Trojan RAT besoin d'aide
Résolu/Fermé
A voir également:
- Trojan RAT besoin d'aide
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Offre rat + - Accueil - Streaming
- Csrss.exe trojan - Forum Virus
- Trojan win32 - Forum Virus
- Csrss.exe : processus suspect/virus ? - Forum Virus
2 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
21 oct. 2019 à 19:28
21 oct. 2019 à 19:28
Salut,
A désinstaller :
Avira
RogueKiller
Laisse Windows Defender, moins lourd.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
A désinstaller :
Avira
RogueKiller
Laisse Windows Defender, moins lourd.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2747287504-604418057-3265271866-1017\...\Run: [UHPL_RIXMH] => C:\Program Files (x86)\S5j6hz\srl0vad3duf.exe [786432 2019-10-21] (Accès refusé) [Fichier non signé]
C:\Program Files (x86)\S5j6hz
Task: {54A5A0FF-2510-466E-90E4-B80E97A2F8C2} - System32\Tasks\Avira\System Speedup\Delayed Startup\AnneSophie\1 => C:\Program Files (x86)\S5j6hz\srl0vad3duf.exe [786432 2019-10-21] (Accès refusé) [Fichier non signé] <==== ATTENTION
2019-10-21 11:26 - 2019-10-21 16:02 - 000000000 ____D C:\Program Files (x86)\S5j6hz
2019-10-21 11:24 - 2019-10-21 14:58 - 000000000 ___HD C:\Users\PC\AppData\Roaming\5662SO0T
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié le 22 oct. 2019 à 10:39
Modifié le 22 oct. 2019 à 10:39
ok parfait,
Pour le réseau, si c'est un domaine, il faut changer les mots de passe des comptes administrateur.
~~
Supprime le dossier C:\FRST
Pour terminer, à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.
Termine par un nettoyage MBAM :
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.
Pour le réseau, si c'est un domaine, il faut changer les mots de passe des comptes administrateur.
~~
Supprime le dossier C:\FRST
Pour terminer, à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.
Termine par un nettoyage MBAM :
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.
22 oct. 2019 à 09:42
merci pour ta réponse !
voici le résultat :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 21-10-2019
Exécuté par AnneSophie (22-10-2019 09:24:04) Run:1
Exécuté depuis C:\Users\PC\Desktop
Profils chargés: AnneSophie (Profils disponibles: AnneSophie & asebel & Administrateur)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2747287504-604418057-3265271866-1017\...\Run: [UHPL_RIXMH] => C:\Program Files (x86)\S5j6hz\srl0vad3duf.exe [786432 2019-10-21] (Accès refusé) [Fichier non signé]
C:\Program Files (x86)\S5j6hz
Task: {54A5A0FF-2510-466E-90E4-B80E97A2F8C2} - System32\Tasks\Avira\System Speedup\Delayed Startup\AnneSophie\1 => C:\Program Files (x86)\S5j6hz\srl0vad3duf.exe [786432 2019-10-21] (Accès refusé) [Fichier non signé] <==== ATTENTION
2019-10-21 11:26 - 2019-10-21 16:02 - 000000000 ____D C:\Program Files (x86)\S5j6hz
2019-10-21 11:24 - 2019-10-21 14:58 - 000000000 ___HD C:\Users\PC\AppData\Roaming\5662SO0T
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-2747287504-604418057-3265271866-1017\Software\Microsoft\Windows\CurrentVersion\Run\\UHPL_RIXMH" => supprimé(es) avec succès
C:\Program Files (x86)\S5j6hz => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{54A5A0FF-2510-466E-90E4-B80E97A2F8C2}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{54A5A0FF-2510-466E-90E4-B80E97A2F8C2}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Avira\System Speedup\Delayed Startup\AnneSophie\1 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avira\System Speedup\Delayed Startup\AnneSophie\1" => supprimé(es) avec succès
"C:\Program Files (x86)\S5j6hz" => non trouvé(e)
C:\Users\PC\AppData\Roaming\5662SO0T => déplacé(es) avec succès
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2747287504-604418057-3265271866-1017\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2747287504-604418057-3265271866-1017\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.
=========== EmptyTemp: ==========
BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 10694210 B
Java, Flash, Steam htmlcache => 492 B
Windows/system/drivers => 101000984 B
Edge => 1058392 B
Chrome => 0 B
Firefox => 49971644 B
Opera => 16930608 B
Temp, IE cache, history, cookies, recent:
Default => 27711 B
Users => 27711 B
ProgramData => 27711 B
Public => 27711 B
systemprofile => 27711 B
systemprofile32 => 27711 B
LocalService => 31555 B
NetworkService => 584145 B
PC => 331439517 B
defaultuser0.DESKTOP-TPUR560 => 333836446 B
administrateur => 333886932 B
RecycleBin => 0 B
EmptyTemp: => 1.1 GB données temporaires supprimées.
================================
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 22-10-2019 09:31:47)
C:\Windows\System32\Drivers\etc\hosts => Impossible de déplacer
Impossible de restaurer Hosts.
Fin de Fixlog 09:31:47
Petite question, nous sommes sur un système de réseau, incluant donc l'ordinateur infesté, est ce que tout le réseau risque d'être affecté par ce virus ?merci par avance pour ta réponse