Malware BigNox / Noxplayer Appdata Admin & Crypto

[Dafrenchzen]

Bonjour à toutes et tous,

Voilà la situation, je me suis récemment monté un PC gaming et working haute performance.
J'ai malencontreusement téléchargé et exécuté le logiciel NOXPLAYER (comme un débutant, je ne me suis jamais fait avoir mais dans un excès de confiance dû à une utilisation de Mac depuis des années, j'ai oublié de regarder les avis avant d'exécuter)

J'ai remarqué une faute d'espace (caractère) dans la fenêtre d'installation et là trop tard, à 51% de l'installation le pc à totalement freeze pour l'écran bleu windows, en réalisant ma connerie je me suis empressé de couper l'ordi (1e erreur), après avoir transpiré quelques gouttes j'ai redémarré l'ordinateur (2e erreur), et là j'ai remarqué que mon ordinateur était plus lent. Je me suis donc empressé de chercher tous les fichiers NOX et les supprimer manuellement (3e erreur). A partir de ce moment... j'ai tout de suite lancé une analyse BitDefender en mode ultra sécurisé, rien à signaler à part quelques corrections mineures. J'ai ensuite installé Ccleaner et supprimé les logiciels douteux, réparé le registre, ..., j'ai également trouvé le dossier NOX et supprimé le Uninstaller.exe par peur de l'exécuter de nouveau.

Ensuite, j'ai téléchargé Avast j'ai lancé une analyse au démarrage mais oublié de cocher la case rapport (Encore une erreur).
J'ai changé tous mes mots de passe sur un autre poste de travail avant de rallumer l'ordinateur.
De là mon ordi tournait de nouveau comme une horloge. Par contre c'est là que mon angoisse a réellement commencé.

L'installation a été effectué le 17/11/2021 à 20:50. Et là une multitude de fichier localisés dans AppData / Admin / Local,Roaming, ... sont datés modifié le 17/11/21 à 21:03. J'ai comme un pré-sentiment que quelqu'un s'est introduit dans mon ordinateur et est caché dans les fichiers User, Admin, Appdata...

J'ai encore plein d'informations et de photos afin de vous guider dans l'analyse de la situation. Peut-être que je me fais une fausse idée et que le virus est supprimé que le pc a planté naturellement et que à cause de l'Operation Nightscout de malware dans le logiciel noxplayer je me suis fait un film.
Autrement je suis suspicieux d'un ransomware ou autre malware crypto/keylogger...

Je suis à deux doigts de faire un formatage bas niveau, je n'ai absolument rien sur cet ordinateur à part des jeux et des logiciels de travail. Par contre là où c'est flippant c'est les coordonnées bancaires, cryptomonnaies, password etc... Est-ce que une analyse ZHPdiag, Malwarebytes, combofix, etc serait recommandée afin de clarifier la situation ? Que me conseillerez-vous afin de m'assurer d'être débarrassé de toute infection? Afin de m'assurer qu'aucune faille de sécurité réseau ne soit encore présente... Je dispose de plusieurs postes de travail, une expérience en informatique de base et je suis à l'écoute de tous vos conseils.

Merci d'avance,

[Parisien_entraide]

Bonsoir,

Laisse tomber ZHP etc Commence avec

La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut. ----> Ne pas oublier de cocher la case
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

_______

Sinon concernant noxplayer, tu l'as téléchargé où ? Parce qu'il est clean de nos jours (du moins lorsque je l'ai testé il y a 2 ou 3 mois)

A lire : viewtopic.php?t=69787

[Dafrenchzen]

Bonjour, merci pour ta réponse, je vais faire ça ce soir en rentrant du boulot.

Pour ce qui est du téléchargement je l'ai bien télécharger sur https://www.bignox.com/

Ce qui me dit que j'ai choppé quelque chose c'est vraiment le freeze à 51% sans raison (j'ai un AMD Ryzen 5 32 Go avec 2 ssd) je n'ai jamais vu mon pc Freeze même sur certain jeux en ultra. Après j'ai peut-être rien du tout mais je préfère en être sur plutôt que d'avoir une surprise d'ici quelques temps.

[Parisien_entraide]

Vu que Bignox essayait d'installer du "faux" antivirus, puis de l'AVAST tu as peut etre oublié de décocher l'installation de programmes tiers
Ton antivirus installé a peut etre fait freezer le PC du fait justement d'une solution tierce en cours d'installation

Là je viens de tester la version présentée comme la 7.0.1.9 du 24/11/2021
Téléchargement de 510 Mo
Analyse par Kaserpsky internet security : RAS

Par contre et cela rejoint l'analyse que j'avais effectué lors de la précédente 'installation il me propose l'installation d'AVAST et ce, pas dans la première phase où je demande une installation personnalisée mais APRES

Je pense que tu n'a pas lu ce qui était indiqué, et que tu avais cliqué sur "ACCEPTER"
Du reste si tu cliques sur REFUSER, une autre offre apparait qui propose l'installation de AVG (derrière c'est la sté AVAST mais avec un autre AV qu'ils ont acheté

Si tu cliques une troisième fois sur REFUSER, le programme s'installe

Une chose curieuse malgré le fait que dans un log je vois que NOX veut s' installer sur C par défaut, dans l'installation il me propose "D" alors que c'est sur ce disque que j'avais effectué le précédent test
Je sais qu'il ne restait pas de trace puisque le tout a été installé dans une Sandbox, effacée depuis

J'ai noté que la télémétrie est toujours aussi présente et à grande échelle (toute la config hardware est analysée, tout ce que contient le disque est scruté, et mêmes les paramètres réseaux comme mes DNS)
Je pense qu'il reste quelque part sur un serveur NOX Chinois, une trace d'au moins mon empreinte hardware de ma précédente installation


Analyse Kaspersky

nox instal1_test avl.png

En cliquant sur l'installation personnalisée

nox install.png

Si j'accepte l'installation voici ce qui apparait : Une proposition pour AVAST (je précise bien "proposition" car l'utilisateur a le choix de refuser)

nox instal1l.png

Si je refuse AVAST j'ai droit à AVG et toujours en "proposition"

nox instal1lBis_ AVG.png

[Dafrenchzen]

Bonsoir j’ai bien fait le Scan, j’ai voulu te poster les liens des rapports mais la surprise j’ai mon disque dur c qui est passé de 200go de libre à 80go et j’ai mes fichiers images etc qui ont commencer à s’inscrire en zzzz.zzzz.zz
zz.zzzz.zzzz
Etc.

J’ai de suite tout débrancher je vais l’amener demain dans une société informatique pour un formatage bas niveau. Je ne prends plus de risque.

Je ne sais pas si c’est le Scan la correction ou autre mais là je ne peux pas attendre.

[Malekal_morte]

C'est mal parti.


Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

L'attitude à suivre :

* Garde les fichiers touchés par le ransomware.
* Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Plus d'infos : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)

~~

Donne les rapports FRST.

[Parisien_entraide]

Bonsoir j’ai bien fait le Scan, j’ai voulu te poster les liens des rapports mais la surprise j’ai mon disque dur c qui est passé de 200go de libre à 80go et j’ai mes fichiers images etc qui ont commencer à s’inscrire en zzzz.zzzz.zz
zz.zzzz.zzzz
Etc.

J’ai de suite tout débrancher je vais l’amener demain dans une société informatique pour un formatage bas niveau. Je ne prends plus de risque.

Je ne sais pas si c’est le Scan la correction ou autre mais là je ne peux pas attendre.

Je ne vois pas le rapport entre le ransomware et avec le NOXPLAYER surtout si pris sur le site officiel avec
Idem pour FRST (ce n'est pas le scan qui lance un ransomware)

Puisque maintenant il s'agit d'autre chose il ne te reste plus qu'à suivre les conseils de Malekal

[Parisien_entraide]

Petit complément et possible source du problème

Dafrenchzen, auteur du message initial avait indiqué :

Pour ce qui est du téléchargement je l'ai bien télécharger sur https://www.bignox.com/

Vu que NOXPLAYER n'est pas vérolé, soit il ne s'agissait pas du bon lien, soit l'infection était déjà présente et est venue par un autre biais



Je copie colle ce que j'ai indiqué dans le sujet "NoxPlayer" viewtopic.php?p=518263#p518263

_____

Je reviens sur le sujet non pas au regard d'un possible malware (qui n'existe pas) dans le programme originel mais du fait que NOXPLAYER est ciblé depuis quelques semaines pour infecter les PC via de faux liens de téléchargement

Du reste il n'est pas le seul puisque les applications "populaires" Viber, WeChat, et le dernier Battlefield sont visés également

Au lieu d'un logiciel légitime, les utilisateurs obtiennent une porte dérobée et une extension malveillante pour le navigateur Chrome.

Derrière on retrouve le groupe "MAGNAT" qui attaque les utilisateurs qui recherchent des logiciels populaires dans les moteurs de recherche.
En glissant leurs liens, les attaquants envoient des victimes potentielles pour télécharger de faux installateurs du malware RedLine Stealer et du module complémentaire MagnatExtension.

L'extension du navigateur essaie d'enregistrer les frappes et de prendre des captures d'écran, tandis que la porte dérobée, écrite en AutoIt, fournit un accès à distance à l'ordinateur
Autrement dit, les login et mot de passe sont compromis, idem les informations de paiement par carte bancaire

MagnatExtension masque la navigation sécurisée sur Google , mais il possède une gamme de fonctions malveillantes : collecte des fichiers de cookies, vole diverses données, exécute du code JavaScript. L'adresse du serveur de commandes (C2) est codée en dur dans le code de la porte dérobée, mais il existe également un moyen de secours pour s'y connecter - en utilisant la plate-forme Twitter. Le malware recherche les hashtags # aquamamba2019 et # ololo2019 pour obtenir une nouvelle adresse C2.


Source et avec plus de détails :

https://blog.talosintelligence.com/2021 ... ng-to.html