Backdoor: Win64/Bedep.A

[ByToByX]

Bonjour a tous !
Hier, j'ai télécharger un .dll avec launcher (rundll32.exe), je l'ai lancé, il s'est lancé auf que aujourd'hui Kaspersky me dit : Backdoor: Win64/Bedep.A
Sauf que je l'ai lancé ducoup je ne sais pas quoi faire. Est ce que le backdoor c'est lancé je ne sais pas. Je precise que le .dll est je crois en c++ et qu'il va dans du java

Je joint le .dll avec launcher si besoin (Pièce jointe impossible)
https://mega.nz/#!KkkUiLSL!2cOmP6jvZqZZ ... 7IyH_ADIqk

Merci de votre reponse

[angelique]

y'a des détections ➯ https://www.virustotal.com/en/file/2faf ... 493480365/


Bonjour,

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST
  
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[ByToByX]

Au faite hier il y avait que 7 détéctions sur VT

Voila ci joint les rapports FRST :
Merci de me tenir au courant des solution possible si inféctions
http://pjjoint.malekal.com/files.php?id ... 11q7o15i13
http://pjjoint.malekal.com/files.php?id ... v6z13q14h8

[angelique]

mouai pas grand chose

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
  Copie/colle dedans ce qui suit :
  
  

  Code : Tout sélectionner

  FirewallRules: [{3E8792D7-9109-4197-B9D8-58971224D0EE}] => (Allow) LPort=26789
  HKLM-x32\...\RunOnce: [ZoneAlarm Installer] => C:\Users\ETIENNE\AppData\Local\Temp\{907A1104-E812-4b5c-959B-E4DAB37A96AB}\Install.exe [3268384 2017-04-29] (Check Point Software Technologies Ltd.) <===== ATTENTION
  Hosts:
  EmptyTemp:
  
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse et check tes connexions avec SmSniff http://www.nirsoft.net/utils/smsniff.html, prend le zip sans installation ➯ http://www.nirsoft.net/utils/smsniff-x64.zip
  
  Style sans rien faire , regarde si y'a des connexions suspects.

[ByToByX]

Voici le fixlog :

http://pjjoint.malekal.com/files.php?id ... 15s7f9k8j5

J'ai check les connection avec SmSniff mais je ne sais pas trop comment voir si il y a des connection malveillante (J'en ai plus de 1100 normal ?)
Je suis pas sur mais je crois qu'il faut regarder le local adresse :
Dans local adresse j'ai :
-192.168.1.16
-192.168.1.13
-192.168.1.28
-192.168.1.1
-192.168.1.17

[angelique]

non local c'est chez toi, remote c'est vers l'extérieur, tcpview le fait aussi ➯ viewtopic.php?t=1857&start=

[ByToByX]

J'ai télécharger tcpview mais j'ai plein d'adresse ip differente dans remote adresse
Que doit-je faire ?

[Malekal_morte]

Ca ne veut rien dire en soi.