dossier Razer, TR/Dropper.Gen

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

nayro57
newbie
newbie
Messages : 29
Inscription : 10 févr. 2017 12:07

dossier Razer, TR/Dropper.Gen

Message par nayro57 » 10 févr. 2017 12:29

Bonjour à tous,

Pour la petite histoire je suis un grand parano dès que ça concerne les virus ^^ J'ai eu hier un sms de windows me disant que quelqu'un a peut-être accédé à mon compte mail. J'ai donc changé mon mot de passe et lancé par précaution une analyse avec Avira.

Pour info, ce PC est dédié uniquement au jeux, aucun téléchargement illégal, aucun site "bizarre", adblock pour bloquer les pubs qui pourrait potentiellement contenir des infections, etc.
Tout ce qu'il y a d'installé dessus ce sont des jeux/skype/discord/chrome/etc. Le PC fonctionne tout à fait normalement, pas de ralentissement, de pop up, de pub, crash ou quoi que ce soit (juste un petit truc bizarre hier quand je l'ai éteint il mettait "arrêt en cours" puis revenait sur le bureau et rechargeait tout comme s'il venait de redémarrer, mais ça ne me l'a plus refait ensuite, j'ai essayé de le rallumer/éteindre 3 fois, probablement qu'un petit bug). La machine est à jour, les updates se font automatiquement.
Pour tout le reste j'utilise mon mac (série/boulot/développement/etc.)

Pour en revenir au sujet, l'analyse d'avira (je ne l'ai pas sous la main étant sur ma machine du boulot mais je pourrai le mettre si nécessaire) m'annonce [à priori] rien d'ultra méchant, j'ai essayé de décortiquer le rapport :
- quelques fichier non visibles, après quelques recherches ça semble être des dll permettant le recovery en cas de crash
- quelques dll qu'il n'arrive pas à ouvrir, ça semble être des dll du jeu forza horizon 3
- et la détection principale, un TR\Dropper.Gen dans un dossier qui semble être un dossier de Razer où il stocke les fichier d'install pour faire sa mise à jour (il y en a d'autres et le tout semble légitime). Pour info cette mise à jour traine depuis plusieurs mois, je ne l'ai jamais faite par flemme, donc très certainement ce fichier n'a jamais été lancé.

Voyant le fichier dans un répertoire (de souvenir quelque chose comme ProgramData/Razer/Synapse/productUpdates/Downloads/Razer_synapseFonts_v1.00.01.exe à peu de chose prêt), j'ai pensé à un faux positif, je l'ai donc mis par précaution en quarantaine et l'ai envoyé à avira pour analyse. j'ai eu la réponse suivante :
https://analysis.avira.com/en/status?un ... id=2126758

Et je ne sais pas si je dois être rassuré ou inquiet, ça dit que le fichier semble être endommagé et contiendrait du code malicieux... alors là ma parano se réveille je me demande si c'est pas un autre virus qui a infecté le fichier ou encore qui l'aurait placé là, je vois mal Razer intégrer un virus dans ses drivers (j'ai oublié de le préciser ce sont mes drivers pour ma souris et mon clavier). Et du coup je panique :D

Est-ce que je me fais du soucis pour rien ?

Merci d'avance, bonne journée.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87638
Inscription : 10 sept. 2005 13:57
Contact :

Re: dossier Razer, TR/Dropper.Gen

Message par Malekal_morte » 10 févr. 2017 21:08

Salut,

La détection est bidon, je pense.
Faux positif.


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

nayro57
newbie
newbie
Messages : 29
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 11 févr. 2017 04:47

Salut Malekal,

Tout d'abord merci beaucoup pour ton aide et ta réactivité. Ça semble assez rassurant, mais tu penses tout de même que c'est un faux positif malgré le fait que j'ai envoyé le fichier à Avira et qu'ils m'ont confirmé qu'il contenait du code malicieux ? :/

Je suis parti en week-end chez mes parents et je n'ai du coup plus accès au PC pour le moment, je ferai la manipulation que tu as indiqué dès que j'y aurais de nouveau accès, en espérant que ça ira ^^ de toute façon j'avais mis le fichier en quarantaine au cas où.

Merci encore , à bientôt ^^

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87638
Inscription : 10 sept. 2005 13:57
Contact :

Re: dossier Razer, TR/Dropper.Gen

Message par Malekal_morte » 11 févr. 2017 13:09

Oui je pense que c'est un faux positif.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

nayro57
newbie
newbie
Messages : 29
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 13 févr. 2017 20:27



Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87638
Inscription : 10 sept. 2005 13:57
Contact :

Re: dossier Razer, TR/Dropper.Gen

Message par Malekal_morte » 13 févr. 2017 23:42

Pas infecté.

Il est bien entretenu ce PC, y a pas les programmes inutiles habituels, qu 'on trouve chez la plupart des personnes PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

nayro57
newbie
newbie
Messages : 29
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 14 févr. 2017 12:18

Merci beaucoup c'est rassurant ^^

Du coup, ce fameux trojan détecté ça serait bel et bien un faux positif malgré qu'Avira l'ait analysé, que je l'ai envoyé pour une analyse d'un faux positif et qu'ils m'ont dit qu'il contenait des fragments de code malicieux ?

Que la machine ne soit pas infectée est très rassurant, mais en même temps je n'ai pas lancé ce fameux fichier, la question que je me pose surtout c''est comment ce fichier aurait pu être infecté :/ Dans tous les cas je vais supprimer tout ce qui est dans ProgramData et AppData (qui concerne Razer) + désinstallation des drivers Razer, puis réinstaller une version propre téléchargée sur le serveur par simple précaution, mais ça m'intrigue quand même ^^

Sinon j'ai pu voir qu'il y avait pas mal "d'erreurs applications" notifiées dans un des rapports :
Je vois pas mal de fois revenir l'erreur "le service EFS n'a pas pu provisionner un utilisateur pour PDE" avec moi en User, pour le reste c'est du fichier introuvable, il n'arriverait pas à se connecter à un driver, et une erreur sur le service BITS et ces deux dernières erreurs n'ont pas de User

Et même des erreurs système, les mêmes erreurs semblent revenir chaque jour, notamment une avec comme user autorite nt, sais-tu ce que c'est ? Quand je tape ça sur google il me sort plein de résultats avec un vieux virus, mais j'ai trouvé un résultat qui parle de tâche planifiée.

Rien de grave à signaler, ce sont de simples bugs ?

J'imagine que tu as déjà regardé cette partie et qu'elle ne t'a à priori pas choquée mais si tu pouvais juste m'expliquer ces partie erreurs system si tu sais ce que c'est ça serait super sympa ^^

Merci beaucoup en tous cas :)

nayro57
newbie
newbie
Messages : 29
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 14 févr. 2017 14:15

Rebonjour,

J'ai repensé du coup à l'histoire du sms de microsoft me disant que quelqu'un s'était peut-être connecté à mon compte. Je suis allé voir dans l'historique des connexions à mon compte, aucune connexion sur mon compte directement ne parait suspecte.

Par contre dans la partie synchronisation automatique des mails, il y a des synchronisations réussies depuis la Chine et La Réunion...
- 2 synchronisations réussies depuis La Réunion le 17 janvier avec le protocole Exchange ActiveSync
- Plusieurs synchronisations réussies depuis la Chine le 20 janvier avec le protocole POP3
- Une synchro réussie depuis la Chine le 25 janvier avec le protocole IMAP
- Une synchro réussie depuis la Chine le 27 janvier avec le protocole POP3
- Plus rien jusqu'à une synchro réussie depuis la Chine le 13 février avec le protocole POP3 (ceci s'est donc passé hier, donc après mon changement de mot de passe !!!)
(l'historique ne remonte pas plus loin, sachant que j'ai acheté le jeu forza horizon 3 qui est lié à mon compte windows et que je me suis connecté sur mon compte sur le PC pour la première fois pour y associer le jeu début janvier, mais bon je doute que ça ait un rapport)

C'est très inquiétant :S Mais pour information aucune activité suspecte ne semble se passer sur mon compte, pas de message bizarre sur skype ou de mails bizarres aussi bien dans ma boîte de réception que dans ma boîte d'envoie, ou encore de changement de mot de passe.


Edit:

Petit correctif, la synchronisation depuis la Chine le 13 février a échoué. Reste que c'est bizarre, comment des connexions depuis la Chine ont pu être faites, je veux dire même avant quoi :s j'ai peur que mon téléphone ou mon mac soit vérolé...comment ils ont pu avoir mon mot de passe, et pourquoi ils n'en ont rien fait, ça n'aurait été que pour récupérer des infos peut-être :/ Mon ancien mot de passe avait 14 caractères, comprenant des lettres minuscules, majuscules et de chiffres et était utilisé uniquement pour mon compte microsoft

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87638
Inscription : 10 sept. 2005 13:57
Contact :

Re: dossier Razer, TR/Dropper.Gen

Message par Malekal_morte » 14 févr. 2017 15:54

Les mots de passe, y a 30001 façons de le récupérer.
Oublie Razer.

Surveille les synchronisations, mais ton changement de mot de passe semble avoir corrigé le problème.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

nayro57
newbie
newbie
Messages : 29
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 14 févr. 2017 16:26

Pour Razer ok ^^ mais ça m'intrigue quand même :P

Pour les erreurs système présentes dans le rapport FRST, j'ai cherché un peu, y'en a qui parlent de la mise à jour anniversaire de Microsoft qui a un peu fait n'importe quoi, mais je n'y connais pas grand chose sur le sujet.

Concernant mon compte mail, yep surtout que le mot de passe c'est le même depuis genre 5 ans ^^ Bon bah je vais checker de temps en temps les synchros qu'il y a sur le compte je verrais bien s'il y a à nouveau une synchronisation bizarre, si c'est le cas je te tiendrai au courant. En tout cas il essaye toujours de se synchro avec l'ancien mot de passe.

Merci encore pour ton aide, c'est vriament généreux de ta part d'aider les gens comme ça.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87638
Inscription : 10 sept. 2005 13:57
Contact :

Re: dossier Razer, TR/Dropper.Gen

Message par Malekal_morte » 14 févr. 2017 20:26

Tu as dû avoir la merde le 17 Janvier ou un peu avant...
Du coup, ça fait un bout de temps, donc ça va être difficile de savoir.

C'est quoi ce dossier :
2017-01-18 18:59 - 2015-07-18 02:35 - 00000000 ____D C:\Simulationcraft(x64)
Pas tenté de cracker une appli ou jeu juste avant ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

nayro57
newbie
newbie
Messages : 29
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 14 févr. 2017 22:06

"la merde", tu parles du "truc" qui a fait que mon mot de passe ait été pris ? Tu dis ça par rapport à l'historique des connexion venant de la Chine dont je t'ai parlé ? Parce que en fait je ne suis pas allé plus loin parce que l'historique sur le site s'arrête là, ça se trouve il y avait des connexions encore avant je sais pas :/
J'ai checké aussi au cas où les connexions à mes deux comptes gmail (dont un destiné au boulot), rien à signaler.

SimulationCraft c'est un logiciel permettant de faire des simulations pour un jeu (World of Warcraft), le logiciel est très connu/utilisé et je ne pense pas que ça soit ça le problème du coup.
http://simulationcraft.org/

Concernant le fait de cracker un jeu ou une application, juste avant cette date, non du tout. Toutes les applications que j'ai sur ce PC sont légitimes et téléchargés sur des sites officiels (Blizzard, Steam, etc.) et de manière générale je télécharge très peu sur ce PC. Mon dernier achat le 4 janvier est forza horizon 3, et c'est d'ailleurs ce jeu qui m'a fait me connecter pour la première fois au windows store avec le fameux compte.

La seule chose notable dont je me souviens qui s'est passé en janvier c'est le 16 janvier, la connexion de chez mes parents a été changée, ils sont passés à la fibre (donc changement de box, une Huawei d'ailleurs je savais même pas qu'ils faisaient ça ^^).

Tu as un doute sur le fait que mon PC soit clean du coup ? :s

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87638
Inscription : 10 sept. 2005 13:57
Contact :

Re: dossier Razer, TR/Dropper.Gen

Message par Malekal_morte » 15 févr. 2017 09:24

Non non, juste trouver une explication.
Mais là c'est pas possible \o
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

nayro57
newbie
newbie
Messages : 29
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 15 févr. 2017 10:18

okok ^^ Bon bah tant que le PC est clean ça me va PDT_001 Je pense que l'explication on ne l'aura pas, comme tu l'as dit un mot de passe il y a beaucoup de façons de le récupérer, la seule chose dont j'ai peur c'est que la "chose" qui a permis de voler mon mot de passe soit toujours là, mais bon à priori semblerait que ça ne venait pas du PC

Je vais surveiller l'activité du compte mail, pour le moment il y a une synchronisation venant de la Chine mais qui a échouée avant hier, il a essayé avec l'ancien mot de passe.
Sinon une activité bizarre qu'il y avait déjà avant de temps en temps, une activité venant d'un windows mais avec une ip inconnue et un navigateur/logiciel inconnu. A l'heure de la connexion mon PC était éteint, et mon téléphone et mon mac allumés (d'ailleurs 4 minutes avant cette activité, il y a eu une synchronisation mail de l'un des deux). Bizarre cette activité, mais je doute que ça soit un Chinois, il cachait pas son ip pour synchro les mails x)

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87638
Inscription : 10 sept. 2005 13:57
Contact :

Re: dossier Razer, TR/Dropper.Gen

Message par Malekal_morte » 16 févr. 2017 12:37

oui surveille, ils devraient arrêter de tenter d'y accéder, si ça ne fonctionne plus PDT_016
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Bing [Bot] et 16 invités