Aide à la suppression avec FRST
Fermé
Antho25012
Messages postés
9
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
20 mars 2017
-
18 mars 2017 à 23:17
Antho25012 Messages postés 9 Date d'inscription samedi 18 mars 2017 Statut Membre Dernière intervention 20 mars 2017 - 20 mars 2017 à 17:09
Antho25012 Messages postés 9 Date d'inscription samedi 18 mars 2017 Statut Membre Dernière intervention 20 mars 2017 - 20 mars 2017 à 17:09
A voir également:
- Aide à la suppression avec FRST
- Forcer la suppression d'un fichier - Guide
- Frst windows - Télécharger - Sécurité
- Suppression page word - Guide
- Suppression cookies - Guide
- Suppression compte instagram - Guide
10 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
18 mars 2017 à 23:38
18 mars 2017 à 23:38
Salut,
Possible Trojan Rat : Trojan RAT.
Essaye d'envoyer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\start.exe
sur http://upload.malekal.com
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
puis :
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Possible Trojan Rat : Trojan RAT.
Essaye d'envoyer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\start.exe
sur http://upload.malekal.com
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-458747296-3472318482-1005057090-1001\...\Run: [b7BNxj] => C:\ProgramData\Microsoft\Windows\Start Menu\Programs\start.exe
S2 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.3.2.220\WsAppService.exe [441344 2017-01-05] (Wondershare) [Fichier non signé]
S2 WsDrvInst; C:\Program Files (x86)\Wondershare\dr.fone toolkit pour Android\Library\DriverInstaller\DriverInstall.exe [124048 2017-01-05] (Wondershare)
C:\Program Files (x86)\Wondershare
2017-03-16 21:17 - 2017-03-18 21:01 - 00000000 ____D C:\Users\antho\AppData\Roaming\1SFS9n4Rjy
Hosts:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
puis :
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Antho25012
Messages postés
9
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
20 mars 2017
Modifié par Antho25012 le 19/03/2017 à 06:48
Modifié par Antho25012 le 19/03/2017 à 06:48
BOnjour,
Tout d'abord j'apprecie car je suis en licence informatique et de voir de sgens comme vous qui font des choses magiques sa me motive encore plus !!!!! C'est exactement sa ! Un trojan R.A.T c'est ce que j'avais diagnostiqué, mais hélas je ne sais comment réagir à sa.. Alors pour commencer, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\start.exe est introuvable, en effet, le seul doosier que j 'ai est C:\ProgramData\Microsoft\Windows\Start Menu Places ! et aucun fichier start.exe n'y es présent ! De plus aucun fichier ne sais ouvert lors de la correction mais l'ordinateur à redemarré, parler vous du fichier log ? Dans ce cas, le voici : https://pjjoint.malekal.com/files.php?id=20170319_i5d10u7u10b12
Ensuite le fichier quarantine.zip pèse 58mo, or votre site limite à 8mo se qui m'empeche de verifer le fichier , dois je utilier un hébergeur ??
Je souligne que ma caméra c'est allumer pendant 30 minutes à croire que le hacker veux aussi me voir... cela me fais peur! Cela me rend nerveux de ne pas savoir réagir alors que je suis en étude dans ce domaine.. Je le souligne encore, MERCI à vous de m'aider !!!
Cordialement Anthony.
Tout d'abord j'apprecie car je suis en licence informatique et de voir de sgens comme vous qui font des choses magiques sa me motive encore plus !!!!! C'est exactement sa ! Un trojan R.A.T c'est ce que j'avais diagnostiqué, mais hélas je ne sais comment réagir à sa.. Alors pour commencer, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\start.exe est introuvable, en effet, le seul doosier que j 'ai est C:\ProgramData\Microsoft\Windows\Start Menu Places ! et aucun fichier start.exe n'y es présent ! De plus aucun fichier ne sais ouvert lors de la correction mais l'ordinateur à redemarré, parler vous du fichier log ? Dans ce cas, le voici : https://pjjoint.malekal.com/files.php?id=20170319_i5d10u7u10b12
Ensuite le fichier quarantine.zip pèse 58mo, or votre site limite à 8mo se qui m'empeche de verifer le fichier , dois je utilier un hébergeur ??
Je souligne que ma caméra c'est allumer pendant 30 minutes à croire que le hacker veux aussi me voir... cela me fais peur! Cela me rend nerveux de ne pas savoir réagir alors que je suis en étude dans ce domaine.. Je le souligne encore, MERCI à vous de m'aider !!!
Cordialement Anthony.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
19 mars 2017 à 10:08
19 mars 2017 à 10:08
Dans la quarantaine, tu as un fichier C:\FRST\quarantine\C\ProgramData\Microsoft\Windows\Start Menu\Programs\start.exe
C'est celui là que je voudrais récupérer.
Refais un scan FRST et donne les rapports à nouveau pour voir.
C'est celui là que je voudrais récupérer.
Refais un scan FRST et donne les rapports à nouveau pour voir.
Antho25012
Messages postés
9
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
20 mars 2017
19 mars 2017 à 16:41
19 mars 2017 à 16:41
Le problème c'est que le chemin n'emmene nulle part encore...
C:\FRST\Quarantine\C à partir de là j'ai : Program files x86 avec wondershare dedans, un autres "users" et "windows" ne contenant pas de start.exe.
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20170319_y9k11h10c7i12
Addition : https://pjjoint.malekal.com/files.php?id=20170319_r105m8c8v12
Shortcut : https://pjjoint.malekal.com/files.php?id=20170319_x6u6l12l13q8
Merci!
C:\FRST\Quarantine\C à partir de là j'ai : Program files x86 avec wondershare dedans, un autres "users" et "windows" ne contenant pas de start.exe.
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20170319_y9k11h10c7i12
Addition : https://pjjoint.malekal.com/files.php?id=20170319_r105m8c8v12
Shortcut : https://pjjoint.malekal.com/files.php?id=20170319_x6u6l12l13q8
Merci!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
19 mars 2017 à 16:44
19 mars 2017 à 16:44
ok tant pis =)
change tous tes mots de passe,
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.
change tous tes mots de passe,
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Antho25012
Messages postés
9
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
20 mars 2017
19 mars 2017 à 16:45
19 mars 2017 à 16:45
C'est fais pour les mots de passe ! Pour nod32 aussi je l'avais fais je refais sa et vous l'envoie de suite , quoi que l'analyse dur 6H environ a plus tard :)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
19 mars 2017 à 21:31
19 mars 2017 à 21:31
ça roule :)
Antho25012
Messages postés
9
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
20 mars 2017
20 mars 2017 à 00:11
20 mars 2017 à 00:11
Donc voilà le log :)
https://pjjoint.malekal.com/files.php?id=20170320_r115q15z14z13
https://pjjoint.malekal.com/files.php?id=20170320_r115q15z14z13
Antho25012
Messages postés
9
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
20 mars 2017
Modifié par Antho25012 le 20/03/2017 à 00:29
Modifié par Antho25012 le 20/03/2017 à 00:29
J'ai une question, qu'est que c'est comme trojan des "injector/AutoIt ?? De plus le CUM que signifie t-il ? "Injector.Autoit.CUM trojan" idem pour "Injector.Autoit.CTV trojan"
Je n'apercois aucun Trojan RAT pourtant je vous assure qu'on a dérobé mes donnée et hacker un de mes compte, fenetre qui s'ouvrais seul etc, allumage de la cam..
Merci
Je n'apercois aucun Trojan RAT pourtant je vous assure qu'on a dérobé mes donnée et hacker un de mes compte, fenetre qui s'ouvrais seul etc, allumage de la cam..
Merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
20 mars 2017 à 09:19
20 mars 2017 à 09:19
Ce sont des trojans écrits en AutoIT (c'est un langage de programmes en script), injector, ça indique qu'il peut s'injecter dans d'autres processus pour en prendre le contrôle.
Par exemple, il peut s'injecter dans explorer.exe ou svchost.exe pour le contrôler et effectuer des connexions avec vers le serveur de contrôle.
Si tu as un pare-feu et que ces deux processus systèmes sont autorisés, la connexion le sera.
Et c'est bien un Trojan RAT que tu as eu.
Par exemple, il peut s'injecter dans explorer.exe ou svchost.exe pour le contrôler et effectuer des connexions avec vers le serveur de contrôle.
Si tu as un pare-feu et que ces deux processus systèmes sont autorisés, la connexion le sera.
Et c'est bien un Trojan RAT que tu as eu.
Antho25012
Messages postés
9
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
20 mars 2017
20 mars 2017 à 15:50
20 mars 2017 à 15:50
Et dans cquoi ce trojan se situais t-il ? Merci :)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
20 mars 2017 à 15:58
20 mars 2017 à 15:58
Surement un crack ou un fichier pourri que tu as téléchargé.
Antho25012
Messages postés
9
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
20 mars 2017
Modifié par Antho25012 le 20/03/2017 à 16:13
Modifié par Antho25012 le 20/03/2017 à 16:13
Oui je m'en doutais ! LE problème est résolu donc ??
Je ne voudrais pas vous faire perdre votre temps, et je vous remercie encore de m'avoir aidé, mais je n'est vu de trojan RAT apparaitre sur FRST ou un anti-malware, a part , "Wondershare" et les deux trojans injector. Comment savez vous qu'il sagissais bien d'un RAT et comment savez vous qu'il a été supprimé ?? je voudrais être sûr, de plus sa m'intéresse :)
MERCI !
Je ne voudrais pas vous faire perdre votre temps, et je vous remercie encore de m'avoir aidé, mais je n'est vu de trojan RAT apparaitre sur FRST ou un anti-malware, a part , "Wondershare" et les deux trojans injector. Comment savez vous qu'il sagissais bien d'un RAT et comment savez vous qu'il a été supprimé ?? je voudrais être sûr, de plus sa m'intéresse :)
MERCI !
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
20 mars 2017 à 16:41
20 mars 2017 à 16:41
oui c'est résolu.
J'ai déjà répondu aux autres questions.
J'ai déjà répondu aux autres questions.
Antho25012
Messages postés
9
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
20 mars 2017
20 mars 2017 à 17:09
20 mars 2017 à 17:09
Il me semblais pas mais bon; merci !