impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn) et (Trojan:Win64/CryptInject) [Résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Mendesz
Messages : 9
Inscription : 09 nov. 2023 08:18

impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn) et (Trojan:Win64/CryptInject) [Résolu]

par Mendesz »

Bonjour,
Depuis quelques jours, j'ai ce message qui s'affiche : impossible de trouver le fichier script maintenance.vbs.
J'ai lu que ça pouvait être lié à une infection donc je poste ici.
J'avais aussi le message impossible de trouver le fichier script Startupcheck.vbs qui s'affichait mais cela s'est arrêté après le passage de Malwarebytes Anti-Malware (MBAM).
Ayant aussi lu que le problème avait pu être résolu suite à une analyse FRST, j'en ai fait une. Je vous joins les fichiers.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 116046
Inscription : 10 sept. 2005 13:57

Re: impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn)

par Malekal_morte »

Salut,

Ouaip Windows Defender fait le boulot et mis en quarantaine. Mais il n'a pas supprimé la tâche planifiée.
Date: 2023-11-03 16:03:16
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Casdet!rfn
ID : 2147727512
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Windows\System32\ServiceInstaller.msi; file:_C:\Windows\System32\StartupCheck.vbs
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : DESKTOP-15RLJN4\Yohann
Nom du processus : C:\Program Files\Adobe\Adobe Photoshop 2020\photoshop.exe
Version de la veille de sécurité : AV: 1.401.17.0, AS: 1.401.17.0, NIS: 1.401.17.0
Version du moteur : AM: 1.1.23100.2009, NIS: 1.1.23100.2009

Date: 2023-11-03 16:03:15
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Casdet!rfn
ID : 2147727512
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Windows\System32\ServiceInstaller.msi
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : DESKTOP-15RLJN4\Yohann
Nom du processus : C:\Program Files\Adobe\Adobe Photoshop 2020\photoshop.exe
Version de la veille de sécurité : AV: 1.401.17.0, AS: 1.401.17.0, NIS: 1.401.17.0
Version du moteur : AM: 1.1.23100.2009, NIS: 1.1.23100.2009
~~



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {B405AB5D-A4F9-4ED9-8336-11CB78B27F5C} - System32\Tasks\Microsoft\Windows\Maintenance\InstallWinSAT => Maintenance.vbs  (Pas de fichier)
C:\Windows\System32\ServiceInstaller.msi
C:\Program Files\Adobe\Adobe Photoshop 2020
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) Changer tes mots de passe - ils ont été volés


3)réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises : 4)
Refais un scan FRST et donne les nouveaux rapports
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Mendesz
Messages : 9
Inscription : 09 nov. 2023 08:18

Re: impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn)

par Mendesz »

Merci de ta réponse.

Voici le contenu du fixlog :

==============================================

fixlist contenu:
*****************
̩Start:
CloseProcesses:
CreateRestorePoint:
Task: {B405AB5D-A4F9-4ED9-8336-11CB78B27F5C} - System32\Tasks\Microsoft\Windows\Maintenance\InstallWinSAT => Maintenance.vbs (Pas de fichier)
C:\Windows\System32\ServiceInstaller.msi
C:\Program Files\Adobe\Adobe Photoshop 2020
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B405AB5D-A4F9-4ED9-8336-11CB78B27F5C}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B405AB5D-A4F9-4ED9-8336-11CB78B27F5C}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Maintenance\InstallWinSAT => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Maintenance\InstallWinSAT" => supprimé(es) avec succès
"C:\Windows\System32\ServiceInstaller.msi" => non trouvé(e)

"C:\Program Files\Adobe\Adobe Photoshop 2020" dossier déplacer:

C:\Program Files\Adobe\Adobe Photoshop 2020 => déplacé(es) avec succès

========= RemoveProxy: =========



========= Fin de RemoveProxy: =========



Le système a dû redémarrer.

==== Fin de Fixlog 19:11:53 ====

Pour les mots de passe, je dois changer tous les mots de passes ou ceux qui sont enregistrés dans mon navigateur ?
Avatar de l’utilisateur
Parisien_entraide
Messages : 19791
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn)

par Parisien_entraide »

Bonsoir

Le Fix a fonctionné
Lorsque Malekal te dit de changer les mots de passe c'est au sens global

Cela concerne AUSSI les mots de passe d'interface de jeux (Steam, Orign/EA etc), réseaux sociaux, etc puisque ce trojan a des fonctions de stealer

https://www.malekal.com/trojan-stealer/

Et vu que tu as choppé l'infection avec un Adobe photoshop tombé du camion, regarde tout ce qui peut etre volé et les conséquences de ces stealer
viewtopic.php?t=71178

En plus tu as échappé de peu a un ransomware (il aurait crypté tes données) puisqu'il y avait aussi un " Trojan:Win64/CryptInject"'
Là tu pouvais dire adieu à tes données, parce que non seulement déjà elles sont volées (dont tes documents qui peuvent t'identifier) mais en plus il y aurai eu une demande de rançon pour décrypter le tout
Pire meme si tu avais payé la rançon (ce qu'il ne faut jamais faire) , les données volées auraient quand même été vendues, puisque c'est la méthode actuelle

Au passage évite les sites de type Betclic Poker.fr (et les autres que j'ai vu sur tes rapports) et ne te fies pas aux "joyeux" commentaires, et "méthodes pour gagner etc
Derrières ces sites il y a des mafias
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Mendesz
Messages : 9
Inscription : 09 nov. 2023 08:18

Re: impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn) et (Trojan:Win64/CryptInject)

par Mendesz »

Merci pour les infos.

Je ne comprends pas ce qu'il peut arriver de néfaste sur les sites de jeux.

J'ai téléchargé ce logiciel, il y a un moment. Je ne recommencerai pas. Le virus attendait d'avoir récolté suffisamment de données avant de crypter ce qui est sur mon ordinateur ? Je demande ça car je n'ai rien remarqué d'étrange depuis tout ce temps.
Mendesz
Messages : 9
Inscription : 09 nov. 2023 08:18

Re: impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn) et (Trojan:Win64/CryptInject)

par Mendesz »

Voici les nouveaux fichiers.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avatar de l’utilisateur
Parisien_entraide
Messages : 19791
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn) et (Trojan:Win64/CryptInject)

par Parisien_entraide »

Je n'ai pas dis "les sites de jeux" j'ai parlé des sites de poker (et casinos en ligne) où derrière il y a des mafias
Mais bon.. Tu sembles accro au jeu donc je parle dans le vide

Je n'ai pas cité Betclic dans ce qui suit mais c'est de lui dont il s'agit
viewtopic.php?p=391442&hilit=Betclic#p391442

En fait cela fait suite à d'autres raids des autorités dont le FBI qui ont les memes chez eux
https://www.linforme.com/tech-telecom/a ... 1685354765

L'ARJEl n'existe plus, c'est l'ANJ qui a pris le relais, et les sites de types Betclic, Unibet etc se sont juste mis en règle au regard du fisc, mais ceux qui sont derrière ne sont pas en France (Unibet est derrière pas mal de piratage par ex et on retrouve les toujours 2 mêmes pays derrière)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Mendesz
Messages : 9
Inscription : 09 nov. 2023 08:18

Re: impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn) et (Trojan:Win64/CryptInject)

par Mendesz »

En fait je voulais parler des interfaces dont tu parles : Steam, EA Sports. Je suis prêt à changer mes mots de passe mais je disais que je ne percevais pas ce qui pouvait être fait de mal sur ces plateformes avec mon mot de passe.

Sinon, juste pour répondre par rapport à Betclic, je ne suis pas accroc au jeu mais joueur régulier de poker. C'est comme être un joueur d'échecs mais avec de l'argent en jeu. Unibet, je connais mal mais je pense que la plupart des sites règlementés en France sont relativement réglos (j'ai bien dit relativement car il y a des pratiques déloyales vis à vis des paris sportifs qui sont combattues actuellement par les autorités). J'ai pour ma part déjà travaillé pour Betclic et j'ai des amis qui travaillent pour d'autres plateformes.
Certes c'est un milieu qui n'est peut-être pas vertueux mais de ce que j'en ai vu, ce n'est pas non plus la porte ouverte au blanchiement.
Mais bon, là, on sort du sujet :)

Encore merci pour les infos que tu m'as apportées.
Avatar de l’utilisateur
Parisien_entraide
Messages : 19791
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn) et (Trojan:Win64/CryptInject)

par Parisien_entraide »

Pour les plates formes de jeux... C'est simple Tu te fais voler tes comptes et tu ... n'as plus de jeux

On "peut" ensuite batailler avec les plates formes pour récupérer ses comptes , mais tu as intérêt d'avoir des preuves d'achats etc et cela peut prendre des semaines

En général dès lors qu'il y a vol de comptes c'est TRES vite vendu/repris, et là meme si tu arrives à récupérer tes comptes tu t'aperçois que tu es ban pour cheat (les comptes servent à cela)
Sur Steam si c'est un ban VAC c'est terminé car ils partent du principe que tu es responsable de ton compte
Idem pour les items, skins etc accumulés.. Même si tu récupères tes comptes tu peux leur dire adieu

Edit : Quant au blanchiment... Pour avoir bossé avec xxxxxx qui fait des rapports réguliers tous les ans pour yyyyyy c'est de mise
C'est comme le marché gris des clés à pas cher de Windows, jeux, programmes on s'était aperçu que l'argent servait au blanchiment de la drogue, armes (on avait eu confirmation d'une filière pour Daesh par les autorités) , et traites humaine (prostitution) dont enfants (cas des boites domiciliées en Asie surtout à Honk Kong, , Malte etc même si ils ont un site FR etc) Il n'y a que celles qui sont domiciliées en France qui sont correctes et encore ....comme le lien que j'ai indiqué pour Betclic Bordeaux)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 116046
Inscription : 10 sept. 2005 13:57

Re: impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn) et (Trojan:Win64/CryptInject)

par Malekal_morte »

Ca semble bon.
Fais des analyses MBAM régulièrement.

Désinstalle CCleaner - inutile et encombrant.

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

Tu peux améliorer les protections et sécurité de Windows en suivant ces indications :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Mendesz
Messages : 9
Inscription : 09 nov. 2023 08:18

Re: impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn) et (Trojan:Win64/CryptInject)

par Mendesz »

Merci pour ta réponse.
J'ai commencé à regarder les liens.
Tu penses que je dois aller déposer plainte ??
Avatar de l’utilisateur
Parisien_entraide
Messages : 19791
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn) et (Trojan:Win64/CryptInject)

par Parisien_entraide »

Bonsoir,

Tu souhaites porter plainte contre le site etc qui t'as proposé un Adobe Photoshop cracké ? (Et pas à jour en plus, c'est une honte car il date de 2020)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Mendesz
Messages : 9
Inscription : 09 nov. 2023 08:18

Re: impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn) et (Trojan:Win64/CryptInject)

par Mendesz »

Dit comme ça, c'est logique que non :)
Je me demandais quand même. J'aurais pu, par exemple, être sanctionné mais pouvoir me protéger contre le fait que quelqu'un a eu accès à mes données.
Avatar de l’utilisateur
Parisien_entraide
Messages : 19791
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn) et (Trojan:Win64/CryptInject)

par Parisien_entraide »

Jolie démonstration de l'inversion des valeurs...

Si la personne a eu accès à tes données, mais si on veut être précis, elle a extirpé tes données pour les coller sur un serveur qui peut avoir une durée de vie très courte, c'est parce qu'à la base tu as utilisé un crack qui lui a permis de le faire

C'est donnant donnant, la contre partie, car rien n'est gratuit.

Tu veux te protéger de quoi ? Du fait d"éviter d'avoir un stealer lorsque tu utilises un crack ?

Je pense qu'il va te falloir relire plusieurs fois ce lien pour que tu comprennes où se situe le problème
viewtopic.php?p=527841
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Mendesz
Messages : 9
Inscription : 09 nov. 2023 08:18

Re: impossible de trouver le fichier script maintenance.vbs (Trojan:Win32/Casdet!rfn) et (Trojan:Win64/CryptInject)

par Mendesz »

J'ai bien compris que j'étais en tort et que c'est bien fait pour moi. Pas de problème. D'ailleurs je le savais avant et je ne cherche pas à me dédouaner.
J'ignorais que ça alimentait des mafias donc je ne recommencerai pas.
Sur mon ordinateur j'avais ma pièce d'identité scannée par exemple. Quand je dis me protéger, j'entends me protéger d'un usage de ce document par exemple.
Je méconnais totalement ce sujet donc je questionne.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »