Demande d'aide après une grave infection -Trojan stealer [Résolu]

[Exdria]

Bonjour,

Tout d'abord et avant-propos, merci d'avance pour le temps et l'aide que vous allez me consacrer, je tiens à souligner votre générosité qui n'est que trop rarement soulignée/reconnue je pense !

Je viens à vous aujourd'hui car après un téléchargement/installation d'un programme malveillant, je suis infecté assez surement avec notamment une impossibilité d'accès à la protection en temps réel de Windows Defender (l'activation/désactivation ne fonctionne plus), des modifications de registres assez conséquente (on parle sûrement de privilège élevé bloquant l'accès à bon nombre de services) et c'est pour toutes ces raisons que je requiert votre aide et expertise pour faire face à ma problématique.

(Je suspecte également un keylogger et autre joyeuseté du genre).

Je vous remercie par avance pour tout ce que vous allez faire pour m'aider à faire face à ça !

[Parisien_entraide]

Bonsoir,


Suit la procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :


* FRST.txt
* Shortcut
* Additionnal.txt




Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

IMPORTANT : Une fois les rapports crées, n'installe pas de programmes, n'efface rien, ne prends pas d’initiatives, parce que tu "penses que", que "tu crois que " etc. Bref tu ne touches plus à rien

[Exdria]

Bonjour,

Merci pour ta réponse, voici les liens demandés par la procédure :

https://pjjoint.malekal.com/files.php?i ... 3q12d14c13 (FRST)
https://pjjoint.malekal.com/files.php?i ... 11q14t14r8 (Additional)
https://pjjoint.malekal.com/files.php?i ... y10e15j9t6 (Shortcut)


Merci encore une fois !

(Je précise que je n'ai rien téléchargé/modifié/patché entre le scan et maintenant ni jusqu'à ta prochaine réponse).

[Parisien_entraide]

Bonjour

Je n'ai pas accès à tous les rapports (mais ce n'est pas de ta faute c'est en lien avec le serveur)
Malekal ou Angélique te diront ce qu'il en est pour l'infection mais en complément :


Tu parles d'une infection mais LAQUELLE ? (vu que tu as passé Spybot, Roguekiller...) Tu as les rapports ?


AU DELA DE CELA

Ton PC est pleinement compatible ? L'installation a été forcée ?
Ton Windows n'est pas à jour : Microsoft Windows 11 Professionnel Version 21H2


A DESINSTALLER (après le passage de Malekal ou Angélique)


Spybot : Ce "truc" est inutile et ne sert à rien. Il y a eu ses heures de gloire il y a une quinzaine d'années maintenant c'est terminé


ON NOTE

De nombreux programmes à l'origine douteuse (crackés)


En attendant le passage de Malekal ou Angélique un peu de lecture, juste pour que tu comprennes que les "virus" d 'il y a plusieurs années n'ont rien à voir avec les malwares qui circulent actuellement (même si il y a quelques détails en apparence technique, mais c'est léger, regarde les méthodes et surtout conséquences des '"stealers"

viewtopic.php?t=71178


Tu sais que l'usage du programme de triche pour les jeux "Cheat Engine", même si pas utilisé dans un jeu en multi joueurs, peut quand même être détecté par un programme anti triche et te faire bannir, voir fermer un compte avec tous les jeux dessus ?


Gros problème qui peut déboucher sur une fin de vie prématurée du SSD Intel sur le disque C, du fait qu'il faut impérativement 15% minimum de place libre ne serait ce que pour assurer la maintenance, sans compter les soucis annexes

Drive c: () (Fixed) (Total:115.91 GB) (Free:8.83 GB) (Model: INTEL SSDPEKKW256G8) NTFS

Curieux cette ram physique... On dirait qu'il y a 3 slots avec 16 Go de mémoire, et un slot avec 2 go de ram
La mémoire virtuelle est "définie" ou c'est l'ordi qui gère ?

Mémoire physique - RAM - totale: 49086.56 MB
Mémoire physique - RAM - disponible: 32542.75 MB
Mémoire virtuelle totale: 56254.56 MB
Mémoire virtuelle disponible: 34261.86 MB

[Exdria]

Rebonjour !

Je n'ai pas les réponses à toute tes questions, cela étant je peux répondre partiellement.

- Concernant Cheat Engine : Il n'est utilisé que pour les jeux Solo de type "Idle" et n'est jamais lancé ni dans aucun processus de marche durant mes sessions online.

- Concernant l'espace libre dans le Disque Dur, je n'arrive malheureusement pas à tracer tous les fichiers qui subsistent après une installation et ceux-ci s'accumulent au fil du temps, si ton expertise permet de résoudre ce problème je suis preneur !

- Je n'ai pas la réponse concernant l'installation de Windows 11, ce n'est pas moi qui l'ai faite malheureusement.

- Je ne sais pas si je dois le poster pour que vous sachiez ou je met les pieds (sans pour autant vouloir faire de la pub loin de là, je suppose que mon message sera édité si jamais c'est le cas), mais mes jeux sont récupérés sur firgirlrepack ou skidrowreloaded (si ça peut vous donner des pistes).

- Concernant la RAM c'est 2x16 + 2x8 (Total 48). La mémoire est gérée automatiquement par le système (concernant le fichier d'échange si c'est de ça qu'on parle).

- L'infection est contenu dans cet executable : hxxps://www.mediafire.com/ [Effacé par modo]

[Parisien_entraide]

Tu n'as pas compris... Cheat engine qu'il soit lancé OU PAS, "peut" être détecté par certains anti cheats de programme liés à des jeux (multi)

Je ne vais pas donner de détails sur le fonctionnement des anti cheats, mais certains ne se contentent pas de regarder ce qui traine en mémoire, ou ce qui est modifié dans un jeu
De plus de temps à autre, le curseur de détection peut etre relevé sur les anti cheats à la demande d'un éditeur ou en fonction d'un nouveau cheat


Le problème de l'espace disque ne pourra être résolu qu'après désinfection (cas échéant si il y quelque chose)

Pour les sites indiqués... 100% des gens qui sont passés sur le forum étaient infectés du fait de programmes et jeux récupérés sur ces sites

Normal, les gens sont naifs (en fait en partie parce que ce qui prime c'est de récupérer un jeu ou un programme et le commentaire ne devient alors que secondaire vu qu'ils sont dans un effet tunnel) et sont rassurés par de faux témoignages et commentaires sur le fait que tel ou tel jeu ou programme est "clean"

En plus je pense que Roguekiller a du nettoyer pas mal de choses : utorrent, le KMS etc mais pour le fichier hosts,pour l'un des sites normalement il y a des inscriptions dans le fichier hosts qui là n'apparaissent pas

Lis bien le lien que j'ai indiqué sur les nouveaux malwares de type stealer et les conséquences

Ps pour le launcher, je suis obligé de désactiver l'AV car il est de suite reconnu comme infecté.
Tu as du virer des protections du PC ou alors c'était déjà le cas du fait de la faute d'autres programmes ou jeux crackés puisque les infections actuelles désactivent l'AV en place et/ou certaines fonctions
Ce qui fait que par la suite tout rentre comme dans du beurre


Edit : En plus Microsoft ne le détecte pas


C'est considéré comme un stealer

https://www.malekal.com/trojan-stealer/

donc après désinfection si il reste une trace ce qui n'est pas dit, vu qu'ils ont tendance à s'auto détruire ensuite, il te restera à réinitialiser les navigateurs, changer les login et mots de passe de sites, de comptes de jeux, etc car tout a été volé (il y a en plus un enregistreur de frappes sur ce trojan)
Idem si tu utilises ta carte bancaire sur internet (faire opposition et à changer à la banque)

De plus si tu as des documents etc tout ce qui peut peut trainer sur le disque et qui peut t'identifier.. C'est parti et cela pourra servir au mieux pour du phishing,(ca sera déjà le cas si tu as un mail que tu consultes de l'ordinateur) mais au pire pour de l'usurpation d'identité

Détrecté en tant que (cela change suivant les éditeurs, mais les noms sont indicatifs à la racine)

HEUR:Trojan-PSW.Win32.Doenerium.gen
ou
TR/Redcap.rdzjz

Soulfus Launcher.exe//$PLUGINSDIR\app-32.7z//resources/app.asar//node_modules\boukiapi\bin\win32-ia32-114

https://www.virustotal.com/gui/file/1eb ... dda5abed50

https://www.joesandbox.com/analysis/1276309/0/html

2023-07-20_170516.png

[angelique]

re upload sur pjjoint le rapport frst.txt , fourni le lien car j'ai une page blanche.

[Exdria]

Bonsoir, je vous renvoie le lien FRST du coup :

- https://pjjoint.malekal.com/files.php?i ... 15n6f7b7w7 (FRST)

Merci pour votre implication, concernant ton message (même s'il me semble un peu moralisateur ce que je comprends par ailleurs), je prend bon note des recommandation que tu soulignes et te remercie pour le temps que tu passes sur la question !

[Parisien_entraide]

ZHP, Roguerkiller, Spybot...

A lire : https://www.malekal.com/adwcleaner-zhpc ... habitudes/

Sinon tu peux m'expliquer ce qui est moralisateur ?

[angelique]

Rien de particulier sur tes rapports

A supprimer:

2023-07-19 13:00 - 2023-07-19 13:00 - 000000000 ____D C:\Users\ISA\AppData\Roaming\qwakdpwvvrrhdbsj

2022-12-15 13:40 - 2022-12-15 13:40 - 000000218 _____ () C:\Users\ISA\AppData\Local\recently-used.xbel

Mettre à jour ta Plate-forme: Microsoft Windows 11 Professionnel Version 21H2 vers 22H2

[Exdria]

Bonjour,

Merci pour votre retour, j'ai supprimé les deux choses que tu avais souligné (un fichier et un dossier), par ailleurs il m'est impossible de faire la MaJ de Windows vers 21H2 (Windows Update ne trouve rien).

Pour le cas du mot moralisateur il vient d'une surinterprétation de ma part, n'y prête pas attention Parisien désolé ! (Tu m'as encore envoyé un pavé de lecture pour le coup instructif, je fait parti de ces gens là qui ont cette mauvaise habitude de faire environ une fois par mois un balayage avec ADWCleaner par pur esprit de paranoïa).

[Parisien_entraide]

Bonjour

Vu les outils passés et surtout le fait que les stealer volent les données et effacent leurs traces il ne reste que des scories
Néanmoins tes données sont dans la nature donc changes tes mots de passe de sites de comptes de jeux etc et

réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

Edit :

Pour la mise à jour de windows.. surtout si pas proposé, c'est qu'il y a une raison
Il faut savoir déjà si le PC rempli les conditions avec cet outil

https://www.malekal.com/verifier-si-vot ... hyNotWin11

[Exdria]

Bonjour,

J'ai réinitialiser mes navigateurs du coup (Opera GX pour ma part) et je comprends mieux pourquoi je n'ai pas la mise à jour proposé, s'il y a une bonne raison derrière je ne vais pas la forcer !

Je suppose que nous en avons terminé avec le nettoyage de l'infection, si je peux me permettre d'abuser encore un peu de votre gentillesse peut-on du coup faire quelque chose concernant la libération de l'espace disque ? (Je tends à supposer qu'une multitude de fichiers résiduelles sont la cause d'un espace disque faible à travers le temps).

Merci encore pour tout le temps consacré à mes problèmes !

[Parisien_entraide]

Vu qu'il n'y a pas assez de place pour installer quoi que ce soit commence par réduire la taille du fichier d'échange (mémoire virtuelle) et tu lui donnes une taille fixe
Vu la RAM dont tu disposes, dans un premier temps 8Go devrait suffire LARGEMENT
https://www.malekal.com/pagefile-sys-sw ... e-windows/

Et https://www.malekal.com/quelle-taille-a ... e-windows/

En se rappelant que ce que propose Microsoft n'est qu'indicatif (les valeurs X fois la RAM etc)
Donc pour l'instant, tant qu'il n'y a pas de traitement d'images via ADOBE etc en RAW et en 4K, cela ne sert à rien d'"avoir plus de 8Go sans compter que ces programmes ont leur propre gestion de la mémoire virtuelle