Sujet Précédent Sujet Suivant

Suspicion de Trojan / RAT

Résolu/Fermé
Akaz0L Messages postés 13 Date d'inscription mercredi 21 août 2019 Statut Membre Dernière intervention 28 août 2022 - Modifié le 28 août 2022 à 02:26
bazfile Messages postés 53695 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 24 avril 2024 - 28 août 2022 à 15:31

Bonjour,

en cette soirée du 27 août 2022, je passais tranquillement ma journée quand je reçois des mails comme quoi j'ai été facturé sur Discord pour l'achat de cadeaux Nitro (ma carte était sur mon compte Discord).

Je me rends compte aussi que mon Instagram a gagné 300 abonnements (je me suis abonné à 300comptes en 1h, ce que moi personnellement, n'ai pas fait) et un utilisateur d'une région totalement inconnue s'est connectée à celle-ci.

Je comprends donc assez rapidement que j'ai été hack quelque part, je regarde sur mon PC et je trouve ça dans l'historique de Windows Defender (je n'avais pas eu la notification au moment T).

Message 1 : https://www.cjoint.com/c/LHCahUuP1UM "Trojan:Win32/Tnega!MSR" La menace a été mis en quarantaine

Message 2 : https://www.cjoint.com/c/LHCaiBzb4JM "Trojan:Win32/Wacatac.H!ml" La menace a été mis en quarantaine

J'ai lancé un scan complet Microsoft Defender (je suis sous Windows 11), rien d'autre n'a été détecté.

Malgré donc que Defender a arrêté ces menaces, elles ont donc eu le temps de prendre au moins mon compte Discord et mon compte Instagram. Que faire ? Doit je changer tous mes mot des passes enregistrés sur Chrome aussi ? Doit-je envisager d'autres scan avec d'autres antivirus pour voir s'il reste des virus ? Ou tout simplement réinitialiser mon PC (après sauvegarde des données) pour être sûr ?

Merci d'avance pour l'aide.

Bonne journée à vous.

A voir également:

7 réponses

Réponse 1 / 7
bazfile Messages postés 53695 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 24 avril 2024 18 473
28 août 2022 à 13:19

Bonjour.

Les fichiers dértectés par Windows Defender sont dans le dossier temporaires de Windows pour être certain qu'aucun autre processus infectieux tourne surton pc fait ce qui suit :
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.
1
Akaz0L Messages postés 13 Date d'inscription mercredi 21 août 2019 Statut Membre Dernière intervention 28 août 2022
Modifié le 28 août 2022 à 13:44

Bonjour,

FRST : 

Addition.txt : https://www.cjoint.com/c/LHClPGFZlIM

FRST.txt : https://www.cjoint.com/c/LHClQHfmyxM

Merci de ton aide.

0
bazfile Messages postés 53695 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 24 avril 2024 18 473 > Akaz0L Messages postés 13 Date d'inscription mercredi 21 août 2019 Statut Membre Dernière intervention 28 août 2022
Modifié le 28 août 2022 à 14:02

Tu as infecté ton pc en téléchargeant utilisant un keygen pour activer des produits Adobe, évite ce genre de pratique elle ne t'apportera que des problèmes.

Désinstalle Honeygain évite ces applications qui promettent de gagner de l'argent il y a toujours une contrepartie.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Creative Cloud.lnk:7661CCE9BF [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2022.lnk:638138415C [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro 2022.lnk:C56174E6CE [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [10]
AlternateDataStreams: C:\Users\Public\Documents\OptiFine_1.8.9_HD_U_M5.jar:AF94E65249 [10]
FirewallRules: [{D1BB6A5C-249B-4EB2-A6DE-910298A38D20}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Poppy Playtime\PlaytimeLauncher\PlaytimeLauncher.exe => Pas de fichier
FirewallRules: [{C2B37047-A37F-4FAB-84CA-49560A08654D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Poppy Playtime\PlaytimeLauncher\PlaytimeLauncher.exe => Pas de fichier
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
S3 HWiNFO_165; C:\Users\ademc\AppData\Local\Temp\HWiNFO64A_165.SYS [56888 2022-08-26] (Microsoft Windows Hardware Compatibility Publisher -> REALiX(tm)) 
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-286367191-1329303105-1402877350-1001\...\Run: [com.squirrel.PacketStream.PacketStream] => C:\Users\ademc\AppData\Local\PacketStream\app-20.202.1548\PacketStream.exe (Pas de fichier)
S3 HWiNFO_161; \??\C:\Users\ademc\AppData\Local\Temp\HWiNFO64A_161.SYS [X]
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

0
Akaz0L Messages postés 13 Date d'inscription mercredi 21 août 2019 Statut Membre Dernière intervention 28 août 2022 > bazfile Messages postés 53695 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 24 avril 2024
28 août 2022 à 14:28

Voilà c'est fait : https://www.cjoint.com/c/LHCmvbjWLcM

Merci de ton aide. Mais du coup, sais-tu ce qu'il s'est passé exactement. Car je suis surpris que le pirate ait pu accéder à mon compte Discord ainsi que Instagram alors que Windows Defender l'a supprimé quasi immédiatement après que j'ai lancé le programme infecté.

0
bazfile Messages postés 53695 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 24 avril 2024 18 473 > Akaz0L Messages postés 13 Date d'inscription mercredi 21 août 2019 Statut Membre Dernière intervention 28 août 2022
Modifié le 28 août 2022 à 14:35

Le fixlog est OK, tout les fichiers temporaires ont été supprimés.

Mais du coup, sais-tu ce qu'il s'est passé exactement

Non car tu avais déjà désinfecté en parti ton pc mais vu que d'après WD c'était un trojan RAT il avait accès à ton pc et il a eu le temps de récupérer tes identifiants et mots de passe de Discord & Cie, attention change bien tous tes mots de passe en ligne.

Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

1
Akaz0L Messages postés 13 Date d'inscription mercredi 21 août 2019 Statut Membre Dernière intervention 28 août 2022 > bazfile Messages postés 53695 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 24 avril 2024
28 août 2022 à 14:52

Ok, merci pour tout. Il y a une question (pas très importante certes, mais qui m'intrigue), pourquoi le pirate a-t-il acheté des Gifts Discord Nitro, quel intérêt pour lui, d'ailleurs même chose pour Instagram, il s'est juste abonné avec mon compte à des centaines de comptes ?

On aura surement jamais la réponse...

Merci pour tout encore une fois.

Bonne journée à toi.

0
Réponse 2 / 7
fabul Messages postés 37700 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 24 avril 2024 5 172
Modifié le 28 août 2022 à 02:45

Salut,

Tu peux analyser pour des virus ou programmes potentiellement nuisibles avec RegRun Reanimator

https://greatis.com/security/reanimator.html

> Fix Problems
> Fix Malware Issues

Mais il est important de bien trier, par recherches et déductions pour ne supprimer que des virus ou choses inutiles, parce qu'il détecte tout et n'importe quoi, bon ou pas, ce n'est pas un "antivirus" avec une grande base de données virale, mais plutôt un outil d'analyse qui  permet de voir ce qui n'est pas évident à voir sans.

Que ce soit marqué en rouge, jaune ou vert, c'est toi qui doit juger de la pertinence de ce qu'il détecte.

Si il ne détecte pas assez tu peux utiliser le Inspection Mode pour tout voir.

Ou > On-Line Multi-Antivirus Scan

Si tu as des questions, quoi que la il commence à se faire tard, je verrai peut être juste demain.

@+
0
Réponse 3 / 7
Akaz0L Messages postés 13 Date d'inscription mercredi 21 août 2019 Statut Membre Dernière intervention 28 août 2022
28 août 2022 à 02:54

Salut,

Ok merci, je vais faire ça.

Et oui il est tard en effet, mais bon quand j'ai vu que mon PC a été hacké, je préfère régler le souci dès que possible.

Sinon j'ai lancé un Scan Malwarebytes, je vais lancer un ESET NOD32 Online Scan, AdwCleaner et ce que tu m'a envoyé. Mais le scan Malwarebytes n'indiquant rien, je n'ai pas l'impression qu'il reste quelque chose.

Mais du coup, selon vous, quelles sont les données / mots de passe compromis ? Je n'ai pas de données particulièrement sensibles, mais j'ai comme dit beaucoup de mots de passe enregistrés sur Chrome, doit-je les changer ?
0
Réponse 4 / 7
fabul Messages postés 37700 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 24 avril 2024 5 172
28 août 2022 à 02:56

Ça serait sage de les changer, mais je n'en sais pas plus.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Akaz0L Messages postés 13 Date d'inscription mercredi 21 août 2019 Statut Membre Dernière intervention 28 août 2022
28 août 2022 à 02:59

Ok, bah je vais changer les mots de passes des sites / app un minimum importants alors. Merci beaucoup à toi !
0
Réponse 6 / 7
fabul Messages postés 37700 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 24 avril 2024 5 172
28 août 2022 à 03:43

Bonne chance pour te faire rembourser, et tout.

@+
0
Réponse 7 / 7
Akaz0L Messages postés 13 Date d'inscription mercredi 21 août 2019 Statut Membre Dernière intervention 28 août 2022
28 août 2022 à 12:15

Merci, normalement ça devrait aller Discord ont été assez réactifs sur le coup.
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Trojan alerte
Titou43 -
gen-hackman -

23 réponses
qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses