DOC/TrojanDownloader.Agent.DSD : Analyse logs FRST

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

yoz
Messages : 270
Inscription : 20 juil. 2010 16:47

DOC/TrojanDownloader.Agent.DSD : Analyse logs FRST

par yoz »

Salut,

J'ai un utilisateur qui a cliqué sur un lien obsusqué dans un mail qu'il pensait légitime.

Voici les 2 alertes d'Eset sur la machine :

Site web filtré :
http://mail.coronaplastering.com/assets/Fu3Nykfksg5GvJnli26?name=***********
Bloqué;Liste noire interne;C:\Program Files (x86)\Mozilla Firefox\firefox.exe;67.205.150.107;7FC11558C992CC8110E0391F1BBE7171C82E2DC6

Filtre IMAP;e-mail;de : <[email protected]> à : **************
DOC/TrojanDownloader.Agent.DSD cheval de troie;contenait des fichiers infectés
Un événement s'est produit lors de la réception d'un e-mail par l'application : C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe (2C38393B86B0A14483DBCA02A09634F4E8A886AF).;64FF904964FFF675A2C125BEA70089024595499E;

A priori Eset a fait le job, mais pour être serein, ci-joint les logs FRST qui viennent de cette machine :

FRST : https://www.swisstransfer.com/d/3a5602d ... 4a660a702b
Addition : https://www.swisstransfer.com/d/c3fd4f0 ... 3a4571237b
Shortcut : https://www.swisstransfer.com/d/25e231d ... dd10e48cc3

Merci d'avance pour votre aide.

@+
Malekal_morte
Messages : 111434
Inscription : 10 sept. 2005 13:57

Re: DOC/TrojanDownloader.Agent.DSD : Analyse logs FRST

par Malekal_morte »

Salut,

Oui les rapports sont corrects
C'est une détection antivirus à l'ouverture d'un mail.
Tant que tu n'ouvres pas la pièce et si c'est un document Word/Excel et Office, tu n'exécutes pas la Macro, tout va bien.

A lire : https://www.malekal.com/virus-office-word-excel/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
yoz
Messages : 270
Inscription : 20 juil. 2010 16:47

Re: DOC/TrojanDownloader.Agent.DSD : Analyse logs FRST

par yoz »

Merci pour ta réponse.

Oui la PJ interceptée par le filtre IMAP est soit un DOC soit un XLS, avec macro. Mais en principe Syshardener et/ou Osarmor est paramétré pour bloquer les macros Office.

Moi c'est plus le lien qui m'inquiète. L'url était obfusquée, et après analyse sur virustotal ca pointait vers du Emotet.....

J'en reçois plein depuis 3 jours, encore un ce matin : avec obfuscation d'identité, de lien, et corps de message et signature conforme à un expéditeur de confiance...... Après vérif sur virustotal, le site est en liste noire chez 4 AV, mais pas chez Eset :

https://www.virustotal.com/gui/url/3522 ... e7/details

Comment signaler une URL malicieuse ? Je n'ai pas trouvé sur Eset en tout cas....

ps : dernière question : un intérêt d'utiliser Osarmor ? (les dernières versions sont devenues payantes).

Merci, @+
Malekal_morte
Messages : 111434
Inscription : 10 sept. 2005 13:57

Re: DOC/TrojanDownloader.Agent.DSD : Analyse logs FRST

par Malekal_morte »

L'URL est détecté dans Firefox
Le mail dans Thunderbird.
L'alerte antivirus sur Firefox s'est déclenchée à la lecture du mail ou pas du tout ?
Faudrait plus d'explications sur ce qui s'est passé.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
yoz
Messages : 270
Inscription : 20 juil. 2010 16:47

Re: DOC/TrojanDownloader.Agent.DSD : Analyse logs FRST

par yoz »

En fait il a reçu 2 mails à la suite.

Le 1er avec juste le lien vérolé -> bloqué dans firefox par le filtre de Eset (liste noire), donc fin de connexion.

Le 2ème avec 2 PJ (DOC et XLS) -> bloquées dans thunderbird par le filtre IMAP de Eset
Malekal_morte
Messages : 111434
Inscription : 10 sept. 2005 13:57

Re: DOC/TrojanDownloader.Agent.DSD : Analyse logs FRST

par Malekal_morte »

Ha donc ça ne craint rien.
En général les liens conduisent vers un téléchargement (script VBS, JS ou fichier Office malveillant).
Tant qu'il n'a pas ouvert ces fichiers, c'est bon.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »