Trojan:Win32/AgentTesla!ml
Résolu/Fermé
bazfile Messages postés 53724 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 - 25 mars 2023 à 12:39
- Trojan:win32/agenttesla!ml
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan b901 ✓ - Forum Virus
- Csrss.exe trojan ✓ - Forum Virus
- [Virus] Trojan ou virus dans csrss.exe et spo - Forum Virus
- Trojan wacatac ✓ - Forum Virus
5 réponses
24 mars 2023 à 21:40
Salut,
Tu peux analyser et supprimer des programmes nuisibles et virus avec RegRun Reanimator
https://greatis.com/security/reanimator.html
> Fix Problems
> Fix Malware Issues
Il faut regarder dans les onglets en haut pour les types d'items vus.
Attention, il est important de bien trier, par recherches et déductions et/ou analyses VirusTotal* pour ne supprimer que des virus ou inutiles, parce qu'il détecte tout et n'importe quoi, bon ou pas, important ou pas, ce n'est pas un "antivirus", mais plutôt un outil d'analyse qui permet de voir des détails techniques sur des éléments possiblement actifs, des fois bons, des fois mauvais.
Il montre des détails comme les noms et la localisation des fichiers, ce qui sert des indices souvent concrets.
Que ce soit marqué en rouge, jaune, bleu ou vert, c'est l'utilisateur/utilisatrice qui doit juger de la pertinence de ce qu'il détecte.
Cocher les items à supprimer et non les autres et cliquer sur le bouton rouge, dans toutes les sections ou il y a à supprimer, puis aller à Finish! et cliquer le bouton pour redémarrer Windows.
Si il ne détecte pas assez tu peux utiliser le bouton Filter Set ou le Inspection Mode pour tout voir.
Ou On-Line Multi-Antivirus Scan
Ou en fermant la première fenêtre de Reanimator par le X en haut à droite, et l'onglet Reanimator > Anti Spyware Full Check...
--------------------------------------------------------------------------------------------------------------------------------------------------------------
Le programme VirusTotal Uploader *Download the App here*
https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps
Pour (Un fichier) > Clic droit > Envoyer vers > Virustotal
(Afficher les fichiers cachés si il faut dans Affichage > Options > Affichage)
Pour avoir les résultats d'analyses du fichier par une soixantaine d'antivirus, en plus de l'onglet Détails pour voir si le fichier est signé et vérifié ou pas etc.
On peut utiliser l'option Reupload pour obtenir une nouvelle analyse du fichier en cas de fichier récent peu analysé.
24 mars 2023 à 22:17
Si tu ne vois pas le fichier (Qui est sur le bureau) dans la détection, en fermant la première fenêtre de Reanimator par le X en haut à droite, et l'onglet Reanimator > Kill a File...
24 mars 2023 à 22:31
Bonsoir,
Je vais essaye, et je vous dis ça
merci
24 mars 2023 à 22:29
Bonjour.
Le fichier qui est détecté est sur ton bureau, c'est le fichier 67h668mg.exe.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Clique sur Analyser
Attention, attendre que les messages disant que l'analyse est terminée s'affichent.
À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.
Ensuite envoie les rapports FRST et ADDITION sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.
24 mars 2023 à 23:07
Bonsoir bazfile,
Voici le rapports de Frst et Addition.
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20230324_o9i9h6v612
ADDITION : https://pjjoint.malekal.com/files.php?id=20230324_s5c15t6v8b11
Je le trouve pas ce fichier avec ce Nom sur mon bureau,
Merci
Modifié le 25 mars 2023 à 00:02
Il n'y a pas de processus infectieux sur ton pc, le fichier trouvé par Windows Defender n'est plus que le bureau et pour cause il a été mis en quarantaine, ce n'est pas le seul fichier mis en quarantaine par Windows Defender voici des extraits du rapport :
Nom du processus : C:\Users\Sonia\Desktop\67h668mg.exe
Action : Quarantaine
État de l’action : Pour terminer la suppression des programmes malveillants et des autres logiciels potentiellement indésirables, redémarrez l’appareil.
Nom du processus : C:\Users\Sonia\AppData\Local\Temp\A287FF10-D74A0658-C16C51A0-160EE4A0\LA15AQ4PjpQE.exe
Action : Quarantaine
État de l’action : Pour terminer la suppression des programmes malveillants et des autres logiciels potentiellement indésirables, redémarrez l’appareil.
Il y a pas mal de processus orphelins sur ton pc pour les supprimer fait ce qui suit.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
Task: {7F8B8A18-4CB7-4AD8-9CFE-378747267363} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe /launch (Pas de fichier)
Task: {8A97E0AF-5054-4FEB-9D7E-62CDA249B33C} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe /OCURDiscovery $(Arg0) (Pas de fichier)
Task: {A0C176E2-8643-473F-9C4E-68303F9DF050} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe -pscn 0 (Pas de fichier)
Task: {A7DEC6F3-B999-420B-AD31-96803699CE66} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe /PBDADiscovery (Pas de fichier)
Task: {B2879027-EF1F-49F3-BC0D-227FD4099C02} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe /DoRecoveryTasks $(Arg0) (Pas de fichier)
Task: {C8514121-FEDF-4E45-B12E-672AE5BDC449} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe /DoUpdateRecordPath $(Arg0) (Pas de fichier)
Task: {D875A7A6-93CC-49E8-90AD-DD00DA2DEBB9} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe /RestartRecording (Pas de fichier)
Task: {EB19DA3F-6F50-4664-A9FD-3EA49427194D} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe /DoConfigureInternetTimeService (Pas de fichier)
Task: {F17B5264-2AB8-4382-8888-75EA58D1A940} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe /InstallPlayReady $(Arg0) (Pas de fichier)
Task: {FFB509B5-D4EC-42D7-8E49-52E37B3F0AB4} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe /DoActivateWindowsSearch (Pas de fichier)
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=2.1.42 -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll [Pas de fichier]
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll [Pas de fichier]
FF Plugin-x32: @update.avastbrowser.com/Avast Browser;version=3 -> C:\Program Files (x86)\AVAST Software\Browser\Update\1.8.1189.1\npAvastBrowserUpdate3.dll [Pas de fichier]
FF Plugin-x32: @update.avastbrowser.com/Avast Browser;version=9 -> C:\Program Files (x86)\AVAST Software\Browser\Update\1.8.1189.1\npAvastBrowserUpdate3.dll [Pas de fichier]
S3 AarSvc; pas de ImagePath
S3 BraveElevationService; "C:\Program Files\BraveSoftware\Brave-Browser\Application\111.1.49.128\elevation_service.exe" [X]
U3 idsvc; pas de ImagePath
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
C:\Users\Sonia\Desktop\67h668mg.exe
C:\Users\Sonia\AppData\Local\Temp\A287FF10-D74A0658-C16C51A0-160EE4A0\LA15AQ4PjpQE.exe
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Pas de fichier
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Pas de fichier
ContextMenuHandlers1: [7-Zip] -> [CC]{23170F69-40C1-278A-1000-000100020000} => -> Pas de fichier
ContextMenuHandlers3: [MBAMShlExt] -> [CC]{57CE581A-0CB6-4266-9CA0-19364C90A0B3} => -> Pas de fichier
ContextMenuHandlers4: [7-Zip] -> [CC]{23170F69-40C1-278A-1000-000100020000} => -> Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
ContextMenuHandlers6: [7-Zip] -> [CC]{23170F69-40C1-278A-1000-000100020000} => -> Pas de fichier
ContextMenuHandlers6: [MBAMShlExt] -> [CC]{57CE581A-0CB6-4266-9CA0-19364C90A0B3} => -> Pas de fichier
HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (Pas de fichier)
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.
25 mars 2023 à 01:20
Re, bonsoir
Voici le rapport fixlog : https://pjjoint.malekal.com/files.php?id=20230325_w5m9l10h10h10
Merci a vous
Modifié le 25 mars 2023 à 10:03
Le fixlog est OK le fichier trouvé par Windows Defender n'était plus présent sur ton pc il avait bien été mis en quarantaine par Windows Defender.
25 mars 2023 à 12:02
Bonjour,
Et c'est normal que c'est comme ça quand je lance Windows Defender?
Photo!
https://img-19.ccm2.net/kOT1GxW8UCL--MGCEkQbupJxJiM=/5793637db4fb4ee7ab0378c8a43b7094/ccm-ugc/1.JPG
https://img-19.ccm2.net/JFaIEPx0lvP8R8dgtP6_F0mGJB0=/444bd7bccd3c4183a757961d9ed736ed/ccm-ugc/2.JPG
Merci
25 mars 2023 à 12:39
Bonne journée également.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Modifié le 24 mars 2023 à 23:59
C'est un fichier caché alors.
Tu peux afficher les fichiers cachés dans les options de l'explorateur Windows
Affichage > Options > Affichage
Note: Il est peut être marqué comme protégé aussi, donc pour le voir affiches les fichiers protégés aussi, juste pour le temps de le supprimer.
Tu verras aussi des fichiers Desktop.ini sur le bureau, laisses les, c'est normal.
...
Ou pour le rendre Non Caché Non System lances cette commande en recherchant CMD.exe et en exécutant CMD.exe en tant qu'administrateur
attrib -s -h %UserProfile%\Desktop\67h668mg.exe
