Trojan RAT probablement

[william27wp]

Bonjour à tous et à toutes (ou bien à toutes et à tous)

Je pense que l'ordinateur est infecté par un Trojan RAT.

Souffrant depuis quelques jours d'un ^^e par exemple sous Mozilla Thunderbird et OpenOffice Writer (pour le moment), après quelques recherches, il me semble bien avoir été la victime d'un Trojan RAT (Malwarebytes Anti-Malware (MBAM) ne voit rien et le couple Process Explorer et VirusTotal ne m'a détecté aucun processus (même pas de 1).

Je vous joins le FRST.txt et Addition.txt de FARBAR. Si vous pouviez m'aider à me débarrasser de cette infection, ce serait super.

Merci de votre attention et à très bientôt
William

[Malekal_morte]

Salut,

ouaip, infecté.
A désinstaller :

Java
QuickTime

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
2018-02-20 15:38 - 2018-03-01 06:44 - 000000000 ____D C:\Users\William\AppData\Roaming\WinON
HKU\S-1-5-21-1953743124-1220808704-3983353703-1001\...\Run: [WinOff] => "C:\Users\William\AppData\Local\WinxOff\Loader.exe" "C:\Users\William\AppData\Local\WinxOff\WinxOff"
2018-01-26 10:28 - 2018-02-28 10:16 - 003087744 _____ () C:\Users\William\ZHPCleaner.exe
2017-12-04 18:25 - 2017-12-04 18:25 - 000000020 ___SH () C:\Users\William\AppData\Roaming\1816CA7466166.ind
2017-04-02 20:46 - 2018-01-06 11:15 - 000002908 _____ () C:\Users\William\AppData\Roaming\DESKTOP-NPFNL3T.MTBF.txt
2017-04-20 18:36 - 2017-04-21 11:19 - 000000115 _____ () C:\Users\William\AppData\Roaming\LogFile.txt
2017-12-04 18:25 - 2017-12-04 18:25 - 000000020 ___SH () C:\Users\William\AppData\Roaming\Programs8187ConfigDB.dat
2017-12-18 14:29 - 2017-12-18 14:29 - 000003584 _____ () C:\Users\William\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
C:\Users\William\AppData\Local\WinxOff
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[william27wp]

Salut Malekal_morte,

Merci. Je viens de faire un test sous Thunderbird et cela fonctionne correctement. Je me suis vraiment fait avoir comme un bleu. Je ne peux que féliciter ta compétence et ton professionnalisme. Et je tire mon chapeau devant les heures de travail que cela représente pour posséder un tel savoir.
Merci encore et à très bientôt
William

EmptyTemp:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\William\AppData\Roaming\WinON => déplacé(es) avec succès
"HKU\S-1-5-21-1953743124-1220808704-3983353703-1001\Software\Microsoft\Windows\CurrentVersion\Run\\WinOff" => supprimé(es) avec succès
C:\Users\William\ZHPCleaner.exe => déplacé(es) avec succès
C:\Users\William\AppData\Roaming\1816CA7466166.ind => déplacé(es) avec succès
C:\Users\William\AppData\Roaming\DESKTOP-NPFNL3T.MTBF.txt => déplacé(es) avec succès
C:\Users\William\AppData\Roaming\LogFile.txt => déplacé(es) avec succès
C:\Users\William\AppData\Roaming\Programs8187ConfigDB.dat => déplacé(es) avec succès
C:\Users\William\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini => déplacé(es) avec succès
C:\Users\William\AppData\Local\WinxOff => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => supprimé(es) avec succès
"HKU\S-1-5-21-1953743124-1220808704-3983353703-1001\SOFTWARE\Policies\Microsoft\Internet Explorer" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1953743124-1220808704-3983353703-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1953743124-1220808704-3983353703-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

[Malekal_morte]

Ok, par contre, il faut que tu changes tes mots de passe mail et internet
ils ont été volés.

Tu peux supprimer le dossier C:\FRST =)


Termine par un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.


Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués