RAT : Invite de commande au démarrage
Résolu
ezekiel2
Messages postés
6
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour, depuis hier, un soucis s'est implanté sur mon ordinateur. J'ai une fenêtre d'invite de commande qui s'ouvre une infinité de fois et qui bloque l'ordinateur. Apres scan de malwarebytes, avira et avast rien n'a été détecté. La fenêtre rend toute chose inaccessible du type gestionnaire de taches, arrêter l'ordinateur. Cependant, la fenêtre apparaît aléatoirement : au bout de 5 minutes ou bien 4 heures. J'ai tenté diverse méthode mais rien ne va. J'aurais besoin d'aide s'il vous plait.
Voici la fenêtre en question :http://www.noelshack.com/2014-29-1405338405-capture.jpg
Merci
Voici la fenêtre en question :http://www.noelshack.com/2014-29-1405338405-capture.jpg
Merci
10 réponses
Salut,
L'ordinateur semble être infecté par un RAT.
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
L'ordinateur semble être infecté par un RAT.
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
https://pjjoint.malekal.com/files.php?id=20140714_k10h14x13t9u9 Est le lien du fichier OTL.txt. Je n'ai pas eu de fichier Extra.txt.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2014/07/13 22:09:13 | 000,000,000 | ---D | C] -- C:\Users\Dylan\AppData\Roaming\y5d7mqH6
[2014/07/14 08:45:42 | 000,000,000 | ---D | C] -- C:\Users\Dylan\AppData\Roaming\dclogs
O4 - HKU\S-1-5-21-1114282530-2646293055-1703664627-1000..\Run: [bUrR5n1m49] C:\Users\Dylan\AppData\Roaming\y5d7mqH6\KDAtOLd.exe.lnk ()
* poste le rapport ici
Redémarre l'ordinateur
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2014/07/13 22:09:13 | 000,000,000 | ---D | C] -- C:\Users\Dylan\AppData\Roaming\y5d7mqH6
[2014/07/14 08:45:42 | 000,000,000 | ---D | C] -- C:\Users\Dylan\AppData\Roaming\dclogs
O4 - HKU\S-1-5-21-1114282530-2646293055-1703664627-1000..\Run: [bUrR5n1m49] C:\Users\Dylan\AppData\Roaming\y5d7mqH6\KDAtOLd.exe.lnk ()
* poste le rapport ici
Redémarre l'ordinateur
========== OTL ==========
C:\Users\Dylan\AppData\Roaming\y5d7mqH6 folder moved successfully.
C:\Users\Dylan\AppData\Roaming\dclogs folder moved successfully.
Registry value HKEY_USERS\S-1-5-21-1114282530-2646293055-1703664627-1000\Software\Microsoft\Windows\CurrentVersion\Run\\bUrR5n1m49 deleted successfully.
File C:\Users\Dylan\AppData\Roaming\y5d7mqH6\KDAtOLd.exe.lnk not found.
OTL by OldTimer - Version 3.2.69.0 log created on 07142014_150810.
Je redémarre l'ordinateur.
C:\Users\Dylan\AppData\Roaming\y5d7mqH6 folder moved successfully.
C:\Users\Dylan\AppData\Roaming\dclogs folder moved successfully.
Registry value HKEY_USERS\S-1-5-21-1114282530-2646293055-1703664627-1000\Software\Microsoft\Windows\CurrentVersion\Run\\bUrR5n1m49 deleted successfully.
File C:\Users\Dylan\AppData\Roaming\y5d7mqH6\KDAtOLd.exe.lnk not found.
OTL by OldTimer - Version 3.2.69.0 log created on 07142014_150810.
Je redémarre l'ordinateur.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je viens de redémarrer l'ordinateur et 4 nouveau fichier vienne d'apparaitre sur le bureau : 2 desktop.ini, ~$uveau Document Microsoft Word.docs et edeneternal_fr_install_20110923.exe.part. C'est normal ?
oui, retire l'affichage des fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Tu as été infecté par un RAT : http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Tes mots de passe WEB (Facebook, mail etc) ont été volés, il faut les changer.
Tu as été infecté par un RAT : http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Tes mots de passe WEB (Facebook, mail etc) ont été volés, il faut les changer.
Je me doutais que quelque chose se trimballer sr l'ordinateur. Tous les mots de passe ont deja été changés à partir d'un autre ordinateur. Sais tu comment je dois faire pour mieux me protéger ?
Comme cela est expliqué à la fin du lien donné précédemment, ces malwares vont par des keygen/crack, cheater donné en vidéo sur Youtube etc.
Bref en faisant attention à ce que l'on télécharge, on peux facilement les éviter.
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Bref en faisant attention à ce que l'on télécharge, on peux facilement les éviter.
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
