Savoir si un R.A.T. a été installé

Résolu/Fermé
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010 - 25 juil. 2010 à 12:40
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010 - 27 juil. 2010 à 18:32
Bonjour,

Je pense qu'un logiciel R A T a été installé sur mon ordi, voir un stealer... j'ai antivir et spyware remover en lancant spywatch j'ai ce rapport :

Monitor Started!


12:36:07 Warning! Other Cookie detected: admin@bluestreak[1].txt

12:36:07 Automatically Removed! Other Cookie: admin@bluestreak[1].txt

12:36:07 Warning! Other Cookie detected: admin@track.effiliation[1].txt

12:36:07 Automatically Removed! Other Cookie: admin@track.effiliation[1].txt

12:36:07 Warning! Doubleclick Cookie detected: admin@doubleclick[1].txt

12:36:07 Automatically Removed! Doubleclick Cookie: admin@doubleclick[1].txt

12:36:07 Warning! Avenue A Inc Cookie detected: admin@atdmt[1].txt

12:36:07 Automatically Removed! Avenue A Inc Cookie: admin@atdmt[1].txt

12:36:07 Warning! mediaplex Cookie detected: admin@mediaplex[2].txt

12:36:07 Automatically Removed! mediaplex Cookie: admin@mediaplex[2].txt


7 réponses

sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
26 juil. 2010 à 18:52
fabul est occupé , il te reprendra ( avec moi) demain
pour le moment fait nous cette analyse stp

* Télécharge ZHPDiag (de Nicolas Coolman). https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Rend toi sur Cijoint http://www.cijoint.fr/
et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
Un lien sera généré, copie et colle-le dans ta prochaine réponse.
2
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010
26 juil. 2010 à 20:25
voila
malware vient de terminer...
255 fichiers infectés....
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
Modifié par sherred le 26/07/2010 à 20:48
et le rapport Malware ? il est ou ? met le la http://www.cijoint.fr/
0
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010
27 juil. 2010 à 09:29
Salut ! désolé je pensais l'avoir posté... je m'en occupe ce midi...
0
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010
27 juil. 2010 à 12:23
http://www.cijoint.fr/cjlink.php?file=cj201007/cijVIMuecy.txt
0
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010
27 juil. 2010 à 12:23
donc apres malware... je fais quoi ?
0
fabul Messages postés 39137 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 7 novembre 2024 5 409
Modifié par fabul le 25/07/2010 à 12:56
Salut,

mediaplex ha,

atdmt ha,

doubleclick , ha bon,

Ça rend parano les antispywares...

bluestreak ha,

effiliation ha bon.


- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
- (C:RSIT\log.txt et C:RSIT\info.txt.

Poste les deux rapports sur cijoint,coche la case "Rendre public le fichier" et poste les lien qui te sera fourni en bleu.


Moi plus tard ou quelqu'un te dira si il voit quelque chose de mauvais détecté.
0
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010
25 juil. 2010 à 13:17
http://www.cijoint.fr/cjlink.php?file=cj201007/cijchMSI6Y.txt
http://www.cijoint.fr/cjlink.php?file=cj201007/cijokV45UW.txt
0
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010
25 juil. 2010 à 14:19
Voilà, je vous ai posté les liens, merci Fabul !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
fabul Messages postés 39137 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 7 novembre 2024 5 409
25 juil. 2010 à 22:00
*Télécharge et installe UsbFix de C_XX & El Desaparecido (Chiquitine29).

*Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir.

*Double clique sur le raccourci UsbFix présent sur ton bureau.

*Choisi l'option 1 ( Recherche )

*Laisse travailler l'outil.

*Ensuite poste le rapport UsbFix.txt qui apparaîtra dans ton prochain message.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010
26 juil. 2010 à 09:21
Ok je ferais ca ce midi... Mais je suppose qu'à la lecture des fichiers log et infos que je t'ai transmis tu es déjà en mesure de savoir certaines... choses. Eradiquer, certes c'est bien, mais si en plus je peux avoir une explication (j'aime bien comprendre...), tant qu'à faire !

Merci
0
fabul Messages postés 39137 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 7 novembre 2024 5 409
Modifié par fabul le 26/07/2010 à 10:13
"mais si en plus je peux avoir une explication (j'aime bien comprendre..."

Je suis pas contre,

Hijackthis n'a pas été téléchargé correctement durant l'analyse de RSIT donc,il manque une partie du log. (le début en haut),mais j'en ai quand mème assez vu pour savoir qu'il y a infection.

J'utilise Zeb Help Process (par Nicolas coolman) dans lequel je colle tes log.txt et info.txt pour qu.ils soient analysés par le programme selon une base de donnée.

Voici ce qu'il m'indique principalement (en gros,comment ces lignes sont classées)

Malwares ( ils peuvent être en double du aux fichiers log + info )

AskBar BHO - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2009-04-02 333192] => Infection BT (AskBarDis.Adw)
{3041d03e-fd4b-44e0-b742-2d9b88305f98} - Ask Toolbar - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2009-04-02 333192] => Infection BT (AskBarDis.Adw)
"RavAV"=C:\WINDOWS\AdobeR.exe [] => Infection USB (USB.Troj)
"BPS_BHO"=C:\Program Files\BulletProofSoft.com\SpywareRemover\376F994B.exe [] => Infection Rogue (Rogue.BulletProofSpyware)
"spywatch"=C:\Program Files\BulletProofSoft.com\SpywareRemover\SpyWatch.exe [2003-12-28 543861] => Infection Rogue (Rogue.BulletProofSpyware)
2010-07-11 16:37:29 ----D---- C:\Documents and Settings\admin\Application Data\PriceGong => Infection Diverse (Adware.PriceGong)
R2 ASKService;ASKService; C:\Program Files\AskBarDis\bar\bin\AskService.exe [2009-04-02 464264] => Infection BT (AskBarDis.Adw)
R2 ASKUpgrade;ASKUpgrade; C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe [2009-04-02 234888] => Infection BT (AskBarDis.Adw)

BPS Spyware-Adware Remover 8.2.0.2-->"C:\Program Files\BulletProofSoft.com\SpywareRemover\unins000.exe" => Infection Rogue (Rogue.BulletProofSpyware)
Favorit-->"c:\documents and settings\admin\local settings\application data\atesefk.exe" -uninstall => Infection Diverse (Favorit.Adw)
Spycheck AntiSpyware-->MsiExec.exe /I{691D8246-53FF-46F9-867B-C6D323F3CB6C} => Infection Rogue (Rogue.AntiSpyCheck)
Vuze Toolbar-->"C:\Program Files\AskBarDis\unins000.exe" => Infection BT (AskBarDis.Adw)
127.0.0.1 bin.errorprotector.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 br.errorsafe.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 br.winantivirus.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 br.winfixer.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 cdn.drivecleaner.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 cdn.errorsafe.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 cdn.winsoftware.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 de.errorsafe.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 de.winantivirus.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD => Infection détectée par SmitFraudFix


Non traités ( J'en ai retiré quelques uns qui ne semblent pas malins )

"Multi one"=C:\DOCUME~1\admin\APPLIC~1\INTERR~1\Bleh show.exe []
"atesefk"=c:\documents and settings\admin\local settings\application data\atesefk.exe [2010-07-18 577024]
2010-07-16 13:41:21 ----H---- C:\SiStealer.exe
2010-07-16 13:41:20 ----A---- C:\S.txt
2010-07-07 19:42:44 ----D---- C:\mes photos
2010-06-24 15:55:06 ----D---- C:\lgupload
S4 mchInjDrv;mchInjDrv; \??\C:\DOCUME~1\admin\LOCALS~1\Temp\mc225.tmp []
R2 Apache2.2;Apache2.2; d:\Documents and Settings\admin\Mes documents\soft\joomla\outils\xampplite\apache\bin\apache.exe [2007-12-11 17920]

Donc,

Infection USB (USB.Troj) UsbFix

Infection BT Navilog

Infection Rogue Malwarebytes

Infection Diverse (Adware.PriceGong) Ad-Remover

Vérifier les logs pour comparer avant et après suppressions etc.

On verra selon l'évolution.

j'y vais un peu au pif selon mes connaissances,si un pro a des trucs,conseils pour éviter de perdre du temps etc,vos astuces sont les bienvenues.


PS:Pour celui la,j'aimerais comprendre a mon tour,s'agit-il d'un programme serveur indésirable ou c'est voulu?

Documents and Settings\admin\Mes documents\soft\joomla\outils\xampplite\apache\bin\apache.exe

Si tu veut t'appliquer / t'impliquer toi même dans ton investigation et désinfection,j'en ai un bon que j'aime bien mais a utiliser avec précautions.Il détecte trop,voir beaucoup trop de fichiers légitimes essentiels a Windows,surtout si tu utilise le mode d'analyse "Use deep level scanning once (for advanced users)" (sur XP,c'est moins pire) et il est en anglais.

Mais il est comme une très bonne trousse d'outils a lui tout seul.

RegRun Reanimator
0
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010
26 juil. 2010 à 10:20
non celui la je pense que c'est moi qui l'est installé, à l'époque je cherchais comment créer mon site internet... mais j'ai trouvé une autre solution depuis. Faut donc que je désinstalle ce programme.

En gros si je te suis bien je suis pas mal infecté et par des trucs pas très malins... ok (veux bien que tu m'expliques en privé si tu veux, n'étant pas le seul a utiliser l'ordi) L'autre question est : est ce que je suis hacké, style par un keyloggueur ou autre ?
0
fabul Messages postés 39137 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 7 novembre 2024 5 409
Modifié par fabul le 26/07/2010 à 10:29
Pour le programme serveur,c'est ton affaire,en autant que tu sait d'où il provient

Tu parlait d'un stealer

SiStealer.exe Ça fait penser a ça comme nom.

A part ça,je ne peux pas trop dire,je ne suis pas un expert en trojans/Malwares etc,je peut juste dire qu'une infection USB peut inviter du monde chez vous.

Si tu veut communiquer en messages privés,je n'ai rien contre,mais je ne vois pas l'utilité,surtout qu'ici,d'autres peuvent intervenir et aider.
0
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010
26 juil. 2010 à 10:32
ok.... ca marche, je vais dejà suivre tes indications.... mais faudra m'expliquer ce que veut dire "vérifier les logs"... sourire
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
26 juil. 2010 à 15:47
pour suivre ;)
0
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010
26 juil. 2010 à 16:09
ou poursuivre... ? j ne suis pas tout là...:)
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
26 juil. 2010 à 18:47
je vais suivre la desinfection pour aider fabul

ou en ai tu ?
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
27 juil. 2010 à 12:32
bonjour vous deux

Télécharge combofix.exe sur ton bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe


double clique combofix.exe.
touche 1 (Yes) pour démarrer le scan.
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
Le rapport se trouve également ici : C:\Combofix.txt



Déconnecte toi d'internet ferme les fenêtres de tous les programmes en cours.et provisoirement
arrete les anti virus et autres protection pendand l'analyse
Pendant la durée de l'analyse ne te sert pas de ton pc


une fois l'analyse terminé ,remet toute tes protections antivirus et antispywares
0
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010
27 juil. 2010 à 12:36
bonjour... ! ok au vu des autres posts je me disais bien qu'on allait en arriver là.... juste si vous pouviez m'expliquer en même temps en parlant dans un langage compréhensible a quoi servent ses manipulations set softs... :)... merci
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
27 juil. 2010 à 14:16
MBAM est un bon antimalware , mais il ne supprime pas tous , surtout quand il y a des rogues
le rogue est supprimer mais pas forcement le malware qui t'a amené le voire dans ton cas les rogues
combo va nous permettre de verifier cela
0
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010
27 juil. 2010 à 14:58
je viens de voir ce qu'était un rogue... ok et merci pour ta réponse, je poste ca en fin d'après midi... !
0
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010
27 juil. 2010 à 17:53
http://www.cijoint.fr/cjlink.php?file=cj201007/cijgkqH1Ah.txt
voila le rapport combofix...
0
Thomastau Messages postés 22 Date d'inscription dimanche 25 juillet 2010 Statut Membre Dernière intervention 27 juillet 2010
27 juil. 2010 à 17:55
quels antispyware et autres me conseillez vous d'installer en plus de mon antivir ? (non rogues tant qu'à faire....)
0