Sujet Précédent Sujet Suivant

Aide à la suppression avec FRST

Fermé
Antho25012 Messages postés 9 Date d'inscription samedi 18 mars 2017 Statut Membre Dernière intervention 20 mars 2017 - 18 mars 2017 à 23:17
Antho25012 Messages postés 9 Date d'inscription samedi 18 mars 2017 Statut Membre Dernière intervention 20 mars 2017 - 20 mars 2017 à 17:09
Bonjour,

Je suis un grand joueur de jeu mobile clash royale etc et youtubeurs moyen.Il y a peu un individu ma hacker mes comptes google et ios. Je me demandais comment avais t'il pu y avoir accès. Il les a tout simplement récupéré sur mon PC!! ... J'ai aussi l'erreur regasme.exe.. Des pages s'ouvre toute seule etc, le disque est constamment utilisé a 100% se qui ralentit bcp...

Je demande donc l'aide de Malekal_morte- !

Voila Addition.txt : https://pjjoint.malekal.com/files.php?id=20170318_g10t12s10v12f9

FRST.txt : https://pjjoint.malekal.com/files.php?id=FRST_20170318_c13h10c7g8s13

SHORTCUT.txt : https://pjjoint.malekal.com/files.php?id=20170318_x10p8f6f6d13


Merci de votre aide !!!!!!!!!
A voir également:

10 réponses

Réponse 1 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
18 mars 2017 à 23:38
Salut,

Possible Trojan Rat : Trojan RAT.

Essaye d'envoyer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\start.exe
sur http://upload.malekal.com

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-458747296-3472318482-1005057090-1001\...\Run: [b7BNxj] => C:\ProgramData\Microsoft\Windows\Start Menu\Programs\start.exe
S2 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.3.2.220\WsAppService.exe [441344 2017-01-05] (Wondershare) [Fichier non signé]  
 S2 WsDrvInst; C:\Program Files (x86)\Wondershare\dr.fone toolkit pour Android\Library\DriverInstaller\DriverInstall.exe [124048 2017-01-05] (Wondershare)  
C:\Program Files (x86)\Wondershare
 2017-03-16 21:17 - 2017-03-18 21:01 - 00000000 ____D C:\Users\antho\AppData\Roaming\1SFS9n4Rjy 
Hosts:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

puis :

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
1
Réponse 2 / 10
Antho25012 Messages postés 9 Date d'inscription samedi 18 mars 2017 Statut Membre Dernière intervention 20 mars 2017
Modifié par Antho25012 le 19/03/2017 à 06:48
BOnjour,

Tout d'abord j'apprecie car je suis en licence informatique et de voir de sgens comme vous qui font des choses magiques sa me motive encore plus !!!!! C'est exactement sa ! Un trojan R.A.T c'est ce que j'avais diagnostiqué, mais hélas je ne sais comment réagir à sa.. Alors pour commencer, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\start.exe est introuvable, en effet, le seul doosier que j 'ai est C:\ProgramData\Microsoft\Windows\Start Menu Places ! et aucun fichier start.exe n'y es présent ! De plus aucun fichier ne sais ouvert lors de la correction mais l'ordinateur à redemarré, parler vous du fichier log ? Dans ce cas, le voici : https://pjjoint.malekal.com/files.php?id=20170319_i5d10u7u10b12

Ensuite le fichier quarantine.zip pèse 58mo, or votre site limite à 8mo se qui m'empeche de verifer le fichier , dois je utilier un hébergeur ??

Je souligne que ma caméra c'est allumer pendant 30 minutes à croire que le hacker veux aussi me voir... cela me fais peur! Cela me rend nerveux de ne pas savoir réagir alors que je suis en étude dans ce domaine.. Je le souligne encore, MERCI à vous de m'aider !!!

Cordialement Anthony.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
19 mars 2017 à 10:08
Dans la quarantaine, tu as un fichier C:\FRST\quarantine\C\ProgramData\Microsoft\Windows\Start Menu\Programs\start.exe
C'est celui là que je voudrais récupérer.

Refais un scan FRST et donne les rapports à nouveau pour voir.
0
Réponse 3 / 10
Antho25012 Messages postés 9 Date d'inscription samedi 18 mars 2017 Statut Membre Dernière intervention 20 mars 2017
19 mars 2017 à 16:41
Le problème c'est que le chemin n'emmene nulle part encore...

C:\FRST\Quarantine\C à partir de là j'ai : Program files x86 avec wondershare dedans, un autres "users" et "windows" ne contenant pas de start.exe.

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20170319_y9k11h10c7i12

Addition : https://pjjoint.malekal.com/files.php?id=20170319_r105m8c8v12

Shortcut : https://pjjoint.malekal.com/files.php?id=20170319_x6u6l12l13q8

Merci!
0
Réponse 4 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
19 mars 2017 à 16:44
ok tant pis =)

change tous tes mots de passe,

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
Antho25012 Messages postés 9 Date d'inscription samedi 18 mars 2017 Statut Membre Dernière intervention 20 mars 2017
19 mars 2017 à 16:45
C'est fais pour les mots de passe ! Pour nod32 aussi je l'avais fais je refais sa et vous l'envoie de suite , quoi que l'analyse dur 6H environ a plus tard :)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
19 mars 2017 à 21:31
ça roule :)
0
Réponse 6 / 10
Antho25012 Messages postés 9 Date d'inscription samedi 18 mars 2017 Statut Membre Dernière intervention 20 mars 2017
20 mars 2017 à 00:11
Donc voilà le log :)

https://pjjoint.malekal.com/files.php?id=20170320_r115q15z14z13
0
Antho25012 Messages postés 9 Date d'inscription samedi 18 mars 2017 Statut Membre Dernière intervention 20 mars 2017
Modifié par Antho25012 le 20/03/2017 à 00:29
J'ai une question, qu'est que c'est comme trojan des "injector/AutoIt ?? De plus le CUM que signifie t-il ? "Injector.Autoit.CUM trojan" idem pour "Injector.Autoit.CTV trojan"

Je n'apercois aucun Trojan RAT pourtant je vous assure qu'on a dérobé mes donnée et hacker un de mes compte, fenetre qui s'ouvrais seul etc, allumage de la cam..


Merci
0
Réponse 7 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
20 mars 2017 à 09:19
Ce sont des trojans écrits en AutoIT (c'est un langage de programmes en script), injector, ça indique qu'il peut s'injecter dans d'autres processus pour en prendre le contrôle.
Par exemple, il peut s'injecter dans explorer.exe ou svchost.exe pour le contrôler et effectuer des connexions avec vers le serveur de contrôle.
Si tu as un pare-feu et que ces deux processus systèmes sont autorisés, la connexion le sera.

Et c'est bien un Trojan RAT que tu as eu.

0
Réponse 8 / 10
Antho25012 Messages postés 9 Date d'inscription samedi 18 mars 2017 Statut Membre Dernière intervention 20 mars 2017
20 mars 2017 à 15:50
Et dans cquoi ce trojan se situais t-il ? Merci :)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
20 mars 2017 à 15:58
Surement un crack ou un fichier pourri que tu as téléchargé.
0
Réponse 9 / 10
Antho25012 Messages postés 9 Date d'inscription samedi 18 mars 2017 Statut Membre Dernière intervention 20 mars 2017
Modifié par Antho25012 le 20/03/2017 à 16:13
Oui je m'en doutais ! LE problème est résolu donc ??

Je ne voudrais pas vous faire perdre votre temps, et je vous remercie encore de m'avoir aidé, mais je n'est vu de trojan RAT apparaitre sur FRST ou un anti-malware, a part , "Wondershare" et les deux trojans injector. Comment savez vous qu'il sagissais bien d'un RAT et comment savez vous qu'il a été supprimé ?? je voudrais être sûr, de plus sa m'intéresse :)

MERCI !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
20 mars 2017 à 16:41
oui c'est résolu.
J'ai déjà répondu aux autres questions.
0
Réponse 10 / 10
Antho25012 Messages postés 9 Date d'inscription samedi 18 mars 2017 Statut Membre Dernière intervention 20 mars 2017
20 mars 2017 à 17:09
Il me semblais pas mais bon; merci !
0

Discussions similaires

me desinscrire du site voisinsolitaire.com
maitre -
Clarckos -

19 réponses
Que se passe-t-il quand on supprime un ami sur snapchat
Lilob7 -
kemani06 -

1 réponse
Comment supprimer une conversation Messenger pour les 2 personnes ?
mercidemaider -
sd -

7 réponses