Virus powershell et Trojan.Gen.MBT

[alber]

Bonjour,

Je me suis rendu compte, il y a quelques semaines, que mon antivirus norton bloqué Trojan.Gen.MBT tous les jours le même le même virus (voir pdf).

Suite à cela j'ai effectué divers analyses avec divers outils que j'utilise et certains nouveaux que j'ai trouvé sur le site malekal.

Sur tous les outils seulement deux ont trouvé des virus :
- Malwarebytes Anti-Malware (MBAM) voir pdf,
- RogueKiller voir rapport 1 et pdf.

Grace au rapport, j'ai pu trouvé les virus dans le fichier link.zip, il y avait le fichier core.ps1, core.bin et svhost.exe et l'extraction se faisait automatiquement dans mon dossier windows. J'ai donc décidé de les supprimer en direct pour éviter qu'il revient. De plus, je me suis rendu compte qu'un fichier utilisé powershell. J'ai donc décidé d'installer un outil que vous conseillez sur votre site, OSArmor pour pouvoir bloquer plusieurs chose facilement.

Ensuite hier et avant hier je me suis rendu compte que tous les jours aux mêmes heures OSArmor bloquait un commande powershell qui voulez activer le fichier core.ps1 qui avait changé d'endroit (voir pdf). Hier je suis donc aller le supprimer en direct grâce au chemin qu'il y avait dans la commande et j'ai retrouvé dans ce fichier également le fichier core.bin que j'ai également supprimé.

Et je me suis rappelé qu'il faudrait que j'aille voir si mon pare feu norton bloquait bien l'application powershell ce n'était pas le cas donc je l'ai bloqué.

Je viens de faire des nouvelles analyses ce matin, malwarebytes n'a rien trouvé et roguekiller a trouvé encore un virus en lien avec la commande powershell (voir rapport 2) et hier OSArmor a également bloqué encore la commande même si le fichier n'existe plus la commande persiste apparemment.

De plus, j'ai vu que vous demandez régulièrement une analyse FRST, voici les liens vers les fichiers :
- FRST : https://pjjoint.malekal.com/files.php?i ... f8k8h7n106
- Shortcut : https://pjjoint.malekal.com/files.php?i ... 11u5v14f12
- Addition : https://pjjoint.malekal.com/files.php?i ... b5v6c14e14

Malgré tout ce que j'ai pu faire je penses que le virus est toujours présent, Pouvez-vous m'aider ?

Car comme prochaine étape à part réinitialiser mon ordinateur, je ne vois pas d'autres solutions.

Bonne journée

[Malekal_morte]

Bonjour,

Sur tes rapports FRST, on ne voit rien qui peut déclencher le Trojan PowerShell ou Trojan.Gen.MBT
Donc difficile de nettoyer.
Par contre, tu as des dossiers malveillants à priori.

Essaye ça déjà, voir si cela aide.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2021-04-15 15:48 - 2021-04-15 15:48 - 000000000 ____H () C:\Users\gatie\AppData\Local\L8457789190
2022-03-01 18:34 - 2022-03-01 18:34 - 000000016 _____ C:\ProgramData\rtmeslt
2022-03-01 18:34 - 2022-03-01 18:34 - 000000012 _____ C:\ProgramData\tdcwanbf.gos
2022-03-01 18:34 - 2022-03-01 18:34 - 000000012 _____ C:\ProgramData\jjpoqeig.pvf
2022-03-01 18:34 - 2022-03-01 18:34 - 000000008 _____ C:\ProgramData\okekxhuw.kxh
2022-03-01 18:34 - 2022-03-01 18:34 - 000000008 _____ C:\ProgramData\ewmjdrdx.ejw
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[alber]

Merci pour ce retour rapide et pour ta disponibilité.

Mon ordinateur a bien redémarré.

Voici le contenu du fichier fixlog.txt :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 27-02-2022
Exécuté par gatie (08-03-2022 11:34:29) Run:1
Exécuté depuis C:\Users\gatie\Desktop
Profils chargés: gatie
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
2021-04-15 15:48 - 2021-04-15 15:48 - 000000000 ____H () C:\Users\gatie\AppData\Local\L8457789190
2022-03-01 18:34 - 2022-03-01 18:34 - 000000016 _____ C:\ProgramData\rtmeslt
2022-03-01 18:34 - 2022-03-01 18:34 - 000000012 _____ C:\ProgramData\tdcwanbf.gos
2022-03-01 18:34 - 2022-03-01 18:34 - 000000012 _____ C:\ProgramData\jjpoqeig.pvf
2022-03-01 18:34 - 2022-03-01 18:34 - 000000008 _____ C:\ProgramData\okekxhuw.kxh
2022-03-01 18:34 - 2022-03-01 18:34 - 000000008 _____ C:\ProgramData\ewmjdrdx.ejw
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
C:\Users\gatie\AppData\Local\L8457789190 => déplacé(es) avec succès
C:\ProgramData\rtmeslt => déplacé(es) avec succès
C:\ProgramData\tdcwanbf.gos => déplacé(es) avec succès
C:\ProgramData\jjpoqeig.pvf => déplacé(es) avec succès
C:\ProgramData\okekxhuw.kxh => déplacé(es) avec succès
C:\ProgramData\ewmjdrdx.ejw => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3053159335-412786351-59876697-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3053159335-412786351-59876697-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 39043386 B
Java, Flash, Steam htmlcache => 519999358 B
Windows/system/drivers => 1719522 B
Edge => 0 B
Chrome => 1441313 B
Firefox => 138922228 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 6656 B
ProgramData => 6656 B
Public => 6656 B
systemprofile => 6656 B
systemprofile32 => 6656 B
LocalService => 40378 B
NetworkService => 47034 B
gatie => 99946192 B

RecycleBin => 0 B
EmptyTemp: => 764.1 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 11:35:04 ====

[Malekal_morte]

OK regarde si les alertes Norton continuent...
Si oui ça va se compliquer \o/

[alber]

ok merci beaucoup pour ce que tu as fais,

je reviens vers toi, si norton trouve des virus.

Bonne journée

[Malekal_morte]

Pas de soucis, tiens nous au courant =)

[alber]

Bonjour,

Retour 2 semaines après avoir effectué les nettoyages.

Durant ces deux semaines, j'ai fais des analyses régulières avec Malwarebytes Anti-Malware (MBAM), norton et RogueKiller, ainsi que trois analyses approfondies sur les 3 dossiers touchés (windows, appdata, programdata) avec les 3 outils.

Norton et roguekiller n'ont rien trouvé.

Et malwarebytes a trouvé quelque chose mais qui n'a rien à voir je penses. (voir pièce jointe)

Encore merci,

Bonne journée,

[Malekal_morte]

C'est un faux positif d'une détection heuristique dans un fichier temporaire créé par une application ou même par Windows lui même.
Rien à craindre.