DDOS et probablement infection R.A.T

Kuja41 Messages postés 6 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

comme indiqué dans le titre je me fais DDOS et jai probablement été infécté par un logiciel malveillant.

C'est avec stress et grande peine que je viens vers vous pour avoir de plus ample informations.

Alors voila je vais vous raconter l'histoire, tout entière pour bien prendre le contexte et m'aider a jauger le niveau de graviter de la situation.

Je joue a dofus un mmorpg français, un joueur m'envoie sur un site qui correspond trait pour trait au site officiel du jeu dofus.

Ce joueur en question voulait que je me connecte sur ce "faux" site qui ressemble trait pour trait au site dofus pour me voler mes identitfiants car c'est lui qui a crée ce site afin de voler des comptes du jeu a d'autres joueurs.

Bref moi j'ai vu que c'était faux. j'ai quitté la page, de retour en jeu je l'ai insulté manque de pot il avait mon adresse IP, il m'a DDOS toute la soirée et il continu de temps en temps.

Sa page web se réouvre tout seul sur mon ordinateur, une fois. deux fois. je commence a penser a une infection RAT.Mais je n'ai absolument rien télécharger donc première question est ce possible qu'il ait pris le controle de mon pc a distance uniquement grace a une IP ?

Suite a ça jai voulu changer d'adresse IP (jai réussi) mais rien a faire il peut toujours me DDOS. j'ai contacté mon fournisseur d'accès internet qui me dit qu'il peut rien pour moi et aussi que ma box changeait d'ip d'elle même tout les 24h si oui est ce que ça change l'ip de la box ? de la connexion ? du pc ?

Pour revenir au RAT. j'ai dl malwerebyte adwcleaner, winja, les logiciels voient rien.

Mes solutions sont : attendre 48h sans allumer mon pc voir si l'adresse IP change, remettre mon ordinateur totalement a 0 ?

j'aimerais vraiment avoir vos avis sur le sujet, en soit perdre mes comptes de jeu je m'en fiche mais mes comptes banquaire/privé/paypal cela me fait un peu peur.

4 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

    Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST,
    Attendre la fin du scan, un message indique que l'analyse est terminée.

    Trois rapports FRST seront générés :
    • FRST.txt
    • Shortcut.
    • Additionnal.txt


    Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    (Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Envoie C:\Users\Mat damon\AppData\Local\Programs\Guilded\Guilded.exe sur https://www.virustotal.com/gui/
    donne le lien d'analyse.

    Supprimer Yahoo Partner de Google Chrome.
    C'est une extension parasite pour forcer Yahoo!
    Reconfigure les moteurs de recherche
    0
    1. Kuja41 Messages postés 6 Statut Membre
       
      Comment puis-je vous envoyer ça ? je copie colle C:\Users\Mat damon\AppData\Local\Programs\Guilded\Guilded.exe dans démarrer rien ne se passe
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Kuja41 Messages postés 6 Statut Membre
         
        Tu peux l'avoir en tapant %LOCALAPPDATA% dans la barre d'adresse
        ça va t'afficher les dossiers de appdata\local
        après tu vas dans program et guilded
        0
    2. Kuja41 Messages postés 6 Statut Membre
       
      et nan introuvable, bon j'imagine que dans tous les cas il est impossible d'avoir été infécté par IP ?
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Dans le doute, on va le supprimer.

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
    Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
    Le bloc-note va s'ouvrir, copie/colle ceci.

    Start:
    CloseProcesses:
    CreateRestorePoint:
    HKU\S-1-5-21-3235775685-579930094-862670993-1001\...\Run: [electron.app.Guilded] => C:\Users\Mat damon\AppData\Local\Programs\Guilded\Guilded.exe
    C:\Users\Mat damon\AppData\Local\Programs\Guilded
    EmptyTemp:
    RemoveProxy:
    Hosts:
    Reboot:
    End:


    Enregistre le contenu par le menu fichier puis enregistrer.

    Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire et automatique.
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    2°) ESET NOD32
    Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

    0