Trojan:MSIL/RedLineStealer.EM!MTB [résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

nsk
Messages : 4
Inscription : 13 avr. 2023 19:16

Trojan:MSIL/RedLineStealer.EM!MTB [résolu]

par nsk »

Bonjour,

Hier j'ai installer un fichier sans savoir j'ai été infecté par des virus trojan j'ai essayer de nombreuses fois de les supprimer avec plusieurs antivirus mais ils persiste
Voici les liens ppjoint

(frst.txt)
https://pjjoint.malekal.com/files.php?r ... m10b68s5u9

(addition.txt)
https://pjjoint.malekal.com/files.php?r ... v813d13d12

Merci de votre aide
Avatar de l’utilisateur
Parisien_entraide
Messages : 19531
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Trojan:MSIL/RedLineStealer.EM!MTB

par Parisien_entraide »

Bonjour

J'ai renommé le titre de ton sujet qui est maintenant plus explicite

Tu as passé au moins une dizaines d'anti virus et programmes divers mais Malekal te dira ce qu'il en est

En attendant si tu veux savoir sur quoi tu es tombé (RedLine):

https://www.malekal.com/trojan-stealer/
Et
viewtopic.php?t=71178
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 117019
Inscription : 10 sept. 2005 13:57

Re: Trojan:MSIL/RedLineStealer.EM!MTB

par Malekal_morte »

Salut,

J'ai l'impression que tu as téléchargé un crack qui en réalité est le dropper du malware.
Tu as choppé un ransomware / rançongiciel chiffreur de fichiers qui a renommé les fichiers avec l'extension .boty
Et une myriade de Trojan dont Trojan:MSIL/RedLineStealer - du coup, tout tes mots de passe ont été récupérés.
2023-04-06 22:07 - 2023-04-13 00:32 - 000000423 ____H C:\Users\Anis\Documents\.~lock.bts ci.odt#.boty
2023-04-05 23:44 - 2023-04-13 00:32 - 000025801 _____ C:\Users\Anis\Documents\lea.odt.boty
2023-04-05 21:51 - 2023-04-13 00:32 - 000026729 _____ C:\Users\Anis\Documents\bts ci.odt.boty

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2023-04-13 02:56 - 2023-04-13 13:02 - 000000000 ____D C:\Users\Anis\AppData\Local\Avast Software
2023-04-13 01:46 - 2023-04-13 19:51 - 000000000 ____D C:\WINDOWS\Microsoft Antimalware
2023-04-13 01:46 - 2023-04-13 01:46 - 000000000 ____D C:\Users\Anis\AppData\Roaming\Avast Software
2023-04-13 01:20 - 2023-04-13 01:37 - 000000000 ____D C:\KVRT2020_Data
2023-04-13 01:00 - 2023-04-13 01:26 - 000000000 ____D C:\Users\Anis\AppData\Local\4fec88bf-8def-41b9-b07a-3089edb0c50f
2023-04-13 00:40 - 2023-04-13 17:57 - 000000000 ____D C:\Program Files\Common Files\Avast Software
2023-04-13 00:39 - 2023-04-13 00:40 - 000000000 ____D C:\Program Files\Avast Software
2023-04-13 00:36 - 2023-04-13 17:31 - 000000000 ____D C:\ProgramData\Avast Software
2023-04-13 00:33 - 2023-04-13 01:36 - 000000000 ____D C:\Users\Anis\AppData\Roaming\NTSystem
2023-04-13 00:32 - 2023-04-13 00:32 - 000001114 _____ C:\Users\Anis\_readme.txt
2023-04-13 00:31 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Local\a90c2bad-9fa0-458f-bffe-3470513d0bab
2023-04-13 00:31 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Local\44434a4d-25ba-4349-867d-380f72add202
2023-04-13 00:30 - 2023-04-13 13:36 - 000000000 ____D C:\WINDOWS\SysWOW64\azfinhdw
2023-04-13 00:30 - 2023-04-13 02:34 - 000000000 ____D C:\Users\Anis\AppData\Roaming\{347932e9-b695-11ed-bb70-806e6f6e6963}
2023-04-13 00:30 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Roaming\ubtf8k
2023-04-13 00:30 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Roaming\TeQEfU0q
2023-04-13 00:30 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Roaming\telemetry
2023-04-13 00:30 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Roaming\2531822937DC1C0C
2023-04-13 00:30 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Local\e0da0fa5-e3f6-4f3d-8614-e8889739f4b5
2023-04-13 00:30 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Local\bc2e9868-e79b-4851-8f43-a805ac16dbf7
2023-04-13 00:30 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Local\4530d73d-d8ad-41d3-a21b-1b0b582ab778
2023-04-13 00:30 - 2023-04-13 01:57 - 000000000 ____D C:\Users\Anis\AppData\Local\9ce1e8b9-f9ed-425c-9744-7e4c5a94f0e5
2023-04-13 00:30 - 2023-04-13 01:26 - 000000000 ____D C:\WINDOWS\system32\Tasks\NvStray
2023-04-13 00:30 - 2023-04-13 01:26 - 000000000 ____D C:\Users\Anis\AppData\Local\299de78c-7e20-4745-aea5-0426dcab3a7b
2023-04-13 00:30 - 2023-04-13 00:32 - 005862734 _____ C:\Users\Anis\Documents\ibOG5I3xIalH1i_zPRSvXsr6.exe.boty
2023-04-13 00:30 - 2023-04-13 00:30 - 000000000 ____D C:\Users\Anis\AppData\Roaming\NCH Software
2023-04-13 00:30 - 2023-04-13 00:30 - 000000000 ____D C:\Users\Anis\AppData\Roaming\cJtD9tO
2023-04-13 00:30 - 2023-04-13 00:30 - 000000000 ____D C:\Users\Anis\AppData\Local\Yandex
2023-04-12 16:30 - 2023-04-12 16:30 - 000000000 ____D C:\WINDOWS\system32\Drivers\mde
2023-04-12 15:58 - 2023-04-12 15:58 - 000000000 ___HD C:\$WinREAgent
2023-04-13 14:35 - 2023-04-13 14:35 - 000000000 ____D C:\ProgramData\Emsisoft
EmptyTemp:
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises : 3) Et sinon - MBAM + Kaspersky, c'est lourd.
Tu peux désinstaller, tout cela, pas vraiment utile :
HitmanPro
Configuration DivX
Mullvad VPN
ProtonVPN
4) Refais un scan FRST et donne les nouveaux rapports via pjjoint
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
nsk
Messages : 4
Inscription : 13 avr. 2023 19:16

Re: Trojan:MSIL/RedLineStealer.EM!MTB

par nsk »

Re,
Voici le fixlog

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 14-04-2023
Exécuté par Anis (14-04-2023 14:22:25) Run:1
Exécuté depuis C:\Users\Anis\Desktop\FRST-OlderVersion
Profils chargés: Anis
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
2023-04-13 02:56 - 2023-04-13 13:02 - 000000000 ____D C:\Users\Anis\AppData\Local\Avast Software
2023-04-13 01:46 - 2023-04-13 19:51 - 000000000 ____D C:\WINDOWS\Microsoft Antimalware
2023-04-13 01:46 - 2023-04-13 01:46 - 000000000 ____D C:\Users\Anis\AppData\Roaming\Avast Software
2023-04-13 01:20 - 2023-04-13 01:37 - 000000000 ____D C:\KVRT2020_Data
2023-04-13 01:00 - 2023-04-13 01:26 - 000000000 ____D C:\Users\Anis\AppData\Local\4fec88bf-8def-41b9-b07a-3089edb0c50f
2023-04-13 00:40 - 2023-04-13 17:57 - 000000000 ____D C:\Program Files\Common Files\Avast Software
2023-04-13 00:39 - 2023-04-13 00:40 - 000000000 ____D C:\Program Files\Avast Software
2023-04-13 00:36 - 2023-04-13 17:31 - 000000000 ____D C:\ProgramData\Avast Software
2023-04-13 00:33 - 2023-04-13 01:36 - 000000000 ____D C:\Users\Anis\AppData\Roaming\NTSystem
2023-04-13 00:32 - 2023-04-13 00:32 - 000001114 _____ C:\Users\Anis\_readme.txt
2023-04-13 00:31 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Local\a90c2bad-9fa0-458f-bffe-3470513d0bab
2023-04-13 00:31 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Local\44434a4d-25ba-4349-867d-380f72add202
2023-04-13 00:30 - 2023-04-13 13:36 - 000000000 ____D C:\WINDOWS\SysWOW64\azfinhdw
2023-04-13 00:30 - 2023-04-13 02:34 - 000000000 ____D C:\Users\Anis\AppData\Roaming\{347932e9-b695-11ed-bb70-806e6f6e6963}
2023-04-13 00:30 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Roaming\ubtf8k
2023-04-13 00:30 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Roaming\TeQEfU0q
2023-04-13 00:30 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Roaming\telemetry
2023-04-13 00:30 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Roaming\2531822937DC1C0C
2023-04-13 00:30 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Local\e0da0fa5-e3f6-4f3d-8614-e8889739f4b5
2023-04-13 00:30 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Local\bc2e9868-e79b-4851-8f43-a805ac16dbf7
2023-04-13 00:30 - 2023-04-13 02:06 - 000000000 ____D C:\Users\Anis\AppData\Local\4530d73d-d8ad-41d3-a21b-1b0b582ab778
2023-04-13 00:30 - 2023-04-13 01:57 - 000000000 ____D C:\Users\Anis\AppData\Local\9ce1e8b9-f9ed-425c-9744-7e4c5a94f0e5
2023-04-13 00:30 - 2023-04-13 01:26 - 000000000 ____D C:\WINDOWS\system32\Tasks\NvStray
2023-04-13 00:30 - 2023-04-13 01:26 - 000000000 ____D C:\Users\Anis\AppData\Local\299de78c-7e20-4745-aea5-0426dcab3a7b
2023-04-13 00:30 - 2023-04-13 00:32 - 005862734 _____ C:\Users\Anis\Documents\ibOG5I3xIalH1i_zPRSvXsr6.exe.boty
2023-04-13 00:30 - 2023-04-13 00:30 - 000000000 ____D C:\Users\Anis\AppData\Roaming\NCH Software
2023-04-13 00:30 - 2023-04-13 00:30 - 000000000 ____D C:\Users\Anis\AppData\Roaming\cJtD9tO
2023-04-13 00:30 - 2023-04-13 00:30 - 000000000 ____D C:\Users\Anis\AppData\Local\Yandex
2023-04-12 16:30 - 2023-04-12 16:30 - 000000000 ____D C:\WINDOWS\system32\Drivers\mde
2023-04-12 15:58 - 2023-04-12 15:58 - 000000000 ___HD C:\$WinREAgent
2023-04-13 14:35 - 2023-04-13 14:35 - 000000000 ____D C:\ProgramData\Emsisoft
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
C:\Users\Anis\AppData\Local\Avast Software => déplacé(es) avec succès
C:\WINDOWS\Microsoft Antimalware => déplacé(es) avec succès
C:\Users\Anis\AppData\Roaming\Avast Software => déplacé(es) avec succès
C:\KVRT2020_Data => déplacé(es) avec succès
C:\Users\Anis\AppData\Local\4fec88bf-8def-41b9-b07a-3089edb0c50f => déplacé(es) avec succès
C:\Program Files\Common Files\Avast Software => déplacé(es) avec succès
C:\Program Files\Avast Software => déplacé(es) avec succès
C:\ProgramData\Avast Software => déplacé(es) avec succès
C:\Users\Anis\AppData\Roaming\NTSystem => déplacé(es) avec succès
"C:\Users\Anis\_readme.txt" => non trouvé(e)
C:\Users\Anis\AppData\Local\a90c2bad-9fa0-458f-bffe-3470513d0bab => déplacé(es) avec succès
C:\Users\Anis\AppData\Local\44434a4d-25ba-4349-867d-380f72add202 => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\azfinhdw => déplacé(es) avec succès
C:\Users\Anis\AppData\Roaming\{347932e9-b695-11ed-bb70-806e6f6e6963} => déplacé(es) avec succès
C:\Users\Anis\AppData\Roaming\ubtf8k => déplacé(es) avec succès
C:\Users\Anis\AppData\Roaming\TeQEfU0q => déplacé(es) avec succès
C:\Users\Anis\AppData\Roaming\telemetry => déplacé(es) avec succès
C:\Users\Anis\AppData\Roaming\2531822937DC1C0C => déplacé(es) avec succès
C:\Users\Anis\AppData\Local\e0da0fa5-e3f6-4f3d-8614-e8889739f4b5 => déplacé(es) avec succès
C:\Users\Anis\AppData\Local\bc2e9868-e79b-4851-8f43-a805ac16dbf7 => déplacé(es) avec succès
C:\Users\Anis\AppData\Local\4530d73d-d8ad-41d3-a21b-1b0b582ab778 => déplacé(es) avec succès
C:\Users\Anis\AppData\Local\9ce1e8b9-f9ed-425c-9744-7e4c5a94f0e5 => déplacé(es) avec succès
C:\WINDOWS\system32\Tasks\NvStray => déplacé(es) avec succès
C:\Users\Anis\AppData\Local\299de78c-7e20-4745-aea5-0426dcab3a7b => déplacé(es) avec succès
"C:\Users\Anis\Documents\ibOG5I3xIalH1i_zPRSvXsr6.exe.boty" => non trouvé(e)
C:\Users\Anis\AppData\Roaming\NCH Software => déplacé(es) avec succès
C:\Users\Anis\AppData\Roaming\cJtD9tO => déplacé(es) avec succès
C:\Users\Anis\AppData\Local\Yandex => déplacé(es) avec succès
C:\WINDOWS\system32\Drivers\mde => déplacé(es) avec succès
C:\$WinREAgent => déplacé(es) avec succès
C:\ProgramData\Emsisoft => déplacé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1647773006-2440333170-498939381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1647773006-2440333170-498939381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 13908209 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 496628977 B
Windows/system/drivers => 2624883 B
Edge => 0 B
Chrome => 229376 B
Firefox => 179925420 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 677180 B
NetworkService => 678356 B
Anis => 49153514 B

RecycleBin => 682 B
EmptyTemp: => 709.4 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 14:22:50 ====
et les liens ppjoint:

frst.txt)
https://pjjoint.malekal.com/files.php?i ... b55e10y6h6

(addition.txt)
https://pjjoint.malekal.com/files.php?i ... y14r5l10h6
Malekal_morte
Messages : 117019
Inscription : 10 sept. 2005 13:57

Re: Trojan:MSIL/RedLineStealer.EM!MTB

par Malekal_morte »

Vois si tu as encore des alertes RedLineStealer.
Désinstalle aussi CCleaner, pas utile du tout.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
nsk
Messages : 4
Inscription : 13 avr. 2023 19:16

Re: Trojan:MSIL/RedLineStealer.EM!MTB

par nsk »

Malwares bytes et kaspersky ne detecte aucun virus ou autre mais windows defender detecte au moins 6 trojan actif
Avatar de l’utilisateur
Parisien_entraide
Messages : 19531
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Trojan:MSIL/RedLineStealer.EM!MTB

par Parisien_entraide »

Bonsoir

C'est probablement lié à l'historique de Defender qui garde tout meme après désinfection

Applique ce qui est indiqué ici
https://www.malekal.com/comment-supprim ... -defender/

Ensuite reviens nous dire ce qu'il en est
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
nsk
Messages : 4
Inscription : 13 avr. 2023 19:16

Re: Trojan:MSIL/RedLineStealer.EM!MTB

par nsk »

Merci, j'ai refait une analyse et aucune menace n'est detecter

merci de votre aide
Malekal_morte
Messages : 117019
Inscription : 10 sept. 2005 13:57

Re: Trojan:MSIL/RedLineStealer.EM!MTB [résolu]

par Malekal_morte »

Super =)

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Jules5714
Messages : 5
Inscription : 15 avr. 2023 19:46

Re: Trojan:MSIL/RedLineStealer.EM!MTB [résolu]

par Jules5714 »

Bonjour je suis moi aussi atteint de ce meme trojan voici les documents obtenus après l'analyse frst

frst: https://pjjoint.malekal.com/files.php?i ... 6x6f11s148
addition: https://pjjoint.malekal.com/files.php?i ... 12w15d9z11
shortcut: https://pjjoint.malekal.com/files.php?i ... 11c8u15u13
Malekal_morte
Messages : 117019
Inscription : 10 sept. 2005 13:57

Re: Trojan:MSIL/RedLineStealer.EM!MTB [résolu]

par Malekal_morte »

Bonjour,

Désinstalle ces deux programmes parasites :
App Explorer
Web Companion
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {C3323681-5AE8-46BA-A130-E498CD0F6AB4} - System32\Tasks\MIDNAUHE => C:\ProgramData\Microsoft\MIDNAUHE.exe [382810368 2022-11-27] (www.den4b.com) [Fichier non signé] <==== ATTENTION
HKU\S-1-5-21-2198873399-3807726012-3594900920-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [9677640 2022-07-26] (Lavasoft Software Canada Inc. -> Lavasoft)
2022-10-01 08:33 - 2022-10-08 10:10 - 000000032 _____ () C:\Users\jules\AppData\Roaming\.machineId
2022-11-27 13:31 - 2022-11-27 13:31 - 003845632 _____ (MoveWith) C:\Users\jules\AppData\Roaming\255uD6Sj.exe
2022-01-22 15:55 - 2022-01-22 15:55 - 000000050 _____ () C:\Users\jules\AppData\Roaming\3300576UVDConfig.json
2022-11-27 13:33 - 2022-11-27 13:33 - 003845632 _____ (MoveWith) C:\Users\jules\AppData\Roaming\7d0asD2T.exe
2022-11-27 13:33 - 2022-11-27 13:33 - 003845632 _____ (MoveWith) C:\Users\jules\AppData\Roaming\H65NvY4R.exe
2022-11-27 13:31 - 2022-11-27 13:31 - 003845632 _____ (MoveWith) C:\Users\jules\AppData\Roaming\I40QDw5d.exe
2022-08-11 07:58 - 2022-08-11 07:58 - 000001004 _____ () C:\Users\jules\AppData\Roaming\tof_launcher.reg
2022-07-30 09:08 - 2022-07-30 09:09 - 000014830 _____ () C:\Users\jules\AppData\Local\HWVendorDetection.log
2022-10-15 09:33 - 2022-10-15 09:33 - 000007597 _____ () C:\Users\jules\AppData\Local\Resmon.ResmonCfg
2022-07-06 11:13 - 2023-02-09 17:00 - 000000015 _____ () C:\Users\jules\AppData\Local\Tempadst_path.txt
2022-07-06 11:13 - 2023-02-09 17:00 - 000000000 _____ () C:\Users\jules\AppData\Local\Tempnull
 C:\ProgramData\Microsoft\MIDNAUHE.exe
C:\Program Files (x86)\Lavasoft\Web Companion
S2 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [3413424 2022-05-21] (Lavasoft Software Canada Inc. -> )
R2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [26440 2022-07-26] (Lavasoft Software Canada Inc. -> )
EmptyTemp:
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises : 3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Jules5714
Messages : 5
Inscription : 15 avr. 2023 19:46

Re: Trojan:MSIL/RedLineStealer.EM!MTB [résolu]

par Jules5714 »

Bonjour,

Merci de votre aide, j'ai effectué ce que vous m'avez suggéré, voici les nouveaux rapports frst:

https://pjjoint.malekal.com/files.php?i ... 4g710d7p10
https://pjjoint.malekal.com/files.php?i ... 5c14p13z11
https://pjjoint.malekal.com/files.php?i ... f12u8h6x12
Avatar de l’utilisateur
Parisien_entraide
Messages : 19531
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Trojan:MSIL/RedLineStealer.EM!MTB [résolu]

par Parisien_entraide »

Bonjour

Il est dit après avoir appliqué le "fix " : "
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message."
Il te faut donc mettre le résultat qui apparait ( dans le message ou sur https://pjjoint.malekal.com/

Edit : Je note un "MBSetup.exe" que tu as téléchargé postérieurement au scan FRST
Il s'agit de MalwareBytes

Si tu viens en désinfection, il ne faut pas télécharger et possiblement installer un tas de programmes (là cela ne semble pas le cas) qui pourraient tout fausser ou mettre le bazar, voire rendre instable ton PC, tant que la procédure n'est pas terminée
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Jules5714
Messages : 5
Inscription : 15 avr. 2023 19:46

Re: Trojan:MSIL/RedLineStealer.EM!MTB [résolu]

par Jules5714 »

voici le fichier fix :https://pjjoint.malekal.com/files.php?i ... 5p7c8r14o5

je n'ai pas précisé, mais aucune menace n'a été détéctée durant l'analyse malwarebytes
Avatar de l’utilisateur
Parisien_entraide
Messages : 19531
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Trojan:MSIL/RedLineStealer.EM!MTB [résolu]

par Parisien_entraide »

Oui mais il ne t'était pas demandé de procéder à une analyse après avoir posté tes rapports FRST

Tu suis la procédure et tu ne prends pas d'initiatives dont tu ne connais la portée ni les conséquences, d'autant plus que tu ne sais pas comment les stealer fonctionnent

On ne passe pas un outil espérant d'un coup de baguette magique tout faire disparaitre, cela n'existe pas
On fait d'abord une analyse et ensuite on utilise l'outil adéquat (ce que permet FRST avec son fix)

La preuve, c'est que si tu relis
https://www.malekal.com/trojan-stealer/
et
viewtopic.php?t=71178

Tu noteras que ces trojan nouvelle génération sont conçus spécialement pour échapper aux identifications, et surtout ensuite disparaitre sans laisser de traces
Du reste les premières versions échappaient aux anti virus, quant au nouveaux...
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »