RAT.Imminent : hack Paypal, disques durs effacés...

PierrotSport · par **PierrotSport** » 25 janv. 2019 16:47

Bonjour

Cette nuit j'ai reçu un sms de paypal me disant détecter une transaction suspecte de près de 1500 €, je ne l'ai vu que ce matin 7h et j'ai immédiatement répondu que non, ce n'était pas moi. J'avais aussi une alerte Gmail de connexion à 2h42 à mon compte depuis un pc situé à 3h de chez moi. J'ai eu Paypal, ma banque, la boutique concernée, bon pour les sous ça devrait aller. J'ai changé mes mots de passe Gmail & Paypal direct bien sur.

Je viens de comprendre comment ça a pu se passer, le pc qui se trouve chez ma mere a été infecté par un truc appelé RAT.imminent. Je l'avais laissé tourner hier pour finir une synchronisation de dossier Onedrive et quand je suis arrivé aujourd'hui, misère :

Mon C: est intact mais impossible de voir mes autres disques durs internes, je ne sais pas s'ils ont été effacés ou quoi mais Windows 7 ne les trouve plus.

Avant de faire tout et n'importe quoi, je me tourne vers vous car j'aimerai bien récupérer les données (pro et perso) de ces disques.

J'ai lu quelques sujets sur votre forum et j'ai donc téléchargé et installé FRST, voici les deux rapports :

FRST
https://pjjoint.malekal.com/files.php?i ... 11w11n6p12

Addition :
https://pjjoint.malekal.com/files.php?i ... 2o12e13x14

Voilà, si je sais que c'est RAT.Imminent, c'est parce que Spybot me l'a dit après analyse, mais je n'ai fait que l'analyse, pas la correction.

En espérant que vous pourrez m'aider,

Merci

Pierre

par **Malekal_morte** » 25 janv. 2019 17:12

Salut,

Ouaip infecté Trojan RAT
Pour les recours, lire cette page : Recours pour les victimes de virus ou arnaque sur internet.

A désinstaller :

CCleaner
QuickTime

La correction va supprimer aussi Spybot - Search & Destroy 2 car il est inefficace et je ne le vois pas dans la liste des programmes installés.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Task: {EF6BADA4-ABD8-4017-A0BA-24D4572119B5} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe [2016-03-21] (Safer-Networking Ltd.)
Startup: C:\Users\Payen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled [2019-01-25] ()
Startup: C:\Users\Payen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.js [2019-01-25] () 
HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) 
C:\Program Files\Common Files\AV\Spybot - Search and Destroy
R2 PornTime Updater; C:\Users\Payen\AppData\Roaming\PT\updater.exe [165888 2015-06-15] (PornTime) [Fichier non signé]
C:\Users\Payen\AppData\Roaming\PT
2019-01-25 16:24 - 2019-01-25 16:24 - 000000000 ____D C:\Users\Payen\AppData\Roaming\Imminent 
2019-01-25 01:47 - 2019-01-25 15:52 - 000000000 ____D C:\Users\Payen\Desktop\SAMERE Imminent
2019-01-25 01:47 - 2019-01-25 01:47 - 000000000 _RSHD C:\Users\Payen\AppData\Roaming\AppVClientPS 
2013-04-19 05:18 - 2013-04-19 05:36 - 000016952 ____T (Un4seen Developments) C:\Users\Payen\AppData\Roaming\Microsoft\1eaadjc.dll
2013-04-19 05:18 - 2013-04-19 05:36 - 000018724 ____T () C:\Users\Payen\AppData\Roaming\Microsoft\bass.dll
2013-04-19 05:18 - 2013-04-19 05:36 - 000014392 ____T (Un4seen Developments) C:\Users\Payen\AppData\Roaming\Microsoft\kfgresk.dll
2013-04-19 05:18 - 2013-04-19 05:36 - 000013984 ____T () C:\Users\Payen\AppData\Roaming\Microsoft\mjcriu.dll
2013-04-19 05:18 - 2013-04-19 05:36 - 000010808 ____T (Un4seen Developments) C:\Users\Payen\AppData\Roaming\Microsoft\peaadje.dll
2013-04-19 05:18 - 2013-04-19 05:36 - 000026200 ____T ((: JOBnik! :) [Arthur Aminov, ISRAEL]) C:\Users\Payen\AppData\Roaming\Microsoft\qwadjb.dll
2013-04-19 05:18 - 2013-04-19 05:36 - 000015416 ____T (Un4seen Developments) C:\Users\Payen\AppData\Roaming\Microsoft\rsaadjd.dll
2013-04-19 05:18 - 2013-04-19 05:36 - 000098360 ____T (Un4seen Developments) C:\Users\Payen\AppData\Roaming\Microsoft\~DFK1b93403.tmp   
S4 SDScannerService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [1738168 2014-06-24] (Safer-Networking Ltd.)
S4 SDUpdateService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [4088608 2016-09-21] (Safer-Networking Ltd.) [Fichier non signé]
S4 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [235984 2016-11-24] (Safer-Networking Ltd.) [Fichier non signé]
 C:\Program Files (x86)\Spybot - Search & Destroy 2
Hosts:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

2)

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/

PierrotSport · par **PierrotSport** » 25 janv. 2019 18:37

Merci pour cette réponse, je vais essayer ça demain, j'ai éteint le pc et je suis rentré chez moi dare dare pour changer tous mes mots de passe depuis mon pc de bureau...

En attendant de voir le résultat, pourquoi mes autres disques durs ont disparu ? C'est courant comme pratique ? Les traces de l'attaque sont pourtant sur le C qui est encore là... je vois pas l'intérêt à part la méchanceté, serait-il possible qu'ils ne soient pas vidés mais juste "désactivés" ?

par **Malekal_morte** » 25 janv. 2019 19:05

D'après FRST, il n'y a plus de partition de disque sur le second disque :(

Disk: 0 (Size: 931.5 GB) (Disk ID: 684441E7)

Partition: GPT.

========================================================
Disk: 1 (MBR Code: Windows 7/8/10) (Size: 83.8 GB) (Disk ID: 7AAAAB57)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=83.7 GB) - (Type=07 NTFS)

========================================================
Disk: 2 (Size: 698.6 GB) (Disk ID: C7AAA79E)

Partition: GPT.

PierrotSport · par **PierrotSport** » 25 janv. 2019 19:12

Ce qui apparait comme Disk 1 ici c'est mon c:, les disk 0 et 2 doivent être mes disques de stockage. Plus de partition = vidés ? :(

PierrotSport · par **PierrotSport** » 26 janv. 2019 09:34

Ok, j'ai donc suivi l'étape 1 et voici le rapport fixlog.txt :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20.01.2019
Exécuté par Payen (26-01-2019 09:29:26) Run:2
Exécuté depuis C:\Users\Payen\Desktop
Profils chargés: Payen (Profils disponibles: Payen & OrcusRDP)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Task: {EF6BADA4-ABD8-4017-A0BA-24D4572119B5} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe [2016-03-21] (Safer-Networking Ltd.)
Startup: C:\Users\Payen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled [2019-01-25] ()
Startup: C:\Users\Payen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.js [2019-01-25] ()
HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
C:\Program Files\Common Files\AV\Spybot - Search and Destroy
R2 PornTime Updater; C:\Users\Payen\AppData\Roaming\PT\updater.exe [165888 2015-06-15] (PornTime) [Fichier non signé]
C:\Users\Payen\AppData\Roaming\PT
2019-01-25 16:24 - 2019-01-25 16:24 - 000000000 ____D C:\Users\Payen\AppData\Roaming\Imminent
2019-01-25 01:47 - 2019-01-25 15:52 - 000000000 ____D C:\Users\Payen\Desktop\SAMERE Imminent
2019-01-25 01:47 - 2019-01-25 01:47 - 000000000 _RSHD C:\Users\Payen\AppData\Roaming\AppVClientPS
2013-04-19 05:18 - 2013-04-19 05:36 - 000016952 ____T (Un4seen Developments) C:\Users\Payen\AppData\Roaming\Microsoft\1eaadjc.dll
2013-04-19 05:18 - 2013-04-19 05:36 - 000018724 ____T () C:\Users\Payen\AppData\Roaming\Microsoft\bass.dll
2013-04-19 05:18 - 2013-04-19 05:36 - 000014392 ____T (Un4seen Developments) C:\Users\Payen\AppData\Roaming\Microsoft\kfgresk.dll
2013-04-19 05:18 - 2013-04-19 05:36 - 000013984 ____T () C:\Users\Payen\AppData\Roaming\Microsoft\mjcriu.dll
2013-04-19 05:18 - 2013-04-19 05:36 - 000010808 ____T (Un4seen Developments) C:\Users\Payen\AppData\Roaming\Microsoft\peaadje.dll
2013-04-19 05:18 - 2013-04-19 05:36 - 000026200 ____T ((: JOBnik!

[Arthur Aminov, ISRAEL]) C:\Users\Payen\AppData\Roaming\Microsoft\qwadjb.dll
2013-04-19 05:18 - 2013-04-19 05:36 - 000015416 ____T (Un4seen Developments) C:\Users\Payen\AppData\Roaming\Microsoft\rsaadjd.dll
2013-04-19 05:18 - 2013-04-19 05:36 - 000098360 ____T (Un4seen Developments) C:\Users\Payen\AppData\Roaming\Microsoft\~DFK1b93403.tmp
S4 SDScannerService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [1738168 2014-06-24] (Safer-Networking Ltd.)
S4 SDUpdateService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [4088608 2016-09-21] (Safer-Networking Ltd.) [Fichier non signé]
S4 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [235984 2016-11-24] (Safer-Networking Ltd.) [Fichier non signé]
C:\Program Files (x86)\Spybot - Search & Destroy 2
Hosts:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EF6BADA4-ABD8-4017-A0BA-24D4572119B5}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EF6BADA4-ABD8-4017-A0BA-24D4572119B5}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking\Spybot - Search and Destroy\Refresh immunization" => supprimé(es) avec succès
C:\Users\Payen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled => déplacé(es) avec succès
C:\Users\Payen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.js => déplacé(es) avec succès
"HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotPostWindows10UpgradeReInstall" => supprimé(es) avec succès
C:\Program Files\Common Files\AV\Spybot - Search and Destroy => déplacé(es) avec succès
HKLM\System\CurrentControlSet\Services\PornTime Updater => supprimé(es) avec succès
PornTime Updater => service supprimé(es) avec succès
C:\Users\Payen\AppData\Roaming\PT => déplacé(es) avec succès
C:\Users\Payen\AppData\Roaming\Imminent => déplacé(es) avec succès
C:\Users\Payen\Desktop\SAMERE Imminent => déplacé(es) avec succès
C:\Users\Payen\AppData\Roaming\AppVClientPS => déplacé(es) avec succès
C:\Users\Payen\AppData\Roaming\Microsoft\1eaadjc.dll => déplacé(es) avec succès
C:\Users\Payen\AppData\Roaming\Microsoft\bass.dll => déplacé(es) avec succès
C:\Users\Payen\AppData\Roaming\Microsoft\kfgresk.dll => déplacé(es) avec succès
C:\Users\Payen\AppData\Roaming\Microsoft\mjcriu.dll => déplacé(es) avec succès
C:\Users\Payen\AppData\Roaming\Microsoft\peaadje.dll => déplacé(es) avec succès
C:\Users\Payen\AppData\Roaming\Microsoft\qwadjb.dll => déplacé(es) avec succès
C:\Users\Payen\AppData\Roaming\Microsoft\rsaadjd.dll => déplacé(es) avec succès
C:\Users\Payen\AppData\Roaming\Microsoft\~DFK1b93403.tmp => déplacé(es) avec succès
HKLM\System\CurrentControlSet\Services\SDScannerService => supprimé(es) avec succès
SDScannerService => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\SDUpdateService => supprimé(es) avec succès
SDUpdateService => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\SDWSCService => supprimé(es) avec succès
SDWSCService => service supprimé(es) avec succès
C:\Program Files (x86)\Spybot - Search & Destroy 2 => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3628749961-264550167-1845404267-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3628749961-264550167-1845404267-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès

========= Fin de RemoveProxy: =========

Le système a dû redémarrer.

==== Fin de Fixlog 09:29:33 ====

PierrotSport · par **PierrotSport** » 26 janv. 2019 09:39

Voilà, je suis en train d'envoyer quarantine.zip mais il fait 193 821ko...

PierrotSport · par **PierrotSport** » 26 janv. 2019 10:26

Bon, je ne sais pas si c'est lié à la manip de ce matin mais j'ai reçu un mail du pirate qui me préviens que si je continue et que je ne lui paye pas 600€ en btc d'ici 24h, mes donnes seront effacées à l'expiration du "trial triggering". Je ne sais que faire !

par **Malekal_morte** » 26 janv. 2019 13:54

Chantage habituelle...

Tu peux donner une capture d'écran de la gestion de disque de Windows

~~

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

PierrotSport · par **PierrotSport** » 26 janv. 2019 15:47

En attendant le scan :

par **Malekal_morte** » 26 janv. 2019 16:14

Je pense que la partition a été supprimée.
Est-ce qu'avec Testdisk tu la vois et tu peux accéder à aux fichiers.
Voir : https://www.malekal.com/recuperer-partition-raw/

PierrotSport · par **PierrotSport** » 26 janv. 2019 16:20

Testdisk m'indique ça pour le disque 0 :

et list file :

par **Malekal_morte** » 26 janv. 2019 16:41

Ca a m'a l'air compromis :/
Après faudrait tenter ces applications : https://www.malekal.com/recuperer-des-f ... acilement/

Pour l'hébergement d'images sur le forum, merci de lire ce message : Règlement hébergement des images sur le forum.

PierrotSport · par **PierrotSport** » 26 janv. 2019 16:51

Scan eset terminé :

https://pjjoint.malekal.com/files.php?i ... 0h6g9k8d12

23 erreurs

Malekal.com forum

RAT.Imminent : hack Paypal, disques durs effacés...

RAT.Imminent : hack Paypal, disques durs effacés...

Re: RAT.Imminent : hack Paypal, disques durs effacés...

Re: RAT.Imminent : hack Paypal, disques durs effacés...

Re: RAT.Imminent : hack Paypal, disques durs effacés...

Re: RAT.Imminent : hack Paypal, disques durs effacés...

Re: RAT.Imminent : hack Paypal, disques durs effacés...

Re: RAT.Imminent : hack Paypal, disques durs effacés...

Re: RAT.Imminent : hack Paypal, disques durs effacés...

Re: RAT.Imminent : hack Paypal, disques durs effacés...

Re: RAT.Imminent : hack Paypal, disques durs effacés...

Re: RAT.Imminent : hack Paypal, disques durs effacés...

Re: RAT.Imminent : hack Paypal, disques durs effacés...

Re: RAT.Imminent : hack Paypal, disques durs effacés...

Re: RAT.Imminent : hack Paypal, disques durs effacés...