RAT sur l'ordinateur
Résolu/Fermé
Magehyk
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
-
17 juil. 2014 à 10:32
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 18 juil. 2014 à 11:24
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 18 juil. 2014 à 11:24
A voir également:
- Njrat virus
- Ordinateur lent - Guide
- Réinitialiser ordinateur - Guide
- Ordinateur ecran noir - Guide
- Pad ordinateur - Guide
- Cpu ordinateur - Guide
11 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
17 juil. 2014 à 11:47
17 juil. 2014 à 11:47
Tu as trois antivirus, c'est un peu n'importe quoi.
Comme tu peux le voir, ça résout pas tous les problèmes.
Donc désinstalle deux antivirus pour n'en avoir qu'un seul.
Je te conseille de garder Avast!.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-1114282530-2646293055-1703664627-1000..\Run: [UNvVbs5r9f] C:\Users\Dylan\AppData\Roaming\y5d7mqH6\ArohDz0.exe.lnk ()
[2014/07/15 01:11:12 | 000,000,000 | ---D | C] -- C:\Users\Dylan\AppData\Roaming\y5d7mqH6
[2013/06/15 16:53:26 | 000,000,000 | ---D | M] -- C:\Users\Dylan\AppData\Roaming\(null)
* poste le rapport ici
Redémarre l'ordinateur
Comme tu peux le voir, ça résout pas tous les problèmes.
Donc désinstalle deux antivirus pour n'en avoir qu'un seul.
Je te conseille de garder Avast!.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-1114282530-2646293055-1703664627-1000..\Run: [UNvVbs5r9f] C:\Users\Dylan\AppData\Roaming\y5d7mqH6\ArohDz0.exe.lnk ()
[2014/07/15 01:11:12 | 000,000,000 | ---D | C] -- C:\Users\Dylan\AppData\Roaming\y5d7mqH6
[2013/06/15 16:53:26 | 000,000,000 | ---D | M] -- C:\Users\Dylan\AppData\Roaming\(null)
* poste le rapport ici
Redémarre l'ordinateur
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
17 juil. 2014 à 12:24
17 juil. 2014 à 12:24
Désinstalle/réinstalle Steam.
~~
Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.
Faire attention à ce que vous téléchargez - change tous tes mots de passe
~~
Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.
Faire attention à ce que vous téléchargez - change tous tes mots de passe
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 17/07/2014 à 10:34
Modifié par Malekal_morte- le 17/07/2014 à 10:34
Salut,
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Magehyk
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
17 juil. 2014 à 11:04
17 juil. 2014 à 11:04
Un message est apparu : Cannot create cmb.bat in quelque chose dont je ne me rappelle plus, c'est normal ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
17 juil. 2014 à 11:05
17 juil. 2014 à 11:05
Supprime ces trois lignes du script :
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c
et retente le scan.
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c
et retente le scan.
Magehyk
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
17 juil. 2014 à 11:06
17 juil. 2014 à 11:06
le scan est toujours allumé mais il y a juste eu ce message
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
17 juil. 2014 à 11:08
17 juil. 2014 à 11:08
Ferme et relance OTL.
Copie/colle le script donné en retirant les 3 lignes mentionnées dans mon message précédent.
Copie/colle le script donné en retirant les 3 lignes mentionnées dans mon message précédent.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Magehyk
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
17 juil. 2014 à 11:35
17 juil. 2014 à 11:35
https://pjjoint.malekal.com/files.php?id=20140717_e12d12j5c15z10 pour le fichier OTL
Magehyk
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
17 juil. 2014 à 11:36
17 juil. 2014 à 11:36
https://pjjoint.malekal.com/files.php?id=20140717_j12y12s1515g7 pour le fichier Extra
Magehyk
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
17 juil. 2014 à 12:04
17 juil. 2014 à 12:04
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-1114282530-2646293055-1703664627-1000\Software\Microsoft\Windows\CurrentVersion\Run\\UNvVbs5r9f deleted successfully.
C:\Users\Dylan\AppData\Roaming\y5d7mqH6\ArohDz0.exe.lnk moved successfully.
C:\Users\Dylan\AppData\Roaming\y5d7mqH6 folder moved successfully.
C:\Users\Dylan\AppData\Roaming\(null) folder moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 07172014_115121
Ensuite je viens de voir des fichiers invisible dont PBO injector qui est un virus il me semble. je viens de le supprimer. Et l'histoire des 3 antivirus, j'utilise que avast et avira. Norton est celui qui était déjà installé sur l'ordinateur au moment de l'achat mais la licence n'a jamais été renouvelé.
Niveau démarrage l'ordinateur est toujours aussi long, je ne sais pas si c'est normal. Je te dirais ce que DarkComet Rat Remover me dira.
Registry value HKEY_USERS\S-1-5-21-1114282530-2646293055-1703664627-1000\Software\Microsoft\Windows\CurrentVersion\Run\\UNvVbs5r9f deleted successfully.
C:\Users\Dylan\AppData\Roaming\y5d7mqH6\ArohDz0.exe.lnk moved successfully.
C:\Users\Dylan\AppData\Roaming\y5d7mqH6 folder moved successfully.
C:\Users\Dylan\AppData\Roaming\(null) folder moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 07172014_115121
Ensuite je viens de voir des fichiers invisible dont PBO injector qui est un virus il me semble. je viens de le supprimer. Et l'histoire des 3 antivirus, j'utilise que avast et avira. Norton est celui qui était déjà installé sur l'ordinateur au moment de l'achat mais la licence n'a jamais été renouvelé.
Niveau démarrage l'ordinateur est toujours aussi long, je ne sais pas si c'est normal. Je te dirais ce que DarkComet Rat Remover me dira.
Magehyk
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
17 juil. 2014 à 12:11
17 juil. 2014 à 12:11
Je viens de désinstaller mes deux antivirus (avira et norton comme tu me l'a conseillé ) et des jeux dont je me servait plus sur steam. Mais cependant steam se fermait tout seul. Vous savez pourquoi ?
Magehyk
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
17 juil. 2014 à 13:23
17 juil. 2014 à 13:23
Je pense que le problème a l'air d'être résolu. Merci si de ton aide. S'il y a un quelconque problème, je te recontacterai. Merci encore !
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
17 juil. 2014 à 13:31
17 juil. 2014 à 13:31
Pas de soucis :)
Magehyk
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
18 juil. 2014 à 09:58
18 juil. 2014 à 09:58
Voila donc après une jour, le problème du Rat est réglé. Cependant, Sais-tu si un RAT peut augmenter le temps de démarrage de windows ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
18 juil. 2014 à 10:30
18 juil. 2014 à 10:30
oui ça peux et même l'ordinateur en cours d'utilisation.
Magehyk
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
18 juil. 2014 à 10:34
18 juil. 2014 à 10:34
Aurais-tu des méthodes pour réduire le temps de démarrage ? Il se passe un temps d'attente de 4 à 5 minutes entre l'affichage de bienvenue et l'affichage du bureau.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
18 juil. 2014 à 10:52
18 juil. 2014 à 10:52
ben les 3 antivirus ça n'a pas dû aider.
Désinstalle Spybot.
Assure ti d'avoir désinstalle tous les produits Symantec.
Regarde là : https://forum.malekal.com/viewtopic.php?t=10498&start=
Tu dois pouvoir désactiver cela avec msconfig :
O4:[b]64bit:[/b] - HKLM..\Run: [hpsysdrv] c:\Program Files (x86)\Hewlett-Packard\HP Odometer\hpsysdrv.exe (Hewlett-Packard)
O4:[b]64bit:[/b] - HKLM..\Run: [NvBackend] C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe (NVIDIA Corporation)
O4:[b]64bit:[/b] - HKLM..\Run: [ShadowPlay] C:\Windows\SysNative\nvspcap64.dll (NVIDIA Corporation)
O4:[b]64bit:[/b] - HKLM..\Run: [SmartMenu] C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe ()
O4:[b]64bit:[/b] - HKLM..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray64.exe (IDT, Inc.)
O4 - HKLM..\Run: [BATINDICATOR] C:\Program Files (x86)\Hewlett-Packard\HP MAINSTREAM KEYBOARD\BATINDICATOR.exe (Hewlett-Packard)
O4 - HKLM..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe (EasyBits Software AS)
O4 - HKLM..\Run: [LaunchHPOSIAPP] C:\Program Files (x86)\Hewlett-Packard\HP MAINSTREAM KEYBOARD\LaunchApp.exe (Hewlett-Packard)
O4 - HKLM..\Run: [Magic Desktop for HP notification] C:\ProgramData\Easybits Magic Desktop for HP\mdhpSUN.exe (Easybits)
O4 - HKLM..\Run: [PDF Complete] C:\Program Files (x86)\PDF Complete\pdfsty.exe (PDF Complete Inc)
O4 - HKLM..\Run: [Razer Synapse] C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe (Razer Inc.)
Pour aller plus loin : https://forum.malekal.com/viewtopic.php?t=16583&start=
Désinstalle Spybot.
Assure ti d'avoir désinstalle tous les produits Symantec.
Regarde là : https://forum.malekal.com/viewtopic.php?t=10498&start=
Tu dois pouvoir désactiver cela avec msconfig :
O4:[b]64bit:[/b] - HKLM..\Run: [hpsysdrv] c:\Program Files (x86)\Hewlett-Packard\HP Odometer\hpsysdrv.exe (Hewlett-Packard)
O4:[b]64bit:[/b] - HKLM..\Run: [NvBackend] C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe (NVIDIA Corporation)
O4:[b]64bit:[/b] - HKLM..\Run: [ShadowPlay] C:\Windows\SysNative\nvspcap64.dll (NVIDIA Corporation)
O4:[b]64bit:[/b] - HKLM..\Run: [SmartMenu] C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe ()
O4:[b]64bit:[/b] - HKLM..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray64.exe (IDT, Inc.)
O4 - HKLM..\Run: [BATINDICATOR] C:\Program Files (x86)\Hewlett-Packard\HP MAINSTREAM KEYBOARD\BATINDICATOR.exe (Hewlett-Packard)
O4 - HKLM..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe (EasyBits Software AS)
O4 - HKLM..\Run: [LaunchHPOSIAPP] C:\Program Files (x86)\Hewlett-Packard\HP MAINSTREAM KEYBOARD\LaunchApp.exe (Hewlett-Packard)
O4 - HKLM..\Run: [Magic Desktop for HP notification] C:\ProgramData\Easybits Magic Desktop for HP\mdhpSUN.exe (Easybits)
O4 - HKLM..\Run: [PDF Complete] C:\Program Files (x86)\PDF Complete\pdfsty.exe (PDF Complete Inc)
O4 - HKLM..\Run: [Razer Synapse] C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe (Razer Inc.)
Pour aller plus loin : https://forum.malekal.com/viewtopic.php?t=16583&start=
Magehyk
Messages postés
11
Date d'inscription
jeudi 17 juillet 2014
Statut
Membre
Dernière intervention
18 juillet 2014
18 juil. 2014 à 11:23
18 juil. 2014 à 11:23
Merci, maintenant l'ordinateur s'allume très rapidement (10 sec environ). Je te souhaite une bonne continuation et merci encore.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
18 juil. 2014 à 11:24
18 juil. 2014 à 11:24
cool :)
Pas de soucis :)
Pas de soucis :)
