Trojan Lodbak.gen!Ink

roboneC · par **roboneC** » 14 avr. 2017 13:44

Bonjour,

Voici le rapport de recherche tutoriel USBFix concernant mon infexion :

[b]############################## | UsbFix V 9.044 | [Recherche][/b]

Utilisateur: RoBiN (Administrateur) # DESKTOP-1LVT9DQ
Mis à jour le 14/04/2017 par SOSVirus
Lancé à 13:16:30 | 14/04/2017

[b]################## | System information |[/b]

MB: LENOVO (20FMS2TU00) 
CPU: Intel(R) Core(TM) i5-6300U CPU @ 2.40GHz
GC: Intel(R) HD Graphics 520
RAM -> [Total : 7603 Mo | Free : 4486 Mo]
Bios: LENOVO
Boot: Normal boot

OS: Microsoft™ Windows 10 Pro (6.3.14393 64-Bit) 
WB: Internet Explorer : 11.00.14393.0
WB: Microsoft Edge : 11.00.14393.1066 (rs1_release_sec.170327-1835)
WB: Google Chrome : 57.0.2987.133

[b]################## | Security Information |[/b]

AV: Windows Defender [[b](!) Désactivé[/b] |A jour]
AS: Windows Defender [[b](!) Désactivé[/b] |A jour]
FW: Windows Firewall [Actif]
SC: Security Center [Actif]
WU: Windows Update [Actif]

[b]################## | Disk Information |[/b]

C:\ (%SystemDrive%) -> Disque fixe # 238 Go (34 Go libre(s) - 14%) [] # NTFS
D:\ -> Disque fixe # 1863 Go (1373 Go libre(s) - 74%) [ROBIN] # exFAT

[b]################## | Startup |[/b]

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
04 - HKCU\..\Run : [OneDrive] "C:\Users\RoBiN\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
04 - HKCU\..\Run : [EPSON Stylus SX400] C:\WINDOWS\system32\spool\DRIVERS\x64\3\E_IATIEGE.EXE /FU "C:\WINDOWS\TEMP\E_S733D.tmp" /EF "HKCU"
04 - HKCU\..\Run : [PeerBlock] C:\Program Files\PeerBlock\peerblock.exe
04 - HKCU\..\Run : [iCloudServices] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
04 - HKCU\..\Run : [iCloudDrive] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudDrive.exe
04 - HKCU\..\Run : [iCloudPhotos] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudPhotos.exe
04 - HKCU\..\Run : [cacaoweb] "C:\Users\RoBiN\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\..\Run : [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe"
04 - HKLM\..\Run : [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
04 - HKLM\..\Run : [AdobeCS6ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" -launchedbylogin
04 - HKLM\..\Run : [Adobe Creative Cloud] "C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe" --showwindow=false --onOSstartup=true
04 - [x64] HKLM\..\Run : [WindowsDefender] "%ProgramFiles%\Windows Defender\MSASCuiL.exe"
04 - [x64] HKLM\..\Run : [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
04 - [x64] HKLM\..\Run : [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
04 - HKU\S-1-5-19\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-20\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [OneDrive] "C:\Users\RoBiN\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [AdobeBridge] 
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [EPSON Stylus SX400] C:\WINDOWS\system32\spool\DRIVERS\x64\3\E_IATIEGE.EXE /FU "C:\WINDOWS\TEMP\E_S733D.tmp" /EF "HKCU"
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [PeerBlock] C:\Program Files\PeerBlock\peerblock.exe
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [iCloudServices] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [iCloudDrive] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudDrive.exe
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [iCloudPhotos] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudPhotos.exe
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [cacaoweb] "C:\Users\RoBiN\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer
04GS - i1Profiler Tray.lnk : C:\Program Files (x86)\X-Rite\i1Profiler\i1ProfilerTray.exe
04GS - XRGamma.lnk : C:\Program Files (x86)\X-Rite\i1Profiler\XRGamma.exe

[b]################## | Recherche générique |[/b]

Présent! C:\Program Files (x86)\FoxitReader\bin\COM7.EXE

[b]Analyse réalisée en 3.104 secondes[/b]

Merci d'avance pour votre aide !

Robin

par **Malekal_morte** » 14 avr. 2017 13:58

Salut,

Rien sur ton rapport tutoriel USBFix.
Tu peux le désinstaller.

Qui détecté ce Trojan Lodbak.gen!Ink ?
Dans quel fichier ?

roboneC · par **roboneC** » 14 avr. 2017 14:02

Salut,
Windows defender l'a détecté.
J'ai déjà eu 2 disparitions de fichiers sur deux disques durs externes différents déjà... Mon disque dur externe est de plus en plus inutilisable à l'heure actuelle...

Le fichier infecté se trouve sur : file:D:\ANNE (16GB).lnk

roboneC · par **roboneC** » 14 avr. 2017 14:03

Voici le rapport de nettoyage au cas où :

Code : Tout sélectionner

[b]############################## | UsbFix V 9.044 | [Nettoyage][/b]

Utilisateur: RoBiN (Administrateur) # DESKTOP-1LVT9DQ
Mis à jour le 14/04/2017 par SOSVirus
Lancé à 13:36:56 | 14/04/2017


[b]################## | System information |[/b]

MB: LENOVO (20FMS2TU00) 
CPU: Intel(R) Core(TM) i5-6300U CPU @ 2.40GHz
GC: Intel(R) HD Graphics 520
RAM -> [Total : 7603 Mo | Free : 3878 Mo]
Bios: LENOVO
Boot: Normal boot

OS: Microsoft™ Windows 10 Pro (6.3.14393 64-Bit) 
WB: Internet Explorer : 11.00.14393.0
WB: Microsoft Edge : 11.00.14393.1066 (rs1_release_sec.170327-1835)
WB: Google Chrome : 57.0.2987.133

[b]################## | Security Information |[/b]

AV: Windows Defender [[b](!) Désactivé[/b] |A jour]
AS: Windows Defender [[b](!) Désactivé[/b] |A jour]
FW: Windows Firewall [Actif]
SC: Security Center [Actif]
WU: Windows Update [Actif]

[b]################## | Disk Information |[/b]

C:\ (%SystemDrive%) -> Disque fixe # 238 Go (34 Go libre(s) - 14%) [] # NTFS
D:\ -> Disque fixe # 1863 Go (1373 Go libre(s) - 74%) [ROBIN] # exFAT

[b]################## | Recherche générique |[/b]

Non supprimé ! ... Tentative au redémarrage... C:\Program Files (x86)\FoxitReader\bin\COM7.EXE

[b]################## | Startup |[/b]

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
04 - HKCU\..\Run : [OneDrive] "C:\Users\RoBiN\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
04 - HKCU\..\Run : [EPSON Stylus SX400] C:\WINDOWS\system32\spool\DRIVERS\x64\3\E_IATIEGE.EXE /FU "C:\WINDOWS\TEMP\E_S733D.tmp" /EF "HKCU"
04 - HKCU\..\Run : [PeerBlock] C:\Program Files\PeerBlock\peerblock.exe
04 - HKCU\..\Run : [iCloudServices] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
04 - HKCU\..\Run : [iCloudDrive] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudDrive.exe
04 - HKCU\..\Run : [iCloudPhotos] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudPhotos.exe
04 - HKCU\..\Run : [cacaoweb] "C:\Users\RoBiN\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\..\Run : [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe"
04 - HKLM\..\Run : [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
04 - HKLM\..\Run : [AdobeCS6ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" -launchedbylogin
04 - HKLM\..\Run : [Adobe Creative Cloud] "C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe" --showwindow=false --onOSstartup=true
04 - [x64] HKLM\..\Run : [WindowsDefender] "%ProgramFiles%\Windows Defender\MSASCuiL.exe"
04 - [x64] HKLM\..\Run : [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
04 - [x64] HKLM\..\Run : [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
04 - HKU\S-1-5-19\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-20\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [OneDrive] "C:\Users\RoBiN\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [AdobeBridge] 
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [EPSON Stylus SX400] C:\WINDOWS\system32\spool\DRIVERS\x64\3\E_IATIEGE.EXE /FU "C:\WINDOWS\TEMP\E_S733D.tmp" /EF "HKCU"
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [PeerBlock] C:\Program Files\PeerBlock\peerblock.exe
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [iCloudServices] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [iCloudDrive] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudDrive.exe
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [iCloudPhotos] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudPhotos.exe
04 - HKU\S-1-5-21-1486485436-3444436838-3811831300-1001\..\Run : [cacaoweb] "C:\Users\RoBiN\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer
04GS - i1Profiler Tray.lnk : C:\Program Files (x86)\X-Rite\i1Profiler\i1ProfilerTray.exe
04GS - XRGamma.lnk : C:\Program Files (x86)\X-Rite\i1Profiler\XRGamma.exe

[b]################## | C:\ %SystemDrive% - Disque Fixe (NTFS) |[/b]

[13/04/2017 - 22:05:19 | ASH | 1245184 Ko] - C:\pagefile.sys
[13/04/2017 - 22:05:20 | ASH | 16384 Ko] - C:\swapfile.sys
[14/04/2017 - 10:57:37 | ASH | 3114332 Ko] - C:\hiberfil.sys
[14/04/2017 - 02:45:29 | A | 1 Ko] - C:\Rem-VBS.log
[02/12/2006 - 00:37:14 | A | 884 Ko] - C:\msdia80.dll
[11/11/2016 - 19:56:10 | SHD] - C:\$RECYCLE.BIN
[13/04/2017 - 21:13:11 | A | 0 Ko] - C:\autoexec.bat
[10/07/2015 - 07:30:21 | RASH | 386 Ko] - C:\bootmgr
[11/11/2016 - 18:59:00 | D] - C:\PerfLogs
[11/11/2016 - 19:03:34 | D] - C:\$SysReset
[11/11/2016 - 19:32:29 | RD] - C:\Users
[12/11/2016 - 04:26:49 | SHD] - C:\Recovery
[12/11/2016 - 04:26:49 | SHD] - C:\Documents and Settings
[06/12/2016 - 14:07:44 | RHD] - C:\MSOCache
[09/04/2017 - 08:53:23 | D] - C:\Intel
[12/04/2017 - 01:25:32 | RD] - C:\Program Files (x86)
[13/04/2017 - 20:56:19 | D] - C:\Rem-VBSqt
[13/04/2017 - 21:11:51 | RD] - C:\Program Files
[13/04/2017 - 21:12:47 | D] - C:\sh4ldr
[13/04/2017 - 22:04:57 | A | 2 Ko] - C:\EsgInstallerResumeAction_d0f0112f31a82dce19f6f1539add3443
[14/04/2017 - 02:42:09 | HD] - C:\ProgramData
[14/04/2017 - 12:20:05 | D] - C:\Windows
[14/04/2017 - 12:20:25 | D] - C:\FRST
[14/04/2017 - 13:37:06 | AD] - C:\UsbFix

[b]################## | D:\ - Disque Fixe (exFAT) |[/b]

[24/02/2017 - 16:42:14 | D] - D:\.Trashes
[24/02/2017 - 16:42:14 | AH | 4 Ko] - D:\._.Trashes
[24/02/2017 - 16:42:16 | AHD] - D:\.Spotlight-V100
[27/03/2017 - 01:51:15 | AHD] - D:\.fseventsd
[24/02/2017 - 16:42:16 | N | 0 Ko] - D:\.com.apple.timemachine.donotpresent
[24/02/2017 - 16:42:16 | N | 4 Ko] - D:\._.com.apple.timemachine.donotpresent
[24/02/2017 - 19:50:15 | SHD] - D:\$RECYCLE.BIN
[16/10/2015 - 00:59:10 | D] - D:\Documents
[12/12/2015 - 21:20:24 | D] - D:\Documents persos administratifs
[24/02/2017 - 16:44:40 | AD] - D:\Ektachrome-ScanX1
[24/02/2017 - 19:08:33 | AD] - D:\Musique
[01/03/2017 - 16:24:31 | D] - D:\Images
[01/03/2017 - 16:56:07 | D] - D:\Vidéo

[b]Analyse réalisée en 12.37 secondes[/b]

Merci à toi
Rob

par **Malekal_morte** » 14 avr. 2017 19:20

Quel est le fichier détecté ?
Onglet Historique, clic sur la détection, et détails
donne le contenu.

Encore une fois, USBFix ne sert à rien, tu peux le désinstaller.

roboneC · par **roboneC** » 14 avr. 2017 20:59

le fichier détecté, il n'y a pas tant de détails que ça...
Trojan:Win32\Lodbak.gen!Ink

D:\ANNE (16Gb).Ink
Dossier qu eje n'ai jamais créé par ailleurs...

par **Malekal_morte** » 15 avr. 2017 11:53

Affiche les fichiers cachés & systèmes.
Fais du ménage dans le D

JuBe · par **JuBe** » 20 avr. 2017 08:46

Hello,
Dans le premier rapport, il y a une ligne:

################## | Recherche générique |

Présent! C:\Program Files (x86)\FoxitReader\bin\COM7.EXE

J'ai le même rapport après avoir nettoyé une clé usb. Je n'ai pas d'autres détection de problème (avec l'antivirus de windows). J'ai voulu scanner ce fichier avec Virustotal mais je ne le trouve pas sur mon disque dur...

Dois-je m'inquiéter de ce "problème" ou n'en est-ce pas un?

Merci. Salutations,

JuBe

par **Malekal_morte** » 20 avr. 2017 10:27

Pas forcément plus que cela.
Après avoir affiché les fichiers cachés et systèmes, cela donne quoi ?

Pour vérifier l'ordinateur :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

JuBe · par **JuBe** » 20 avr. 2017 12:02

Hello,
Les fichiers cachés et systèmes sont "théoriquement" visibles, c'est pourquoi ça m'étonne de ne pas trouver le fichier (même le chemin ne correspond pas).

Voici les 3 liens demandés:
http://pjjoint.malekal.com/files.php?id ... 5x12b15d15
http://pjjoint.malekal.com/files.php?id ... k8j5u15n14
http://pjjoint.malekal.com/files.php?id ... z8e12d9b15

Merci.

JuBe

par **Malekal_morte** » 20 avr. 2017 13:17

Rien de malicieux
Tu devrais désinstaller les programmes Wondershare.

roboneC · par **roboneC** » 20 avr. 2017 13:26

reBonjour,
Je n'ai pas trop eu le temps de m'occuper activement de mes problèmes de trojan.
Maintenant, chaque fois que j'allume mon pc (windows 10), un bloc-note vide "errolog.txt" s'ouvre...

Malwarebytes a analysé et a trouvé des menaces venant de cacoweb... J'ai tout mis en quarantiane et redémarré mon ordinateur.

J'ai ensuite ré-éffectué une annalyse FRST avec les fichiers cachés et systèmes visibles :
http://pjjoint.malekal.com/files.php?id ... v14q5u1310
http://pjjoint.malekal.com/files.php?id ... 5w13n12t13
http://pjjoint.malekal.com/files.php?id ... h6s12r6c12

Le dossier précédemment infecté par le Trojan Lodbak.gen!Ink est un dossier sur clé usb. Clé usb qui ne m'appartenait pas et donc que je n'ai pas en ma pocession.
J'ai aussi un Trojan win32/skeeyah.A!rfn, qui se trouve dans le crack d'Adobe CC Master collection.

Et mes disques durs externes persos qui deviennent fragiles et instables...
Comment faire ?

Merci d'avance

JuBe · par **JuBe** » 20 avr. 2017 13:35

Hello,
Merci beaucoup. J'ai désinstallé les 2 programmes wondershare comme conseillé.

JuBe

par **Malekal_morte** » 20 avr. 2017 15:15

Du coup, je pense que c'est terminé.

roboneC · par **roboneC** » 21 avr. 2017 12:54

Terminé ? Je ne comprends pas.

Malekal.com forum

Trojan Lodbak.gen!Ink

Trojan Lodbak.gen!Ink

Re: Trojan Lodbak.gen!Ink

Re: Trojan Lodbak.gen!Ink

Re: Trojan Lodbak.gen!Ink

Re: Trojan Lodbak.gen!Ink

Re: Trojan Lodbak.gen!Ink

Re: Trojan Lodbak.gen!Ink

Re: Trojan Lodbak.gen!Ink

Re: Trojan Lodbak.gen!Ink

Re: Trojan Lodbak.gen!Ink

Re: Trojan Lodbak.gen!Ink

Re: Trojan Lodbak.gen!Ink

Re: Trojan Lodbak.gen!Ink

Re: Trojan Lodbak.gen!Ink

Re: Trojan Lodbak.gen!Ink