infection par TrojanDownloader:JS

[Caroline1334]

Bonjour à tous,


Je suis sous Windows 10 version 1803 et j'utilise Firefox version 65.0.2 (64 bits).

Windows Defender m'a indiqué aujourd'hui qu'il avait mis en quarantaine un cheval de troie :

TrojanDownloader:JS/Vdehu.A

situé à l'emplacement suivant :

C:\Users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\t3is8jkn.default\webappsstore.sqlite-wal

J'ai vidé le dossier quarantaine, puis Windows Defender m'a demandé de redémarrer mon ordinateur, ce que j'ai fait. Ensuite Windows Defender m'a affiché de nouveau qu'il avait détecté un trojan (le même, au même emplacement). Après 2 autres vidages du dossier quarantaine et 2 autres redémarrages, et 2 nouvelles notifications, je n'ai aucune certitude que le trojan a été effacé. L'historique des menaces supprimées m'indiquent 3 trojans supprimés, mais j'ai bien peur que si je redémarre mon ordinateur j'aurais de nouveau le fichier en quarantaine.

Mon niveau en informatique frisant le 0 absolu, je viens vous demander ici la marche à suivre pour m'assurer du bon état de mon ordinateur, et si je devais aussi faire quelque chose à propos de ma version de Firefox.

Merci d'avance pour votre aide :)


Caro.

[angelique]

Bonjour/Bonsoir,

Tu as du visiter une page web avec un JavaScript malicieux avec un navigateur non sécurisé.

https://www.malekal.com/securiser-le-na ... firefox-2/
https://www.malekal.com/securiser-google-chrome/

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST ou FRST
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
  
  -------------
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  -------------
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[Caroline1334]

Bonjour et merci pour ta réponse.

Voici les rapports générés par FRST :

FRST.txt : https://pjjoint.malekal.com/files.php?i ... d12r13j7e5
addition.txt : https://pjjoint.malekal.com/files.php?i ... 7i12j5n6h7

mot de passe pour les fichiers : caroline

[angelique]

Rien d'anormal sur tes rapports.

Vu que la détection se fait dans le profil de firefox, et si ça revient, tu réinitialises Firefox:

viewtopic.php?t=53038

et tu le sécurises ➯ https://www.malekal.com/securiser-le-na ... firefox-2/

[Caroline1334]

Merci beaucoup Angélique pour le temps que vous m'avez consacré.

Le fichier incriminé n'est plus réapparu dans mon dossier quarantaine depuis mes récents redémarrages, et la dernière mise à jour automatique de W10 s'est déroulée correctement. J'ai réinitialisé Mozilla et remis mes Adblock, et j'ai bien vérifié que j'avais la dernière version de Flash (les plugins sont d'ailleurs désactivés par défaut avec Mozilla).

[Malekal_morte]

Salut,

"Mes AdBlock" ?
Tu en mets plusieurs ? Si oui, un seul suffit.

[Kalios]

Bonjour,

J'ai eu exactement le même problème hier... J'ai effectué les opérations recommandées, et je pense m'en être débarrassé (il a été isolé en quarantaine par windows defender, puis je l'ai supprimé de cette zone. Mais il n'apparait plus du tout dans l'historique des menaces supprimées).

J'ai effectué une analyse FRST et je me permet de poster les résultats ici :
FRST.txt : https://pjjoint.malekal.com/files.php?i ... 2g9l6s15b8
Addition.txt : https://pjjoint.malekal.com/files.php?i ... 12e5p9e7e7

Si quelqu'un peut me confirmer que tout est bon !

Merci d'avance !

[Malekal_morte]

Salut,

A désinstaller, inutile :

CCleaner
WebStorage

C'est dans les informations des sites de Firefox, je pense, donc tu le vides et ça doit rouler.
=> Vider le cache de Mozilla Firefox.

Sur Firefox :
CTRL+MAJ+Suppr
et tu coches les deux options en bas, en haut tu mets tout
et tu vides.
Si ça continue, tu recommences en cochant tout.

vider-cache-firefox.png

Date: 2019-04-22 12:06:58.423
Description:
Antivirus Windows Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : TrojanDownloader:JS/Vdehu.A
ID : 2147731176
Gravité : Grave
Catégorie : Cheval de Troie téléchargeur
Chemin : file:_C:\Users\félicien\AppData\Roaming\Mozilla\Firefox\Profiles\1krtgve4.default-1507813722087\webappsstore.sqlite
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Protection en temps réel
Utilisateur : AUTORITE NT\Système
Nom du processus : C:\Windows\System32\svchost.exe
Version de la signature : AV: 1.291.2412.0, AS: 1.291.2412.0, NIS: 1.291.2412.0
Version du moteur : AM: 1.1.15800.1, NIS: 1.1.15800.1

[Kalios]

Merci beaucoup !

J'ai vidé le cache comme indiqué et supprimé les programmes (mais je pensais que CCleaner était plutôt bien^^). Les analyses de Windows Defender ne m'indiquent plus de menace.

Par contre, je me pose une question : si je suis le chemin indiqué file:_C:\Users\félicien\AppData\Roaming\Mozilla\Firefox\Profiles\1krtgve4.default-1507813722087\webappsstore.sqlite, je retrouve le même fichier, mais daté d'aujourd'hui quand j'ai ouvert Firefox.
Celui-ci est-il un fichier normal et cela signifie que le virus avait corrompu ce dernier, ou est-ce un fichier qui ne doit pas apparaitre ?

Merci pour votre aide, et pour tous les conseils très intéressant de votre site. C'est facilement accessible et très bien expliqué !

[Malekal_morte]

oui il stocke les informations de la configuration des sites.
Faut croire que tu es allé sur un site où le contenu de ce fichier ne plaît pas à Windows Defender
ou il s'agit d'un faux positif.