Suspicion de Trojan / RAT

Résolu

Akaz0L Messages postés 12 Date d'inscription Statut Membre Dernière intervention -
bazfile Messages postés 58116 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention - 28 août 2022 à 15:31

Bonjour,

en cette soirée du 27 août 2022, je ais tranquillement ma journée quand je reçois des mails comme quoi j'ai été facturé sur Discord pour l'achat de cadeaux Nitro (ma carte était sur mon compte Discord).

Je me rends compte aussi que mon Instagram a gagné 300 abonnements (je me suis abonné à 300comptes en 1h, ce que moi personnellement, n'ai pas fait) et un utilisateur d'une région totalement inconnue s'est connectée à celle-ci.

Je comprends donc assez rapidement que j'ai été hack quelque part, je regarde sur mon PC et je trouve ça dans l'historique de Windows Defender (je n'avais pas eu la notification au moment T).

Message 1 : https://www.ct.com/c/LHCahUuP1UM "Trojan:Win32/Tnega!MSR" La menace a été mis en quarantaine

Message 2 : https://www.ct.com/c/LHCaiBzb4JM "Trojan:Win32/Wacatac.H!ml" La menace a été mis en quarantaine

J'ai lancé un scan complet Microsoft Defender (je suis sous Windows 11), rien d'autre n'a été détecté.

Malgré donc que Defender a arrêté ces menaces, elles ont donc eu le temps de prendre au moins mon compte Discord et mon compte Instagram. Que faire ? Doit je changer tous mes mot des es enregistrés sur Chrome aussi ? Doit-je envisager d'autres scan avec d'autres antivirus pour voir s'il reste des virus ? Ou tout simplement réinitialiser mon PC (après sauvegarde des données) pour être sûr ?

Merci d'avance pour l'aide.

Bonne journée à vous.

A voir également:

Suspicion de Trojan / RAT
Trojan remover - Télécharger - Antivirus & Antimalwares
Offre rat + - Accueil - Streaming
Forum Virus
Forum Windows
Forum Virus

7 réponses

Réponse 1 / 7

bazfile Messages postés 58116 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 661

Bonjour.

Les fichiers dértectés par Windows Defender sont dans le dossier temporaires de Windows pour être certain qu'aucun autre processus infectieux tourne surton pc fait ce qui suit :
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'istrateur tu auras ceci :

Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur CT voir CE TUTORIEL puis donne les deux liens générés par Ct dans ta réponse.

Akaz0L Messages postés 12 Date d'inscription Statut Membre Dernière intervention

Bonjour,

FRST :

Addition.txt : https://www.ct.com/c/LHClPGFZlIM

FRST.txt : https://www.ct.com/c/LHClQHfmyxM

Merci de ton aide.

bazfile Messages postés 58116 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 661 > Akaz0L Messages postés 12 Date d'inscription Statut Membre Dernière intervention

Tu as infecté ton pc en téléchargeant utilisant un keygen pour activer des produits Adobe, évite ce genre de pratique elle ne t'apportera que des problèmes.

Désinstalle Honeygain évite ces applications qui promettent de gagner de l'argent il y a toujours une contrepartie.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'istrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'istrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Creative Cloud.lnk:7661CCE9BF [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2022.lnk:638138415C [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro 2022.lnk:C56174E6CE [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [10]
AlternateDataStreams: C:\s\Public\Documents\OptiFine_1.8.9_HD_U_M5.jar:AF94E65249 [10]
FirewallRules: [{D1BB6A5C-249B-4EB2-A6DE-910298A38D20}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Poppy Playtime\PlaytimeLauncher\PlaytimeLauncher.exe => Pas de fichier
FirewallRules: [{C2B37047-A37F-4FAB-84CA-49560A08654D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Poppy Playtime\PlaytimeLauncher\PlaytimeLauncher.exe => Pas de fichier
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NT.pol: Restriction 
S3 HWiNFO_165; C:\s\ademc\AppData\Local\Temp\HWiNFO64A_165.SYS [56888 2022-08-26] (Microsoft Windows Hardware Compatibility Publisher -> REALiX(tm)) 
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-286367191-1329303105-1402877350-1001\...\Run: [com.squirrel.PacketStream.PacketStream] => C:\s\ademc\AppData\Local\PacketStream\app-20.202.1548\PacketStream.exe (Pas de fichier)
S3 HWiNFO_161; \??\C:\s\ademc\AppData\Local\Temp\HWiNFO64A_161.SYS [X]
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.ct.com/ voir ce tutoriel puis donne le lien généré par Ct dans ton prochain message.

Akaz0L Messages postés 12 Date d'inscription Statut Membre Dernière intervention > bazfile Messages postés 58116 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention

Voilà c'est fait : https://www.ct.com/c/LHCmvbjWLcM

Merci de ton aide. Mais du coup, sais-tu ce qu'il s'est é exactement. Car je suis surpris que le pirate ait pu accéder à mon compte Discord ainsi que Instagram alors que Windows Defender l'a supprimé quasi immédiatement après que j'ai lancé le programme infecté.

Le fixlog est OK, tout les fichiers temporaires ont été supprimés.

Mais du coup, sais-tu ce qu'il s'est é exactement

Non car tu avais déjà désinfecté en parti ton pc mais vu que d'après WD c'était un trojan RAT il avait accès à ton pc et il a eu le temps de récupérer tes identifiants et mots de e de Discord & Cie, attention change bien tous tes mots de e en ligne.

Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

Ok, merci pour tout. Il y a une question (pas très importante certes, mais qui m'intrigue), pourquoi le pirate a-t-il acheté des Gifts Discord Nitro, quel intérêt pour lui, d'ailleurs même chose pour Instagram, il s'est juste abonné avec mon compte à des centaines de comptes ?

On aura surement jamais la réponse...

Merci pour tout encore une fois.

Bonne journée à toi.

Réponse 2 / 7

fabul Messages postés 40262 Date d'inscription Statut Modérateur Dernière intervention 5 580

Salut,

Tu peux analyser pour des virus ou programmes potentiellement nuisibles avec RegRun Reanimator

https://greatis.com/security/reanimator.html

> Fix Problems
> Fix Malware Issues

Mais il est important de bien trier, par recherches et déductions pour ne supprimer que des virus ou choses inutiles, parce qu'il détecte tout et n'importe quoi, bon ou pas, ce n'est pas un "antivirus" avec une grande base de données virale, mais plutôt un outil d'analyse qui permet de voir ce qui n'est pas évident à voir sans.

Que ce soit marqué en rouge, jaune ou vert, c'est toi qui doit juger de la pertinence de ce qu'il détecte.

Si il ne détecte pas assez tu peux utiliser le Inspection Mode pour tout voir.

Ou > On-Line Multi-Antivirus Scan

Si tu as des questions, quoi que la il commence à se faire tard, je verrai peut être juste demain.

@+

Réponse 3 / 7

Akaz0L Messages postés 12 Date d'inscription Statut Membre Dernière intervention

Salut,

Ok merci, je vais faire ça.

Et oui il est tard en effet, mais bon quand j'ai vu que mon PC a été hacké, je préfère régler le souci dès que possible.

Sinon j'ai lancé un Scan Malwarebytes, je vais lancer un ESET NOD32 Online Scan, AdwCleaner et ce que tu m'a envoyé. Mais le scan Malwarebytes n'indiquant rien, je n'ai pas l'impression qu'il reste quelque chose.

Mais du coup, selon vous, quelles sont les données / mots de e compromis ? Je n'ai pas de données particulièrement sensibles, mais j'ai comme dit beaucoup de mots de e enregistrés sur Chrome, doit-je les changer ?

Réponse 4 / 7

fabul Messages postés 40262 Date d'inscription Statut Modérateur Dernière intervention 5 580

Ça serait sage de les changer, mais je n'en sais pas plus.

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 7

Akaz0L Messages postés 12 Date d'inscription Statut Membre Dernière intervention

Ok, bah je vais changer les mots de es des sites / app un minimum importants alors. Merci beaucoup à toi !

Réponse 6 / 7

fabul Messages postés 40262 Date d'inscription Statut Modérateur Dernière intervention 5 580

Bonne chance pour te faire rembourser, et tout.

Réponse 7 / 7

Akaz0L Messages postés 12 Date d'inscription Statut Membre Dernière intervention

Merci, normalement ça devrait aller Discord ont été assez réactifs sur le coup.

Discussions similaires

Comment supprimer le virus Trojan

Aide pour un virus

Trojan impossible à supprimer!

cheval de troie trojan

Trojan Csrss.exe

Votre réponse

Discussions similaires