Trojan:Win32

Trojan:Win32 et plus particulièrement Trojan:Win32/ est le suffixe utiliser dans les détections Microsoft.
Ceci nous informe donc qu’il s’agit d’une menace malveillance de type Trojan et Win32 qui s’attaque au système d’exploitation Windows.
Microsoft utilise aussi les préfixes Backdoor:Win32 et Worm:Win32 pour d’autres types de menaces.
Dans la détection se trouve après le / le nom de la famille du malware détecté, par exemple : Trojan: Win32/Rundas Trojan: Win32/Maltule

Si Windows Defender émet une alerte Trojan:Win32, deux cas de figure se présente :

  • Vous avez tenté d’ouvrir un fichier malicieux et Windows Defender a détecté et bloqué le malware. Windows n’est pas infecté, aucun malware n’est actif.
  • Vous avez procédé à une analyse de l’ordinateur et Trojan:Win32 a été détecté dans un fichier. Il est alors possible qu’un malware soit actif dans l’ordinateur.

Voici un exemple de détecté Trojan:Win32

Trojan_Win32

Les virus comme Trojan:Win32 permettent d’effectuer toute sorte de chose, comme voler les mots de passe, permettent de contrôler l’ordinateur à distance,utiliser l’ordinateur pour envoyer des mails de spams, télécharger et installer de nouveaux malwares, etc.

Si Windows Defender a émis une alerte Trojan:Win32,vous pouvez suivre la procédure de désinfection et de contrôle proposée dans ce guide.
Cette procédure est entièrement gratuite et sans arnaque et vous permet d’avoir un contre avis avec deux logiciels de désinfection gratuits et performant.
En outre, nous vous donnons à la fin de la procédure de désinfection, un lien vers un forum d’entraide, si vous désirez faire analyser votre ordinateur par un professionnel gratuitement.

Continue reading “Trojan:Win32” »

SysinfY2X

SysinfY2X est le nom d’un fichier qui se place dans le dossier temporaire de l’ordinateur et qui est lié à des infections amovibles.
SysinfY2X est un script VBS (Microsoft Visual Basic Scripting Edition).
Ces menaces visent les médias amovibles et vont remplacer le contenu par des raccourcis qui vont pointer sur le malware.
Une fois inséré sur l’ordinateur, lorsque l’utilisateur va double-cliquer sur ces raccourcis pensant ouvrir ses documents, il va installer l’infection sur le système.
Les malwares de ce type se propagent d’ordinateurs à ordinateurs de cette manière et sont communément appelés « virus USB raccourcis ».

Ces infections VBS USB permettent de télécharger et installer de nouveaux malwares sur l’ordinateur.

Afin de se lancer au démarrage de l’ordinateur pour être ensuite actif dans le système, SysinfY2X créé une clef RUN comme ci-dessous

HKU\S-1-5-21-1417001333-2052111302-2146970891-1003\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript  /e:VBScript.Encode

Si vous souhaitez désinfecter votre ordinateur contre les SysinfY2X, nous vous proposons de suivre la procédure de désinfection suivante.
Cette procédure est complètement gratuite et ne met pas en avant de programmes payants.
Celle-ci et très généraliste, afin de supprimer tous les malwares installés dans l’ordinateur et s’assurer que plus aucun malware n’est actif.
En outre, nous vous fournissons un lien vers un forum d’entraide, si vous désirez obtenir une aide personnalisée.

Comment supprimer SysinfY2X ?

Continue reading “SysinfY2X” »

HEUR/Suspar.Gen

HEUR/Suspar.Gen est une détection heuristique de l’antivirus Avira Antivir.
Voici une exemple de ces détections HEUR/Suspar.gen qui proviennent de zips malicieux reçus par email.

Antivir_HEUR_SUSPAR

Voici un exemple des campagnes d’emails malicieux, il s’agit de campagne du ransomware Locky.
Comme vous pouvez le voir, ces emails sont identiques et en langue anglaise, bien que parfois, elles peuvent être en français.
Tous ces emails contiennent un zip.
En tentant d’ouvrir ces derniers, vous aurez une alerte HEUR/Suspar.Gen

Antivir_HEUR_SUSPAR_mail_malicieux_3 Antivir_HEUR_SUSPAR_mail_malicieux_2 Antivir_HEUR_SUSPAR_mail_malicieux

Ces détections HEUR/Suspar.Gen peuvent être donnés sur vos emails, dans ce cas précis, vous devez nettoyer tous les SPAMS et supprimer tous les emails malicieux.
Antivir ne devrait plus alors donner des alertes HEUR/Suspar.Gen.

Si néanmoins, vous désirez effectuer une vérification intégrale de l’ordinateur contre les malwares.
Vous pouvez suivre cette procédure gratuit.

Continue reading “HEUR/Suspar.Gen” »

PossibleHostsFileHijack

SettingsModifier:Win32/PossibleHostsFileHijack est une détection de Microsoft dont de l’antivirus Microsoft Security Essentials ou Windows Defender qui correspond à une modification du fichier HOSTS de Windows.
En terme informatique, on parle d’Hijack car il s’agit d’une modification non souhaitée.
Voici un exemple d’une détection SettingsModifier:Win32/PossibleHostsFileHijack :

SettingsModifier_Win32_PossibleHostsFileHijack

En général, le Hijack du fichier HOSTS de Windows vise deux but :

  • soit l’ajout d’adresse de sécurité pour empêcher la consultation de site d’antivirus ou de forum de sécurité par un Trojan ou la mise à jour de l’antivirus.
  • soit opérer des redirections vers des sites connus comme Google, Facebook etc pour effectuer phishing ou charger des publicités.

Par exemple ci-dessous, ce fichier HOSTS a été modifié pour effectuer des redirections sur des adresses Google et Faceboo afin de charger des publicités Albireo :

SettingsModifier_Win32_PossibleHostsFileHijack_2

La vidéo suivante vous montre comment ces publicités Albireo s’ouvrent durant le surf à cause de cette modification du fichier HOSTS :

Si Microsoft émet une alerte SettingsModifier:Win32/PossibleHostsFileHijack, il est donc fort probable qu’un Trojan ou un adware soit actif sur l’ordinateur.
Nous vous recommandons donc de suivre cette procédure de désinfection gratuite.
Nous vous fournissons aussi le lien vers un forum d’entraide et de sécurité en cas de questions.

Continue reading “PossibleHostsFileHijack” »

Win32/Spatet

Win32/Spatet est un trojan de type RAT (Remote Access Tool) qui permet donc de prendre le contrôle de l’ordinateur infecté.
La détection Win32/Spatet.A est donnée par l’antivirus NOD32.
Rien de vraiment extraordinaire avec ce Trojan puisque ce dernier se charge au démarrage avec une clef RunOnce pointant, dans le cas observé, vers un fichier plugin.exe se trouvant dans le dossier temporaire de la session Windows.

HKU\S-1-5-21-861567501-1532298954-1177238915-1004\...\RunOnce: [Adobe Reader] =>
C:\Documents and Settings\Tarlet\Local Settings\temp\plugin.exe

Ces malwares de type RAT sont distribués très souvent sous forme de :

  • Crack / Keygen
  • Programmes de Cheat pour les jeux
  • Vidéo « douteuse » sur les réseaux sociaux.

Les fonctionnalités de Spatet sont assez classiques pour un RAT, on retrouve :

  • Possède des fonctionnalités de keylogger
  • peut effectuer des captures d’écran du bureau,
  • Ouvrir le lecteur CD-Rom ou encore une fenêtre de chat pour « discuter » avec la victime.
  • Faire télécharger et installer de nouveaux malwares.

Ce guide gratuit vous explique comment désinfecter votre ordinateur, supprimer les trojans Spatet.
Pensez une fois la désinfection terminée à changer tous vos mot de passe.

Continue reading “Win32/Spatet” »

HackTool.AutoKMS

HackTool.AutoKMS est une détection de certains antivirus comme Malwarebytes ou programmes de détections comme ZHPDiag qui visent des outils de crack, très souvent d’enregistrement des programmes Microsoft Windows ou Office.

Par exemple, comme le montre la capture ci-dessous, le programme KMSPico peut être détecté en HackTool.AutoKMS ci-dessous par Malwarebytes
Hacktool_AutoKMS

même chose pour Microsoft Security Essentials avec HackTool:Win32/AutoKMS :

Microsoft_Security_Essentials_Hacktool_AutoKMS

Voici quelques fichiers relatives à des potentielles détections HackTool.AutoKMS

C:\WINDOWS\AutoKMS.exe
C:\WINDOWS\KMService.exe
C:\WINDOWS\Tasks\AutoKMS.job
C:\Windows\AutoKMS\AutoKMS.exe
C:\WINDOWS\AutoKMS.ini [135]
C:\Windows\KMSEmulator.exe

Ces programmes ne sont pas vraiment malicieux, ces programmes de crack peuvent s’appuyer sur des outils de hacks qui peuvent effectivement être utilisés par certains à mauvais escient.
Les antivirus classent donc des ces potentielles menaces en HackTool ou parfois RiskTools.
Mais ce ne sont pas des virus, trojans ou autres qui permettent le contrôle de l’ordinateur.

kmspico_hacktool_KMS

Si votre antivirus génère des détections HackTool.AutoKMS et qu’il s’agit de programme comme KMSPico, vous pouvez les ignore et placer les fichiers en exception afin que l’antivirus ne les re-détecte plus dans le futur.
Si néanmoins, vous désirez effectuer une vérification de l’ordinateur et désinfecter ce dernier avec une procédure standard et gratuite, nous vous invitons à suivre le guide suivant.

Continue reading “HackTool.AutoKMS” »

svchost.exe

svchost.exe est un processus légitime de Windows qui gère le fonctionnement de certains services de Windows.
svchost.exe est localisé dans le dossier C:\Windows\system32\svchost.exe – pour tout autre localisation, à coup sûr, vous avez affaire à un malware qui tente de se faire passerp our le processus légitime de Windows. Beaucoup de Trojan RATs tentent de se dissimuler de cette manière.

Lorsque vous ouvrez le gestionnaire de tâches, vous pouvez constater plusieurs svchost.exe démarrés, ceci est tout à fait normal, puisqu’il existe plusieurs instances de svchost.exe par groupe de services Windows.
Sachez qu’une utilisation anormale de la mémoire par svchost.exe n’est pas forcément synonyme d’infection générale de Windows, pour ces cas précis, vous pouvez suivre la FAQ suivante : svchost.exe et utilisation CPU excessive (100% CPU)

svchost_exe_virus_gestionnaire_taches

svchost.exe peut aussi établir des connexions distances qui sont aussi nécessaires au fonctionnement de certains services, soit en contactant un ordinateur sur le LAN, notamment dans le cas d’un domaine Windows, soit un serveur sur internet.

svchost.exe est aussi un des processus les plus attaqués lorsque l’ordinateur est infecté et notamment par des Trojan.Injector. Le but de ces malwares est de lancer une instance de svchost.exe, d’en prendre le contrôler et utiliser ce dernier pour effectuer des connexions distances nécessaires au fonctionnement du virus.
Si un pare-feu est installé qui autorise les connexions pour le processus svchost.exe, le virus pourra donc se connecter sans éveiller les soupçons.

Ci-dessous, par exemple, Malwarebytes Anti-Malware qui émet une alerte de connexion malveillante pour le processus svchost.exe

svchost_exe_virus

Si vous pensez que svchost.exe est utilisé à des fins malveillante et par un virus, vous pouvez suivre la procédure standard suivante.
Nous fournissons aussi à la fin de cette procédure de désinfection, un lien vers un forum d’entraide informatique où des spécialises peuvent aussi diagnostiquer si l’ordinateur est infecté ou non.

Continue reading “svchost.exe” »

Woordeezy

Woordeezy est une famille de Trojan qui se propage par médias amovibles écrit en VBS (Microsoft Visual Basic Scripting Edition).
Il s’agit aussi d’une détection de l’antivirus Avira Antivir.
Il s’agit donc d’une variante d’un VBS/Autorun.

Voici un exemple donc de détection VBS/Woobeezy dans un fichier Microsoft Word.WsF

Antivir_Trojan_Woordeezy

Dans le cas observé, ce Trojan Woordezy se charge au lancement de Windows à partir d’une clef RUN et se cache dans un fichier .WsF

HKU\S-1-5-21-4122244407-1677882124-2242651390-1001\...\Run: [Microsoft Word] =>
wscript.exe //B C:\Users\Xavier\AppData\Roaming\Microsoft Office\\Microsoft Word.WsF 
HKLM\...\Run: [Microsoft Word] => wscript.exe //B
C:\Users\Xavier\AppData\Roaming\Microsoft Office\\Microsoft Word.WsF

Une fois l’ordinateur infecté, ce trojan VBS va se copier dans le médias amovibles et remplacer les documents par des raccourcis qui vont pointer sur le fichier malicieux.
Lorsque vous allez utiliser la clef USB sur un nouvel ordinateur, en double-cliquant sur ces raccourcis malicieux, croyant ouvrir vos documents, vous installez Woordezy sur l’ordinateur.
Le malware Woordezy se propage ainsi d’ordinateurs à ordinateurs.
On peut donc assimiler aussi cette infection à un virus raccourcis USB.

Pour nettoyer votre ordinateur, vous pouvez suivre la procédure gratuite suivante.
Vous devez dans un premier temps désinfecter l’ordinateur puis nettoyez vos médias amovibles à l’aide des outils gratuits proposés dans cette fiche.

Continue reading “Woordeezy” »

VBS:Malware-gen

VBS:Malware-gen est le nom générique pour désigner des malwares de type VBS (Microsoft Visual Basic Scripting Edition) par l’éditeur d’antivirus Avast!.
Ces menaces visent les médias amovibles et vont remplacer le contenu par des raccourcis qui vont pointer sur le malware.
Une fois inséré sur l’ordinateur, lorsque l’utilisateur va double-cliquer sur ces raccourcis pensant ouvrir ses documents, il va installer l’infection sur le système.
Les malwares de ce type se propagent d’ordinateurs à ordinateurs de cette manière.

Ces infections VBS USB permettent de télécharger et installer de nouveaux malwares sur l’ordinateur.

Exemple avec Virus.VBS.Crypt (Virus USB Raccourcis) qu’Avast! détecte bien en VBS:Malware-gen

SHA256: 87794b47a262499a58c4949907cb8f917df72853e0f4b0b926892f6aad23b510
Nom du fichier : 87794B47A262499A58C4949907CB8F917DF72853E0F4B0B926892F6AAD23B510.dat
Ratio de détection : 6 / 57
Date d’analyse : 2016-04-08 16:07:13 UTC (il y a 10 minutes)
Antivirus Résultat Mise à jour
AegisLab Worm.Script.Generic!c 20160408
Avast VBS:Malware-gen 20160408
Kaspersky HEUR:Worm.Script.Generic 20160408
Qihoo-360 virus.vbs.crypt.c 20160408
Sophos VBS/Agent-AQXW 20160408
Symantec VBS.Dunihi 20160408

Avast_VBS_malware_gen

Si votre Avast! détecte donc un VBS:Malware-gen, soit vous avez utilisé un média amovibles infecté, soit télécharger un fichier malicieux (par email, depuis un site etc).

Voici un exemple de détection VBS:Malware-gen, ici l’infection est une infection par médias amovibles.

Si vous souhaitez désinfecter votre ordinateur contre les VBS:Malware-gen, nous vous proposons de suivre la procédure de désinfection suivante.
Cette procédure est complètement gratuite et ne met pas en avant de programmes payants.
Celle-ci et très généraliste, afin de supprimer tous les malwares installés dans l’ordinateur et s’assurer que plus aucun malware n’est actif.
En outre, nous vous fournissons un lien vers un forum d’entraide, si vous désirez obtenir une aide personnalisée.

Comment supprimer VBS:Malware-gen ?

Continue reading “VBS:Malware-gen” »

Backdoor.MSIL.Bladabindi

Backdoor.MSIL.Bladabindi est une détection Microsoft qui vise une famille de RAT s’attaquant au système Windows.
RAT est l’acronyme de Remote Access Tool, sous couvert de programme d’administration à distance, ce sont surtout des Trojans et Backdoor qui permettent de contrôler entièrement l’ordinateur de la victime.
Bladabindi est une famille de ces RATs.
Plus d’informations sur ce type de malware, sur la page : Les RAT (Remote Access Tool)

Ces malwares sont propagés souvent à travers de faux téléchargement, souvent sous forme de crack/keygen mis en ligne à travers des vidéos Youtube ou sur des forums de cracks spécialisés.
La victime va télécharger ce crack qui s’avère en réalité être le malware.
Une fois exécuté sur l’ordinateur, si l’antivirus ne détecte pas le Trojan, le PC est alors sous contrôle du pirate.

Voici un exemple de détection Backdoor.MSIL.Bladabindi

Backdoor_MSIL_Bladabindi

Les Backdoor comme Bladabindi permette :

  • de télécharger et exécuter de nouveaux malwares sur l’ordinateur.
  • d’enregistrer les frappes clavier (keylogger).
  • voler les mots de passe des navigateurs WEB et clients FTP.
  • d’effectuer des captures d’écran.
  • ouvrir une fenêtre de chat pour dialoguer avec la victime.

Ces backdoor ne sont pas très sophistiquées, en général, si l’antivirus détecte le fichier malicieux, ce dernier est capable de le supprimer.
En outre, le lancement au démarrage de Windows se fait, en générral, par une simple clef Run ou via le dossier Démarrage (Startup).

Nous vous recommandons de suivre la procédure suivante, qui ne met en avant aucun logiciel payant. Cette fiche de désinfection Bladabindi n’est pas un prétexte pour vous vendre des logiciels payants.
A l’issue de la désinfection de l’ordinateur, nous vous recommandons de changer vos mots de passe.

Continue reading “Backdoor.MSIL.Bladabindi” »

Spyware.Pony

Spyware.Pony est une détection de Malwarebytes Anti-Malware qui correspond à une famille de Trojan Stealer, c’est à dire de malware spécialisé dans le vol de mot de passe et identifiant mais qui permet aussi le contrôle de l’ordinateur infecté visant les systèmes Windows.
Certains éditeurs nomme et détecte cette famille en Trojan.Fareit

Ainsi le pirate pourra :

  • faire télécharger et installer de nouveaux malwares
  • Voler les identifiants et mots de passe pré-enregistrés dans le navigateur WEB.
  • Voler des identifiants FTP stockés dans le client FTP.

Voici un exemple de détection de Spyware.Pony lors d’une analyse par Malwarebytes Anti-Malware.

Spyware_Pony

D’un point de vue technique, le Trojan Pony n’a rien d’extraordinaire, la persistance se fait à partir d’une Clef Run ou Userinit, dans le cas observé :

HKU\S-1-5-21-2568215945-4132293836-1244343729-1000\...\CurrentVersion\Windows: [Load] C:\Users\VincentPC\AppData\Roaming\WinRAR\nvvswc.exe

La distribution est beaucoup à travers des Cracks et Keygen, ce malware étant rarement utilisé de nos jours par des groupes professionnels.
Par exemple, la vidéo Youtube suivante, faisant la promotion d’un crack pour Far Cry, conduit vers un hébergeur et sert de prétexte pour diffuser le Trojan.
Si l’utilisateur lance le crack et que l’antivirus ne détecte rien, Pony est installé et les mots de passe des navigateurs WEB sont subtilisés.
Notez que l’auteur de la vidéo met le lien à jour chaque jour pour éviter que le crack ne soit détecté par les antivirus.

Trojan_Pony_Youtube_Crack

La détection VirusTotal de cette variante Trojan Pony, On trouve beaucoup de détection générique en Trojan/MSIL ou Win32/MSIL.
Notez aussi la détection Tool.PassView qui montre bien que ce trojan est spécialé dans le vol de mot de passe.

SHA256: 17919b3cf34ad115de141225f4fafd11b8377f01f5127b282937564844685bb8
Nom du fichier : tellmeevery.exe
Ratio de détection : 16 / 56
Date d’analyse : 2016-03-31 21:25:31 UTC (il y a 10 heures, 45 minutes)
Antivirus Résultat Mise à jour
AVG MSIL9.CMXL 20160331
AegisLab Msil.Troj.Injector!c 20160331
AhnLab-V3 Trojan/Win32.MSIL 20160330
Cyren W32/MSIL_Injector.CN.gen!Eldorado 20160331
DrWeb Tool.PassView.849 20160331
ESET-NOD32 a variant of MSIL/Injector.ORU 20160331
F-Prot W32/MSIL_Injector.CN.gen!Eldorado 20160331
Fortinet MSIL/Injector.OQR!tr 20160330
GData MSIL.Trojan.Injector.GQ 20160331
Jiangmin Backdoor.MSIL.cxm 20160331
Kaspersky UDS:DangerousObject.Multi.Generic 20160331
Malwarebytes Spyware.Pony 20160331
Panda Trj/GdSda.A 20160331
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160331
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160331
Symantec SAPE.Heur.9C3F7 20160331

 

Continue reading “Spyware.Pony” »

Win32/Gamarue

Win32/Gamarue est un ver de type stealer, c’est à dire qu’il va tenter de voler des identifiants/mot de passe, et toute information susceptible d’être utile et pouvant être vendu sur la marché noir.
Voici ci-dessous une détection de Worm:Win32/Gamarue par Microsoft Defender

Win32_Gamarue

Les méthodes de distribution du trojan Win32/Gamarue sont assez clasiques, on retrouve notamment :

Win32/Gamarue possède aussi ses propres routines de propagation propre, d’où la notion de vers, puisqu’il peut se propager par des médias amovibles.

Gamarue se caractéris par une injection des processus systèmes suivantes, afin d’outrepasser des règles de pare-feu ne détectant pas celles-ci :

  • %SystemRoot%\system32\msiexec.exe
  • %SystemRoot%\system32\svchost.exe
  • %SystemRoot%\system32\wuauclt.exe

Gamarue_injection_svchost_exe

Si la connexion réussie, Windows est sous contrôle, le pirate peut voler des informations et installer de nouveaux malwares.

La persistante du Trojan Gamarue dans Windows se fait à partir d’une simple clef RUN, exemple :

HKU\S-1-5-21-2568215945-4132293836-1244343729-1000\...\Run: [vincentpc@forum.opel-vectra[2].exe] => C:\Users\VincentPC\AppData\Roaming\Mozilla\Firefox\Profiles\imwpk9z1.default\healthreport\vincentpc@forum.opel-vectra[2].exe [206336 2015-06-19] (ДФгф)

La procédure gratuite suivante se base sur des logiciels de désinfection gratuit et devrait vous permettre de supprimer tous les malwares qui tournent sur votre ordinateur.

Après avoir désinfecter votre ordinateur, il conviendra de changer tous vots mots de passe car ces derniers peuvent avoir été récupérés.

Continue reading “Win32/Gamarue” »

VirTool:MSIL/Obfuscator

VirTool:MSIL/Obfuscator est une détection Microsoft pour désigner des packers et méthodes pour cacher des trojans dans des fichiers.
Comme le préfixe MSIL l’indique, ces outils sont écrits en Common Intermediate Language  (.NET) et visent à permettre l’installation de malware sur l’ordinateur sans que les antivirus puissent s’en rendre compte.

Virtool_MSI_Obfuscator

En règle général donc, il s’agit de Trojan.MSIL, la majorité des antivirus génère dont des détections Trojan.MSIL

trojan-msil

Dans la majorité des cas, cette détection correspond à des malwares de type RAT (Remote Access Tools), ces malwares permettent le contrôle de l’ordinateur à distance et le vol de mot de passe à travers des fonctionnalités de keylogger.
Ces malwares sont principalement propagés par des cracks, keygen et cheater ou éventuellement envoyé par des pirates sur Skyke par mail.
Dans notre cas, le malware est proposé à travers une vidéo Youtube d’un crack de jeu avec un lien vers un hébergeur de fichiers.
Voici la détection du malware, on retrouve la détection VirTool:MSIL/Obfuscator :

SHA256: c1558e27ba76e78c77d45363d14b8b1609339e365b41f0e33ab4b1056db52292
Nom du fichier : NrjxjVB.exe
Ratio de détection : 6 / 57
Date d’analyse : 2016-03-29 06:53:56 UTC (il y a 1 heure, 13 minutes)
Antivirus Résultat Mise à jour
AVware Trojan.Win32.Generic.pak!cobra 20160329
Fortinet MSIL/Injector.OBY!tr 20160329
Ikarus Trojan-Dropper.Small 20160329
Microsoft VirTool:MSIL/Obfuscator.AZ 20160329
Qihoo-360 HEUR/QVM03.0.0000.Malware.Gen 20160329
VIPRE Trojan.Win32.Generic.pak!cobra 20160329

Ces VirTool:MSIL/Obfuscator peuvent donc cacher des RATs peuvent être relativement difficiles à éradiquer de l’ordinateur surtout si votre antivirus est incapable de le détecter.

La procédure gratuite suivante se base sur des logiciels de désinfection gratuit et devrait vous permettre de supprimer tous les malwares qui tournent sur votre ordinateur.

Après avoir désinfecter votre ordinateur, il conviendra de changer tous vots mots de passe car ces derniers peuvent avoir été récupérés.

Continue reading “VirTool:MSIL/Obfuscator” »

Downloader.Generic_c

Downloader.Generic_c est une détection de l’antivirus AVG qui désigne des Trojan Downloader, c’est à dire des Trojan qui vont télécharger des malwares et les installer sur Windows.
Comme le nom Generic l’indique, il s’agit d’une détection généraliste qui ne permet pas exactement de savoir à quelle famille de menaces vous êtes confronté.

Dans l’exemple ci-dessous, la détection Cheval de Troie : Downloader.Generic_c se déclenche lors de la tentative d’ouverture d’un fichier Word malicieux contenant une macro qui permet de télécharger et instlaler un malware sur l’ordinateur en l’occurrence le Trojan Dridex.

AVG_Downloader_Generic_c

Si le Trojan Downloader est prévue pour s’installer de manière permanente dans le système, il est alors possible que l’alerte Downloader.Generic_c s’ouvre au démarrage de Windows, dans ce cas précis, une désinfection est nécessaire afin que ces alertes s’arrêtent.
Le bon côté ici est que l’antivirus AVG empêche l’installation complète de l’infection sur l’ordinateur et vous prévient aussi qu’un élément malicieux est actif.

Cette fiche Downloader.Generic_c vous explique comment désinfecter gratuitement votre ordinateur, nous vous conseillons à l’issue de la désinfection de changer tous vos mots de passe, si vous pensez que votre ordinateur a été touché. En effet, ces dernières peuvent avoir été récupérés par les attaquants.

Continue reading “Downloader.Generic_c” »

FileRepMalware

FileRepMalware est une détection de l’antivirus Avast! qui fonctionne un peu comme FileRepMetagen, c’est à dire qu’il s’agit d’une détection du Cloud Avast! Antivirus.
FileRepMalware signifie File Reputation, c’est la réputation de fichiers du Cloud Avast!
Les détections du Cloud ne nécessite pas de mise à jour du client Antivirus et sont en permanence mise à jour par l’éditeur, le client Antivirus pioche en temps réel dans ces définitions, ce qui permet de ne pas perdre de temps entre la mise en place de nouvelle définition virales et la mise à jour du client.
En d’autre terme, le client Antivirus Avast! est en permanence mise à jour et protège plus efficacement l’utilisateur.

Ci-dessous une infection de type FileRepMalware bloquée par Avast!, avec une adresse WEB.
Il s’agit ici d’un script VBE lié au Trojan Dridex.

Avast_FileRepMalware

Autre exemple ci-dessous avec une autre menace bloquée par Avast! liée cette fois-ci au ransomware Locky.

Ransomware_Locky_Avast_FileRepMalware

et en vidéo des mails malicieux Locky détecté en FileRepMalware par Avast! :

Comme vous pouvez donc le voir, ces détections sont très génériques et vous ne pouvez pas vraiment savoir à quelle type de menaces vous avez affaire, bien qu’en général, il s’agit plutôt de Trojan ou Ransomware.

Si Avast! émet une détection FileRepMalware, la menace a été bloquée et Windows n’est normalement pas touché et infecté.
Néanmoins, si vous pensez qu’un Trojan ou autre malware est actif dans le système ou si vous désirez effectuer une simple vérification, vous pouvez suivre le tutoriel suivant.
Seul des programmes gratuits de désinfection sont proposés, en outre, un forum d’entraide spécialisé est aussi donné si vous désirez obtenir une aide personnalisée.

Continue reading “FileRepMalware” »

1 2 3 11