Je me suis fais RAT
Prot0_Type
Messages postés
30
Date d'inscription
Statut
Membre
Dernière intervention
-
Prot0_Type Messages postés 30 Date d'inscription Statut Membre Dernière intervention -
Prot0_Type Messages postés 30 Date d'inscription Statut Membre Dernière intervention -
Salut a tous
Tout est dans le titre...
En fait j'avais laisser mon ordi allumer, et j'etais partit me promer. Quand je suis revenue, j'ai vu ma boite mail ouverte(alors qu'elle ne l'était pas) Il y avait deux mails de rockstar qui avaient étés ouverts. C'etait des mails de confirmation de changement d'adresse mail et de mot de passe...
La j'ai commencer a comprendre, en plus j'ai ouvert le mail du changement d'adresse, qui me confirme un changement de mon adresse a son adresse (car oui ce trou du cul n'as pas penser a supprimer le mail, ce qui fait que j'ai put chopper son adresse)
voila son adresse, pour ceux qui voudraient se casser la tete a trouver le mec, tout ce que je sais, c'est qu'il s'agit d'un russe : Adresse mail supprimée par la modération, publication contraire à la charte
bref, du coup je suis retourné sur mon ordi, et la bam la souris qui bouge toute seul au moment ou je commence a écrire ce post, donc la, j'en suis sure a 100 pourcent je me suis bien fait RAT...
Donc SVP, aidez moi a me débarrasser de ce petit fils de p***, je vous en serait très reconaissant!
Tout est dans le titre...
En fait j'avais laisser mon ordi allumer, et j'etais partit me promer. Quand je suis revenue, j'ai vu ma boite mail ouverte(alors qu'elle ne l'était pas) Il y avait deux mails de rockstar qui avaient étés ouverts. C'etait des mails de confirmation de changement d'adresse mail et de mot de passe...
La j'ai commencer a comprendre, en plus j'ai ouvert le mail du changement d'adresse, qui me confirme un changement de mon adresse a son adresse (car oui ce trou du cul n'as pas penser a supprimer le mail, ce qui fait que j'ai put chopper son adresse)
voila son adresse, pour ceux qui voudraient se casser la tete a trouver le mec, tout ce que je sais, c'est qu'il s'agit d'un russe : Adresse mail supprimée par la modération, publication contraire à la charte
bref, du coup je suis retourné sur mon ordi, et la bam la souris qui bouge toute seul au moment ou je commence a écrire ce post, donc la, j'en suis sure a 100 pourcent je me suis bien fait RAT...
Donc SVP, aidez moi a me débarrasser de ce petit fils de p***, je vous en serait très reconaissant!
A voir également:
- Créer un rat indétectable
- Créer un compte google - Guide
- Comment créer un groupe whatsapp - Guide
- Créer un lien pour partager des photos - Guide
- Créer un compte gmail - Guide
- Créer un compte instagram sur google - Guide
10 réponses
Salut,
Tu n'aurais pas teamviewer d'ouvert?
Si tu ne l'as pas d'ouvert, éteins ton pc, accède aux options avancés et restaure ton pc aussi loin que tu le peux.
Tu n'aurais pas teamviewer d'ouvert?
Si tu ne l'as pas d'ouvert, éteins ton pc, accède aux options avancés et restaure ton pc aussi loin que tu le peux.
Salut
ça fait très prb teamviewer pour vérifier :
Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
--
ça fait très prb teamviewer pour vérifier :
Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
--
Regarde dans les processus si tu vois quelque chose de louche et arrête-le.
et puis cherches sur internet comment bloquer ça définitivement.
et puis cherches sur internet comment bloquer ça définitivement.
Suis ces trois étapes :
1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
et enfin :
Installe Avast!, active surtout les détections LPI pour détecter les programmes parasites et publicitaires.
1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
R2 RManService; C:\Program Files (x86)\System\rutserv.exe [1789440 2016-01-23] () [Fichier non signé]
C:\Program Files (x86)\System\r
Task: C:\WINDOWS\Tasks\FastTasks.job => c:\programdata\{7a3d5966-bcfb-dd5b-7a3d-d5966bcf659a}\farcry4.exe <==== ATTENTION
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
et enfin :
Installe Avast!, active surtout les détections LPI pour détecter les programmes parasites et publicitaires.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
merci les gas pour votre aide...
alors en ce qui concerne teamviewer, j'avais stoppé le processus, mais sa l'as pas empecher de revenir.
Ensuite après avoir fait le tour des processus, rien ne m'as semblé inhabituel.
Je pense meme connaitre la source de l'infection :
Hier j'avais telecharger un executable qui ne fonctionnait pas je pense que le mec utilise un truc a la con comme Darkcommet ou je sais pas trop quoi
Il a tout simplement dut ouvrir une backdoor.
C'est pour ça, j'aurais besoin d'une analyse complete de mon pc svp
alors en ce qui concerne teamviewer, j'avais stoppé le processus, mais sa l'as pas empecher de revenir.
Ensuite après avoir fait le tour des processus, rien ne m'as semblé inhabituel.
Je pense meme connaitre la source de l'infection :
Hier j'avais telecharger un executable qui ne fonctionnait pas je pense que le mec utilise un truc a la con comme Darkcommet ou je sais pas trop quoi
Il a tout simplement dut ouvrir une backdoor.
C'est pour ça, j'aurais besoin d'une analyse complete de mon pc svp
salut Malekal, et merci pour ton aide (je te connais déja, j'étais sur helper formation avant :p)
bref voila les rapports
https://pjjoint.malekal.com/files.php?id=20160622_r9q141414v11 addition.txt
https://pjjoint.malekal.com/files.php?id=FRST_20160622_x13u6v5m8l5 frst.txt
https://pjjoint.malekal.com/files.php?id=20160622_x7e11k14h9x7 shortcut.txt
je précise que j'ai désactiver internet pendant le scan pour ne pas être déranger par l'autre gus...
bref voila les rapports
https://pjjoint.malekal.com/files.php?id=20160622_r9q141414v11 addition.txt
https://pjjoint.malekal.com/files.php?id=FRST_20160622_x13u6v5m8l5 frst.txt
https://pjjoint.malekal.com/files.php?id=20160622_x7e11k14h9x7 shortcut.txt
je précise que j'ai désactiver internet pendant le scan pour ne pas être déranger par l'autre gus...
salut
voila le rapport :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-06-2016 01
Exécuté par Prot0_Type (2016-06-22 21:36:11) Run:1
Exécuté depuis D:\Downloads
Profils chargés: Prot0_Type (Profils disponibles: Prot0_Type & DefaultAppPool)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
R2 RManService; C:\Program Files (x86)\System\rutserv.exe [1789440 2016-01-23] () [Fichier non signé]
C:\Program Files (x86)\System\r
Task: C:\WINDOWS\Tasks\FastTasks.job => c:\programdata\{7a3d5966-bcfb-dd5b-7a3d-d5966bcf659a}\farcry4.exe <==== ATTENTION
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
RManService => service supprimé(es) avec succès
"C:\Program Files (x86)\System\r" => non trouvé(e).
C:\WINDOWS\Tasks\FastTasks.job => déplacé(es) avec succès
Le système a dû redémarrer.
Fin de Fixlog 21:36:12
et je n'ais pas réussit a upload le fichier quarantine.zip sur ton site...
je précise que j'avais réussit à localiser et a supprimer le fichier rutserv.exe avent que tu ne me réponde.
voila le rapport :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-06-2016 01
Exécuté par Prot0_Type (2016-06-22 21:36:11) Run:1
Exécuté depuis D:\Downloads
Profils chargés: Prot0_Type (Profils disponibles: Prot0_Type & DefaultAppPool)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
R2 RManService; C:\Program Files (x86)\System\rutserv.exe [1789440 2016-01-23] () [Fichier non signé]
C:\Program Files (x86)\System\r
Task: C:\WINDOWS\Tasks\FastTasks.job => c:\programdata\{7a3d5966-bcfb-dd5b-7a3d-d5966bcf659a}\farcry4.exe <==== ATTENTION
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
RManService => service supprimé(es) avec succès
"C:\Program Files (x86)\System\r" => non trouvé(e).
C:\WINDOWS\Tasks\FastTasks.job => déplacé(es) avec succès
Le système a dû redémarrer.
Fin de Fixlog 21:36:12
et je n'ais pas réussit a upload le fichier quarantine.zip sur ton site...
je précise que j'avais réussit à localiser et a supprimer le fichier rutserv.exe avent que tu ne me réponde.
Salut.
J'ai retrouvé le fichier qui lui a permis d’installé la background https://pjjoint.malekal.com/files.php?id=20160623_l6j12t12u10l11
en ce qui concerne avast, il ne s'agissait que de fausses alertes, du coup j'ai fais la correction et voila.
J'ai retrouvé le fichier qui lui a permis d’installé la background https://pjjoint.malekal.com/files.php?id=20160623_l6j12t12u10l11
en ce qui concerne avast, il ne s'agissait que de fausses alertes, du coup j'ai fais la correction et voila.
En fait c'est pas tout à fait un RAT mais un logiciel de prise en main à distance en l'occurence RMS (Remote Manipulator) : htxps://rmansys.ru/
L'exe que tu as donné est relativement bien détecté, même Windows Defender le détecte.
SHA256: ebf12ac1bd0057eaa72a8d7ecc1505d257ea03358dc1eb265b7af6913c0f6c49
File name: jordans 1.8.exe
Detection ratio: 36 / 55
Analysis date: 2016-06-23 15:06:12 UTC ( 3 minutes ago )
Behavioural information
Antivirus Result Update
AVG RemoteAdmin.DFO 20160623
AVware Trojan.Win32.Generic!BT 20160623
Ad-Aware Trojan.Generic.15942633 20160623
AegisLab Remoteadmin.W32.Rms!c 20160623
AhnLab-V3 Malware/Gen.Generic.N2016164080 20160623
Antiy-AVL RiskWare[RemoteAdmin]/Win32.RMS.nd 20160623
Arcabit Trojan.Graftor.D418B3 20160623
Avast Win32:Malware-gen 20160623
Avira (no cloud) TR/Dropper.Gen 20160623
Baidu Win32.Trojan.WisdomEyes.151026.9950.9963 20160623
BitDefender Trojan.Generic.15942633 20160623
ClamAV Win.Trojan.Inject-15717 20160623
Cyren W32/Trojan.MBDS-0756 20160623
DrWeb VBS.Starter.65 20160623
ESET-NOD32 a variant of Win32/RemoteAdmin.RemoteUtilities.H potentially unsafe 20160623
Emsisoft Trojan.Generic.15942633 (B) 20160623
F-Secure Trojan.Generic.15942633 20160623
Fortinet Riskware/RemoteAdmin_RemoteUtilities 20160623
GData Trojan.Generic.15942633 20160623
Jiangmin RemoteAdmin.RMS.w 20160623
K7AntiVirus Riskware ( 0040eff71 ) 20160623
K7GW Riskware ( 0040eff71 ) 20160623
Kaspersky not-a-virus:RemoteAdmin.Win32.RMS.pr 20160623
McAfee Artemis!FE0C26FF7137 20160623
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.wc 20160623
eScan Trojan.Generic.15942633 20160623
NANO-Antivirus Trojan.Win32.RemoteAdmin.eamsqc 20160623
Panda Trj/CI.A 20160622
Qihoo-360 Win32/Virus.RemoteAdmin.477 20160623
Sophos Generic PUA JM (PUA) 20160623
Symantec SAPE.Heur.B8E67 20160623
Tencent Win32.Backdoor.Backdoor.Edno 20160623
TrendMicro-HouseCall TROJ_GE.0006947C 20160623
VIPRE Trojan.Win32.Generic!BT 20160623
Yandex Trojan.InstallRadmin.B 20160621
nProtect Trojan.Generic.15942633 20160623
L'exe que tu as donné est relativement bien détecté, même Windows Defender le détecte.
SHA256: ebf12ac1bd0057eaa72a8d7ecc1505d257ea03358dc1eb265b7af6913c0f6c49
File name: jordans 1.8.exe
Detection ratio: 36 / 55
Analysis date: 2016-06-23 15:06:12 UTC ( 3 minutes ago )
Behavioural information
Antivirus Result Update
AVG RemoteAdmin.DFO 20160623
AVware Trojan.Win32.Generic!BT 20160623
Ad-Aware Trojan.Generic.15942633 20160623
AegisLab Remoteadmin.W32.Rms!c 20160623
AhnLab-V3 Malware/Gen.Generic.N2016164080 20160623
Antiy-AVL RiskWare[RemoteAdmin]/Win32.RMS.nd 20160623
Arcabit Trojan.Graftor.D418B3 20160623
Avast Win32:Malware-gen 20160623
Avira (no cloud) TR/Dropper.Gen 20160623
Baidu Win32.Trojan.WisdomEyes.151026.9950.9963 20160623
BitDefender Trojan.Generic.15942633 20160623
ClamAV Win.Trojan.Inject-15717 20160623
Cyren W32/Trojan.MBDS-0756 20160623
DrWeb VBS.Starter.65 20160623
ESET-NOD32 a variant of Win32/RemoteAdmin.RemoteUtilities.H potentially unsafe 20160623
Emsisoft Trojan.Generic.15942633 (B) 20160623
F-Secure Trojan.Generic.15942633 20160623
Fortinet Riskware/RemoteAdmin_RemoteUtilities 20160623
GData Trojan.Generic.15942633 20160623
Jiangmin RemoteAdmin.RMS.w 20160623
K7AntiVirus Riskware ( 0040eff71 ) 20160623
K7GW Riskware ( 0040eff71 ) 20160623
Kaspersky not-a-virus:RemoteAdmin.Win32.RMS.pr 20160623
McAfee Artemis!FE0C26FF7137 20160623
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.wc 20160623
eScan Trojan.Generic.15942633 20160623
NANO-Antivirus Trojan.Win32.RemoteAdmin.eamsqc 20160623
Panda Trj/CI.A 20160622
Qihoo-360 Win32/Virus.RemoteAdmin.477 20160623
Sophos Generic PUA JM (PUA) 20160623
Symantec SAPE.Heur.B8E67 20160623
Tencent Win32.Backdoor.Backdoor.Edno 20160623
TrendMicro-HouseCall TROJ_GE.0006947C 20160623
VIPRE Trojan.Win32.Generic!BT 20160623
Yandex Trojan.InstallRadmin.B 20160621
nProtect Trojan.Generic.15942633 20160623
oui j'avais réussi à trouver le logiciel de RMS, par l'analyse des logs que j'ai réussit à trouver dans mon disque dur, et que je peux également t'envoyer si tu veux. Il se nomme TektonIT,
mais pense tu que l'exe infecté pourrait nous permettre de tirer une quelconque IP, ou quelque chose d’intéressant?
mais pense tu que l'exe infecté pourrait nous permettre de tirer une quelconque IP, ou quelque chose d’intéressant?