Trojan...

Résolu/Fermé
monnalie Messages postés 51 Date d'inscription vendredi 24 juin 2016 Statut Membre Dernière intervention 14 avril 2024 - 28 juin 2022 à 21:53
bazfile Messages postés 57176 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 février 2025 - 29 juin 2022 à 17:53
Bonjour,

en faisant le menage dans mon portable, j'ai découvert ceci :

C:\Users\Public\Thunder Network\Mini_downloadlib\ODAwMDAwNTQ=\Version_3_2_1_36

en regardant sur le net, j'ai vu que ca pouvait etre un trojan...

pouvez vous me le confirmer (ou infirmer) ? et comment s'en débarrasser si c'est le cas ?

je suis en trin de changer de pc, et du coup je transfère mes dossiers/fichiers sur le nouveau..

mais bien sur, je ne préfère pas avoir d'invités surprise !

merci d'avance !



Configuration: Windows / Chrome 102.0.0.0
A voir également:

4 réponses

Vous devez connecté au site web ceci =
Avast.com/fr-fr/c-trojan-
Ce site (avast )peut vous aidé a télécharger l'anti virus et même de protéger votre PC a supposé une autre attaque .
C'est un virus électronique des hackers les programmeurs informatiques qui dérange le monde .
1
monnalie Messages postés 51 Date d'inscription vendredi 24 juin 2016 Statut Membre Dernière intervention 14 avril 2024 4
28 juin 2022 à 22:22
merci !

mon antivirus est avast premuim security...
et il n'a pas detecté ce trojan...
0
bazfile Messages postés 57176 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 février 2025 19 444
29 juin 2022 à 12:35
Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent



À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition


Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.
0
monnalie Messages postés 51 Date d'inscription vendredi 24 juin 2016 Statut Membre Dernière intervention 14 avril 2024 4
Modifié le 29 juin 2022 à 14:01
0
bazfile Messages postés 57176 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 février 2025 19 444 > monnalie Messages postés 51 Date d'inscription vendredi 24 juin 2016 Statut Membre Dernière intervention 14 avril 2024
Modifié le 29 juin 2022 à 14:50
Te sers-tu de roboform (gestionnaire de mots de passe) ?

Il y a des restrictions logicielles sur ton pc est-ce toi qui les a configurées ?

Thunder Network est présent sur ton pc depuis le 31 mai vu que cela peut être légitime comme infectieux, veux-tu que je le supprime ?

En fonction de tes réponses je te ferai un script de correction FRST, j'attends tes réponses.
0
monnalie Messages postés 51 Date d'inscription vendredi 24 juin 2016 Statut Membre Dernière intervention 14 avril 2024 4 > bazfile Messages postés 57176 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 février 2025
29 juin 2022 à 15:28
je ne me sers plus de roborform depuis plusieurs années, et je pensais l'avoir supprimé...
pour les restrictions logicielles, je ne pense pas que ce soit moi...

c'est justement thunder network qui m'a fait posté, car si je l'ai téléchargé, ce n'est pas volontairement...

merci !
0
monnalie Messages postés 51 Date d'inscription vendredi 24 juin 2016 Statut Membre Dernière intervention 14 avril 2024 4 > bazfile Messages postés 57176 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 février 2025
29 juin 2022 à 15:50
donc oui... je veux le supprimer ! merci !
0
bazfile Messages postés 57176 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 février 2025 19 444
Modifié le 29 juin 2022 à 16:29
Bonjour,
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
HKLM\SOFTWARE\Policies\Google: Restriction
HKLM\...\Run: [] => [X]
Task: {6441579F-E9A1-4A0B-B36D-44B4B143BE2C} - System32\Tasks\Run RoboForm TaskBar Icon => C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe (Pas de fichier)
Task: {6E6C02CF-B716-4507-91ED-456A8F53CB82} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier
Task: {9BE4F8C8-15AD-4F48-B4E0-0B086F70B5DC} - System32\Tasks\Lenovo\Lenovo Service Bridge\S-1-5-21-1868091880-1505570919-2998517785-1001 => C:\Users\vm086\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\LSBUpdater.exe (Pas de fichier)
Task: {CD78607A-F06A-480A-A935-B2860468CF1D} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe /backup /iavs (Pas de fichier)
Task: {F515CB86-2D40-4936-87AC-AF3119D119B4} - System32\Tasks\AdwCleaner_onReboot => F:\adwcleaner_8.0.1.exe /r (Pas de fichier)
FF Plugin-x32: @canon.com/EPPEX -> C:\Program Files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL [Pas de fichier]
S4 DFWSIDService; C:\Program Files (x86)\Wondershare\drfone\WsidService.exe [X]
S4 ElevationService; C:\Program Files (x86)\Wondershare\drfone\Addins\Eraser\ElevationService.exe [X]
S4 NTI BackupNowEZSvr; C:\Program Files (x86)\NTI\NTI Backup Now EZ\BackupNowEZSvr.exe [X]
Task: {BD4C9418-5A66-442B-ADEC-93659BEC51D6} - System32\Tasks\Open URL by RoboForm => C:\WINDOWS\system32\rundll32.exe url.dll,FileProtocolHandler "hxxps://www.roboform.com/uninstall.html?aaa=KICMMJOJJMOMPMLJMJMMCNOMHMJJOJCNLMJJKJJJCNOJOJPMLJCNOJKJOMNJOJNJPMJMNMKMPMLMJNJICMHMCNKMCNLMFMOMOMCNLMPMIMCNOMIMOMMMLMFMPMCNPMCNOMIMOMMMLMCNNMJNPICMPMFMFMPMJNHICMEKMICNJJCKJNBJCMJICJPMHMJMJNKJCMJNNICMJNDJCMJJNIJNMJCMPMFMPMFMPMJ (l'élément de données a 32 caractères en plus).
C:\WINDOWS\system32\Tasks\Open URL by RoboForm
CHR StartupUrls: Default -> "hxxp://start.roboform.com/","hxxp://start.qone8.com/?type=hppp&ts=1401981607&from=adks&uid=TOSHIBAXMK7559GSXP_Z0O8F0NXSXXZ0O8F0NXS","hxxps://www.google.com/"
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
C:\Users\Public\Thunder Network
C:\ProgramData\Thunder Network
CustomCLSID: HKU\S-1-5-21-1868091880-1505570919-2998517785-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\vm086\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20091.2\x64\Microsoft.Teams.AddinLoader.dll => Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
HKLM\...\Drivers32: [Nouvelle valeur #1] => [X]
AlternateDataStreams: C:\Users\vm086\AppData\Local\Temp:com.affinity.photo.2 [320]
AlternateDataStreams: C:\Users\vm086\AppData\Local\Temp:com.affinity.photo.3 [197]
BHO-x32: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files (x86)\Microsoft Office\Office15\OCHelper.dll => Pas de fichier
BHO-x32: Microsoft SkyDrive Pro Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> C:\Program Files (x86)\Microsoft Office\Office15\GROOVEEX.DLL => Pas de fichier
Toolbar: HKLM-x32 - Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexhlp.dll Pas de fichier
FirewallRules: [{A61E7BB9-7EBE-4146-B113-5ED950C9FFA4}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Pas de fichier
FirewallRules: [{84FC0C24-7B9C-49FD-B1A4-69ED0A228D75}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Pas de fichier
FirewallRules: [{D71A1ED6-B9AA-46B1-A8BB-97C87E666B47}] => (Allow) C:\Program Files (x86)\iMobie\AnyTrans\xldownload\download\MiniThunderPlatform.exe => Pas de fichier
FirewallRules: [{39C7D39F-545F-4B45-9B23-B9C2F41CD6D8}] => (Allow) C:\Program Files (x86)\iMobie\AnyTrans\xldownload\download\MiniThunderPlatform.exe => Pas de fichier
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.



Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI "Thunder Network" EST TOUJOURS PRÉSENT.


POUR INFORMATION:

Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, vu que tu as un pc portable branche-le au secteur, car ce serait dommage de tomber en panne de batterie avant que la mise à jour ne soit terminée.
0
monnalie Messages postés 51 Date d'inscription vendredi 24 juin 2016 Statut Membre Dernière intervention 14 avril 2024 4
Modifié le 29 juin 2022 à 17:26
https://www.cjoint.com/c/LFDpafigYMg

après redémarrage, il est toujours là... il s'incruste !

je fais la mise à jour de windows...
0
bazfile Messages postés 57176 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 février 2025 19 444 > monnalie Messages postés 51 Date d'inscription vendredi 24 juin 2016 Statut Membre Dernière intervention 14 avril 2024
Modifié le 29 juin 2022 à 17:33
Oui, il est toujours là, mais normalement il est désormais dans la quarantaine de FRST
C:\FRST\Quarantine
ce qui est normal.
S'il est bien dans ce dossier et que pour toi tout est OK tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
1
monnalie Messages postés 51 Date d'inscription vendredi 24 juin 2016 Statut Membre Dernière intervention 14 avril 2024 4 > bazfile Messages postés 57176 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 février 2025
29 juin 2022 à 17:49
merci bcp bazfile...

tout est ok !
je te souhaite une bonne journée (soirée)
0
bazfile Messages postés 57176 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 février 2025 19 444 > monnalie Messages postés 51 Date d'inscription vendredi 24 juin 2016 Statut Membre Dernière intervention 14 avril 2024
29 juin 2022 à 17:53
Bonne soirée également.
0