Trojan détecté :aide pour suppression -Trojan:Win32/LummaStealer!MSR -Trojan:Win32/CryptBot.RF!MTB -Trojan:Win32/Hijack

[Hirokimura]

Bonsoir à tous,
J'ai téléchargé un fichier (légal) sur un site tiers sur lequel je télécharge habituellement, quelque chose de connu pour pas nommer, et quand j'ai décompressé l'archive, un trojan avait été signalé.
Defender a signalé les fichiers, j'ai enclenché les processus, j'ai supprimé le fichier, vidé la corbeille.
Maintenant, j'ai fait un gros scan et plus rien, sauf dans l'historique de défender qui me dit ceci :

Trojan-Win32-CryptBot.jpg

Trojan-Win32-CryptBot-ze5f41e.jpg

Trojan-Win32-HijackLoader.jpg

Trojan-Win32-LummaStealer.jpg

J'ai fait un scan classique, un scan approfondi, un scan malwarebytes en version premium et je n'ai rien, mais je voudrais être vraiment sûr que tout soit OK parce que c'est un ordi de boulot et je veux garantir la sécurité du matos.
Pourriez-vous m'aider à vérifier l'intégrité de mon système ?

Merci beaucoup !

EDIT : Fichiers d'analyse FRST :

https://pjjoint.malekal.com/files.php?i ... 11v11f6n15
https://pjjoint.malekal.com/files.php?i ... 610g15u8y5

[Parisien_entraide]

Bonsoir

J'ai renomme ton sujet ce qui sera plus explicite
Tu pourrais donner le lien du site "legal" et le nom de ce que tu as téléchargé ?

Tu as récupéré en effet un package

Code : Tout sélectionner

- Trojan:Win32/LummaStealer!MSR
- Trojan:Win32/HijackLoader
- Trojan:Win32/CryptBot.RF!MTB

Sur le stealer LUMMA de la lecture
viewtopic.php?p=547259

Les produits Adobe sont légaux ?
Là aussi à lire
viewtopic.php?p=544690#p544690


Au passage pour les images :

Pour insérer une image sur le forum
viewtopic.php?p=523767#p523767

et si cela ne passe pas (erreur http par ex) tu donnes le lien en retour
donc au pire par https://pjjoint.malekal.com/

L'historique de Defender va rester en gros une semaine
Après analyse des logs FRST il sera donné la méthode pour le vider


Malekal ou Angélique de leur yeux affutés regarderont tes rapports :-)

[Hirokimura]

Bonsoir !
Merci pour la réponse, désolé pour le nommage, dans l'urgence j'ai paniqué q_q

J'ai téléchargé Vector Magic Free, un logiciel pour transformer une image en vectoriel sur une communauté Reddit "open source". C'était un thread avec les meilleurs logiciels open sources et le lien devait pointer vers le site de Vector Magic Free sauf que c'était un fichier qui pointait vers un lien direct de fichier hébergé sur discord.
C'est un groupe donc je ne sais pas si je peux donner le lien qui pointe vers la publication Reddit ?

Les Adobe sont des installations légales, oui. Honnêtement, je suis très très craintif sur la sécurité de mon PC, surtout que c'est un PC que j'utilise pour le travail. Les logiciels Adobe sont issus d'un abonnement que mon entreprise paie mensuellement.

OK donc pour Defender, même s'il dit échec ou abandon, ça peut être supprimé quand même ? Parce que j'ai supprimé instinctivement les fichiers de mon dossier et vidé la corbeille, donc peut-être qu'il a pas réussi à cause de ça ?

J'ai aussi un scan Microsoft Safety Scanner en cours, il me dit déjà 2 fichiers infectés, je flippe à fond q_q

Mais merci pour l'aide, ça me rassure un peu. Et pour les explications du forum aussi, j'ai trop paniqué désolé.

[Parisien_entraide]

Bonjour,

Tu peux donner le lien mais en mettant par ex au lieu de https://levirus.com, htxxs://levirus.com (en mettant des XXX pour éviter que quelqu'un clique dessus par inadvertance)

Donc Github, Discord... le mauvais combo
Comme tu as pu le lire dans les liens cela fait partie des sources que les malveillants exploitent et utilisent

Ensuite LUMMA, a priori utilise la même méthode que celle expliquée ici
viewtopic.php?p=552984#p552984

Pour l'instant NE TOUCHE A RIEN
Il ne sert à rien de passer des scanners antivirus. Le malware va jouer à cache cache avec eux
Une fois l'infection entrée, ce n'est plus ton ordinateur mais celui du malware et il fait ce qu'il veut

Là ca été détecté par Defender, mais cela n'empêche par que des "morceaux" soient passés avec une commande powershell pour des taches programmées

Ces malwares évolués ne s'effacent pas d'un coup de baguette magique en les mettant à la poubelle (sauf si le virus a été détecté dans un package de téléchargement et que l'on n'a pas ouvert/installé)

Malekal ou Angélique jetteront un oeil et donneront la solution de toutes les façons, mais il faudra t'attendre APRES le script de désinfection à réinitialiser les navigateurs, changer les mots de passe de sites web, réseaux sociaux, jeux etc

Tu auras aussi des conseils pour mieux sécuriser le PC

[angelique]

Les rapports sont corrects, pas d'infection active.

[Hirokimura]

Bonjour à vous,
Merci pour votre aide. J'ai carrément supprimé le profil de mon navigateur donc je n'ai pas pu retrouver le lien de téléchargement. J'ai encore le groupe Reddit mais je flippe carrément d'y aller maintenant. Je n'avais pas vu que c'était un lien discord comme c'était un hyperlien, et Github, comme tous les codes sont affichés, j'ai vraiment cru ça safe (quel imbécile) !

Mais bon, apparemment plus de peur que de mal pour cette fois, je suis content que les rapports soient OK. Defender a signalé les problèmes quand j'ai dézippé le dossier, je n'avais pas lancé les installateurs (je fais un scan sur le fichier zippé et sur tous les fichiers une fois le dossier dézipper) donc j'imagine que j'ai échappé au pire. Je n'ai eu aucune alerte de sécurité sur mes mails et mes comptes importants donc j'imagine que c'est bon.

Je peux faire un scan avec quelque chose pour être sûr ? Parce que le fichier apparait toujours comme échec ou partiellement sur defender malgré les scans qui ne renvoient aucun fichier positif et ça me rend anxieux.

Dans tous les cas, je vous remercie vivement pour votre aide. Je vais quitter Reddit. J'avais confiance parce que les personnes partageaient des logiciels open sources utiles mais là ça m'a refroidi à fond.

EDIT : J'ai fouillé encore un peu sur Malekal et ça a l'air bon :


Je vous remercie donc vivement pour votre aide, je suis rassuré ! Et éduqué, parce que j'ai appris beaucoup de choses grâce à vous !

[Parisien_entraide]

Ce que tu vois c'est l historique de Defender

Tu peux le virer avec
https://www.malekal.com/defenderui-inte ... protection

-----------------------------------------------------------------

Pour l'avenir tu peux cependant sécuriser et surtout contre les scripts





QUE FAIRE APRES UNE INFECTION ? - QUE FAIRE POUR SECURISER ?


De manière globale
A lire : que faire après une attaque de virus informatique.




Réinitialiser les navigateurs Après désinfection ou suspicion
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

Protéger les navigateurs

Cela traite de Firefox mais on peut retrouver les memes extensions sur Chrome
Par contre du fait du fonctionnement de Chrome, une extension comme Ublock Origin sera nettement moins efficace sur Chrome/Chromium que sur Firefox surtout avec le manifestV3
Donc le minimum est d'installer Ublock Origin
Dans le lien tu trouveras les articles du site pour encore aller plus loin dans les réglages de Ublock
viewtopic.php?p=527443/





Concernant les mots de passe
==================================

Ne pas stocker les login mot de passe dans le navigateur. Un simple script permet de les récupérer

Par sécurité changer les mots de passes d'utiliser un gestionnaire de mots de passe
https://www.malekal.com/keepassxc-le-ge ... piratages/

Activer la double authentification si le site ou service web le permet
https://www.malekal.com/la-double-authe ... ca-marche/



Sinon se rappeler que l'antivirus n'est qu'une brique dans la sécurité du PC


Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?




MIEUX SECURISER



On peux améliorer les protections et sécurité de Windows en suivant ces indications et là pas besoin d'un antivirus tiers

De base je conseille hardentools (cité plus bas) et les scripts proposés par Malekal (dont pour le firewall)


Securiser son PC (l'usage d'OS Armor n'est pas obligatoire tout comme Comodo Firewall)
https://www.malekal.com/securiser-pc-windows-10/

On peut très bien régler/affiner Windows defender
viewtopic.php?t=65877

ou avec le petit dernier avec son interface plus "lisible
DefenderUI : Interface pour gérer Windows Defender
https://www.malekal.com/defenderui-inte ... -defender/



Le tout combiné avec (pour le firewall)
https://www.malekal.com/windows-firewal ... -defender/
et
Firewall les bons réglages avec un script prêt à l'emploi
https://www.malekal.com/firewall-window ... n-reglages

Et des blocages de scripts avec hardentools
https://www.malekal.com/hardentools-securiser-windows/
et compléments viewtopic.php?t=60030

Comment désactiver PowerShell par le registre Windows (avec un script d'activation et désactivation powershell ET mshta
https://www.malekal.com/comment-desacti ... ell-mshta/
Cela fait double emploi avec ce que fait hardentools pour powershell, mais il y a 2 scripts sous forme de .reg bien utiles

Je conseille d'avoir les 2.reg à portée de main, cela évite de relancer Hardentools pour réactiver PowerShell en cas de besoin (99% des utilisateurs n'en n'ont pas besoin, c'est juste "au cas où")

Là tu as tout ce qu'il faut pour te protéger (même avec un .pdf vérolé en phishing ou avec un script foireux via powershell)

Par contre cela ne protège pas des cracks (aucun AV ne peut se vanter de bloquer tous les ransomwares et surtout stealer)

------------------------------------

Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com

[Hirokimura]

Bonsoir,
Merci pour cette lecture ! Je vais faire ça tranquillement pour sécuriser mon appareil au max. Depuis que j'ai téléchargé un crack de photoshop il y a très longtemps (Du temps de CS5, j'avais 14 ans) et que j'ai choppé le virus du siècle, je me tiens éloigné des Warez donc je pense que tout ce contenu suffira amplement

Je vais mieux dormir ce soir grâce à vous ! Bien évidemment que je vais évaluer le site, c'est la moindre des choses. Je ne connaissais pas du tout Malekal mais vous êtes d'une aide formidable, je l'ai vu en parcourant les topics des malheureux de ma trempe qui ne sont pas assez vigilants.

[Parisien_entraide]

Bonsoir,

Lis bien avant.. Par ex avec Hardentools je conseille de lire viewtopic.php?t=60030 pour éviter de laisser ce qui est coché par défaut comme l' User account control" (UAC) qui en soit n'est pas un problème et qui doit être actif par défaut, mais là le soucis c'est que le programme met le curseur à fond
Au final meme si tu as désactivé le mot de passe au démarrage du PC, et bien il sera demandé pour nombre d'actions
C'est juste un ex

De toutes les façons si tu as un soucis tu sais maintenant où se trouve le forum :-)