Trojan:MSIL/RelineStealer.FO!MTB : Mise a jour incomplète
Fermé
elouanb7
-
Modifié le 30 juin 2022 à 23:28
bazfile Messages postés 53546 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024 - 2 juil. 2022 à 17:22
bazfile Messages postés 53546 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 avril 2024 - 2 juil. 2022 à 17:22
A voir également:
- Msil/zapchast.mbat!mtb
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan agent ✓ - Forum Virus
- Trojan b901 ✓ - Forum Virus
- Csrss.exe trojan ✓ - Forum Virus
- [Virus] Trojan ou virus dans csrss.exe et spo - Forum Virus
1 réponse
bazfile
Messages postés
53546
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 avril 2024
18 448
Modifié le 1 juil. 2022 à 00:00
Modifié le 1 juil. 2022 à 00:00
Bonjour,
Ce n'est pas à 22h46 qu'il fallait venir sur le forum, mais vers 16h15 au moment où tu as eu les alertes de Windows Defender, tu as laissé passer trop de temps.
Tu as téléchargé et installé Adobe Illustrator.2022, le fichier qui a créé les alertes de Windows Defender c'est le fichier exécutable que tu as téléchargé, il est dans :
Si tes mots de passes ont été dérobés, vu que le pirate les a en sa possession il n'y a rien à y faire à part essayer de les modifier et récupérer tes comptes,
Vu que tu as passé pas mal d'outils antivirus et fait du ménage avant de faire le rapport FRST il ne reste pas grand-chose, si le fichier Adobe.Illustrator.2022.v26.3.1.1103.exe est encore sur ton pc et si tu souhaites le supprimer ainsi que quelques processus ophelins ou obsolètes fait ce qui suit.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
<gras>3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
Ce n'est pas à 22h46 qu'il fallait venir sur le forum, mais vers 16h15 au moment où tu as eu les alertes de Windows Defender, tu as laissé passer trop de temps.
Tu as téléchargé et installé Adobe Illustrator.2022, le fichier qui a créé les alertes de Windows Defender c'est le fichier exécutable que tu as téléchargé, il est dans :
D:\Adobe.Illustrator.2022.v26.3.1.1103\Adobe.Illustrator.2022.v26.3.1.1103.exe.
Ah oui et je m'en inquiète encore plus ce soir car mon mail et certains de mes comptes ont été piratés, j'ai reçu des mails me confirmant le changement d'adresses mail, des token de securité... Fin la cata quoi :/
Si tes mots de passes ont été dérobés, vu que le pirate les a en sa possession il n'y a rien à y faire à part essayer de les modifier et récupérer tes comptes,
Vu que tu as passé pas mal d'outils antivirus et fait du ménage avant de faire le rapport FRST il ne reste pas grand-chose, si le fichier Adobe.Illustrator.2022.v26.3.1.1103.exe est encore sur ton pc et si tu souhaites le supprimer ainsi que quelques processus ophelins ou obsolètes fait ce qui suit.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKU\S-1-5-21-2334413190-2209640995-2392540887-1001\...\Run: [Adobe Reader Synchronizer] => "C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AdobeCollabSync.exe" (Pas de fichier)
HKU\S-1-5-21-2334413190-2209640995-2392540887-1001\...\RunOnce: [Application Restart #1] => C:\Users\Eloua\AppData\Local\Temp\dotnetbrowser-chromium\96.0.4664.110.2.11.0.508\X64\chromium.exe --browsercore --crash-dump-dir="C:\Users\Eloua\AppData\Roaming\DotNetBrowser\dotnetbrowser.dmp.dir" (l'élément de données a 461 caractères en plus). (Pas de fichier)
HKU\S-1-5-21-2334413190-2209640995-2392540887-1001\...\RunOnce: [Application Restart #2] => C:\Users\Eloua\AppData\Local\Temp\dotnetbrowser-chromium\96.0.4664.110.2.11.0.508\X64\chromium.exe --browsercore --crash-dump-dir="C:\Users\Eloua\AppData\Roaming\DotNetBrowser\dotnetbrowser.dmp.dir" (l'élément de données a 444 caractères en plus). (Pas de fichier)
Task: {295CE435-4920-4922-B460-E7390BDA633C} - System32\Tasks\TR_AntiHijack => C:\Program Files (x86)\Trojan Remover\TRAntiHJ.exe (Pas de fichier)
U4 npcap_wifi; pas de ImagePath
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
D:\Adobe.Illustrator.2022.v26.3.1.1103\Adobe.Illustrator.2022.v26.3.1.1103.exe
CustomCLSID: HKU\S-1-5-21-2334413190-2209640995-2392540887-1001_Classes\CLSID\{75f92b33-bbaa-b4b4-04ac-a7c07959e5a66}\InprocServer32 -> 0x9C2CB88B572AD7018B53B88B572AD701010000000200000000000000 => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2334413190-2209640995-2392540887-1001_Classes\CLSID\{9486aaf1-0930-362a-962d-8e6908739c817}\InprocServer32 -> 0x7C7AF7A32FE8D601C2EE878B572AD701030000001700000000000000 => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2334413190-2209640995-2392540887-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Eloua\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Pas de fichier
FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt => non trouvé(e)
EmptyTemp:
End::
<gras>3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
30 juin 2022 à 22:53
Modifié le 1 juil. 2022 à 08:25
Du coup j'ai exécuté le script que tu m'as envoyé au préalable dans FRST.
Voici le lien cjoint : https://www.cjoint.com/c/LGbaNg1JFEO
J'ai supprimé les fichier adobe illustrator 2022 des lors que j'ai eu l'alerte de windows defender (vers 16h16). Je vais faire les mises à jour de windows et je te redirais ce qu'il en suit.
Dans windows defender, rien à changé, j'ai toujours : Mise à jour incomplète et Etat : abandonné
Et je ne sais pas trop te dire si le problème est encore présent car si je ne dis pas de bétises, defender a crash pendant l'éxécution du virus et du coup ca m'a mis que le virus était toujours présent. Maintenant l'etat a changé comme je le dis au dessus mais je ne sais pas si je suis toujours infecté. Je n'ai rien de bien important sur ce PC mais c'est juste la config de mes logiciels à refaire qui va être embettant a refaire. Si je rencontre d'autres problèmes liés à aujourd'hui, je pense que j'opetrais pour l'option reset. Mais bon j'ai quand meme voulu questionner le forum afin de savoir si il n'y avais pas quelque chose de moins radical.
En tout cas merci d'avoir répondu dans des délais si courts ;)
Modifié le 1 juil. 2022 à 09:29
Le script FRST a permis de gagner 3,5 go d'espace disque sur C, tu passes donc de 1,54 GO à 5.4 GO d'espace libre sur C.
C'est quand tu l'as ouvert que l'infection s'est faite, car tu as du l'ouvrir vu qu'Illustrator est installé sur ton pc.
Je ne comprend pas bien, tu as ça en voulant mettre à jour Windows Defender ?
Probable que la mise à jour ne t'est pas proposée par manque de place sur C, il y a désormais plus de place sur ton disque C, normalement elle devrait t'être proposée pour le vérifier va sur cette page clique sur Mettre à jour maintenant l'outil de Microsoft te dira si cette version est compatible avec ta surface 3.
Fait une nouvelle analyse FRST et donne les liens des rapports.
Modifié le 2 juil. 2022 à 12:32
Il n'y a rien de spécial dans Google Chrome, mais si quelqu'un a tes identifiants Google tu es prévenu car il se connecte à ton compte via une localisation inhabituelle suspecte, https://support.google.com/accounts/answer/140921?hl=fr
Par prudence :
Désinstalle manuellement Chrome et réinstalle-le au propre voir cette page n'oublie pas de réparer le dashboard de Chrome comme expliqué dans le paragraphe Réparer Google Chrome avec la synchronisation active.
Sauvegarde tes marques pages et réinitialise Firefox avec ce logiciel bien lire la page les effets de la réinitialisation y sont indiqués.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
Termine en faisant un scan avec MALWAREBYTE avec un scan.
Il n'y a rien de plus à faire, comme je te l'ai déjà dit plus haut si tes identifiants Google et Instagram ont été dérobés c'est trop tard pour faire quoi que ce soit.
Il ne reste plus qu'à faire les procédures habituelles de signalement auprès de Google et d'Instagram afin de récupérer tes comptes piratés.
https://fr-fr.facebook.com/help/instagram/149494825257596
https://support.google.com/google-ads/answer/9355975?hl=fr
Une fois tes comptes récupérés n'oublie pas d'activer la double authentification cela réduit les risques.
Voilà pour ma part ce sera tout je n'ai rien de plus à te proposer..
2 juil. 2022 à 17:22
Bon courage pour la suite.