Bonjour à tous,
Voyant une erreur RegSvcs.exe récurrente depuis qqs jours sur mon laptop, j'ai lancé mes outils de sécurité et ai découvert la mauvaise surprise d'avoir été infecté le vers le 12-13 décembre par un trojan RAT de type "Imminent", j'ai d'ailleurs le problème du double ^^ :-((
Nettoyages effectués avec Malwarebytes Anti-Malware (MBAM), Spybot, AdwCleaner.. Malgré tout cela, les 2 trojans "Imminent" logés dans /AppData réapparaissent après chaque redémarrage et malgré leur mise en quarantaine.
Voici les liens de l'analyse (FIRST - ADDITION - SHORTCUT) :
- https://pjjoint.malekal.com/files.php?i ... g12l10h8i9
- https://pjjoint.malekal.com/files.php?i ... 69k9i11j11
- https://pjjoint.malekal.com/files.php?i ... 5e12j5t139
Rapports d'analyse autres programmes sécu :
- MB ADW Cleaner : https://pjjoint.malekal.com/files.php?i ... 8i7j7e13w6
- Spybot S&D : https://pjjoint.malekal.com/files.php?i ... 8r13o14l12
- MBAM : https://pjjoint.malekal.com/files.php?i ... 1x7u14h7k7
Merci de votre aide !!
Si qq'un peut m'envoyer un script de fix ce serait super.
Aide Désinfection RAT "Imminent"
Modérateurs : Mods Windows, Helper
- Messages : 31849
- Inscription : 28 févr. 2008 13:58
- Localisation : Breizhilienne
Re: Aide Désinfection RAT "Imminent"
Bonjour,
Spybot - Search and Destroy ça sert à rien.
Exécuter ➯ %appdata%
Ouvre le dossier Roaming et supprime le dossier Imminent et c'est tout
Spybot - Search and Destroy ça sert à rien.
Exécuter ➯ %appdata%
Ouvre le dossier Roaming et supprime le dossier Imminent et c'est tout
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique
Merci.
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique
Merci.Re: Aide Désinfection RAT "Imminent"
Bonsoir,
Merci de ta réponse, j'ai tenté de supprimer le dossier "Imminent" à plusieurs reprises dans Appdata, mais il réapparaît 1 minute après.
Le trojan est donc toujours présent qqe part mais aucun de mes outils ne le trouve.
Merci de ta réponse, j'ai tenté de supprimer le dossier "Imminent" à plusieurs reprises dans Appdata, mais il réapparaît 1 minute après.
Le trojan est donc toujours présent qqe part mais aucun de mes outils ne le trouve.
- Messages : 113253
- Inscription : 10 sept. 2005 13:57
Re: Aide Désinfection RAT "Imminent"
AdwCleaner vise les logiciels publicitaires (adwares) et non les trojans.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2°) ESET NOD32
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Code : Tout sélectionner
CreateRestorePoint:
CloseProcesses:
Task: {83712BC3-8249-46C7-A55F-860509D881E7} - System32\Tasks\changepk => C:\Users\Bny09\AppData\Roaming\makecab\fodhelper.exe [2018-12-13] (Power Software Ltd)
C:\Users\Bny09\AppData\Roaming\makecab
EmptyTemp:
RemoveProxy:
Reboot:
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2°) ESET NOD32
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: Aide Désinfection RAT "Imminent"
Merci Malekal pour tes recommandations !!
Dans la soirée il semble que l'antivirus RogueKiller (que j'ai trouvé ici) à éliminé les bons fichiers car après redémarrage je ne trouve plus de fichiers corrompus, plus de dossier Imminent dans AppData, plus le bug du double ^^ :-D
Pour autant j'ai appliqué le fix FRST et réalisé l'analyse ESET/NOD32 dont je t'adresse les résultats ci dessous.
https://pjjoint.malekal.com/files.php?i ... l8s15s12l5
Sur les 43 menaces identifiées, je n'en ai en réalité identifié qu'une restante pour mon pb et qui était encore dans le "AppData\Roaming\makecab\fodhelper.exe", pour le reste ce sont des fichiers issus de logiciels crackés, ou de nombreux softs que j'ai en partage sur mon :/D et qui sont de faux positifs issus de keygen principalement... que NOD32 a tous mis en quarantaine et renommés.. donc ça risque de foirer des seeds mais tant pis security first ;-)
Je redoute que mon infection soit due à l'installation d'un soft cracké, rapport aux dates d'install qui coïncident à la veille des premiers bugs constatés..
Ma deuxième infection en 20 ans de PC :-/ comme quoi il ne faut pas se relâcher ;-)
Grand merci pour votre aide et pour la masse d'infos sur ce forum !
Dans la soirée il semble que l'antivirus RogueKiller (que j'ai trouvé ici) à éliminé les bons fichiers car après redémarrage je ne trouve plus de fichiers corrompus, plus de dossier Imminent dans AppData, plus le bug du double ^^ :-D
Pour autant j'ai appliqué le fix FRST et réalisé l'analyse ESET/NOD32 dont je t'adresse les résultats ci dessous.
https://pjjoint.malekal.com/files.php?i ... l8s15s12l5
Sur les 43 menaces identifiées, je n'en ai en réalité identifié qu'une restante pour mon pb et qui était encore dans le "AppData\Roaming\makecab\fodhelper.exe", pour le reste ce sont des fichiers issus de logiciels crackés, ou de nombreux softs que j'ai en partage sur mon :/D et qui sont de faux positifs issus de keygen principalement... que NOD32 a tous mis en quarantaine et renommés.. donc ça risque de foirer des seeds mais tant pis security first ;-)
Je redoute que mon infection soit due à l'installation d'un soft cracké, rapport aux dates d'install qui coïncident à la veille des premiers bugs constatés..
Ma deuxième infection en 20 ans de PC :-/ comme quoi il ne faut pas se relâcher ;-)
Grand merci pour votre aide et pour la masse d'infos sur ce forum !
- Messages : 113253
- Inscription : 10 sept. 2005 13:57
Re: Aide Désinfection RAT "Imminent"
Non c'est la correction FRST qui a viré le Trojan :
Apparemment il a collé un Trojan Miner :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
C:\FRST\Quarantine\C\Users\Bny09\AppData\Roaming\makecab\fodhelper.exe une variante de Win32/Packed.Themida.DYQ cheval de troie nettoyé par suppression
Apparemment il a collé un Trojan Miner :
C:\Users\Bny09\AppData\Roaming\Honey Miner\miners\8800216\xmrstak_cuda_backend.dll une variante de Win64/CoinMiner.FR application potentiellement indésirable nettoyé par suppression
C:\Users\Bny09\AppData\Roaming\Honey Miner\miners\8800216\xmrstak_opencl_backend.dll une variante de Win64/CoinMiner.FR application potentiellement indésirable nettoyé par suppression
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Code : Tout sélectionner
CreateRestorePoint:
CloseProcesses:
C:\Users\Bny09\AppData\Roaming\Honey Miner
EmptyTemp:
RemoveProxy:
Reboot:
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: Aide Désinfection RAT "Imminent"
Merci bien pour ta réponse détaillée,
le trojan miner est issu d'un programme (Honeyminer) que j'ai délibérément installé depuis environ 2 mois, trojan identifié dès l'analyse MBAM suivante, pas de réponse de leur SAV depuis.. sur leur FAQ ils se contentent de dire que leur code est certifié et qu'il faut mettre des exceptions à windows defender, ESET etc.. (ex: https://honeyminer.zendesk.com/hc/en-us ... mputer-No- ; https://honeyminer.zendesk.com/hc/en-us ... Honeyminer)
Bref j'ai viré le soft par précaution, bien que les infections récentes semblent plus liée à des installs effectuées fin de semaine dernière.
Plus aucun messages d'erreur ou comportements étranges depuis hier soir, j'attends de relancer d'autres softs ou ma config MAO pour voir si tous mes programmes sont OK.
En tout cas un gros merci, je voyais vraiment le moment où je devais formater mon C:/ et me cogner un we complet de ré-installs :-/
le trojan miner est issu d'un programme (Honeyminer) que j'ai délibérément installé depuis environ 2 mois, trojan identifié dès l'analyse MBAM suivante, pas de réponse de leur SAV depuis.. sur leur FAQ ils se contentent de dire que leur code est certifié et qu'il faut mettre des exceptions à windows defender, ESET etc.. (ex: https://honeyminer.zendesk.com/hc/en-us ... mputer-No- ; https://honeyminer.zendesk.com/hc/en-us ... Honeyminer)
Bref j'ai viré le soft par précaution, bien que les infections récentes semblent plus liée à des installs effectuées fin de semaine dernière.
Plus aucun messages d'erreur ou comportements étranges depuis hier soir, j'attends de relancer d'autres softs ou ma config MAO pour voir si tous mes programmes sont OK.
En tout cas un gros merci, je voyais vraiment le moment où je devais formater mon C:/ et me cogner un we complet de ré-installs :-/
- Messages : 113253
- Inscription : 10 sept. 2005 13:57
Re: Aide Désinfection RAT "Imminent"
De rien, change tous tes mots de passe, ils ont été probablement récupérés par le pirate.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 1 Réponses
- 64 Vues
-
Dernier message par Malekal_morte
-
- 2 Réponses
- 82 Vues
-
Dernier message par Malekal_morte
-
- 4 Réponses
- 46 Vues
-
Dernier message par angelique
-
- 1 Réponses
- 72 Vues
-
Dernier message par angelique
-
- 8 Réponses
- 168 Vues
-
Dernier message par Malekal_morte