Bonjour,
Jai installé par megarde un logiciel malveillant qui semble faire tourner le script Script/Sabsik.TE.A!ml. Depuis 2 jours, je me suis fait hacke mon instagram ainsi que mon compte Linkedin.
Jai effectué une analyse avec FRST et voici les deux rapports qui ont été généres :
FRST :https://pjjoint.malekal.com/files.php?i ... 15f109x6t7
ADDITION : https://pjjoint.malekal.com/files.php?i ... 2l12m6m8t7
Si quelqu'un a la gentillesse de maider pour le script permettant de killer le trojan.
Merci davance
Infection Trojan Script/Sabsik.TE.A!ml et hack instagram et Linkedin
Modérateurs : Mods Windows, Helper
- Messages : 4
- Inscription : 12 févr. 2024 06:22
- Messages : 116486
- Inscription : 10 sept. 2005 13:57
Re: Infection Trojan Script/Sabsik.TE.A!ml
Salut,
La détection porte sur des fichiers WORD. Ce qui est bizarre, c'est leur emplacement dans ProgramData (anormal) et leur nom.
Ce sont des fichiers à toi ?
Ce qui est aussi curieux, c'est qu'il soit lancé par PsExec.exe.
Tout cela est très suspicieux.
Pour les supprimer :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
Faire un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
4) A désinstaller :
La détection porte sur des fichiers WORD. Ce qui est bizarre, c'est leur emplacement dans ProgramData (anormal) et leur nom.
Ce sont des fichiers à toi ?
Ce qui est aussi curieux, c'est qu'il soit lancé par PsExec.exe.
Tout cela est très suspicieux.
Date: 2024-02-11 23:20:34
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Script/Sabsik.TE.A!ml
ID : 2147780197
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\ProgramData\Augmented Reality Glass.docx; file:_C:\ProgramData\Cours_TSAN_Chap.docx; file:_C:\ProgramData\ENTRETIEN CAE.docx; file:_C:\ProgramData\Pourquoi la Chine ne doit pas passer à l.docx; file:_C:\ProgramData\Preavis 2021.docx; file:_C:\ProgramData\Rapport du projet d'archi 2.docx; file:_C:\ProgramData\TP1_TP2_BdC.docx; file:_C:\ProgramData\Vidéo_stage_trame.docx
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Protection en temps réel
Utilisateur :
Nom du processus : C:\Users\guill\AppData\Local\Temp\PsExec.exe
Version de la veille de sécurité : AV: 1.403.3605.0, AS: 1.403.3605.0, NIS: 1.403.3605.0
Version du moteur : AM: 1.1.23110.2, NIS: 1.1.23110.2�
Pour les supprimer :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Code : Tout sélectionner
Start:
CloseProcesses:
CreateRestorePoint:
2021-03-10 11:40 - 2021-03-10 11:40 - 000000048 ____H () C:\Program Files (x86)\5uxmjuhjtb.dat
2020-12-13 13:55 - 2020-12-13 13:55 - 000000015 _____ () C:\Users\guill\AppData\Roaming\obs-virtualcam.txt
2022-01-30 05:11 - 2022-01-30 08:54 - 000000128 _____ () C:\Users\guill\AppData\Roaming\winscp.rnd
2021-05-05 10:07 - 2021-05-05 10:07 - 000003584 _____ () C:\Users\guill\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2021-12-08 10:36 - 2022-02-01 04:46 - 000000600 _____ () C:\Users\guill\AppData\Local\PUTTY.RND
2023-02-27 22:55 - 2023-02-27 22:55 - 000000218 _____ () C:\Users\guill\AppData\Local\recently-used.xbel
C:\ProgramData\*.docx
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
- Réparer Mozilla Firefox (premier paragraphe)
- Réparer Google Chrome (premier paragraphe)
- Comment réparer ou réinitialiser Microsoft Edge
Faire un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
4) A désinstaller :
5) Refais un scan FRST et donne les nouveaux rapports via pjjointAvast Secure Browser
Avast Update Helper
AVG Update Helper
McAfee Security Scan Plus
Wondershare
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 4
- Inscription : 12 févr. 2024 06:22
Re: Infection Trojan Script/Sabsik.TE.A!ml et hack instagram et Linkedin
Merci Beaucoup !
Voici le message :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11.02.2024
Exécuté par guill (12-02-2024 22:26:51) Run:4
Exécuté depuis C:\Users\guill\Desktop
Profils chargés: guill
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
2021-03-10 11:40 - 2021-03-10 11:40 - 000000048 ____H () C:\Program Files (x86)\5uxmjuhjtb.dat
2020-12-13 13:55 - 2020-12-13 13:55 - 000000015 _____ () C:\Users\guill\AppData\Roaming\obs-virtualcam.txt
2022-01-30 05:11 - 2022-01-30 08:54 - 000000128 _____ () C:\Users\guill\AppData\Roaming\winscp.rnd
2021-05-05 10:07 - 2021-05-05 10:07 - 000003584 _____ () C:\Users\guill\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2021-12-08 10:36 - 2022-02-01 04:46 - 000000600 _____ () C:\Users\guill\AppData\Local\PUTTY.RND
2023-02-27 22:55 - 2023-02-27 22:55 - 000000218 _____ () C:\Users\guill\AppData\Local\recently-used.xbel
C:\ProgramData\*.docx
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"C:\Program Files (x86)\5uxmjuhjtb.dat" => non trouvé(e)
"C:\Users\guill\AppData\Roaming\obs-virtualcam.txt" => non trouvé(e)
"C:\Users\guill\AppData\Roaming\winscp.rnd" => non trouvé(e)
"C:\Users\guill\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini" => non trouvé(e)
"C:\Users\guill\AppData\Local\PUTTY.RND" => non trouvé(e)
"C:\Users\guill\AppData\Local\recently-used.xbel" => non trouvé(e)
=========== "C:\ProgramData\*.docx" ==========
non trouvé(e)
========= Fin -> "C:\ProgramData\*.docx" ========
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3648424606-137853707-2538232305-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3648424606-137853707-2538232305-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 9459288 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 37962 B
Edge => 0 B
Chrome => 19075725 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
guill => 62976961 B
RecycleBin => 1655679957 B
EmptyTemp: => 1.6 GB données temporaires supprimées.
================================
Le système a dû redémarrer.
==== Fin de Fixlog 22:27:09 ====
Voici le message :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11.02.2024
Exécuté par guill (12-02-2024 22:26:51) Run:4
Exécuté depuis C:\Users\guill\Desktop
Profils chargés: guill
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
2021-03-10 11:40 - 2021-03-10 11:40 - 000000048 ____H () C:\Program Files (x86)\5uxmjuhjtb.dat
2020-12-13 13:55 - 2020-12-13 13:55 - 000000015 _____ () C:\Users\guill\AppData\Roaming\obs-virtualcam.txt
2022-01-30 05:11 - 2022-01-30 08:54 - 000000128 _____ () C:\Users\guill\AppData\Roaming\winscp.rnd
2021-05-05 10:07 - 2021-05-05 10:07 - 000003584 _____ () C:\Users\guill\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2021-12-08 10:36 - 2022-02-01 04:46 - 000000600 _____ () C:\Users\guill\AppData\Local\PUTTY.RND
2023-02-27 22:55 - 2023-02-27 22:55 - 000000218 _____ () C:\Users\guill\AppData\Local\recently-used.xbel
C:\ProgramData\*.docx
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"C:\Program Files (x86)\5uxmjuhjtb.dat" => non trouvé(e)
"C:\Users\guill\AppData\Roaming\obs-virtualcam.txt" => non trouvé(e)
"C:\Users\guill\AppData\Roaming\winscp.rnd" => non trouvé(e)
"C:\Users\guill\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini" => non trouvé(e)
"C:\Users\guill\AppData\Local\PUTTY.RND" => non trouvé(e)
"C:\Users\guill\AppData\Local\recently-used.xbel" => non trouvé(e)
=========== "C:\ProgramData\*.docx" ==========
non trouvé(e)
========= Fin -> "C:\ProgramData\*.docx" ========
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3648424606-137853707-2538232305-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3648424606-137853707-2538232305-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 9459288 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 37962 B
Edge => 0 B
Chrome => 19075725 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
guill => 62976961 B
RecycleBin => 1655679957 B
EmptyTemp: => 1.6 GB données temporaires supprimées.
================================
Le système a dû redémarrer.
==== Fin de Fixlog 22:27:09 ====
- Messages : 4
- Inscription : 12 févr. 2024 06:22
- Messages : 4
- Inscription : 12 févr. 2024 06:22
Re: Infection Trojan Script/Sabsik.TE.A!ml et hack instagram et Linkedin
La menace est toujours detecté par windows defender
- Messages : 116486
- Inscription : 10 sept. 2005 13:57
Re: Infection Trojan Script/Sabsik.TE.A!ml et hack instagram et Linkedin
FRST ne doit pas montrer une partie.
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.
et :
Relance un scan FRST, décoche liste blanche / Whitelist
Donne les nouveaux rapports.
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.
et :
Relance un scan FRST, décoche liste blanche / Whitelist
Donne les nouveaux rapports.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 10 Réponses
- 502 Vues
-
Dernier message par Malekal_morte
-
- 5 Réponses
- 158 Vues
-
Dernier message par Olifav
-
- 5 Réponses
- 216 Vues
-
Dernier message par Parisien_entraide
-
- 8 Réponses
- 591 Vues
-
Dernier message par Parisien_entraide
-
- 9 Réponses
- 201 Vues
-
Dernier message par Fourmi