C:\Program Files (x86)\WriteMiniDump.exe
2016-06-28 01:01 - 2016-06-28 01:01 - 0002048 _____ () C:\Program Files (x86)\ssfn31734053211279555
2016-06-27 21:35 - 2016-06-27 21:35 - 0002048 ____H () C:\Program Files (x86)\ssfn5299047912649614543
Task: {F4B57039-C52A-47EF-89B2-BEFB240D5F31} - System32\Tasks\Update\Explorateur Windowsx => C:\Users\pc\AppData\Roaming\Explorateur Windowsx\explorers.exe [2016-07-31] (Microsoft Corporation) <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-1233239379-66981917-1128448775-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Catalogue de sécurité (.cat) => valeur supprimé(es) avec succès
HKU\S-1-5-21-1233239379-66981917-1128448775-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Silcion => valeur supprimé(es) avec succès
HKU\S-1-5-21-1233239379-66981917-1128448775-1000\Software\Microsoft\Windows\CurrentVersion\Run\\VEFLSQM => valeur supprimé(es) avec succès
C:\Users\pc\AppData\Roaming\Imminent => déplacé(es) avec succès
C:\Users\pc\AppData\Roaming\KOMieXJfYPbJgBDSgCA => déplacé(es) avec succès
C:\Users\pc\AppData\Roaming\LMOEOhDbKOgSFMRUSMf => déplacé(es) avec succès
C:\Users\pc\AppData\Roaming\NTWYFEZOWeVM => déplacé(es) avec succès
C:\Users\pc\AppData\Roaming\SRSTZhbVPaNR => déplacé(es) avec succès
C:\Users\pc\AppData\Roaming\Tasktcp.exe => déplacé(es) avec succès
C:\Program Files (x86)\WriteMiniDump.exe => déplacé(es) avec succès
C:\Program Files (x86)\ssfn31734053211279555 => déplacé(es) avec succès
C:\Program Files (x86)\ssfn5299047912649614543 => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{F4B57039-C52A-47EF-89B2-BEFB240D5F31}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F4B57039-C52A-47EF-89B2-BEFB240D5F31}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\Update\Explorateur Windowsx => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Update\Explorateur Windowsx" => clé supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1233239379-66981917-1128448775-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1233239379-66981917-1128448775-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========

Le Point de restauration a été créé avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 110113719 B
Java, Flash, Steam htmlcache => 240527024 B
Windows/system/drivers => 6876933 B
Edge => 0 B
Chrome => 570796789 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 187907 B
systemprofile32 => 4102086 B
LocalService => 66228 B
NetworkService => 97674 B
pc => 1377607878 B

RecycleBin => 0 B
EmptyTemp: => 2.2 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 13:46:59

0
chocoda321
Messages postés
7
Date d'inscription
mardi 23 février 2016
Statut
Membre
Dernière intervention
29 octobre 2016

29 oct. 2016 à 14:58
dsl pour le double post mais j'ai envoyer le zip sur le lien que tu m'as donné et j'ai reçu aucun lien c'est normale? :)
0
Malekal_morte-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 557
29 oct. 2016 à 15:15
oui merci.
Refais un scan Malwarebytes en le mettant à jour
et puis un scan FRST en donnant les rapports via pjjoint.
Histoire de voir les restes.
0
chocoda321
Messages postés
7
Date d'inscription
mardi 23 février 2016
Statut
Membre
Dernière intervention
29 octobre 2016

29 oct. 2016 à 15:33
Merci encore de ton aide voici les liens :p (FRST-Addition-Shortcut)

https://pjjoint.malekal.com/files.php?id=FRST_20161029_g9b5k6q13e10

https://pjjoint.malekal.com/files.php?id=20161029_r14j5s11o10c7


https://pjjoint.malekal.com/files.php?id=20161029_x13s8y10t15i10


Pour Malwarebyte anti malware rien a signaler sinon tu me conseillerai quel antivirus gratuit qui fait du bon taff pour bloquer les virus ? ^^
0
Malekal_morte-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 557
29 oct. 2016 à 16:03
Tu as Windows Defender, c'est le moins bon de tous.
Widnows Defender est-il efficace ?

Avast! ou Antivir, c'est un peu mieux.
Après ces Trojan RAT, ça vient par des cracks etc.
Pas difficile à éviter.

Réinitialise manuellement tes navigateurs (Pas de nettoyage zoek ou ZHPCleaner) :


Change TOUS TES MOTS DE PASSE
ils ont été volés.
0
chocoda321
Messages postés
7
Date d'inscription
mardi 23 février 2016
Statut
Membre
Dernière intervention
29 octobre 2016

29 oct. 2016 à 16:04
Ok merci pour ton aide! :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 557
29 oct. 2016 à 16:06
de rien =)

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
0