Trojan RAT : Problème de piratage

Résolu
Volvert13 Messages postés 6 Date d'inscription   Statut Membre Dernière intervention   -  
Volvert13 Messages postés 6 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour à tous,
C'est la première fois que j'utilise un site de ce genre, j'ai besoin de vos aides car depuis une journée j'ai reçu un message (style message d'erreur windows) qui disait:
"Tu t'es fait pirater, reformate ou subits les conséquences"
J'ai donc fait une analyse antivirus et créer un point de sauvegarde windows mais je n'ai rien trouvé de spécial.
Et depuis quelques minutes mon ordinateur s'éteint dès que je l'allume. J'ai débranché internet et ça s'est arrêté mais je suis bloqué du coup.
Auriez-vous une idée pour débusquer la personne qui me fait ça ?
A voir également:

4 réponses

Réponse 1 / 4
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Reçu où et comment ?

Pour vérifier l'ordinateur :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

2
Volvert13 Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
 
Merci pour cette réponse ultra rapide =)

Le message est apparu en plein milieu de l'écran lorsque je jouais à un jeu, je n'ai donc rien déclencher.

Voici les liens, pour le fichier addition: https://pjjoint.malekal.com/files.php?id=20160109_s6r7g14e11c14

Pour le fichier FRST: https://pjjoint.malekal.com/files.php?id=FRST_20160109_z1215f8i14t8

Et pour le fichier shortcut: https://pjjoint.malekal.com/files.php?id=20160109_p14v14y12w8s15
0
Réponse 2 / 4
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Envoie C:\ProgramData\eDyJkD.exe sur http://upload.malekal.com


Je te conseille de désinstaller McAfee Security Scan, c'est avant tout un programme marketting proposé à l'installation d'Adobe Flash pour tenter de te proposer l'antivirus.

Pareil, désinstalle Smart File Advisor
Sert à rien.

~~

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


HKU\S-1-5-21-3554638033-1819574228-4278667810-1000\...\Run: [WindApp] => C:\Users\volvert13\AppData\Roaming\Store\WindApp\WindApp.exe /winstartup
HKU\S-1-5-21-3554638033-1819574228-4278667810-1000\...\Run: [ovZURdFB6eX308Dv] => C:\Users\volvert13\AppData\Local\Temp\1Dt452K7Gm38cwBi\2XIcfJroKkyjU76g.lnk [649 2015-11-11] () <===== ATTENTION
HKLM-x32\...\Run: [mbot_fr_547] => [X]
HKLM-x32\...\Run: [SFAUpdater] => C:\Program Files (x86)\Smart File Advisor\SFAUpdater.exe [655984 2015-02-04] (Filefacts.net)
2015-12-21 09:36 - 2015-03-10 01:13 - 00000000 ____D C:\Users\volvert13\AppData\Roaming\WTools
2016-01-09 18:54 - 2015-11-11 14:25 - 00000000 ____D C:\Users\volvert13\AppData\Roaming\39F28CB4-63F8-4E49-BED2-D8B07A8F51B9
2015-11-11 12:18 - 2015-11-11 12:18 - 0207376 _____ () C:\ProgramData\eDyJkD
2015-11-11 12:18 - 2015-11-11 12:18 - 0084237 _____ () C:\ProgramData\eDyJkD.au3
2015-11-11 12:18 - 2015-11-11 12:18 - 0750320 _____ (AutoIt Team) C:\ProgramData\eDyJkD.exe
2015-11-11 14:25 - 2015-11-11 14:25 - 0000023 _____ () C:\ProgramData\eDyJkD.folder
2015-11-11 14:25 - 2015-11-11 14:25 - 0000055 _____ () C:\ProgramData\eDyJkD.path
2015-03-10 01:12 - 2015-03-10 01:13 - 0001282 _____ () C:\Users\volvert13\AppData\Roaming\Bubble Dock.boostrap.log
2015-03-10 01:12 - 2015-03-10 01:13 - 0005736 _____ () C:\Users\volvert13\AppData\Roaming\Bubble Dock.installation.log
2015-03-10 01:13 - 2015-11-18 17:13 - 0000138 _____ () C:\Users\volvert13\AppData\Roaming\Selection Tools.installation.log
2015-03-10 01:12 - 2015-03-10 01:12 - 0000097 _____ () C:\Users\volvert13\AppData\Roaming\WindApp.boostrap.log
2015-03-10 01:13 - 2015-03-10 01:13 - 0000078 _____ () C:\Users\volvert13\AppData\Roaming\WindApp.installation.log
C:\Program Files (x86)\Smart File Advisor



Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
1
Volvert13 Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
 
Voila le résultat:
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:09-01-2015
Exécuté par volvert13 (2016-01-09 22:25:34) Run:1
Exécuté depuis C:\Users\volvert13\Desktop\FRST
Profils chargés: volvert13 (Profils disponibles: volvert13)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


*

HKU\S-1-5-21-3554638033-1819574228-4278667810-1000\...\Run: [WindApp] => C:\Users\volvert13\AppData\Roaming\Store\WindApp\WindApp.exe /winstartup
HKU\S-1-5-21-3554638033-1819574228-4278667810-1000\...\Run: [ovZURdFB6eX308Dv] => C:\Users\volvert13\AppData\Local\Temp\1Dt452K7Gm38cwBi\2XIcfJroKkyjU76g.lnk [649 2015-11-11] () <===== ATTENTION
HKLM-x32\...\Run: [mbot_fr_547] => [X]
HKLM-x32\...\Run: [SFAUpdater] => C:\Program Files (x86)\Smart File Advisor\SFAUpdater.exe [655984 2015-02-04] (Filefacts.net)
2015-12-21 09:36 - 2015-03-10 01:13 - 00000000 ____D C:\Users\volvert13\AppData\Roaming\WTools
2016-01-09 18:54 - 2015-11-11 14:25 - 00000000 ____D C:\Users\volvert13\AppData\Roaming\39F28CB4-63F8-4E49-BED2-D8B07A8F51B9
2015-11-11 12:18 - 2015-11-11 12:18 - 0207376 _____ () C:\ProgramData\eDyJkD
2015-11-11 12:18 - 2015-11-11 12:18 - 0084237 _____ () C:\ProgramData\eDyJkD.au3
2015-11-11 12:18 - 2015-11-11 12:18 - 0750320 _____ (AutoIt Team) C:\ProgramData\eDyJkD.exe
2015-11-11 14:25 - 2015-11-11 14:25 - 0000023 _____ () C:\ProgramData\eDyJkD.folder
2015-11-11 14:25 - 2015-11-11 14:25 - 0000055 _____ () C:\ProgramData\eDyJkD.path
2015-03-10 01:12 - 2015-03-10 01:13 - 0001282 _____ () C:\Users\volvert13\AppData\Roaming\Bubble Dock.boostrap.log
2015-03-10 01:12 - 2015-03-10 01:13 - 0005736 _____ () C:\Users\volvert13\AppData\Roaming\Bubble Dock.installation.log
2015-03-10 01:13 - 2015-11-18 17:13 - 0000138 _____ () C:\Users\volvert13\AppData\Roaming\Selection Tools.installation.log
2015-03-10 01:12 - 2015-03-10 01:12 - 0000097 _____ () C:\Users\volvert13\AppData\Roaming\WindApp.boostrap.log
2015-03-10 01:13 - 2015-03-10 01:13 - 0000078 _____ () C:\Users\volvert13\AppData\Roaming\WindApp.installation.log
C:\Program Files (x86)\Smart File Advisor


*


HKU\S-1-5-21-3554638033-1819574228-4278667810-1000\Software\Microsoft\Windows\CurrentVersion\Run\\WindApp => valeur supprimé(es) avec succès
HKU\S-1-5-21-3554638033-1819574228-4278667810-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ovZURdFB6eX308Dv => valeur supprimé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\mbot_fr_547 => valeur supprimé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\SFAUpdater => valeur non trouvé(e).
C:\Users\volvert13\AppData\Roaming\WTools => déplacé(es) avec succès

"C:\Users\volvert13\AppData\Roaming\39F28CB4-63F8-4E49-BED2-D8B07A8F51B9" dossier déplacer:

Impossible de déplacer "C:\Users\volvert13\AppData\Roaming\39F28CB4-63F8-4E49-BED2-D8B07A8F51B9" => Planifié pour déplacement au redémarrage.

C:\ProgramData\eDyJkD => déplacé(es) avec succès
C:\ProgramData\eDyJkD.au3 => déplacé(es) avec succès
C:\ProgramData\eDyJkD.exe => déplacé(es) avec succès
C:\ProgramData\eDyJkD.folder => déplacé(es) avec succès
C:\ProgramData\eDyJkD.path => déplacé(es) avec succès
C:\Users\volvert13\AppData\Roaming\Bubble Dock.boostrap.log => déplacé(es) avec succès
C:\Users\volvert13\AppData\Roaming\Bubble Dock.installation.log => déplacé(es) avec succès
C:\Users\volvert13\AppData\Roaming\Selection Tools.installation.log => déplacé(es) avec succès
C:\Users\volvert13\AppData\Roaming\WindApp.boostrap.log => déplacé(es) avec succès
C:\Users\volvert13\AppData\Roaming\WindApp.installation.log => déplacé(es) avec succès
"C:\Program Files (x86)\Smart File Advisor" => non trouvé(e).

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-01-09 22:26:57)

C:\Users\volvert13\AppData\Roaming\39F28CB4-63F8-4E49-BED2-D8B07A8F51B9 => a été déplacé(e) avec succès

Fin de Fixlog 22:26:57

PS: J'ai upload le fichier.
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > Volvert13 Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
 
sinon fais ça :

Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
0
Volvert13 Messages postés 6 Date d'inscription   Statut Membre Dernière intervention   > Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
Voilà j'ai envoyé le zip, il contient tout le dossier Quarantine. Merci encore pour ces réponses rapides et efficaces ! =)
0
Réponse 3 / 4
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Merci, change tous tes mots de passe (mails, facebook, jeux etc)

ca existe chez toi ça D:\Jeux\Fallout.4-CODEX\Fallout4.CODEX.Patchv1.1.33.exe ?
1
Volvert13 Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
 
Oui c'est ce que je vais faire, et non ce fichier n'existe pas ou plus.
Mais du coup suis-je débarrassé du virus ou peu importe ce que c'est?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > Volvert13 Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
 
oui et fais plus attention à ce que tu télécharges.

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
0
Volvert13 Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
 
Merci mille fois, si je peux faire quoi que ce soit pour te faire de la pub ou t'apporter mon aide dis le moi ! =D
0
Réponse 4 / 4
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ca se connecte là : juliemorel.no-ip.biz has address 176.182.124.124
c'est une bbox derrière.
1

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
cheval de troie trojan
idnoder -
idnoder -

42 réponses
Trojan Csrss.exe
stevenw -
stevenw -

4 réponses