Menu

RAT sur l'ordinateur [Résolu/Fermé]

Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
- - Dernière réponse : Malekal_morte-
Messages postés
167288
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 juin 2019
- 18 juil. 2014 à 11:24
Depuis quelques jours, mon ordinateur est long au démarrage. Après avoir fait des scans de mon ordinateur avec Avira, le problème ne sait pas résolu. J'ai donc fait des recherches sur internet est j'ai pus apercevoir qu'il s'agissait peut être d'un RAT. en inspectant de plus proche j'ai vu qu'il y en avait plusieurs etc et qu'il y avait des RAT remover. J'ai donc utilisé celui que j'avais trouvé qui est DarkComet RAT Remover sur le site officiel de darkcomet RAt qui est censés supprimer tous les DarkComet Rat qui sont sur mon ordinateur. Mais lors du Scan il m'indique qu'il y a un DC Keylogger sur mon ordinateur. Je ne sais pas ce que je dois faire. Pouvez vous m'aider s'il vous plait ?
Merci
Afficher la suite 

11 réponses

Meilleure réponse
Messages postés
167288
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 juin 2019
15922
2
Merci
Tu as trois antivirus, c'est un peu n'importe quoi.
Comme tu peux le voir, ça résout pas tous les problèmes.

Donc désinstalle deux antivirus pour n'en avoir qu'un seul.
Je te conseille de garder Avast!.

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:



:OTL
O4 - HKU\S-1-5-21-1114282530-2646293055-1703664627-1000..\Run: [UNvVbs5r9f] C:\Users\Dylan\AppData\Roaming\y5d7mqH6\ArohDz0.exe.lnk ()
[2014/07/15 01:11:12 | 000,000,000 | ---D | C] -- C:\Users\Dylan\AppData\Roaming\y5d7mqH6
[2013/06/15 16:53:26 | 000,000,000 | ---D | M] -- C:\Users\Dylan\AppData\Roaming\(null)

* poste le rapport ici



Redémarre l'ordinateur


Dire « Merci » 2

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 44300 internautes nous ont dit merci ce mois-ci

Messages postés
167288
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 juin 2019
15922
2
Merci
Désinstalle/réinstalle Steam.

~~


Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.

Faire attention à ce que vous téléchargez - change tous tes mots de passe

Dire « Merci » 2

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 44300 internautes nous ont dit merci ce mois-ci

Messages postés
167288
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 juin 2019
15922
0
Merci
Salut,


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : http://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Utilisateur anonyme -
Personnellement je trouve ce scan OTL très intrusif pour le poster au vu de tous.
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
0
Merci
Un message est apparu : Cannot create cmb.bat in quelque chose dont je ne me rappelle plus, c'est normal ?
Malekal_morte-
Messages postés
167288
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 juin 2019
15922 -
Supprime ces trois lignes du script :
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c

et retente le scan.
Magehyk
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
-
le scan est toujours allumé mais il y a juste eu ce message
Malekal_morte-
Messages postés
167288
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 juin 2019
15922 -
Ferme et relance OTL.
Copie/colle le script donné en retirant les 3 lignes mentionnées dans mon message précédent.
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
0
Merci
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-1114282530-2646293055-1703664627-1000\Software\Microsoft\Windows\CurrentVersion\Run\\UNvVbs5r9f deleted successfully.
C:\Users\Dylan\AppData\Roaming\y5d7mqH6\ArohDz0.exe.lnk moved successfully.
C:\Users\Dylan\AppData\Roaming\y5d7mqH6 folder moved successfully.
C:\Users\Dylan\AppData\Roaming\(null) folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 07172014_115121

Ensuite je viens de voir des fichiers invisible dont PBO injector qui est un virus il me semble. je viens de le supprimer. Et l'histoire des 3 antivirus, j'utilise que avast et avira. Norton est celui qui était déjà installé sur l'ordinateur au moment de l'achat mais la licence n'a jamais été renouvelé.
Niveau démarrage l'ordinateur est toujours aussi long, je ne sais pas si c'est normal. Je te dirais ce que DarkComet Rat Remover me dira.
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
0
Merci
Je viens de désinstaller mes deux antivirus (avira et norton comme tu me l'a conseillé ) et des jeux dont je me servait plus sur steam. Mais cependant steam se fermait tout seul. Vous savez pourquoi ?
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
0
Merci
Je pense que le problème a l'air d'être résolu. Merci si de ton aide. S'il y a un quelconque problème, je te recontacterai. Merci encore !
Messages postés
167288
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 juin 2019
15922
0
Merci
Pas de soucis :)
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
0
Merci
Voila donc après une jour, le problème du Rat est réglé. Cependant, Sais-tu si un RAT peut augmenter le temps de démarrage de windows ?
Malekal_morte-
Messages postés
167288
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 juin 2019
15922 -
oui ça peux et même l'ordinateur en cours d'utilisation.
Magehyk
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
-
Aurais-tu des méthodes pour réduire le temps de démarrage ? Il se passe un temps d'attente de 4 à 5 minutes entre l'affichage de bienvenue et l'affichage du bureau.
Malekal_morte-
Messages postés
167288
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 juin 2019
15922 -
ben les 3 antivirus ça n'a pas dû aider.
Désinstalle Spybot.
Assure ti d'avoir désinstalle tous les produits Symantec.

Regarde là : http://forum.malekal.com/maitriser-les-programmes-demarrage-t10498.html

Tu dois pouvoir désactiver cela avec msconfig :

O4:[b]64bit:[/b] - HKLM..\Run: [hpsysdrv] c:\Program Files (x86)\Hewlett-Packard\HP Odometer\hpsysdrv.exe (Hewlett-Packard)
O4:[b]64bit:[/b] - HKLM..\Run: [NvBackend] C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe (NVIDIA Corporation)
O4:[b]64bit:[/b] - HKLM..\Run: [ShadowPlay] C:\Windows\SysNative\nvspcap64.dll (NVIDIA Corporation)
O4:[b]64bit:[/b] - HKLM..\Run: [SmartMenu] C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe ()
O4:[b]64bit:[/b] - HKLM..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray64.exe (IDT, Inc.)
O4 - HKLM..\Run: [BATINDICATOR] C:\Program Files (x86)\Hewlett-Packard\HP MAINSTREAM KEYBOARD\BATINDICATOR.exe (Hewlett-Packard)
O4 - HKLM..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe (EasyBits Software AS)
O4 - HKLM..\Run: [LaunchHPOSIAPP] C:\Program Files (x86)\Hewlett-Packard\HP MAINSTREAM KEYBOARD\LaunchApp.exe (Hewlett-Packard)
O4 - HKLM..\Run: [Magic Desktop for HP notification] C:\ProgramData\Easybits Magic Desktop for HP\mdhpSUN.exe (Easybits)
O4 - HKLM..\Run: [PDF Complete] C:\Program Files (x86)\PDF Complete\pdfsty.exe (PDF Complete Inc)
O4 - HKLM..\Run: [Razer Synapse] C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe (Razer Inc.)

Pour aller plus loin : http://forum.malekal.com/comment-optimiser-vous-meme-votre-ordinateur-t16583.html
Magehyk
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
-
Merci, maintenant l'ordinateur s'allume très rapidement (10 sec environ). Je te souhaite une bonne continuation et merci encore.
Malekal_morte-
Messages postés
167288
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 juin 2019
15922 -
cool :)

Pas de soucis :)