Trojan hxxp://104.155.207.188/win.pac [résolu]

[TonyB347]

Bonjour, un trojan hxxp://104.155.207.188/win.pac a été détecté par mon antivirus sur mon PC.
Pouvez vous m'aider sil vous plait?

J'ai déjà effectué le scan via FRTS si quelqu'un pouvait le vérifier et me dire ce qui ne va pas ça serait super.

Merci. Bonne journée.

FRTS.txt https://pjjoint.malekal.com/files.php?i ... b15z7n5e12

Addition.txt https://pjjoint.malekal.com/files.php?i ... 12m5k14u69

Shortcut.txt https://pjjoint.malekal.com/files.php?i ... i7s12n9o13

[Parisien_entraide]

Bonjour

Malekal ou Angélique te diront ce qu'il en est mais

Cela aurait été bien de donner le nom du trojan et fichier infecté par Bitdefender

Sinon c est le bazar chez toi (je ne sais plus si K7 utilise le moteur de Bitdefender ou pas) et cela fait lourd...



AV: K7TotalSecurity (Enabled - Up to date) {A225AB04-0A12-7EC7-A9C7-E22249422B62}
AV: Total AV (Disabled - Up to date) {0567E33F-93C9-11B5-891D-90A37AEB2766}
AV: Bitdefender Antivirus (Enabled - Up to date) {840E1EB8-082E-3D95-EAAA-FD11CF357A26}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: K7TotalSecurity (Enabled) {9A1E2A21-407D-7F9F-8298-4B17B7916C19}
FW: Bitdefender Pare-feu (Enabled) {BC359F9D-4241-3CCD-C1F5-542431E63D5D}

sans oublier MBAM que tu avais installé

Du reste en mai tu avais attrapé un :
Trojan:MSIL/RelineStealer.FO!MTB suite à un crack

Au passage et sans lien avec ton infection je note que tu as la suite bureautique KingSoft Office /WordPerfect Office
Lis le passage les concernant :
viewtopic.php?p=515541#p515541

Et dans Edge tu as un favoris pour hxxps://fr.softonic.com
Le site par excellence à éviter depuis plus de 10 ans du fait de PUP"s https://www.malekal.com/adwares-pup-protection/

[Malekal_morte]

Salut,

Essaye ça :



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
C:\windows\*tmp
C:\windows\system32\*tmp
Task: {247C4044-8FC3-427E-94B9-A98D8692B0A6} - System32\Tasks\G100 => powershell -WindowStyle Hidden -Command "Start-Process -WindowStyle hidden -FilePath \"C:\Users\doume\AppData\Local\Temp\g100.bat\" -ArgumentList \"111\"" <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

~~

Refais un scan FRST et donne les rapports

[TonyB347]

Salut, désolé pour le retour tardif j'ai pas eu le temps de m'en occuper pendant la semaine.

Voici le Fixlog: Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-08-2022
Exécuté par doume (21-08-2022 13:21:51) Run:1
Exécuté depuis C:\Users\doume\OneDrive\Bureau
Profils chargés: doume
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
̩Start:
CloseProcesses:
CreateRestorePoint:
C:\windows\*tmp
C:\windows\system32\*tmp
Task: {247C4044-8FC3-427E-94B9-A98D8692B0A6} - System32\Tasks\G100 => powershell -WindowStyle Hidden -Command "Start-Process -WindowStyle hidden -FilePath \"C:\Users\doume\AppData\Local\Temp\g100.bat\" -ArgumentList \"111\"" <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.

=========== "C:\windows\*tmp" ==========

non trouvé(e)

========= Fin -> "C:\windows\*tmp" ========


=========== "C:\windows\system32\*tmp" ==========

non trouvé(e)

========= Fin -> "C:\windows\system32\*tmp" ========

"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{247C4044-8FC3-427E-94B9-A98D8692B0A6}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{247C4044-8FC3-427E-94B9-A98D8692B0A6}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\G100 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\G100" => supprimé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\ProxyMgr\{1E93564B-F1D4-4A3C-B396-5561366E5684} => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\ProxyMgr\{42CA6B2E-F91E-4BE1-B0BD-B9C9AC345DEB} => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2142044071-4168679595-2227019172-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer" => supprimé(es) avec succès
"HKU\S-1-5-21-2142044071-4168679595-2227019172-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigURL" => supprimé(es) avec succès
"HKU\S-1-5-21-2142044071-4168679595-2227019172-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2142044071-4168679595-2227019172-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 1310720 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 20053391 B
Java, Discord, Steam htmlcache => 0 B
Windows/system/drivers => 3447674 B
Edge => 0 B
Firefox => 108492 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 114077776 B
systemprofile32 => 114116640 B
LocalService => 114116640 B
NetworkService => 114116640 B
doume => 121105395 B

RecycleBin => 0 B
EmptyTemp: => 574.5 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 13:22:59 ====

Voici les rapports après correction:

FRST: https://pjjoint.malekal.com/files.php?i ... 12x11n11d7

Addition: https://pjjoint.malekal.com/files.php?i ... 11u13e7z14

Shortcut: https://pjjoint.malekal.com/files.php?i ... 7w10p15h11

Merci et bonne journée.

[Malekal_morte]

Pas de soucis.
Ca semble corrigé, tu confirmes ?
Faut changer tous tes mots de passe, ils ont été volés.

[TonyB347]

Oui je confirme je n’ai plus d’alertes sur le PC.
Pour les mots de passe je le savais déjà mais merci de me le dire.

Encore merci et bonne journée

[Malekal_morte]

Désolé, je n'avais pas vu la réponse.
J'ai passé le sujet en résolu.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?