cheval de troie vbc.exe impossible à enlever [résolu]

[Parisien_entraide]

En fait il y a 2 approches

Sans perte de données
https://www.malekal.com/comment-reparer ... e-donnees/
Mais bon vu ce qui traine sur ton PC je conseille de repartir sur une base saine

En réinitialisant/Réinstallant
https://www.malekal.com/reinstaller-win ... tuitement/

[angelique]

Est ce qu'une reinitialisation d'usine réglerai le problème ?

Oui c'est toujours l'idéal de tout formater et de réinstaller propre.


Bonjour/Bonsoir

Essaie:



Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[TakharaxX]

J'ai réinstallé proprement Windows 11 et ça refonctionne nickel, il y a un moyen pour savoir si tout est vraiment clean à 100%??

[Parisien_entraide]

Si tu n'as pas installé ou réinstallé de programmes crackés il n'y a pas de raisons d'être infecté

https://www.malekal.com/proteger-pc-virus-pirates/

[TakharaxX]

Okk parfait, merci pour ton aide.

[Faranight63]

Bonsoir à tous, je crois que c'est la période... J'ai également choppé ce Trojan en téléchargeant un crack logiciel pour un pote. Depuis malwarbytes me détecte toutes les minutes un site web Bloqué na.luckpool.net venant d'un vbc.exe.
Si quelqu'un peut m'expliquer la marche à suivre ça m'aiderait beaucoup

[Faranight63]

J'ai suivi le tuto pour faire l'analyse FRST. Voici les liens de ceux-ci :
https://pjjoint.malekal.com/files.php?i ... 5z7r10n9j6
https://pjjoint.malekal.com/files.php?i ... c10m9o12b9
https://pjjoint.malekal.com/files.php?i ... 3f6t8q15e8

[Parisien_entraide]

Bonsoir,

Malekal ou Angélique vont s'en occuper

Mais tu n'est pas obligé de te justifier en racontant n'importe quoi...
L'infection ne se produit que SI on exécute le crack
En plus tu en as d'autres plus anciennes (Backdoor:Win32/Aicat.A!ml)
Sur une config qui doit tourner autour de 3000 euros ( au minima si on tient compte du I9 13 900k il faut une carte graphique à la hauteur) c'est quand meme dommage

[Faranight63]

Bonsoir, merci pour ton aide.

Non tu a raison aucune justification n'est nécessaire, je travaille en équipe en 3D et on a pas fait attention a ce qu'on a téléchargé.

Je pense qu'il faudra que je me remette à jour sur ces malware car je pensais être bien protégé avec Windows Defender mais ça ne fait pas tout...

Bonne soirée et merci.

[Parisien_entraide]

En attendant que l'analyse soit effectuée avec les solutions, un peu de lecture (mais n'applique RIEN pour l'instant)


https://www.malekal.com/proteger-pc-virus-pirates/

et pour savoir ce que font les derniers malware (tu peux passer outre les indications techniques pour te concentrer sur les méthodes, etc et conséquences)

viewtopic.php?t=71178

Au final tu noteras que l'antivirus dans le cadre d'une utilisation "normale" peut faire son boulot sans problèmes
Par contre, un antivirus quelqu''il soit ne pourra rien "globalement" contre les nouveaux malwares
Du reste la sécurité ne repose pas que sur l'antivirus...
Parfois c'est signalé mais pas bloqué, parfois bloqué mais "en face" ils ont toujours une longueur d'avance et l'utilisateur d'un crack sera toujours perdant

[Faranight63]

Ok c'est intéressant.
Effectivement je partais bêtement du principe que, si l'antivirus ne dit rien, c'est qu'il n'y a pas de soucis.

[Malekal_morte]

Tu as infecté ton PC en téléchargeant des cracks

Date: 2023-05-10 21:02:48
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : HackTool:Win32/Crack
ID : 2147734096
Gravité : Élevée
Catégorie : Outil
Chemin : containerfile:_D:\Adobe Master Collection 2023\Adobe Master Collection 2023.iso; file:_D:\Adobe Master Collection 2023\Adobe Master Collection 2023.iso->products\APRO\crack.exe
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Utilisateur
Utilisateur : PC-ANTHO\William
Nom du processus : Unknown
Version de la veille de sécurité : AV: 1.389.793.0, AS: 1.389.793.0, NIS: 1.389.793.0
Version du moteur : AM: 1.1.20300.3, NIS: 1.1.20300.3


Date: 2023-03-21 17:58:19
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Backdoor:Win32/Aicat.A!ml
ID : 2147771503
Gravité : Grave
Catégorie : Porte dérobée
Chemin : file:_F:\Steam\steamapps\common\BeamNG.drive\content\vehicles\wendover.zip
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : PC-ANTHO\William
Nom du processus : F:\Steam\steamapps\common\BeamNG.drive\Bin64\BeamNG.drive.x64.exe
Version de la veille de sécurité : AV: 1.385.672.0, AS: 1.385.672.0, NIS: 1.385.672.0
Version du moteur : AM: 1.1.20100.6, NIS: 1.1.20100.6

A noter qu'il s'agit du meême malware que dans ce sujet : viewtopic.php?f=3&t=72646
Si tu peux indiquer où tu l'as chopé, je suis preneur.

~~


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1545210351-2483240849-1045179591-1001\...\Run: [WPYVQ] => C:\ProgramData\filex32\WPYVQ.exe [1328745739 2023-05-10] (Asseco Data Systems S.A. -> NexGen Innovations) [Fichier non signé]
HKU\S-1-5-21-1545210351-2483240849-1045179591-1001\...\Run: [SemenExe] => C:\Users\William\AppData\Roaming\Microsoft\Compot.exe********* [1315006098 2023-05-08] () [Fichier non signé]
2023-05-10 20:02 - 2023-05-10 22:04 - 000003518 _____ C:\WINDOWS\system32\Tasks\WPYVQ
2023-05-10 20:02 - 2023-05-10 20:12 - 000000000 __SHD C:\ProgramData\filex32
2023-05-10 20:02 - 2023-05-10 20:02 - 000000000 ____D C:\Users\William\AppData\Local\Yandex
2023-05-10 20:02 - 2023-05-08 14:24 - 1315006098 _____ (InnovateTech) C:\Users\William\AppData\Roaming\Microsoft\Compot.exe
2023-05-10 20:01 - 2023-05-10 20:09 - 000000000 ____D C:\Users\William\AppData\Roaming\newplugin
2022-11-21 12:49 - 2022-11-21 12:49 - 000000003 _____ () C:\Users\William\AppData\Local\updater.log
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[Faranight63]

Salut Malekal, tout d'abord, merci beaucoup pour ton aide.

Effectivement j'ai téléchargés des cracks de la suite Adobe et certains plugins pour Blender, avec une confiance aveugle en mon antivirus comme je le disais plus haut.
Celui-ci vient d'un site "downloadpirate.com" où j'avais l'habitude de chopper mes plugins 3D dessus. C'est un site "réputé" safe pour ces plugins justement, mais bon vu le nom on ne peut qu'en douter...

J'ai bien lancé le fix sur FRST.
A première vu plus d'alertes MalwareBytes et pas de fenêtre CMD qui s'ouvre.

Je te joins le fixlog ainsi que les résultats du nouveau scan :

https://pjjoint.malekal.com/files.php?i ... 1m14t10z13
https://pjjoint.malekal.com/files.php?i ... m5s10n13v8
https://pjjoint.malekal.com/files.php?i ... 2l14d10n14
https://pjjoint.malekal.com/files.php?i ... m11k8b5j10

Encore merci