VIRUS VBS downloader-ATJ(Trj)

Fermé
tina2302 Messages postés 61 Date d'inscription mercredi 24 juillet 2013 Statut Membre Dernière intervention 3 décembre 2022 - Modifié le 10 mars 2018 à 11:09
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 11 mars 2018 à 15:39
bonjour

Pourriez vous m'aider j'ai avast qui a repéré : VBS downloader-ATJ(Trj) et qui me le met en quarantaine. Je pense que c'est trojan mais je n'arrive pas à m'en débarasser. Pourriez vous m'aider svp pour l'éradiquer complètement sur mon ordi.

Merci à l'avance de votre aide précieuse
A voir également:

5 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié le 11 mars 2018 à 15:41
Pour information, la détection est liée à Yahoo Search, qui vise à forcer le moteur de recherche Yahoo sur les navigateurs internet.
Ce dernier utilise un Script VBS qui est détecté par Avast! depuis quelques temps, sachant que ce malware existe depuis plusieurs années :
Task: C:\WINDOWS\Tasks\Yahoo! Powered nedol.job => Wscript.exe C:\ProgramData\{8AC94FAA-008B-C56C-864D-5B2E1C0FD0E0}\tete.txt <==== ATTENTION

Il s'agit donc d'une infection de type Browser Hijacker, plus d'infos : https://www.malekal.com/browser-hijacker-les-pirates-des-navigateurs-internet/
donc pas de panique, ce n'est pas un trojan ou autre qui volent des données.

Ce Browser Hijacker provient d'un installeur de type InstallCore.
Plus d'infos et ne plus vous faire avoir à l'avenir, lire ce dossier explicatif : https://forum.malekal.com/viewtopic.php?t=53580
InstallCore installe Yahoo, Chromium (qui remplace le navigateur par défaut pour forcer aussi Yahoo!), éventuellement Avast!, McAfee SiteAdvisor.

Faire une analyse FRST et créer son propre sujet est recommandé, si vous voulez désinfecter l'ordinateur.

Je ferme ce topic.

1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 mars 2018 à 11:09
Bonjour,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.



0
tina2302 Messages postés 61 Date d'inscription mercredi 24 juillet 2013 Statut Membre Dernière intervention 3 décembre 2022
10 mars 2018 à 11:25
ok merci beaucoup je vais faire çà mais mon pc windows s'arrête tout seul là je suis sur mon IMAC je vais regarder le tuto je reviendrai plus tard si mon pc revient à la normale. J'ai réussi à [télécharger malwarebytes et l'analyse a mis 80 fichiers en quarantaine mais çà a quand même planté
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > tina2302 Messages postés 61 Date d'inscription mercredi 24 juillet 2013 Statut Membre Dernière intervention 3 décembre 2022
10 mars 2018 à 11:55
ok essaye de faire FRST, si ça marche pas, indique la version de Windows.
0
tina2302 Messages postés 61 Date d'inscription mercredi 24 juillet 2013 Statut Membre Dernière intervention 3 décembre 2022
10 mars 2018 à 11:58
0
tina2302 Messages postés 61 Date d'inscription mercredi 24 juillet 2013 Statut Membre Dernière intervention 3 décembre 2022
10 mars 2018 à 12:02
0
tina2302 Messages postés 61 Date d'inscription mercredi 24 juillet 2013 Statut Membre Dernière intervention 3 décembre 2022
10 mars 2018 à 12:10
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 mars 2018 à 12:21
Pas ou plus infecté.
Soit c'était une détection isolée d'Avast! et l'ordinateur était pas infecté.
Soit tu en es venu à bout avec Malwarebytes.


Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Avast Driver Updater
CCleaner


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2018-03-10 11:01 - 2018-03-10 11:01 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2018-03-10 11:01 - 2018-03-10 11:01 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
0
tina2302 Messages postés 61 Date d'inscription mercredi 24 juillet 2013 Statut Membre Dernière intervention 3 décembre 2022
10 mars 2018 à 14:01
merci beaucoup c'est vrai que j'avais fait une analyse et suppression avec malwarebytes et depuis il ne plante plus. Je vous remercie infiniment de votre aide et vous souhaite un bon week end
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > tina2302 Messages postés 61 Date d'inscription mercredi 24 juillet 2013 Statut Membre Dernière intervention 3 décembre 2022
10 mars 2018 à 18:07
de rien =)
0
Utilisateur anonyme
10 mars 2018 à 16:03
Bonjour, serais t'il possible d'avoir également de l'aide pour l'analyse des liens svp ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Utilisateur anonyme
10 mars 2018 à 18:09
Salut,

Pas l'air infecté non plus.

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

CyberLink
Java
Raptr
WildTangent Games App


A supprimer :

C:\Program Files\FileViewPro
C:\ProgramData\{3C2FF94C-B66D-738A-30AB-EDC8AAE96606}
0
Utilisateur anonyme
10 mars 2018 à 19:07
Salut, ça doit être grâce à Malwarebytes mais merci beaucoup en tout cas !
D'accord merci du conseil
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Bonjour, 8 alertes Avast! pour VBS Downloader AJT en une journée, j'ai donc fait ce qui est demandé ici :

Addiction : https://pjjoint.malekal.com/files.php?id=20180310_158c10u15d11
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20180310_m15o14r8s15z7
Shortcut : https://pjjoint.malekal.com/files.php?id=20180310_u13e5e6u11w13
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
11 mars 2018 à 11:05
Pas infecté en soit mais des restes d'installation vérolé avec InstallCore.
A lire : https://forum.malekal.com/viewtopic.php?t=53580

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

CCleaner
Java


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
c:\users\julien\appdata\local\chromium
HKU\S-1-5-21-1423473409-3479083969-1999934600-1000\...\Run: [Chromium] => c:\users\julien\appdata\local\chromium\application\chrome.exe [828416 2017-01-21] (The Chromium Authors)
2015-05-04 21:40 - 2015-05-04 21:40 - 000000000 _____ () C:\Users\Julien\AppData\Local\{76F956EA-0B17-4D29-9BC9-EFC0740948E1}
Task: {E0BB6742-E761-4252-8748-FD8C2779D5FC} - \Yahoo! Powered reram -> Pas de fichier <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :
0
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 10.03.2018
Exécuté par Julien (11-03-2018 11:20:32) Run:1
Exécuté depuis C:\Users\Julien\Desktop
Profils chargés: Julien (Profils disponibles: Julien & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
c:\users\julien\appdata\local\chromium
HKU\S-1-5-21-1423473409-3479083969-1999934600-1000\...\Run: [Chromium] => c:\users\julien\appdata\local\chromium\application\chrome.exe [828416 2017-01-21] (The Chromium Authors)
2015-05-04 21:40 - 2015-05-04 21:40 - 000000000 _____ () C:\Users\Julien\AppData\Local\{76F956EA-0B17-4D29-9BC9-EFC0740948E1}
Task: {E0BB6742-E761-4252-8748-FD8C2779D5FC} - \Yahoo! Powered reram -> Pas de fichier <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
c:\users\julien\appdata\local\chromium => déplacé(es) avec succès
"HKU\S-1-5-21-1423473409-3479083969-1999934600-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Chromium" => supprimé(es) avec succès
C:\Users\Julien\AppData\Local\{76F956EA-0B17-4D29-9BC9-EFC0740948E1} => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E0BB6742-E761-4252-8748-FD8C2779D5FC} => impossible à supprimer. Accès refusé.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Yahoo! Powered reram => impossible à supprimer. Accès refusé.
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1423473409-3479083969-1999934600-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1423473409-3479083969-1999934600-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7364608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 202783825 B
Java, Flash, Steam htmlcache => 566309985 B
Windows/system/drivers => 198894986 B
Edge => 0 B
Chrome => 49102546 B
Firefox => 8381856 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 16674 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 830 B
NetworkService => 0 B
Julien => 299434104 B
DefaultAppPool => 33058 B

RecycleBin => 0 B
EmptyTemp: => 1.2 GB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 11-03-2018 11:21:29)


Résultats de la suppression planifiée des clés après redémarrage:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E0BB6742-E761-4252-8748-FD8C2779D5FC} => impossible à supprimer. Accès refusé.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Yahoo! Powered reram => impossible à supprimer. Accès refusé.

Fin de Fixlog 11:21:29

0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Bubbleboy
11 mars 2018 à 11:35
niquel =)
0
Je vous tiens au courant si l'alerte Avast revient
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Bubbleboy
11 mars 2018 à 12:12
oui en indiquant le fichier détecté, si possible.
0