Je me suis fais RAT

Fermé
Prot0_Type Messages postés 30 Date d'inscription lundi 27 juillet 2015 Statut Membre Dernière intervention 8 décembre 2017 - Modifié par Xileh le 23/06/2016 à 20:15
Prot0_Type Messages postés 30 Date d'inscription lundi 27 juillet 2015 Statut Membre Dernière intervention 8 décembre 2017 - 23 juin 2016 à 23:15
Salut a tous

Tout est dans le titre...
En fait j'avais laisser mon ordi allumer, et j'etais partit me promer. Quand je suis revenue, j'ai vu ma boite mail ouverte(alors qu'elle ne l'était pas) Il y avait deux mails de rockstar qui avaient étés ouverts. C'etait des mails de confirmation de changement d'adresse mail et de mot de passe...
La j'ai commencer a comprendre, en plus j'ai ouvert le mail du changement d'adresse, qui me confirme un changement de mon adresse a son adresse (car oui ce trou du cul n'as pas penser a supprimer le mail, ce qui fait que j'ai put chopper son adresse)
voila son adresse, pour ceux qui voudraient se casser la tete a trouver le mec, tout ce que je sais, c'est qu'il s'agit d'un russe : Adresse mail supprimée par la modération, publication contraire à la charte

bref, du coup je suis retourné sur mon ordi, et la bam la souris qui bouge toute seul au moment ou je commence a écrire ce post, donc la, j'en suis sure a 100 pourcent je me suis bien fait RAT...

Donc SVP, aidez moi a me débarrasser de ce petit fils de p***, je vous en serait très reconaissant!
A voir également:

10 réponses

Pierre1310 Messages postés 8564 Date d'inscription lundi 21 décembre 2015 Statut Membre Dernière intervention 21 juillet 2020 649
22 juin 2016 à 13:28
Salut,

Tu n'aurais pas teamviewer d'ouvert?

Si tu ne l'as pas d'ouvert, éteins ton pc, accède aux options avancés et restaure ton pc aussi loin que tu le peux.
4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
22 juin 2016 à 13:50
Salut

ça fait très prb teamviewer pour vérifier :

Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

--
2
Nicodelamort Messages postés 11 Date d'inscription mercredi 22 juin 2016 Statut Membre Dernière intervention 8 janvier 2017 2
22 juin 2016 à 13:26
Regarde dans les processus si tu vois quelque chose de louche et arrête-le.
et puis cherches sur internet comment bloquer ça définitivement.
1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
22 juin 2016 à 20:25
Suis ces trois étapes :

1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
R2 RManService; C:\Program Files (x86)\System\rutserv.exe [1789440 2016-01-23] () [Fichier non signé]
C:\Program Files (x86)\System\r
Task: C:\WINDOWS\Tasks\FastTasks.job => c:\programdata\{7a3d5966-bcfb-dd5b-7a3d-d5966bcf659a}\farcry4.exe <==== ATTENTION
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

2/

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/

et enfin :
Installe Avast!, active surtout les détections LPI pour détecter les programmes parasites et publicitaires.

1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Prot0_Type Messages postés 30 Date d'inscription lundi 27 juillet 2015 Statut Membre Dernière intervention 8 décembre 2017
22 juin 2016 à 13:47
merci les gas pour votre aide...
alors en ce qui concerne teamviewer, j'avais stoppé le processus, mais sa l'as pas empecher de revenir.
Ensuite après avoir fait le tour des processus, rien ne m'as semblé inhabituel.
Je pense meme connaitre la source de l'infection :
Hier j'avais telecharger un executable qui ne fonctionnait pas je pense que le mec utilise un truc a la con comme Darkcommet ou je sais pas trop quoi

Il a tout simplement dut ouvrir une backdoor.

C'est pour ça, j'aurais besoin d'une analyse complete de mon pc svp
0
Prot0_Type Messages postés 30 Date d'inscription lundi 27 juillet 2015 Statut Membre Dernière intervention 8 décembre 2017
Modifié par Prot0_Type le 22/06/2016 à 14:11
salut Malekal, et merci pour ton aide (je te connais déja, j'étais sur helper formation avant :p)

bref voila les rapports
https://pjjoint.malekal.com/files.php?id=20160622_r9q141414v11 addition.txt

https://pjjoint.malekal.com/files.php?id=FRST_20160622_x13u6v5m8l5 frst.txt

https://pjjoint.malekal.com/files.php?id=20160622_x7e11k14h9x7 shortcut.txt

je précise que j'ai désactiver internet pendant le scan pour ne pas être déranger par l'autre gus...
0
Prot0_Type Messages postés 30 Date d'inscription lundi 27 juillet 2015 Statut Membre Dernière intervention 8 décembre 2017
22 juin 2016 à 23:19
salut

voila le rapport :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-06-2016 01
Exécuté par Prot0_Type (2016-06-22 21:36:11) Run:1
Exécuté depuis D:\Downloads
Profils chargés: Prot0_Type (Profils disponibles: Prot0_Type & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


CreateRestorePoint:
CloseProcesses:
R2 RManService; C:\Program Files (x86)\System\rutserv.exe [1789440 2016-01-23] () [Fichier non signé]
C:\Program Files (x86)\System\r
Task: C:\WINDOWS\Tasks\FastTasks.job => c:\programdata\{7a3d5966-bcfb-dd5b-7a3d-d5966bcf659a}\farcry4.exe <==== ATTENTION
Reboot:



Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
RManService => service supprimé(es) avec succès
"C:\Program Files (x86)\System\r" => non trouvé(e).
C:\WINDOWS\Tasks\FastTasks.job => déplacé(es) avec succès


Le système a dû redémarrer.
Fin de Fixlog 21:36:12
et je n'ais pas réussit a upload le fichier quarantine.zip sur ton site...
je précise que j'avais réussit à localiser et a supprimer le fichier rutserv.exe avent que tu ne me réponde.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
22 juin 2016 à 23:43
ok tant pis mets Avast! et fais un scan avec.
0
Prot0_Type Messages postés 30 Date d'inscription lundi 27 juillet 2015 Statut Membre Dernière intervention 8 décembre 2017
23 juin 2016 à 13:05
bon le scan avast est en cour...
Dis moi, as tu réussit à chopper des infos sur le mec dans les rapports FRST?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Prot0_Type Messages postés 30 Date d'inscription lundi 27 juillet 2015 Statut Membre Dernière intervention 8 décembre 2017
23 juin 2016 à 13:14
non pour cela, il me faut les fichiers malicieux.
0
Prot0_Type Messages postés 30 Date d'inscription lundi 27 juillet 2015 Statut Membre Dernière intervention 8 décembre 2017
23 juin 2016 à 13:18
ce que j'ai supprimé?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Prot0_Type Messages postés 30 Date d'inscription lundi 27 juillet 2015 Statut Membre Dernière intervention 8 décembre 2017
23 juin 2016 à 13:21
oui ou ce qui est censé être dans la quarantaine de FRST : C:\FRST\quarantine
Le lien mediafire que tu avais donné n'était pas bon.
0
Prot0_Type Messages postés 30 Date d'inscription lundi 27 juillet 2015 Statut Membre Dernière intervention 8 décembre 2017
23 juin 2016 à 16:17
Salut.

J'ai retrouvé le fichier qui lui a permis d’installé la background https://pjjoint.malekal.com/files.php?id=20160623_l6j12t12u10l11

en ce qui concerne avast, il ne s'agissait que de fausses alertes, du coup j'ai fais la correction et voila.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
23 juin 2016 à 17:18
En fait c'est pas tout à fait un RAT mais un logiciel de prise en main à distance en l'occurence RMS (Remote Manipulator) : htxps://rmansys.ru/

L'exe que tu as donné est relativement bien détecté, même Windows Defender le détecte.

SHA256: ebf12ac1bd0057eaa72a8d7ecc1505d257ea03358dc1eb265b7af6913c0f6c49
File name: jordans 1.8.exe
Detection ratio: 36 / 55
Analysis date: 2016-06-23 15:06:12 UTC ( 3 minutes ago )

Behavioural information
Antivirus Result Update
AVG RemoteAdmin.DFO 20160623
AVware Trojan.Win32.Generic!BT 20160623
Ad-Aware Trojan.Generic.15942633 20160623
AegisLab Remoteadmin.W32.Rms!c 20160623
AhnLab-V3 Malware/Gen.Generic.N2016164080 20160623
Antiy-AVL RiskWare[RemoteAdmin]/Win32.RMS.nd 20160623
Arcabit Trojan.Graftor.D418B3 20160623
Avast Win32:Malware-gen 20160623
Avira (no cloud) TR/Dropper.Gen 20160623
Baidu Win32.Trojan.WisdomEyes.151026.9950.9963 20160623
BitDefender Trojan.Generic.15942633 20160623
ClamAV Win.Trojan.Inject-15717 20160623
Cyren W32/Trojan.MBDS-0756 20160623
DrWeb VBS.Starter.65 20160623
ESET-NOD32 a variant of Win32/RemoteAdmin.RemoteUtilities.H potentially unsafe 20160623
Emsisoft Trojan.Generic.15942633 (B) 20160623
F-Secure Trojan.Generic.15942633 20160623
Fortinet Riskware/RemoteAdmin_RemoteUtilities 20160623
GData Trojan.Generic.15942633 20160623
Jiangmin RemoteAdmin.RMS.w 20160623
K7AntiVirus Riskware ( 0040eff71 ) 20160623
K7GW Riskware ( 0040eff71 ) 20160623
Kaspersky not-a-virus:RemoteAdmin.Win32.RMS.pr 20160623
McAfee Artemis!FE0C26FF7137 20160623
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.wc 20160623
eScan Trojan.Generic.15942633 20160623
NANO-Antivirus Trojan.Win32.RemoteAdmin.eamsqc 20160623
Panda Trj/CI.A 20160622
Qihoo-360 Win32/Virus.RemoteAdmin.477 20160623
Sophos Generic PUA JM (PUA) 20160623
Symantec SAPE.Heur.B8E67 20160623
Tencent Win32.Backdoor.Backdoor.Edno 20160623
TrendMicro-HouseCall TROJ_GE.0006947C 20160623
VIPRE Trojan.Win32.Generic!BT 20160623
Yandex Trojan.InstallRadmin.B 20160621
nProtect Trojan.Generic.15942633 20160623

0
Prot0_Type Messages postés 30 Date d'inscription lundi 27 juillet 2015 Statut Membre Dernière intervention 8 décembre 2017
Modifié par Prot0_Type le 23/06/2016 à 20:17
oui j'avais réussi à trouver le logiciel de RMS, par l'analyse des logs que j'ai réussit à trouver dans mon disque dur, et que je peux également t'envoyer si tu veux. Il se nomme TektonIT,
mais pense tu que l'exe infecté pourrait nous permettre de tirer une quelconque IP, ou quelque chose d’intéressant?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
23 juin 2016 à 20:21
Bha ça dépend comment le programme de prise en main fonctionne... il aurait fallu voir au moment de la prise en main.
0
Prot0_Type Messages postés 30 Date d'inscription lundi 27 juillet 2015 Statut Membre Dernière intervention 8 décembre 2017
23 juin 2016 à 23:15
ouai... c'est chiant, parce que j'avais désinstaller mon sniffer...
0