Menu

Trojan : Skype envoi de liens [Résolu/Fermé]

-
Bonjour,
Très récemment (hier pour ne rien vous cacher) j'ai cliqué sur un lien qu'un contact que je vois souvent m'a envoyé. Il m'a certifié qu'il n'y avait aucun risque (forcément) et je suis bien évidemment tombé dans le panneau... Le programme à prit le contrôle de mon compte pour se diffuser. Et pour je ne sais quelle raison, lorsque le programme se met en route, un message d'erreur apparaît, indiquant notamment le dossier dans lequel il se trouve. J'y suis donc allé pour supprimer les fichiers. 2ème problème: certains fichiers ne peuvent pas être supprimés car ils sont soit disant utilisé par des applications en cours; applications que je ne peux pas fermer (elles n'apparaissent pas dans le gestionnaire des tâches, ou alors se disent supprimées alors qu'elles viennent d’apparaître sous mes yeux, ou encore sont exécutés dans les fins fonds de windows). Pour finir, lorsque j'arrive à supprimer les programmes, d'autres se créer à leur tour et mon anti-virus (windows defender) crash dès que je le démarre, et ce depuis l'incident. J'ai déjà essayé tout ce qui est malawarebytes et autres. Rien ne marche :/ Aussi ai-je oublié de préciser que je suis sous windows 8.

Je vous remercie d'avance !
Afficher la suite 

8 réponses

Messages postés
161818
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
18 janvier 2019
20793
0
Merci
salut

Suis le tutoriel FRST http://www.malekal.com/2013/06/15/tutorial-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

--
0
Merci
Voici le FRST.txt: http://pjjoint.malekal.com/files.php?id=FRST_20160619_y5u12e12z5q8

Et le Addition.txt: http://pjjoint.malekal.com/files.php?id=20160619_j14q9j6q12m11
0
Merci
Je crois qu'il y a des infos perso. L'accès au doc ou sujet pourra-t-il etre restreint svp ? Merci
Messages postés
161818
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
18 janvier 2019
20793
0
Merci
Le PC est infecté.
Si tu as le lien qui donne l'infection, je suis preneur.

Suis ces deux étapes.

1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
Task: {33941F95-166E-4F91-900C-0BE88EE5773C} - System32\Tasks\Sunrise => C:\Windows\TEMP\CUpdater\s1uk..exe <==== ATTENTION
Task: {BC06A613-7442-4800-905E-92304D6F479D} - System32\Tasks\TigerBrowser => c:\programdata\{4379c105-316b-1104-4379-9c1053160414}\fsm_peecon_cargo_62000.zip.exe <==== ATTENTION
HKU\S-1-5-21-1969263910-845468888-3516102942-1002\...\Run: [Microsoft Windows Manager] => C:\Users\Guillaume TIBOULOT\M-50504038583920495930930302040\winmgr.exe [138672 2016-06-18] ()
FF Extension: Its Results Hub - C:\Users\Guillaume TIBOULOT\AppData\Roaming\Mozilla\Firefox\Profiles\26ualzqo.default-1439657276721\Extensions\{c4fd8898-22c4-48a7-8c53-822c41a95576}.xpi [2015-08-15] [non signé]
16-06-18 19:42 - 2016-06-18 19:42 - 00000000 _RSHD C:\Users\Guillaume TIBOULOT\M-50504038583920495930930302040
2016-06-18 18:05 - 2016-06-18 18:05 - 00000000 _RSHD C:\Users\Guillaume TIBOULOT\M-505025040595245060302955264930302040


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

2/

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
0
Merci
mais le lien varie de personne en personne
0
Merci
Voilà j'ai terminé la manip ! Y a t-il autre chose à faire ? '.'
Messages postés
161818
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
18 janvier 2019
20793
0
Merci
C'est SnK et son Trojan.Phorpiex, ça fait juste depuis 2006/2007, qu'il fait ça : Backdoor IRC (snk) se propage par Skype (Win32.Phorpiex).

Outre le fait que tu clics sur des liens, sans trop savoir... bon tu t'es fait avoir par le coup de l'image double extension.
Tu as Windows Defender qui est une passoire.

La backdoor est bien détectée et même par les gratuits.

SHA256: 38cb98bf4feff8a9691e12029594e934bba8e53128e5c7636f67ab9cef837f69
File name: IMG0525040502016-JPEG.www.facebook.com.com
Detection ratio: 14 / 55
Analysis date: 2016-06-19 10:07:05 UTC ( 15 minutes ago )

Antivirus Result Update
AVG MSIL10.ACXR 20160619
AegisLab Uds.Dangerousobject.Multi!c 20160619
Avast MSIL:GenMalicious-FBK [Trj] 20160619
Avira (no cloud) TR/Dropper.MSIL.ijbn 20160619
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160618
ESET-NOD32 a variant of MSIL/Injector.PON 20160619
Fortinet W32/IRCBot.AIUZ!tr 20160619
GData Win32.Worm.Phorpiex.BPQWWL 20160619
Ikarus Trojan.MSIL.Inject 20160619
Kaspersky Trojan.Win32.IRCbot.aiuz 20160619
McAfee Artemis!B7CDD73C70AE 20160619
McAfee-GW-Edition Artemis 20160619
Qihoo-360 HEUR/QVM03.0.0000.Malware.Gen 20160619
Sophos Mal/Generic-S 20160619


~~

Change tous tes mots de passe.

Installe Avast!, active surtout les détections LPI pour détecter les programmes parasites et publicitaires.
Fais un scan complet avec.

Veuillez appuyer sur une touche pour continuer la désinfection...
0
Merci
"C'est SnK et son Trojan.Phorpiex, ça fait juste depuis 2006/2007, qu'il fait ça.

Backdoor IRC (snk) se propage par Skype (Win32.Phorpiex).

Outre le fait que tu clics sur des liens, sans trop savoir... bon tu t'es fait avoir par le coup de l'image double extension."


Le pire dans tout ça c'est que je me doutais bien que c'était un virus. Mais la curiosité est un bien vilain défaut ;D Je te remercie beaucoup pour ton aide et ton efficacité !
Malekal_morte-
Messages postés
161818
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
18 janvier 2019
20793 -
Pas bien, mets Avast! et change bien tous tes mots de passe :)
je suis en train de finaliser tout ça même si la plus part n'ont pas une grande importance :3
Malekal_morte-
Messages postés
161818
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
18 janvier 2019
20793 > Azguendare -
ça roule :))