Savoir si un R.A.T. a été installé
Résolu
Thomastau
Messages postés
22
Date d'inscription
Statut
Membre
Dernière intervention
-
Thomastau Messages postés 22 Date d'inscription Statut Membre Dernière intervention -
Thomastau Messages postés 22 Date d'inscription Statut Membre Dernière intervention -
A voir également:
- Ccalib8ws
- Comment savoir si on a été bloqué sur messenger - Guide
- Mon compte facebook a été désactivé - Guide
- Le compte facebook d'un ami a été piraté - Guide
- Mon compte instagram a été désactivé - Guide
- Le fichier à télécharger correspond au contenu brut d’un courrier électronique. de quel pays a été envoyé ce message ? - Guide
7 réponses
fabul est occupé , il te reprendra ( avec moi) demain
pour le moment fait nous cette analyse stp
* Télécharge ZHPDiag (de Nicolas Coolman). https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Rend toi sur Cijoint http://www.cijoint.fr/
et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
Un lien sera généré, copie et colle-le dans ta prochaine réponse.
pour le moment fait nous cette analyse stp
* Télécharge ZHPDiag (de Nicolas Coolman). https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Rend toi sur Cijoint http://www.cijoint.fr/
et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
Un lien sera généré, copie et colle-le dans ta prochaine réponse.
Salut,
mediaplex ha,
atdmt ha,
doubleclick , ha bon,
Ça rend parano les antispywares...
bluestreak ha,
effiliation ha bon.
- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
- Double-clique sur RSIT.exe afin de lancer le programme.
- Clique sur Continue à l'écran Disclaimer.
-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
- (C:RSIT\log.txt et C:RSIT\info.txt.
Poste les deux rapports sur cijoint,coche la case "Rendre public le fichier" et poste les lien qui te sera fourni en bleu.
Moi plus tard ou quelqu'un te dira si il voit quelque chose de mauvais détecté.
mediaplex ha,
atdmt ha,
doubleclick , ha bon,
Ça rend parano les antispywares...
bluestreak ha,
effiliation ha bon.
- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
- Double-clique sur RSIT.exe afin de lancer le programme.
- Clique sur Continue à l'écran Disclaimer.
-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
- (C:RSIT\log.txt et C:RSIT\info.txt.
Poste les deux rapports sur cijoint,coche la case "Rendre public le fichier" et poste les lien qui te sera fourni en bleu.
Moi plus tard ou quelqu'un te dira si il voit quelque chose de mauvais détecté.
http://www.cijoint.fr/cjlink.php?file=cj201007/cijchMSI6Y.txt
http://www.cijoint.fr/cjlink.php?file=cj201007/cijokV45UW.txt
http://www.cijoint.fr/cjlink.php?file=cj201007/cijokV45UW.txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
*Télécharge et installe UsbFix de C_XX & El Desaparecido (Chiquitine29).
*Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir.
*Double clique sur le raccourci UsbFix présent sur ton bureau.
*Choisi l'option 1 ( Recherche )
*Laisse travailler l'outil.
*Ensuite poste le rapport UsbFix.txt qui apparaîtra dans ton prochain message.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
*Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir.
*Double clique sur le raccourci UsbFix présent sur ton bureau.
*Choisi l'option 1 ( Recherche )
*Laisse travailler l'outil.
*Ensuite poste le rapport UsbFix.txt qui apparaîtra dans ton prochain message.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
"mais si en plus je peux avoir une explication (j'aime bien comprendre..."
Je suis pas contre,
Hijackthis n'a pas été téléchargé correctement durant l'analyse de RSIT donc,il manque une partie du log. (le début en haut),mais j'en ai quand mème assez vu pour savoir qu'il y a infection.
J'utilise Zeb Help Process (par Nicolas coolman) dans lequel je colle tes log.txt et info.txt pour qu.ils soient analysés par le programme selon une base de donnée.
Voici ce qu'il m'indique principalement (en gros,comment ces lignes sont classées)
Malwares ( ils peuvent être en double du aux fichiers log + info )
AskBar BHO - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2009-04-02 333192] => Infection BT (AskBarDis.Adw)
{3041d03e-fd4b-44e0-b742-2d9b88305f98} - Ask Toolbar - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2009-04-02 333192] => Infection BT (AskBarDis.Adw)
"RavAV"=C:\WINDOWS\AdobeR.exe [] => Infection USB (USB.Troj)
"BPS_BHO"=C:\Program Files\BulletProofSoft.com\SpywareRemover\376F994B.exe [] => Infection Rogue (Rogue.BulletProofSpyware)
"spywatch"=C:\Program Files\BulletProofSoft.com\SpywareRemover\SpyWatch.exe [2003-12-28 543861] => Infection Rogue (Rogue.BulletProofSpyware)
2010-07-11 16:37:29 ----D---- C:\Documents and Settings\admin\Application Data\PriceGong => Infection Diverse (Adware.PriceGong)
R2 ASKService;ASKService; C:\Program Files\AskBarDis\bar\bin\AskService.exe [2009-04-02 464264] => Infection BT (AskBarDis.Adw)
R2 ASKUpgrade;ASKUpgrade; C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe [2009-04-02 234888] => Infection BT (AskBarDis.Adw)
BPS Spyware-Adware Remover 8.2.0.2-->"C:\Program Files\BulletProofSoft.com\SpywareRemover\unins000.exe" => Infection Rogue (Rogue.BulletProofSpyware)
Favorit-->"c:\documents and settings\admin\local settings\application data\atesefk.exe" -uninstall => Infection Diverse (Favorit.Adw)
Spycheck AntiSpyware-->MsiExec.exe /I{691D8246-53FF-46F9-867B-C6D323F3CB6C} => Infection Rogue (Rogue.AntiSpyCheck)
Vuze Toolbar-->"C:\Program Files\AskBarDis\unins000.exe" => Infection BT (AskBarDis.Adw)
127.0.0.1 bin.errorprotector.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 br.errorsafe.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 br.winantivirus.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 br.winfixer.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 cdn.drivecleaner.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 cdn.errorsafe.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 cdn.winsoftware.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 de.errorsafe.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 de.winantivirus.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD => Infection détectée par SmitFraudFix
Non traités ( J'en ai retiré quelques uns qui ne semblent pas malins )
"Multi one"=C:\DOCUME~1\admin\APPLIC~1\INTERR~1\Bleh show.exe []
"atesefk"=c:\documents and settings\admin\local settings\application data\atesefk.exe [2010-07-18 577024]
2010-07-16 13:41:21 ----H---- C:\SiStealer.exe
2010-07-16 13:41:20 ----A---- C:\S.txt
2010-07-07 19:42:44 ----D---- C:\mes photos
2010-06-24 15:55:06 ----D---- C:\lgupload
S4 mchInjDrv;mchInjDrv; \??\C:\DOCUME~1\admin\LOCALS~1\Temp\mc225.tmp []
R2 Apache2.2;Apache2.2; d:\Documents and Settings\admin\Mes documents\soft\joomla\outils\xampplite\apache\bin\apache.exe [2007-12-11 17920]
Donc,
Infection USB (USB.Troj) UsbFix
Infection BT Navilog
Infection Rogue Malwarebytes
Infection Diverse (Adware.PriceGong) Ad-Remover
Vérifier les logs pour comparer avant et après suppressions etc.
On verra selon l'évolution.
j'y vais un peu au pif selon mes connaissances,si un pro a des trucs,conseils pour éviter de perdre du temps etc,vos astuces sont les bienvenues.
PS:Pour celui la,j'aimerais comprendre a mon tour,s'agit-il d'un programme serveur indésirable ou c'est voulu?
Documents and Settings\admin\Mes documents\soft\joomla\outils\xampplite\apache\bin\apache.exe
Si tu veut t'appliquer / t'impliquer toi même dans ton investigation et désinfection,j'en ai un bon que j'aime bien mais a utiliser avec précautions.Il détecte trop,voir beaucoup trop de fichiers légitimes essentiels a Windows,surtout si tu utilise le mode d'analyse "Use deep level scanning once (for advanced users)" (sur XP,c'est moins pire) et il est en anglais.
Mais il est comme une très bonne trousse d'outils a lui tout seul.
RegRun Reanimator
Je suis pas contre,
Hijackthis n'a pas été téléchargé correctement durant l'analyse de RSIT donc,il manque une partie du log. (le début en haut),mais j'en ai quand mème assez vu pour savoir qu'il y a infection.
J'utilise Zeb Help Process (par Nicolas coolman) dans lequel je colle tes log.txt et info.txt pour qu.ils soient analysés par le programme selon une base de donnée.
Voici ce qu'il m'indique principalement (en gros,comment ces lignes sont classées)
Malwares ( ils peuvent être en double du aux fichiers log + info )
AskBar BHO - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2009-04-02 333192] => Infection BT (AskBarDis.Adw)
{3041d03e-fd4b-44e0-b742-2d9b88305f98} - Ask Toolbar - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2009-04-02 333192] => Infection BT (AskBarDis.Adw)
"RavAV"=C:\WINDOWS\AdobeR.exe [] => Infection USB (USB.Troj)
"BPS_BHO"=C:\Program Files\BulletProofSoft.com\SpywareRemover\376F994B.exe [] => Infection Rogue (Rogue.BulletProofSpyware)
"spywatch"=C:\Program Files\BulletProofSoft.com\SpywareRemover\SpyWatch.exe [2003-12-28 543861] => Infection Rogue (Rogue.BulletProofSpyware)
2010-07-11 16:37:29 ----D---- C:\Documents and Settings\admin\Application Data\PriceGong => Infection Diverse (Adware.PriceGong)
R2 ASKService;ASKService; C:\Program Files\AskBarDis\bar\bin\AskService.exe [2009-04-02 464264] => Infection BT (AskBarDis.Adw)
R2 ASKUpgrade;ASKUpgrade; C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe [2009-04-02 234888] => Infection BT (AskBarDis.Adw)
BPS Spyware-Adware Remover 8.2.0.2-->"C:\Program Files\BulletProofSoft.com\SpywareRemover\unins000.exe" => Infection Rogue (Rogue.BulletProofSpyware)
Favorit-->"c:\documents and settings\admin\local settings\application data\atesefk.exe" -uninstall => Infection Diverse (Favorit.Adw)
Spycheck AntiSpyware-->MsiExec.exe /I{691D8246-53FF-46F9-867B-C6D323F3CB6C} => Infection Rogue (Rogue.AntiSpyCheck)
Vuze Toolbar-->"C:\Program Files\AskBarDis\unins000.exe" => Infection BT (AskBarDis.Adw)
127.0.0.1 bin.errorprotector.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 br.errorsafe.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 br.winantivirus.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 br.winfixer.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 cdn.drivecleaner.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 cdn.errorsafe.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 cdn.winsoftware.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 de.errorsafe.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 de.winantivirus.com ## added by CiD => Infection détectée par SmitFraudFix
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD => Infection détectée par SmitFraudFix
Non traités ( J'en ai retiré quelques uns qui ne semblent pas malins )
"Multi one"=C:\DOCUME~1\admin\APPLIC~1\INTERR~1\Bleh show.exe []
"atesefk"=c:\documents and settings\admin\local settings\application data\atesefk.exe [2010-07-18 577024]
2010-07-16 13:41:21 ----H---- C:\SiStealer.exe
2010-07-16 13:41:20 ----A---- C:\S.txt
2010-07-07 19:42:44 ----D---- C:\mes photos
2010-06-24 15:55:06 ----D---- C:\lgupload
S4 mchInjDrv;mchInjDrv; \??\C:\DOCUME~1\admin\LOCALS~1\Temp\mc225.tmp []
R2 Apache2.2;Apache2.2; d:\Documents and Settings\admin\Mes documents\soft\joomla\outils\xampplite\apache\bin\apache.exe [2007-12-11 17920]
Donc,
Infection USB (USB.Troj) UsbFix
Infection BT Navilog
Infection Rogue Malwarebytes
Infection Diverse (Adware.PriceGong) Ad-Remover
Vérifier les logs pour comparer avant et après suppressions etc.
On verra selon l'évolution.
j'y vais un peu au pif selon mes connaissances,si un pro a des trucs,conseils pour éviter de perdre du temps etc,vos astuces sont les bienvenues.
PS:Pour celui la,j'aimerais comprendre a mon tour,s'agit-il d'un programme serveur indésirable ou c'est voulu?
Documents and Settings\admin\Mes documents\soft\joomla\outils\xampplite\apache\bin\apache.exe
Si tu veut t'appliquer / t'impliquer toi même dans ton investigation et désinfection,j'en ai un bon que j'aime bien mais a utiliser avec précautions.Il détecte trop,voir beaucoup trop de fichiers légitimes essentiels a Windows,surtout si tu utilise le mode d'analyse "Use deep level scanning once (for advanced users)" (sur XP,c'est moins pire) et il est en anglais.
Mais il est comme une très bonne trousse d'outils a lui tout seul.
RegRun Reanimator
non celui la je pense que c'est moi qui l'est installé, à l'époque je cherchais comment créer mon site internet... mais j'ai trouvé une autre solution depuis. Faut donc que je désinstalle ce programme.
En gros si je te suis bien je suis pas mal infecté et par des trucs pas très malins... ok (veux bien que tu m'expliques en privé si tu veux, n'étant pas le seul a utiliser l'ordi) L'autre question est : est ce que je suis hacké, style par un keyloggueur ou autre ?
En gros si je te suis bien je suis pas mal infecté et par des trucs pas très malins... ok (veux bien que tu m'expliques en privé si tu veux, n'étant pas le seul a utiliser l'ordi) L'autre question est : est ce que je suis hacké, style par un keyloggueur ou autre ?
Pour le programme serveur,c'est ton affaire,en autant que tu sait d'où il provient
Tu parlait d'un stealer
SiStealer.exe Ça fait penser a ça comme nom.
A part ça,je ne peux pas trop dire,je ne suis pas un expert en trojans/Malwares etc,je peut juste dire qu'une infection USB peut inviter du monde chez vous.
Si tu veut communiquer en messages privés,je n'ai rien contre,mais je ne vois pas l'utilité,surtout qu'ici,d'autres peuvent intervenir et aider.
Tu parlait d'un stealer
SiStealer.exe Ça fait penser a ça comme nom.
A part ça,je ne peux pas trop dire,je ne suis pas un expert en trojans/Malwares etc,je peut juste dire qu'une infection USB peut inviter du monde chez vous.
Si tu veut communiquer en messages privés,je n'ai rien contre,mais je ne vois pas l'utilité,surtout qu'ici,d'autres peuvent intervenir et aider.
bonjour vous deux
Télécharge combofix.exe sur ton bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
double clique combofix.exe.
touche 1 (Yes) pour démarrer le scan.
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
Le rapport se trouve également ici : C:\Combofix.txt
Déconnecte toi d'internet ferme les fenêtres de tous les programmes en cours.et provisoirement
arrete les anti virus et autres protection pendand l'analyse
Pendant la durée de l'analyse ne te sert pas de ton pc
une fois l'analyse terminé ,remet toute tes protections antivirus et antispywares
Télécharge combofix.exe sur ton bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
double clique combofix.exe.
touche 1 (Yes) pour démarrer le scan.
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
Le rapport se trouve également ici : C:\Combofix.txt
Déconnecte toi d'internet ferme les fenêtres de tous les programmes en cours.et provisoirement
arrete les anti virus et autres protection pendand l'analyse
Pendant la durée de l'analyse ne te sert pas de ton pc
une fois l'analyse terminé ,remet toute tes protections antivirus et antispywares
malware vient de terminer...
255 fichiers infectés....