Forum d'Entraide Informatique (FEI)

Site d'assistance et de sécurité informatique
https://www.forum-entraide-informatique.com/support/

piratage PC Trojan !

https://www.forum-entraide-informatique.com/support/viewtopic.php?f=3&t=32679

Page 1 sur 1

piratage PC Trojan !

Posté : dim. 7 août 2022 19:49
par Michel79
bonjour voila plus d'une semaine que je me bats contre un piratge de mon pc fixe (monté par mes soins) tout y passe mon paypal , amazon , mes logiciel de jeux steam battlenet......

et windows me detècte un logiciel malveillant !

Trojan:Win32/Sabsik.FL.B!ml
C:\Users\WAR-machine\AppData\Local\Temp\Loader.exe
Trojan:Win32/Binrop.A
containerfile: F:\Remember Me - [FLT]\flt-reme.iso
file: F:\Remember Me - [FLT]\flt-reme.iso->setup.exe

j'ai passé anti-malxare rebit rien
j'ai passé Rogue killer rien !

I need your help !!

Re: piratage PC Trojan !

Posté : dim. 7 août 2022 20:02
par did80
Bonjour,

Je m'appelle Didier et je vais tenter de résoudre votre problème.

Pourriez vous suivre les consignes du lien ci dessous. Prendre le temps de bien lire

https://forum.pcastuces.com/procedure_a ... f26s60.htm

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection


Fournir les rapports au format.txt

Je vais te prendre en charge, n'effectue que les procédures demandées
et ne télécharge rien d'autre pouvant fausser mon analyse.

En dehors du forum, j'ai une vie privée, je ne pourrais te répondre de suite. Soit patient

PS Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports au format .txt ( impératif) avec l'aide de CJoint, cochez Privée et 21 jours.
je ferai désinstaller les outils en fin de désinfection. Ne pas désinstaller antérieurement Merci.

Re: piratage PC Trojan !

Posté : dim. 7 août 2022 20:10
par Michel79
Merci d'avance pour ton temps !!

j'ai regardé un cas quelque peu similaire sur la section désinfection et j'ai déja installé farbar !!

Ai-je bien fait ?

Re: piratage PC Trojan !

Posté : dim. 7 août 2022 20:13
par Michel79
https://www.cjoint.com/c/LHhskPyVvIM
https://www.cjoint.com/c/LHhsmzcPgXM
https://www.cjoint.com/c/LHhsm6rhFsM

Re: piratage PC Trojan !

Posté : dim. 7 août 2022 20:24
par Michel79
ZHPsuite :

https://www.cjoint.com/c/LHhsyRwMYsM

Re: piratage PC Trojan !

Posté : lun. 8 août 2022 11:11
par did80
:bonjour: je t'ai fait un premier script

Lance Farbar

Image

Copies les lignes suivantes dans le cadre rouge

start::
CloseProcesses:
CreateRestorePoint:
StartRegedit:
Windows Registry Editor Version 5.00
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
@=""
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]
[-HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
@=""
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]
EndRegedit:
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [482]
AlternateDataStreams: C:\Users\WAR-machine\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\WAR-machine\Application Data:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
AlternateDataStreams: C:\Users\WAR-machine\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\WAR-machine\AppData\Roaming:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
FirewallRules: [UDP Query User{C7F1696A-42DF-470F-88E5-55DFA81C696D}F:\call of duty black ops 4\blackops4.exe] => (Allow) F:\call of duty black ops 4\blackops4.exe => Pas de fichier
FirewallRules: [TCP Query User{978C0403-5166-4D7E-9915-8CE9651C0270}F:\call of duty black ops 4\blackops4.exe] => (Allow) F:\call of duty black ops 4\blackops4.exe => Pas de fichier
FirewallRules: [UDP Query User{B3DEF8B5-CA78-46C9-91AF-F8654CA7E25B}C:\users\war-machine\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\war-machine\appdata\local\akamai\netsession_win.exe => Pas de fichier
FirewallRules: [TCP Query User{878C3514-7E83-4BE5-87ED-28DF404ADC9A}C:\users\war-machine\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\war-machine\appdata\local\akamai\netsession_win.exe => Pas de fichier
FirewallRules: [UDP Query User{26F7A2B4-9DF3-4CB2-94DB-781C8D7FEE92}D:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) D:\program files (x86)\origin games\apex\r5apex.exe => Pas de fichier
FirewallRules: [{AD30FE4B-7198-40B5-A3BF-A65007A43EC9}] => (Allow) D:\Program Files (x86)\Origin Games\Battlefield 1\bf1Trial.exe => Pas de fichier
FirewallRules: [{A7AF3111-55CB-4451-80AD-0D7A5C4F8C22}] => (Allow) D:\Program Files (x86)\Origin Games\Battlefield 1\bf1Trial.exe => Pas de fichier
FirewallRules: [{A153934C-9D2D-40E9-B9FE-84463C041475}] => (Allow) D:\Program Files (x86)\Origin Games\Battlefield 1\bf1.exe => Pas de fichier
FirewallRules: [{133A4ACC-1221-4461-BCC3-8309EFA5DE7F}] => (Allow) D:\Program Files (x86)\Origin Games\Battlefield 1\bf1.exe => Pas de fichier
FirewallRules: [{F442ECC1-F72C-40D4-B054-C73A6D97C156}] => (Allow) D:\Program Files (x86)\Origin Games\Apex\EasyAntiCheat_launcher.exe => Pas de fichier
FirewallRules: [{4BB40742-424F-4CA0-8163-885EE7C9AC8A}] => (Allow) D:\Program Files (x86)\Origin Games\Apex\EasyAntiCheat_launcher.exe => Pas de fichier
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {47ac108d-e513-11ec-85e0-309c233f80dd} - "I:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {47ac1379-e513-11ec-85e0-309c233f80dd} - "I:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {68ab06a2-6af4-11ea-8549-309c233f80dd} - "J:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {7635f109-65fe-11eb-8596-309c233f80dd} - "J:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {7635feb9-65fe-11eb-8596-309c233f80dd} - "I:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1838690694-512489730-1734529554-1000\...\MountPoints2: {c0eebbcd-610f-11eb-8596-309c233f80dd} - "J:\HiSuiteDownLoader.exe"
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
DeleteValue: HKEY_USERS\S-1-5-21-1838690694-512489730-1734529554-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
DeleteKey: HKEY_USERS\.DEFAULT\Software\Lavasoft\Web Companion
DeleteKey: HKEY_USERS\S-1-5-18\Software\Lavasoft\Web Companion
DeleteKey: HKU\S-1-5-21-1838690694-512489730-1734529554-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
DeleteKey: HKCU\Software\Lavasoft\Web Companion
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Lavasoft\Web Companion
DeleteKey: HKLM\SOFTWARE\Lavasoft\Web Companion
DeleteKey: HKLM\SOFTWARE\029c4619-0385-5543-9426-46f9987161d9
DeleteKey: HKLM\SOFTWARE\da60f423-202e-5908-a438-cd6fbbc819c8
DeleteKey: HKLM\SOFTWARE\WOW6432Node\da60f423-202e-5908-a438-cd6fbbc819c8
DeleteKey: HKCU\SOFTWARE\da60f423-202e-5908-a438-cd6fbbc819c8
DeleteKey: HKU\S-1-5-21-1838690694-512489730-1734529554-1000\SOFTWARE\da60f423-202e-5908-a438-cd6fbbc819c8
C:\Users\WAR-machine\AppData\LocalLow\Company
C:\Users\WAR-machine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserDefender
C:\Users\WAR-machine\AppData\LocalLow\IObit\Advanced SystemCare V8
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
Endbatch:
EmptyTemp:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
end::

Corrige et heberge le rapport fixlog

@+

Re: piratage PC Trojan !

Posté : lun. 8 août 2022 13:07
par Michel79
Super merci pour ton temps , je le fais après le taf !!

Re: piratage PC Trojan !

Posté : lun. 8 août 2022 16:43
par Michel79
Fixlog:

https://www.cjoint.com/c/LHioQntNGuM

:super:

Re: piratage PC Trojan !

Posté : lun. 8 août 2022 17:56
par did80
:super:

on continue


Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://nicolascoolman.eu/download/tele ... r-gratuit/


Faire un click droit sur zhpcleaner


execute le en tant qu'administrateur

1/ ouvrir les options et tout cocher

Image



Image


Mode Scanner





Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

ZHPCleaner (S).txt ---> Pour le rapport de Scan (Recherche)


héberger le rapport sur www.cjoint.com/ si volumineux

@+

Re: piratage PC Trojan !

Posté : lun. 8 août 2022 18:16
par Michel79
#jesuisunboulet !

Je n'arrive pas DL le logiciel !!

:reflexion: :oops:

Re: piratage PC Trojan !

Posté : lun. 8 août 2022 18:21
par did80
le lien merdoie

prend le ici

https://www.pcastuces.com/logitheque/zhpcleaner.htm

Re: piratage PC Trojan !

Posté : lun. 8 août 2022 18:31
par Michel79
:super:

Re: piratage PC Trojan !

Posté : lun. 8 août 2022 18:40
par Michel79
Voilà !

https://www.cjoint.com/c/LHiqNACHmOM

:super:

Re: piratage PC Trojan !

Posté : lun. 8 août 2022 18:45
par did80
relance zhpcleaner

après le scan cliques sur le bouton Nettoyer

héberge moi le rapport après suppression

Re: piratage PC Trojan !

Posté : lun. 8 août 2022 18:57
par Michel79
https://www.cjoint.com/c/LHiq5pu6OeM

:super:

Re: piratage PC Trojan !

Posté : lun. 8 août 2022 19:49
par did80
Image

Télécharger kapersky removal tool

https://support.kaspersky.com/fr/viruses/kvrt2015#kb

mettre sur le bureau KVRT.exe

désactiver l'antivirus

executer en mode administrateur le fichier kvrt
https://forum.pcastuces.com/img3/da209c ... 6eeae6.png




accepter les conditions d'utilisation

parametrer


Image

lancer le scan

Image

Scanner

Image


Si des menaces ont été détectées lors de l'analyse, une notification s'affichera sur l'écran vous invitant à choisir des actions à exécuter.

Image

Delete : Supprimer le fichier

Quarantine : place le fichier en quarantaine.

Clique sur le bouton Continue

@+

Re: piratage PC Trojan !

Posté : lun. 8 août 2022 21:20
par Michel79
Rien de trouvé avec le logiciel !

:reflexion:

Re: piratage PC Trojan !

Posté : mar. 9 août 2022 11:49
par did80
:bonjour:

comment va la machine?

Re: piratage PC Trojan !

Posté : mar. 9 août 2022 18:30
par Michel79
:super: :super: :super: :super: :super: :super: :super: :super:

un grand merci !!!

Re: piratage PC Trojan !

Posté : mar. 9 août 2022 18:53
par did80
:super:

ceci alors

KpRm (de Kernel-panik)

· Téléchargez sur le bureau


KPRM ICI

· Désactivez temporairement l’ antivirus

· Lancez l'exécution par clic-droit -> Exécuter en tant qu'administrateur

· Cochez les cases suivantes :

o Supprimer les outils
o Créer un point de restauration
o Supprimer dans 7 jours

Image


· Cliquez sur [Exécuter]...
· Un rapport kprm-aaaammjj.txt se trouve sur le bureau
· Hébergez le rapport sur Cjoint
· Donnez le lien créé dans votre réponse.

Re: piratage PC Trojan !

Posté : mar. 9 août 2022 20:50
par Michel79
Voilà !

https://www.cjoint.com/c/LHjsYvBxmVM

Re: piratage PC Trojan !

Posté : mer. 10 août 2022 13:01
par did80
:bonjour: :super:

Parfait bonne suite

je clôture
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/