Discussion :

[chupacc]

Bonjour,

Suite à un espionnage à distance d'un individu malveillant qui a pris le contrôle de mon pc à l'aide de DarkComet RAT il m'a lancer des virus sur mon ordinateur.
Je tiens à préciser qu'en outils de sécurité j'ai Malwarebytes Anti-Malware version premium et eset smart security premium 11.
Tout à commencez quand j'ai allumer mon ordi.
Malwarebytes Anti-Malware faisait son analyse programmer et la surprise ...

4 Malwares détecté dont 3 TROJAN et 1 Spyware.Keylogger .
Je me suis précipité vers mon antivirus et j'ai exécuté une analyse complète et une clef de registre signalé comme une Backdoor à été détecté.
Pendant toute la journée mon Eset se battait avec un virus nommé Fylnosik ou un truc du genre , il dit qu'il s'est coincé dans la mémoire vive.
Alors ont m'a proposé 2 outils de désinfection : Emsisoft Anti-Malware ou HitmanPro.

J'ai vu que ces deux produit sont payant alors je vous demande si vous pourriez m'aider à choisir le bon.

Cordialement

PS : J'ai un Screenshots pour vous :

[hackoofr]

Tu peux commencer par ce tool gratuit avant :Télécharger Kaspersky Removal Tool pour bien nettoyer votre PC

Tu peux aussi faire un check avec FRST (FARBAR Recovery Scan Tool)

[chupacc]

Bonjour hackoofr,

Merci de m'avoir répondu rapidement.
J'ai fais une analyse comme vous me l'avez conseillez mais rien a été détecté.
Je me suis renseigner plus sur le sujet des 2 outils qu'on m'a proposé alors je vais commencer un essais gratuit de 30 jour sur HitmanPro et je vous donnerai des nouvelles une fois l'analyse terminé .

Encore merci,

Cordialement

[Wizdo]

salut,

Le scanner Emsisoft (sans les boucliers résident) est disponible gratuitement.
Pareil avec HimanPro, qui après la période d'essaie, ne fait que détecter sans supprimer. Quand même bon !


First. Avec ce qu'y a de détections. Important de modifier les mots de passe rapidement.


Réf. Fylnosik - https://www.virusradar.com/en/Win32_...AA/description
Apparemment cela date de 2011. Est-ce une nouvelle variante ?
Une constante se dégage.
Un point de chargement (ou plusieurs) est utilisé au Démarrage (dans WinLogon → userinit).
Le trojan peut s'auto-copier dans plusieurs répertoires.
Et des fichiers de Windows peuvent avoir été modifiés.



Un 2ième scanner d'antivirus comme celui de Kaspersky proposé, est toujours bon !

Pendant toute la journée mon Eset se battait avec un virus nommé Fylnosik ou un truc du genre

Avez vous essayé de virer le fichier vous même ?

Je me suis précipité vers mon antivirus

Aussi vite, sinon plus encore.
Vérifier les points de chargement traditionnels ;
- le démarrage, les services et les Tâches planifiées et les drivers.
Auxquels pourrait s'ajouter ;
- les Logiciels installé (et dans d'autres circonstances, les toolbars).

Un utilisateur avisé sait en tout temps, quels sont les objets/processus qui sont chargés dans ces points de chargement.
Cela doit être vérifié régulièrement et assurément après chaque installation de logiciel.




P.S.

MSconfig [Démarrage] vs le Démarrage dans le Gestionnaire de tâches de Windows 10.
Contrairement au Gestionnaire de tâches de Windows 10, qui n'affiche que la description et l'éditeur sans les fichiers.
MSconfig affiche ; les \Run du registre et les répertoires de Démarrage.

Ainsi que la description, l'éditeur et leurs fichiers .Exe présent.

Donc. Avec Windows10, encore préférable d'utiliser MSconfig [Démarrage].


Les fichiers de Windows au Démarrage.
Si CMD.exe et Explorer.exe peuvent être suivit d'une adresse http//.. de pub.
Wscript.exe peut être suivit d'un fichier .VBS ou .VBE, servant à infecter des supports USB branchés.
Comme avec Rundll32.exe qui sert à lancer un fichier .DLL.

Souvent le message d'erreur ; Rundll32 fichier manquant.
Vient de l'antivirus qui a supprimé un fichier .DLL, parce que s'était une infection.

Bref. Si ces fichiers de Windows, ne servent pas systématiquement à lancer une infection.

L'objet ou le fichier qui les suit, doit être vérifié de près.

Évidemment.
Si un fichier de Windows(svchost.exe etc) vient d'un autre rép, que C:\Windows\System32\.. == infection.

Y a que Explorer.exe qui est dans C:\Windows\.

MSconfig [Services] vs Services.msc.
Parce que dans les services.msc on ne peut classer / différencier les services par éditeurs.
Préférable de commencer avec msconfig [Services]..en cochant ; Masquer les services Microsoft.
Et après.
Si le titre d'un service inconnu/inattendu dans msconfig, ne suffit pas à évaluer sa légitimité.
Là on va dans les services.msc pour vérifier le fichier avec le titre obtenu.
Aussi.
Pour supprimer un service dont le fichier a été supprimé.
Avec CMD ; Sc Delete TitreAbrégéDuService ..valable aussi avec les drivers.


Les Tâches planifiées.
Cliquer sur ; Bibliothèque du Planificateur de Tâches.
Et, si dans la fenêtre centrale, le titre d'une tâche ne suffit pas.
Alors, vérifier le ficher dans l'onglet [Actions].
«« Vérifier aussi (s'il y a) les sous-répertoires, autres que ceux de Microsoft et WPD. »»

[chupacc]

Bonjour Wizdo,

Merci de votre réponse.

J'ai effectué un scan avec emsisoft emergency kit qui est gratuit si emsisoft anti malware et payant et c'est la même game d'analyse alors l'outil n'a rien trouvé.
HitmanPro n'a détecté que des cookies de tracking.
J'ai relancer Malwarebytes Anti-Malware message d'erreur pendant son ouverture , l'anti malware est mort (surement un rogue).
Après avoir fait une analyse avec eset smart security premium 11 il a détecté le Spyware.Keylogger et une backdoor sur le systeme.
Suite à ça plusieurs alerte du pare-feu Eset sont survenu qui provenaient du dossier des documents j'ai inspecté de partout mais j'ai rien trouvé d'anormale.
J'ai vite comme vous l'avez dit changé les mot de passe sur mes comptes.
Après j'ai voulu lancé spybot lancé une analyse et surprise...







Je ne sais plus quoi faire SVP aidez moi.

Cordialement

[Wizdo]

re,

Après avoir fait une analyse avec eset smart security premium 11 il a détecté le Spyware.Keylogger et une backdoor sur le systeme.

Aller dans la section des rapports d'ESET, pour obtenir l'endroit exacte où sont les fichiers détectés et vérifier s'ils ont été supprimés.

Dois m'absenter quelques heures.
D'ici là. hackoofr "qui a initié l'intervention" devrait vous proposez de produire les rapports de FRST.

[hackoofr]

Farbar Recovery Scan Tool (FRST) est un outil de diagnostic intégrant la possibilité d'exécuter des scripts [ un "script" est un petit programme, un ensemble d'instructions à exécuter], que l'on prépare au préalable, sur des PCs infectés par des malveillants. Il fonctionnera aussi bien en Mode normal qu'en Mode sans échec.

Note: Vous devez utiliser la version qui est compatible avec votre système.
Il y a une version 32-bit et une version 64-bit.
Une seule d'entre elles fonctionnera sur le système, ce sera la bonne version.

Cochez aussi Shortcut.txt et Addition.txt et faites une analyse complète avec le bouton Scan.

Une fois le scan terminé, les rapports s’ouvrent sur le bloc-note : FRST.txt, Shortcut.txt et Addition.txt.
Compressez ces 3 fichiers avec winrar ou bien winzip et les envoyer par pièce-jointe.

• 32 bits : Telecharger FRST (32 bits)
• 64 bits : Telecharger FRST (64 bits)

[chupacc]

rebonjour Wizdo,

Eset dit que ça viens du dossier des documents je vais faire un énorme nettoyage je vous dirai si j'ai trouvé quelque chose ce soir.

Cordialement

[Wizdo]

chupacc,

Ça va plus loin que le dossier des Documents.

Poster le rapport d'ESET qui contient toutes les infections.
Faites de même en postant le rapport de Malwarebyte d'où vient l'image postée.

Et surtout. Poster les rapports de FRST que vient de vous placé hackoofr.

• Comment poster les rapports via le site Cjoint.com ⇦ http://Explications Cjointe.jpg

[chupacc]

Rebonjour,

J'ai envoyé par piéce jointe les rapport par FRST.

Voici les Screenshots des rapports d'analyse d' eset smart security premium 11 et Malwarebytes Anti-Malware :














Cordialement

[Wizdo]

re,


hackoofr double vérifiera
Pour ma part y a pas de trace d'infection quelconque.

Sinon , y a un processus d'Avast qui est resté en place dans les taches et d'autres inutilités qui pourraient être désactivés.

Si les points de chargement sont utiles pour désinfecter un ordinateur.
L'entretien d'un ordi. passe aussi par les points de chargement.

[mm_71]

Pour ma part y a pas de trace d'infection quelconque.

Si on regarde addition.txt de la ligne 609 à 641 il semble que si.

[chupacc]

Bonjour Wizdo,

Avast était mon ancien antivirus, je les supprimer car il y avait trop de pubs !
Eset est l'antivirus parfait et sans pubs.
Perso je n'est pas réussi à "décrypter" ce qu'a générer FRST.
Je réinstallé Malwarebytes Anti-Malware et j'ai fait un scan complet.

Résultat : encore des menaces détecté, le spyware.Keylogger et mort mais la Backdoor est toujours la et eset ne la supprime pas.

mm_71 si des menaces on été détecté alors ont-elles été corrigé par FRST ou faut-il les corrigé manuellement ?

Cordialement

[hackoofr]

Remarque : le résultat du scan est exécuté par Elio (24-09-2018 13:48:05) ? Votre date système est à jour ou bien c'est un ancien scan ?

Copier et coller ce code dans votre bloc-notes (Notepad) et enregistrer le sous le nom de fixlist.txt et placer le dans le même dossier que le programme FRST et cliquer une seule fois sur le bouton Corriger et attendre jusqu'à la fin du nettoyage.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Start
CreateRestorePoint:
Closeprocesses:
Emptytemp:
BootExecute: autocheck autochk * sdnclean64.exe
SearchScopes: HKU\S-1-5-21-1985763482-3962812740-3402085629-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-1985763482-3962812740-3402085629-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
CustomCLSID: HKU\S-1-5-21-1985763482-3962812740-3402085629-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-7EF40472DF38}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Pas de fichier
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Pas de fichier
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Pas de fichier
RemoveProxy:
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh int ip reset c:\resetlog.txt
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
CMD: bitsadmin /reset /allusers
End

Si vous avez une erreur « fixlist.txt not found », cela signifie que FRST ne trouve pas le fichier fixlist.txt
Soit vous n’avez pas enregistré le fichier sous le nom fixlist.txt, soit le fichier fixlist.txt ne se trouve pas dans le même dossier que FRST.
Encore une fois, FRST et fixlist.txt doivent se trouver sur le même dossier ensemble.

Si l'outil nécessite un redémarrage, assurez-vous de laisser le système redémarrer normalement. Ensuite, laissez l'outil compléter sa course.
Une fois terminé, FRST générera un journal sur le bureau (Fixlog.txt). Veuillez l'envoyer à votre prochaine réponse.

[chupacc]

Bonjour hackoofr,

Je vous transmet le fichier tout de suite .

Cordialement

[hackoofr]

D'après le fichier fixlog.txt ==> OK
Si tu as encore un signe d'infection poster un screeshot avec l'emplaçement de ce fichier infecté ! ou bien faites un autre scan tout frais avec FRST et poster ensuite ses logs !
Est-ce-que tu as changé tes mots passes dans un autre PC clean ou bien sur le même PC ?

[Wizdo]

mm_71,
Les lignes 609 à 641, correspondent au rapport d'activité de Windows Defender, qui date d'Août.
Soit 45 jours après les rapports des scans postés en ouverture du sujet, qui datent du début d'Octobre.
Bref.
Quand on sait que près de 99% des infections sont activées via les points de chargement ; de Windows et des Logiciels.
Et dans un moindre %, via des rootkits.
Puisque la tâche principale des logiciels comme FRST, est d'afficher tous les points de chargement.
Alors. Y avait aucune infection activée dans les points de chargement.

Ce qui est validé avec le script de hackoofr, qui ne fait que du nettoyage d'objets inutiles.

hackoofr,
Avec l'entrée de registre BootExecute de Spybot, qui était inactive.
Vous auriez du joindre la tâche planifiée d'Avast, qui est active.

De plus.
À moins que chupacc a fait des installations à risques ou autre, depuis le scan de FRST.
Un nouveau scan de FRST avec les mêmes paramètres, n'apporterait pas grand chose de plus.
Aussi.
D'après le lien d'ESET en référence à cette infection.
À cause que cette infection copie une pléthore de fichiers, un peu partout dans l'installation de Windows.
Et qu'il y a possiblement des fichiers de Windows modifiés == rootkit.
Le best.
Serait un nouveau scan de FRST, en sélectionnant ; 90 jours et l'option "MD5 pilotes" !!



chupacc,

Pour ramasser tâche planifiée d'Avast(avec CMD).
• Ouvrez l'invité de commandes (CMD) par un clic-droit → Exécuter en tant qu’Adm..
• Copier / coller (par un clic-droit) la Citation dans CMD et appuyer sur [Entrée].

Taskkill /F /IM Overseer.exe
Schtasks /Delete /tn "Avast Software\Overseer" /f
RD /q /s "C:\Program Files\Common Files\AVAST Software"
RD /q /s "C:\ProgramData\AVAST Software"

Pour la suite.

Pour ce qui est du fichier que ESET ne peut supprimer, etc, etc.

Au lieu de poster des images de rapports d'événements.
Chercher dans ESET.
Pour poster les rapports texte (.txt) résultant de ces scans fait par ESET.

Ces rapports texte sont plus complet !

[mm_71]

mm_71,
Les lignes 609 à 641, correspondent au rapport d'activité de Windows Defender, qui date d'Août.
Soit 45 jours après les rapports des scans postés en ouverture du sujet, qui datent du début d'Octobre.

? Août 2018 c'est avant octobre et à cette époque AWD avait détecté un malware à gravité élevée qui pourrait avoir été la cause de ce qui est arrivé par la suite.
De plus cette ligne:
"L’analyse Antivirus Windows Defender a été arrêtée avant la fin."
Ne me dit rien qui vaille. Mais le plus important est ici:
HackTool:Win32/Kapahyku!rfn
Est un soit-disant keygen réputé pour dispenser allègrement la vérole à ses utilisateurs:

https://www.microsoft.com/en-us/wdsi...2/Kapahyku!rfn

[chupacc]

Bonjour,

Désolé pour mon retard , après avoir réfléchi j'ai vu que ESET n'était pas à la hauteur alors je repasse sur Avast Premium que j'ai acheté comme nouvelle antivirus lui il a détecté un trojan rester en mémoire et un Spyware.Keylogger qui je croyais avait été supprimer.
Ce qui m’inquiète les boucliers d'Avast se désactive toute les heures je dois les réactivés.
Pourtant j'ai fait toute la procédure d'installation et j'ai redémarrer l'ordinateur.
Une autre alerte est survenu l'après midi avec écrit ça : " Other.Malware.Gen " .
Cette alerte provenez d'un fichier se nommant : "?;lù%".
Ceci étant très bizarre le hacker s'amuse avec moi pour désactivé pas que l'antivirus mais aussi le pare feu Windows étant aussi activé.
J'ai eu pas mal de problèmes concernant les privilèges administrateur car le hacker me les a enlevés de force.
Si un nouveau scan FRST est nécessaire je vous transmet les rapports avec les options proposées.
Je n'ai pas trop envie d’exécuté votre code batch suite à une réinstallation d'avast.
C'est la réponse la plus détaillé que je peut donner je vais essyer de faire mon possible pour retrouvé les rapport txt générer par avast pendant l'analyse complète.
Sinon merci de vous tous et pour vos réponse,

Cordialement

[Christophe]

Je te conseilles de réinstaller un système propre.