Je me suis fais RAT
Fermé
Prot0_Type
Messages postés
30
Date d'inscription
lundi 27 juillet 2015
Statut
Membre
Dernière intervention
8 décembre 2017
-
Modifié par Xileh le 23/06/2016 à 20:15
Prot0_Type Messages postés 30 Date d'inscription lundi 27 juillet 2015 Statut Membre Dernière intervention 8 décembre 2017 - 23 juin 2016 à 23:15
Prot0_Type Messages postés 30 Date d'inscription lundi 27 juillet 2015 Statut Membre Dernière intervention 8 décembre 2017 - 23 juin 2016 à 23:15
A voir également:
- Créer un rat indétectable
- Créer un compte gmail - Guide
- Créer un compte google - Guide
- Créer un groupe whatsapp - Guide
- Créer un compte instagram - Guide
- Créer un organigramme - Guide
10 réponses
Pierre1310
Messages postés
8554
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 juillet 2020
645
22 juin 2016 à 13:28
22 juin 2016 à 13:28
Salut,
Tu n'aurais pas teamviewer d'ouvert?
Si tu ne l'as pas d'ouvert, éteins ton pc, accède aux options avancés et restaure ton pc aussi loin que tu le peux.
Tu n'aurais pas teamviewer d'ouvert?
Si tu ne l'as pas d'ouvert, éteins ton pc, accède aux options avancés et restaure ton pc aussi loin que tu le peux.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
22 juin 2016 à 13:50
22 juin 2016 à 13:50
Salut
ça fait très prb teamviewer pour vérifier :
Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
--
ça fait très prb teamviewer pour vérifier :
Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
--
Nicodelamort
Messages postés
11
Date d'inscription
mercredi 22 juin 2016
Statut
Membre
Dernière intervention
8 janvier 2017
2
22 juin 2016 à 13:26
22 juin 2016 à 13:26
Regarde dans les processus si tu vois quelque chose de louche et arrête-le.
et puis cherches sur internet comment bloquer ça définitivement.
et puis cherches sur internet comment bloquer ça définitivement.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
22 juin 2016 à 20:25
22 juin 2016 à 20:25
Suis ces trois étapes :
1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
et enfin :
Installe Avast!, active surtout les détections LPI pour détecter les programmes parasites et publicitaires.
1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
R2 RManService; C:\Program Files (x86)\System\rutserv.exe [1789440 2016-01-23] () [Fichier non signé]
C:\Program Files (x86)\System\r
Task: C:\WINDOWS\Tasks\FastTasks.job => c:\programdata\{7a3d5966-bcfb-dd5b-7a3d-d5966bcf659a}\farcry4.exe <==== ATTENTION
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
et enfin :
Installe Avast!, active surtout les détections LPI pour détecter les programmes parasites et publicitaires.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Prot0_Type
Messages postés
30
Date d'inscription
lundi 27 juillet 2015
Statut
Membre
Dernière intervention
8 décembre 2017
22 juin 2016 à 13:47
22 juin 2016 à 13:47
merci les gas pour votre aide...
alors en ce qui concerne teamviewer, j'avais stoppé le processus, mais sa l'as pas empecher de revenir.
Ensuite après avoir fait le tour des processus, rien ne m'as semblé inhabituel.
Je pense meme connaitre la source de l'infection :
Hier j'avais telecharger un executable qui ne fonctionnait pas je pense que le mec utilise un truc a la con comme Darkcommet ou je sais pas trop quoi
Il a tout simplement dut ouvrir une backdoor.
C'est pour ça, j'aurais besoin d'une analyse complete de mon pc svp
alors en ce qui concerne teamviewer, j'avais stoppé le processus, mais sa l'as pas empecher de revenir.
Ensuite après avoir fait le tour des processus, rien ne m'as semblé inhabituel.
Je pense meme connaitre la source de l'infection :
Hier j'avais telecharger un executable qui ne fonctionnait pas je pense que le mec utilise un truc a la con comme Darkcommet ou je sais pas trop quoi
Il a tout simplement dut ouvrir une backdoor.
C'est pour ça, j'aurais besoin d'une analyse complete de mon pc svp
Prot0_Type
Messages postés
30
Date d'inscription
lundi 27 juillet 2015
Statut
Membre
Dernière intervention
8 décembre 2017
Modifié par Prot0_Type le 22/06/2016 à 14:11
Modifié par Prot0_Type le 22/06/2016 à 14:11
salut Malekal, et merci pour ton aide (je te connais déja, j'étais sur helper formation avant :p)
bref voila les rapports
https://pjjoint.malekal.com/files.php?id=20160622_r9q141414v11 addition.txt
https://pjjoint.malekal.com/files.php?id=FRST_20160622_x13u6v5m8l5 frst.txt
https://pjjoint.malekal.com/files.php?id=20160622_x7e11k14h9x7 shortcut.txt
je précise que j'ai désactiver internet pendant le scan pour ne pas être déranger par l'autre gus...
bref voila les rapports
https://pjjoint.malekal.com/files.php?id=20160622_r9q141414v11 addition.txt
https://pjjoint.malekal.com/files.php?id=FRST_20160622_x13u6v5m8l5 frst.txt
https://pjjoint.malekal.com/files.php?id=20160622_x7e11k14h9x7 shortcut.txt
je précise que j'ai désactiver internet pendant le scan pour ne pas être déranger par l'autre gus...
Prot0_Type
Messages postés
30
Date d'inscription
lundi 27 juillet 2015
Statut
Membre
Dernière intervention
8 décembre 2017
22 juin 2016 à 23:19
22 juin 2016 à 23:19
salut
voila le rapport :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-06-2016 01
Exécuté par Prot0_Type (2016-06-22 21:36:11) Run:1
Exécuté depuis D:\Downloads
Profils chargés: Prot0_Type (Profils disponibles: Prot0_Type & DefaultAppPool)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
R2 RManService; C:\Program Files (x86)\System\rutserv.exe [1789440 2016-01-23] () [Fichier non signé]
C:\Program Files (x86)\System\r
Task: C:\WINDOWS\Tasks\FastTasks.job => c:\programdata\{7a3d5966-bcfb-dd5b-7a3d-d5966bcf659a}\farcry4.exe <==== ATTENTION
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
RManService => service supprimé(es) avec succès
"C:\Program Files (x86)\System\r" => non trouvé(e).
C:\WINDOWS\Tasks\FastTasks.job => déplacé(es) avec succès
Le système a dû redémarrer.
Fin de Fixlog 21:36:12
et je n'ais pas réussit a upload le fichier quarantine.zip sur ton site...
je précise que j'avais réussit à localiser et a supprimer le fichier rutserv.exe avent que tu ne me réponde.
voila le rapport :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-06-2016 01
Exécuté par Prot0_Type (2016-06-22 21:36:11) Run:1
Exécuté depuis D:\Downloads
Profils chargés: Prot0_Type (Profils disponibles: Prot0_Type & DefaultAppPool)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
R2 RManService; C:\Program Files (x86)\System\rutserv.exe [1789440 2016-01-23] () [Fichier non signé]
C:\Program Files (x86)\System\r
Task: C:\WINDOWS\Tasks\FastTasks.job => c:\programdata\{7a3d5966-bcfb-dd5b-7a3d-d5966bcf659a}\farcry4.exe <==== ATTENTION
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
RManService => service supprimé(es) avec succès
"C:\Program Files (x86)\System\r" => non trouvé(e).
C:\WINDOWS\Tasks\FastTasks.job => déplacé(es) avec succès
Le système a dû redémarrer.
Fin de Fixlog 21:36:12
et je n'ais pas réussit a upload le fichier quarantine.zip sur ton site...
je précise que j'avais réussit à localiser et a supprimer le fichier rutserv.exe avent que tu ne me réponde.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
22 juin 2016 à 23:43
22 juin 2016 à 23:43
ok tant pis mets Avast! et fais un scan avec.
Prot0_Type
Messages postés
30
Date d'inscription
lundi 27 juillet 2015
Statut
Membre
Dernière intervention
8 décembre 2017
23 juin 2016 à 13:05
23 juin 2016 à 13:05
bon le scan avast est en cour...
Dis moi, as tu réussit à chopper des infos sur le mec dans les rapports FRST?
Dis moi, as tu réussit à chopper des infos sur le mec dans les rapports FRST?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
>
Prot0_Type
Messages postés
30
Date d'inscription
lundi 27 juillet 2015
Statut
Membre
Dernière intervention
8 décembre 2017
23 juin 2016 à 13:14
23 juin 2016 à 13:14
non pour cela, il me faut les fichiers malicieux.
Prot0_Type
Messages postés
30
Date d'inscription
lundi 27 juillet 2015
Statut
Membre
Dernière intervention
8 décembre 2017
23 juin 2016 à 13:18
23 juin 2016 à 13:18
ce que j'ai supprimé?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
>
Prot0_Type
Messages postés
30
Date d'inscription
lundi 27 juillet 2015
Statut
Membre
Dernière intervention
8 décembre 2017
23 juin 2016 à 13:21
23 juin 2016 à 13:21
oui ou ce qui est censé être dans la quarantaine de FRST : C:\FRST\quarantine
Le lien mediafire que tu avais donné n'était pas bon.
Le lien mediafire que tu avais donné n'était pas bon.
Prot0_Type
Messages postés
30
Date d'inscription
lundi 27 juillet 2015
Statut
Membre
Dernière intervention
8 décembre 2017
23 juin 2016 à 16:17
23 juin 2016 à 16:17
Salut.
J'ai retrouvé le fichier qui lui a permis d’installé la background https://pjjoint.malekal.com/files.php?id=20160623_l6j12t12u10l11
en ce qui concerne avast, il ne s'agissait que de fausses alertes, du coup j'ai fais la correction et voila.
J'ai retrouvé le fichier qui lui a permis d’installé la background https://pjjoint.malekal.com/files.php?id=20160623_l6j12t12u10l11
en ce qui concerne avast, il ne s'agissait que de fausses alertes, du coup j'ai fais la correction et voila.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
23 juin 2016 à 17:18
23 juin 2016 à 17:18
En fait c'est pas tout à fait un RAT mais un logiciel de prise en main à distance en l'occurence RMS (Remote Manipulator) : htxps://rmansys.ru/
L'exe que tu as donné est relativement bien détecté, même Windows Defender le détecte.
SHA256: ebf12ac1bd0057eaa72a8d7ecc1505d257ea03358dc1eb265b7af6913c0f6c49
File name: jordans 1.8.exe
Detection ratio: 36 / 55
Analysis date: 2016-06-23 15:06:12 UTC ( 3 minutes ago )
Behavioural information
Antivirus Result Update
AVG RemoteAdmin.DFO 20160623
AVware Trojan.Win32.Generic!BT 20160623
Ad-Aware Trojan.Generic.15942633 20160623
AegisLab Remoteadmin.W32.Rms!c 20160623
AhnLab-V3 Malware/Gen.Generic.N2016164080 20160623
Antiy-AVL RiskWare[RemoteAdmin]/Win32.RMS.nd 20160623
Arcabit Trojan.Graftor.D418B3 20160623
Avast Win32:Malware-gen 20160623
Avira (no cloud) TR/Dropper.Gen 20160623
Baidu Win32.Trojan.WisdomEyes.151026.9950.9963 20160623
BitDefender Trojan.Generic.15942633 20160623
ClamAV Win.Trojan.Inject-15717 20160623
Cyren W32/Trojan.MBDS-0756 20160623
DrWeb VBS.Starter.65 20160623
ESET-NOD32 a variant of Win32/RemoteAdmin.RemoteUtilities.H potentially unsafe 20160623
Emsisoft Trojan.Generic.15942633 (B) 20160623
F-Secure Trojan.Generic.15942633 20160623
Fortinet Riskware/RemoteAdmin_RemoteUtilities 20160623
GData Trojan.Generic.15942633 20160623
Jiangmin RemoteAdmin.RMS.w 20160623
K7AntiVirus Riskware ( 0040eff71 ) 20160623
K7GW Riskware ( 0040eff71 ) 20160623
Kaspersky not-a-virus:RemoteAdmin.Win32.RMS.pr 20160623
McAfee Artemis!FE0C26FF7137 20160623
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.wc 20160623
eScan Trojan.Generic.15942633 20160623
NANO-Antivirus Trojan.Win32.RemoteAdmin.eamsqc 20160623
Panda Trj/CI.A 20160622
Qihoo-360 Win32/Virus.RemoteAdmin.477 20160623
Sophos Generic PUA JM (PUA) 20160623
Symantec SAPE.Heur.B8E67 20160623
Tencent Win32.Backdoor.Backdoor.Edno 20160623
TrendMicro-HouseCall TROJ_GE.0006947C 20160623
VIPRE Trojan.Win32.Generic!BT 20160623
Yandex Trojan.InstallRadmin.B 20160621
nProtect Trojan.Generic.15942633 20160623
L'exe que tu as donné est relativement bien détecté, même Windows Defender le détecte.
SHA256: ebf12ac1bd0057eaa72a8d7ecc1505d257ea03358dc1eb265b7af6913c0f6c49
File name: jordans 1.8.exe
Detection ratio: 36 / 55
Analysis date: 2016-06-23 15:06:12 UTC ( 3 minutes ago )
Behavioural information
Antivirus Result Update
AVG RemoteAdmin.DFO 20160623
AVware Trojan.Win32.Generic!BT 20160623
Ad-Aware Trojan.Generic.15942633 20160623
AegisLab Remoteadmin.W32.Rms!c 20160623
AhnLab-V3 Malware/Gen.Generic.N2016164080 20160623
Antiy-AVL RiskWare[RemoteAdmin]/Win32.RMS.nd 20160623
Arcabit Trojan.Graftor.D418B3 20160623
Avast Win32:Malware-gen 20160623
Avira (no cloud) TR/Dropper.Gen 20160623
Baidu Win32.Trojan.WisdomEyes.151026.9950.9963 20160623
BitDefender Trojan.Generic.15942633 20160623
ClamAV Win.Trojan.Inject-15717 20160623
Cyren W32/Trojan.MBDS-0756 20160623
DrWeb VBS.Starter.65 20160623
ESET-NOD32 a variant of Win32/RemoteAdmin.RemoteUtilities.H potentially unsafe 20160623
Emsisoft Trojan.Generic.15942633 (B) 20160623
F-Secure Trojan.Generic.15942633 20160623
Fortinet Riskware/RemoteAdmin_RemoteUtilities 20160623
GData Trojan.Generic.15942633 20160623
Jiangmin RemoteAdmin.RMS.w 20160623
K7AntiVirus Riskware ( 0040eff71 ) 20160623
K7GW Riskware ( 0040eff71 ) 20160623
Kaspersky not-a-virus:RemoteAdmin.Win32.RMS.pr 20160623
McAfee Artemis!FE0C26FF7137 20160623
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.wc 20160623
eScan Trojan.Generic.15942633 20160623
NANO-Antivirus Trojan.Win32.RemoteAdmin.eamsqc 20160623
Panda Trj/CI.A 20160622
Qihoo-360 Win32/Virus.RemoteAdmin.477 20160623
Sophos Generic PUA JM (PUA) 20160623
Symantec SAPE.Heur.B8E67 20160623
Tencent Win32.Backdoor.Backdoor.Edno 20160623
TrendMicro-HouseCall TROJ_GE.0006947C 20160623
VIPRE Trojan.Win32.Generic!BT 20160623
Yandex Trojan.InstallRadmin.B 20160621
nProtect Trojan.Generic.15942633 20160623
Prot0_Type
Messages postés
30
Date d'inscription
lundi 27 juillet 2015
Statut
Membre
Dernière intervention
8 décembre 2017
Modifié par Prot0_Type le 23/06/2016 à 20:17
Modifié par Prot0_Type le 23/06/2016 à 20:17
oui j'avais réussi à trouver le logiciel de RMS, par l'analyse des logs que j'ai réussit à trouver dans mon disque dur, et que je peux également t'envoyer si tu veux. Il se nomme TektonIT,
mais pense tu que l'exe infecté pourrait nous permettre de tirer une quelconque IP, ou quelque chose d’intéressant?
mais pense tu que l'exe infecté pourrait nous permettre de tirer une quelconque IP, ou quelque chose d’intéressant?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
23 juin 2016 à 20:21
23 juin 2016 à 20:21
Bha ça dépend comment le programme de prise en main fonctionne... il aurait fallu voir au moment de la prise en main.
Prot0_Type
Messages postés
30
Date d'inscription
lundi 27 juillet 2015
Statut
Membre
Dernière intervention
8 décembre 2017
23 juin 2016 à 23:15
23 juin 2016 à 23:15
ouai... c'est chiant, parce que j'avais désinstaller mon sniffer...
