Trojan récalcitrant

[retronight]

Bonjour,

Je sollicite votre aide car je ne parviens pas à dissiper mes doutes.

La situation: Hitman Pro me détecte plusieurs Trojan de type "Spy.Win32.Xegumumune"
Sur MalwareB, Defender et Kaspersky (offre d'essai) je n'ai rien trouvé...
Ma config est à jour et j'utilise des ordi depuis toujours

Je fais assez confiance à Hitman Pro dans la mesure où je soupçonne d'avoir "choper" un virus depuis l'installation de "Bezel Project" (vu sur YouTube)
Une sorte d'habillage esthétique pour améliorer l'expérience sur le rétrogaming (comme sur launchbox) pour avoir en gros, un bel habillage "arcade" autour de l'écran de jeu.
Ce n'est pas un programme illégal, ces habillages sont crées par des fans... il y a des forums et aucun ne s'en plaint..(même si j'ai vu un commentaire parlant de trojan... on lui répond "faux positif"...)
Le programme permettait en théorie de gagner du temps (avoir la collection complète d'un coup...)

Le jour où j'ai installé ce programme, ca n'a ouvert aucune fenêtre...(je me dit directement "suspect") et je n'ai jamais su si cela avait fonctionné (je pensais avoir rater la méthode d'install par précipitation)

Mais j'ai eu un doute (l'ordi a réagit comme lorsqu'on allume quelque chose en arrière plan mais que rien ne s'ouvre)
Je pense que j'avais fait une analyse Defender et Malware avant de le lancer (mais j'ai un doute, il était tard+fatigue) d'accoutumée je le fais toujours et je fais bien attention de n'installer que des fichiers sûres (site authentique, recherche sur forum...etc)

Depuis, je traque toute trace d'infection (cela fait plus de 2 semaines que j'ai installé ce programme)
J'ai un doute aussi sur l'utilisation en ligne de "the Company" qui permet de jouer à des jeux rétro en ligne... sur navigateur.

J'ai déjà supprimé un Trojan de type Wacatac! mais mon antivirus W10 ne me donnait plus d'alerte (pas plus que de MWB de façon ponctuelle)
J'ai récemment fait un nettoyage avec ZHP Cleaner (programme que j'apprécie assez peu...) qui n'a semble t'il pas améliorer les choses...
j'ai constaté peu après la présence de ce Trojan.Spy...

Grâce à Hitman (je n'avais plus que la version d'éval, mais je le conservais pour analyse... étrangement il ne mentionnait pas ces nouveaux virus jusqu'à récemment)

Concernant le comportement de l'ordinateur, pas grand chose au début... jusqu'à ce mon Twitter commence à changer de langue (d'abord partiellement) puis il est devenu totalement en langue Russe (je pense, une langue difficile et incompréhensible en tout cas...)

J'ai formaté partiellement Windows (en gardant mes dossiers) cela n'a pas fonctionné... donc réinstallation complète (depuis l'option W10)
Hitman détecte toujours ces 3fichiers dans la base system32 ( C:\Windows\System32\fcon.dll , system32\mprddm.dll, system32\rastls.dll)

Je précise être en Windows 10 version Insider (inscrit au programme) je me demande si il n'y a pas un rapport.
A la base, je voulais activer l'isolation du noyau (jamais réussi...) l'option Remise à zéro de W10 a disparu (donc une solution en moins)

Virustotal ne voit un trojan que sur un seul programme (Kaspersky)... et quand j'utilise ce programme... rien.


Hitman Pro ne parvient pas à supprimer ces trojans...la fonction "remplacer" semble inopérante, j'ai même eu droit à une sorte d'erreur à l'ouverture de Windows... je pense qu'il avait réussi à en supprimer 1 mais... en perdant le fichier original du sys32... ce qui m'a conduit à tout réinstaller proprement...

Merci d'avance

[retronight]

La recherche sur Hitman Pro



https://zupimages.net/up/20/33/wtnx.jpg

[angelique]

Bonjour/Bonsoir,

• Télécharge sur ton Bureau pas ailleurs FRST64.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST ou FRST
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
  
  -------------
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  -------------
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[retronight]

Bonsoir.

Désolé pour le retard, mon PC avait perdu sa connexion...(en tentant de download FRST) et même le redémarrage a du être forcé... preuve qu'il y a quelques soucis

Voici les liens
https://pjjoint.malekal.com/files.php?i ... 12c10i7v10

https://pjjoint.malekal.com/files.php?i ... v14y6i15b5

EDIT: j'ai supprimé le lien shortcut inutile

Je me disais qu'une restauration d'usine aurait été plus efficace pour effacer toute trace (si c'est encore faisable)

[retronight]

Rapport HitmanPro

Malware _____________________________________________________________________

C:\Windows\System32\fcon.dll
Size . . . . . . . : 266 240 bytes
Age . . . . . . . : -0.0 days (2020-08-15 17:02:10)
Entropy . . . . . : 6.0
SHA-256 . . . . . : B5E8CD9C49427A52EA2D7A959C8C50983804C7D7B44DFAB14397ED9A2725CAF7
Product . . . . . : Microsoft® Windows® Operating System
Publisher . . . . : Microsoft Corporation
Description . . . : Feature Configuration
Version . . . . . : 10.0.20190.1000
Copyright . . . . : © Microsoft Corporation. All rights reserved.
LanguageID . . . . : 1033
> Kaspersky . . . . : Trojan-Spy.Win32.Xegumumune.elq
Fuzzy . . . . . . : 115.0

C:\WINDOWS\system32\mprddm.dll
Size . . . . . . . : 921 600 bytes
Age . . . . . . . : -0.0 days (2020-08-15 17:02:25)
Entropy . . . . . : 6.1
SHA-256 . . . . . : 553D7AFABF4F4197EA7D682AF86C8A0C1288F46B8DD3EF76FC975C219B71DC5A
Product . . . . . : Microsoft® Windows® Operating System
Publisher . . . . : Microsoft Corporation
Description . . . : Demand Dial Manager Supervisor
Version . . . . . : 10.0.20190.1000
Copyright . . . . : © Microsoft Corporation. All rights reserved.
LanguageID . . . . : 1033
> Kaspersky . . . . : UDS:Trojan-Spy.Win32.Xegumumune
Fuzzy . . . . . . : 106.0

C:\WINDOWS\system32\rastls.dll
Size . . . . . . . : 638 976 bytes
Age . . . . . . . : -0.0 days (2020-08-15 17:02:10)
Entropy . . . . . : 6.2
SHA-256 . . . . . : A24E63033F4B86C34CB9B3C340DEF07850012E495106E9128D135A194470BA7B
Product . . . . . : Microsoft® Windows® Operating System
Publisher . . . . : Microsoft Corporation
Description . . . : Remote Access PPP EAP-TLS
Version . . . . . : 10.0.20190.1000
Copyright . . . . : © Microsoft Corporation. All rights reserved.
LanguageID . . . . : 1033
> Kaspersky . . . . : UDS:Trojan-Spy.Win32.Xegumumune
Fuzzy . . . . . . : 106.0


Suspicious files ____________________________________________________________

C:\Windows\System32\Windows.UI.PicturePassword.dll
Size . . . . . . . : 2 772 992 bytes
Age . . . . . . . : -0.0 days (2020-08-15 17:02:28)
Entropy . . . . . : 7.9
SHA-256 . . . . . : 8F856C6A943FCB167540A21B981248198A12150863EDEF113E40675CB45135CC
Product . . . . . : Microsoft® Windows® Operating System
Publisher . . . . : Microsoft Corporation
Description . . . : Picture Password UX
Version . . . . . : 10.0.20190.1000
Copyright . . . . : © Microsoft Corporation. All rights reserved.
LanguageID . . . . : 1033
Fuzzy . . . . . . : 22.0
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Time indicates that the file appeared recently on this computer.
Program is running but currently exposes no human-computer interface (GUI).
The file is in use by one or more active processes.
The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
The file is protected by Windows File Protection (WFP). This is typical for critical Windows system files.

[angelique]

Tu devrais surtout virer HitmanPro, il a l'air de couiner sur des fichiers signés Microsoft:

2020-08-08 12:48 - 2020-08-08 12:48 - 000187904 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\fcon.dll
2020-08-08 12:47 - 2020-08-08 12:47 - 000266240 _____ (Microsoft Corporation) C:\WINDOWS\system32\fcon.dll
2020-08-08 12:48 - 2020-08-08 12:48 - 000921600 _____ (Microsoft Corporation) C:\WINDOWS\system32\mprddm.dll
2020-08-08 12:48 - 2020-08-08 12:48 - 000763392 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\mprddm.dll
2020-08-08 12:48 - 2020-08-08 12:48 - 000638976 _____ (Microsoft Corporation) C:\WINDOWS\system32\rastls.dll
2020-08-08 12:48 - 2020-08-08 12:48 - 000508416 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\rastls.dll
2020-08-08 12:49 - 2020-08-08 12:49 - 002772992 _____ (Microsoft Corporation) C:\WINDOWS\system32\Windows.UI.PicturePassword.dll

Pas infecté.

supprime cette extension sur Edge:
Edge Extension: (Keepa - Amazon Price Tracker) - C:\Users\jokel\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\neebplgakaahbhdphmkckjjcegoiijjo [2020-08-15]

[retronight]

Yep Hitman, je ne l'utilisais que temporairement... car c'est le seul à m'avoir alerter...
Je vais refaire une restauration d'usine de toute manière (si j'y arrive... et mon windows étant tout vide, je n'ai plus rien à perdre)

C'est d'autant plus bizarre qu'Hitman cite Kaspersky... qui lui même ne m'avait rien trouvé.

Etrange par contre... le changement de langue sur Twitter si pas infecté
Ce serait donc des faux-positifs ?
Par précaution, je vais rechanger tous mes password...

Ah dommage pour Keepa, c'est bien utile pour savoir l'historique des prix Amazon... --'
C'est comme iGraal j'imagine... à l'époque je ne l'utilisais que sur un viel ordinateur... mais j'ai succombé à l'appât du gain.

Peut-être que Hitman considère Windows lui même comme intrusif ?

Merci pour ton aide !

[angelique]

Tu as scanné les fichiers mentionnés sur https://www.virustotal.com/gui/ ?

[retronight]

Le scan Virus Total...

https://www.virustotal.com/gui/file/b5e ... 1597465176

https://www.virustotal.com/gui/file/553 ... 1597430563

https://www.virustotal.com/gui/file/a24 ... 1597426553

[angelique]

1 seule détection de Kaspersky, je crois que hitman Pro utilise les moteurs de détection de Kaspersky et bitdefender, en tout cas ça sent le faux positif à plein nez je pense

[retronight]

Oui il y a aussi une détection de Rising (connait pas) et Zonealarm.. mais la majorité, c'est RAS.

Je me demande si ce n'est pas lié à Windows Insider, je vais le désactiver pour une meilleur stabilité système (car même après restauration, il m'a remis une "Beta")

[angelique]

J'ai formaté partiellement Windows (en gardant mes dossiers) cela n'a pas fonctionné... donc réinstallation complète (depuis l'option W10)

Bah je sais pas quoi te dire, l'iso du 10 2004 est là https://www.microsoft.com/fr-fr/softwar ... ndows10ISO

donc si tu réinstalles sans garder aucune partition, ça reste propre... enfin propre Microsoft

[retronight]

Je viens de retrouver cet outil de restauration chez Dell (via clé USB) mais c'est l'installation longueee...
https://www.dell.com/support/home/fr-fr ... tool/WT64A

Merci pour ton lien, je vais d'abord tester celui-ci afin de retrouver une version "stable", je viens de désactiver le programme Insider (qui je pense provoque davantage de problème) et ma précédente réinstallation vers une "Beta", c'est franchement moyen...

Je pense comme toi que c'est probablement un faux-positif mais cela m'aura repermis de repartir sur une base "saine".

Merci pour ton aide

[retronight]

Petite MAJ pour signifier qu'il n'y a désormais plus aucune trace de ces "Trojan" sur Hitman Pro..... après une nouvelle réinstallation...
Il trouve seulement "suspect" FRST (OneDrive l'a resynchro)

Rien non plus sur Windows Defender.

Moralité: il fallait certainement désactiver le Programme Insider d'abord... et ne pas faire confiance à l'option "réinitialiser ce PC" (dans paramètres)... qui laisse des "traces" (même en choisissant l'option "ne rien conserver" )

Tout retélécharger via le lien Windows a été bénéfique.

J'ai même pu activer la fameuse option "isolation du noyau" ... je vais tester en espérant que cela n'apporte pas de nouveau problème...c'est connu pour être incompatible avec certains pilotes... (mais facilement désactivable)

Gute Nacht