Virus détecté : Trojan:Win32/AgentTesla!ml

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Coco12
Messages : 5
Inscription : 04 nov. 2023 10:20

Virus détecté : Trojan:Win32/AgentTesla!ml

par Coco12 »

Bonjour,

mon Windows defender a détecté ce semblerait être un virus sur mon ordinateur (voir PJ).

Pour le moment il est en quarantaine. Est-ce que je peux le supprimer sans risque avec Windows Defender? Et est-ce qu'il y aurait d'autres actions à faire suite à la suppression?

Merci d'avance pour votre aide.
Capture.JPG
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avatar de l’utilisateur
Parisien_entraide
Messages : 17108
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Virus détecté : Trojan:Win32/AgentTesla!ml

par Parisien_entraide »

Bonjour

Si il est en quarantaine c'est très bien

Le truc c'est que
soit il a été détecté immédiatement (en général le trojan c'est lié à un message reçu)
sot la detection s'est faite tardivement et Defender ne réagit que maintenant (mais j'en doute, car meme si il existe depuis une dizaine d'années et qu'il y a eu pas mal de variants, il est assez bien détecté)

Initialement il ciblait les victimes via email, mais maintenant on le trouve dans les cracks.
Le truc c'est que c'est un Trojan Stealer donc un voleur de données,login.mot de passe etc dont meme ce qui est dans le presse papiers, ce qui sert au copier coller, sans compter l'enregistreur de frappes - sa base - et la capture régulière d'écrans etc

Ex d'usage hors cracks
https://www.kaspersky.fr/blog/agent-tes ... out/19517/

Edit : Se rappeler que le "!ml" est une fonction d'apprentissage automatique lié au système de détection de Defender qui fait une supposition basée sur un attribut particulier de ton fichier qui peut être similaire à celui du malware recherché, de sorte qu'il est signalé.


Pour te rassurer Malekal ou Angélique te diront ce qu'il en en est après une analyse FRST


La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :


* FRST.txt
* Shortcut
* Additionnal.txt

Image


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ ou https://textup.fr si cela ne passe pas et en retour donne les 3 liens qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

IMPORTANT : Une fois les rapports crées, n'installe pas de programmes, n'efface rien, ne prends pas d’initiatives, parce que tu "penses que", que "tu crois que " etc. Bref tu ne touches plus à rien
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Coco12
Messages : 5
Inscription : 04 nov. 2023 10:20

Re: Virus détecté : Trojan:Win32/AgentTesla!ml

par Coco12 »

Merci pour ton aide.

Voici les 3 rapports:

Addition : https://textup.fr/741195Dm
FRST : https://textup.fr/741197wk
Shortcut : https://textup.fr/741199KJ
Malekal_morte
Messages : 115631
Inscription : 10 sept. 2005 13:57

Re: Virus détecté : Trojan:Win32/AgentTesla!ml

par Malekal_morte »

Salut,

Windows ou Office cracké avec KMSPico.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2023-11-02 00:52 - 2023-11-02 00:52 - 000000000 __SHD C:\ProgramData\tl
2023-11-02 00:52 - 2023-11-02 00:52 - 000000000 ____D C:\Users\utilisateur\AppData\Local\mbamtray
2023-11-02 00:52 - 2023-07-28 18:47 - 000119264 ___SH (Base) C:\Windows\Base.dll
2023-11-02 00:52 - 2013-04-30 16:40 - 000000910 ___SH C:\Windows\Windows Driver Foundation (WDF).exe.config
2023-11-02 00:52 - 2011-10-21 11:34 - 000002088 ___SH C:\Windows\wtime.cmd
2023-11-02 00:52 - 2009-07-25 12:37 - 000004608 ___SH () C:\Windows\wudf.exe
HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ATTENTION
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Coco12
Messages : 5
Inscription : 04 nov. 2023 10:20

Re: Virus détecté : Trojan:Win32/AgentTesla!ml

par Coco12 »

Voici le rapport de correction :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 03-10-2023
Exécuté par Bastien-QCH8VKR (04-11-2023 12:25:11) Run:1
Exécuté depuis C:\Users\utilisateur\Desktop
Profils chargés: Bastien-QCH8VKR
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
̩
*****************


==== Fin de Fixlog 12:25:11 ====
Malekal_morte a écrit : 04 nov. 2023 12:03 Windows ou Office cracké avec KMSPico.
Alors là tu me l'apprends, j'avais Windows et Office à l'achat du PC!
Avatar de l’utilisateur
Parisien_entraide
Messages : 17108
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Virus détecté : Trojan:Win32/AgentTesla!ml

par Parisien_entraide »

Tu as du loupé quelque chose.. Ton fixlist n'a pas été appliqué

Relis bien la procédure
https://www.malekal.com/tutoriel-farbar ... n_de_virus

Sinon pour le KMS il est bien présent, tout comme un crack pour .. MalwareBytes ou EASUS


Edit :
https://www.malekal.com/kmspico-trojan/

Je conseille également les mises à jour de Notepad++ et surtout de Winrar, vu que les failles sont exploitées pour les cracks
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Coco12
Messages : 5
Inscription : 04 nov. 2023 10:20

Re: Virus détecté : Trojan:Win32/AgentTesla!ml

par Coco12 »

Effectivement j'ai du passer à côté de quelque chose.
Voici le nouveau rapport :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 03-10-2023
Exécuté par Bastien-QCH8VKR (04-11-2023 13:42:12) Run:2
Exécuté depuis C:\Users\utilisateur\Desktop
Profils chargés: Bastien-QCH8VKR
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
̩Start:
CloseProcesses:
CreateRestorePoint:
2023-11-02 00:52 - 2023-11-02 00:52 - 000000000 __SHD C:\ProgramData\tl
2023-11-02 00:52 - 2023-11-02 00:52 - 000000000 ____D C:\Users\utilisateur\AppData\Local\mbamtray
2023-11-02 00:52 - 2023-07-28 18:47 - 000119264 ___SH (Base) C:\Windows\Base.dll
2023-11-02 00:52 - 2013-04-30 16:40 - 000000910 ___SH C:\Windows\Windows Driver Foundation (WDF).exe.config
2023-11-02 00:52 - 2011-10-21 11:34 - 000002088 ___SH C:\Windows\wtime.cmd
2023-11-02 00:52 - 2009-07-25 12:37 - 000004608 ___SH () C:\Windows\wudf.exe
HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ATTENTION
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.

"C:\ProgramData\tl" dossier déplacer:

C:\ProgramData\tl => déplacé(es) avec succès

"C:\Users\utilisateur\AppData\Local\mbamtray" dossier déplacer:

C:\Users\utilisateur\AppData\Local\mbamtray => déplacé(es) avec succès
C:\Windows\Base.dll => déplacé(es) avec succès
C:\Windows\Windows Driver Foundation (WDF).exe.config => déplacé(es) avec succès
C:\Windows\wtime.cmd => déplacé(es) avec succès
C:\Windows\wudf.exe => déplacé(es) avec succès
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe" => valeur restauré(es) avec succès

========= RemoveProxy: =========



========= Fin de RemoveProxy: =========



Le système a dû redémarrer.

==== Fin de Fixlog 13:42:21 ====
Malekal_morte
Messages : 115631
Inscription : 10 sept. 2005 13:57

Re: Virus détecté : Trojan:Win32/AgentTesla!ml

par Malekal_morte »

Supprimer le fichier C:\Windows\Windows Driver Foundation (WDF).exe si encore présent.
Vois si Windows Defender émet encore des alertes.
Changes tous tes mots de passe car ils ont été volés.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Coco12
Messages : 5
Inscription : 04 nov. 2023 10:20

Re: Virus détecté : Trojan:Win32/AgentTesla!ml

par Coco12 »

Merci encore pour votre aide!

Voici ce que remonte désormais Windows defender PUA:Win32/Asktoolbar:
PUA-Win32-Asktoolbar.jpg
Concernant les mots de passes j'ai justement une vingtaines de connexions infructueuses sur mon adresse mail par jour en ce moment, et j'ai une réception massive de mails frauduleux (sans expéditeurs). Ca peut être lié?
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 115631
Inscription : 10 sept. 2005 13:57

Re: Virus détecté : Trojan:Win32/AgentTesla!ml

par Malekal_morte »

PUA c'est moins grave qu'un trojan, ce sont des logiciels indésirables.
Ici c'est le setup pour la barre d'outils AskToolbar.
Il se trouve dans ton disque D, peut être externe.
Tu mets en quarantaine et voila.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 17108
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Virus détecté : Trojan:Win32/AgentTesla!ml

par Parisien_entraide »

Coco12 a écrit : 05 nov. 2023 00:41
Concernant les mots de passes j'ai justement une vingtaines de connexions infructueuses sur mon adresse mail par jour en ce moment, et j'ai une réception massive de mails frauduleux (sans expéditeurs). Ca peut être lié?
Bonjour

Ben oui c'est lié

Lis bien et imprègne toi bien de ce qui est indiqué ici concernant les stealer (tu peux zapper la partie technique pour t'intéresser aux conséquences et tu pourquoi il ne faut pas/plus utiliser de cracks en 2023)
viewtopic.php?t=71178

Ce et surtout que tu utilises des cracks et ce meme en dehors du KMS (qui n'arrive pas tout seul sur un PC) et pire... Sur un programme de sécurité comme MalwareBytes
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »