Bonjour,
J'ai un souci avec une détection d'un trojan détecté par malwarebytes et spoybot s&d.
Un fichier de logs nommé de la date du jour se loge dans le dossier C:\Users\OCELOTGG\appdata\roaming\imminent\Logs et revient après chaque reboot après une désinfection avec Malwarebytes Anti-Malware (MBAM) ou spybot. Il est référencé comme "RAT.Imminent" par spybot et comme "Trojan.StolenData" par MBAM.
Ce qui est étrange c'est que mon ssd est neuf (je n'ai installé que chrome, steam, winrar, mbam; bref que des logiciels de base).
Je n'y connais quasi rien en scans highjackthis ou FRST mais j'ai vu qu'il fallait poster les logs de ce dernier.
https://pjjoint.malekal.com/files.php?i ... 9n7l7c11b7
https://pjjoint.malekal.com/files.php?i ... 15e14m11p8
https://pjjoint.malekal.com/files.php?i ... 10k5k14o13
Merci par avance pour votre aide.
EDIT: après un scan et une désinfection par RogueKiller, il semblerait que le dossier et le fichier aient disparu après le redémarrage.
Infection trojan "RAT.Imminent" qui revient après reboot
Modérateurs : Mods Windows, Helper
- Messages : 117019
- Inscription : 10 sept. 2005 13:57
Re: Infection trojan "RAT.Imminent" qui revient après reboot
Salut,
Spybot sert à rien et est inefficace.
Les Trojan RAT sont capables de voler les mots de passe.
Il te faudra donc les changer.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Spybot sert à rien et est inefficace.
Les Trojan RAT sont capables de voler les mots de passe.
Il te faudra donc les changer.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Code : Tout sélectionner
Start:
CloseProcesses:
CreateRestorePoint:
2019-07-21 19:42 - 2019-07-21 19:42 - 000000000 ____D C:\Users\OCELOTGG\AUDIOKSE
C:\Users\OCELOTGG\AUDIOKSE
HKU\S-1-5-21-3408321178-4010605290-1452123563-1001\...\Run: [bitsadmin] => C:\Users\OCELOTGG\AUDIOKSE\appidcertstorecheck.exe [66323664 2019-07-21] (Malwarebytes Corporation -> ) [Fichier non signé]
2019-07-22 00:22 - 2019-07-22 09:51 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2019-07-22 00:22 - 2019-07-22 09:48 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2019-07-22 00:22 - 2019-07-22 00:22 - 000000000 ____D C:\Windows\System32\Tasks\Safer-Networking
2019-07-22 09:35 - 2019-07-22 09:51 - 000000000 ____D C:\Users\OCELOTGG\AppData\Roaming\Imminent
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: Infection trojan "RAT.Imminent" qui revient après reboot
La manip est faite. Merci pour ton aide le souci a l'air réglé, maintenant je m'occupe de changer mes mdp.
Re: Infection trojan "RAT.Imminent" qui revient après reboot
C'est encore moi,
Je n'avais pas vu la ligne où tu m'as demandé de copier le fixlog. Désolé.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-07-2019 01
Exécuté par OCELOTGG (22-07-2019 11:24:03) Run:4
Exécuté depuis C:\Users\OCELOTGG\Desktop
Profils chargés: OCELOTGG (Profils disponibles: OCELOTGG)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
2019-07-21 19:42 - 2019-07-21 19:42 - 000000000 ____D C:\Users\OCELOTGG\AUDIOKSE
C:\Users\OCELOTGG\AUDIOKSE
HKU\S-1-5-21-3408321178-4010605290-1452123563-1001\...\Run: [bitsadmin] => C:\Users\OCELOTGG\AUDIOKSE\appidcertstorecheck.exe [66323664 2019-07-21] (Malwarebytes Corporation -> ) [Fichier non signé]
2019-07-22 00:22 - 2019-07-22 09:51 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2019-07-22 00:22 - 2019-07-22 09:48 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2019-07-22 00:22 - 2019-07-22 00:22 - 000000000 ____D C:\Windows\System32\Tasks\Safer-Networking
2019-07-22 09:35 - 2019-07-22 09:51 - 000000000 ____D C:\Users\OCELOTGG\AppData\Roaming\Imminent
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:
*****************
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"C:\Users\OCELOTGG\AUDIOKSE" => non trouvé(e)
"C:\Users\OCELOTGG\AUDIOKSE" => non trouvé(e)
"HKU\S-1-5-21-3408321178-4010605290-1452123563-1001\Software\Microsoft\Windows\CurrentVersion\Run\\bitsadmin" => non trouvé(e)
"C:\Program Files (x86)\Spybot - Search & Destroy 2" => non trouvé(e)
"C:\ProgramData\Spybot - Search & Destroy" => non trouvé(e)
"C:\Windows\System32\Tasks\Safer-Networking" => non trouvé(e)
"C:\Users\OCELOTGG\AppData\Roaming\Imminent" => non trouvé(e)
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3408321178-4010605290-1452123563-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3408321178-4010605290-1452123563-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
=========== EmptyTemp: ==========
BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 8466925 B
Java, Flash, Steam htmlcache => 14702797 B
Windows/system/drivers => 2600 B
Edge => 0 B
Chrome => 37001186 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 11118 B
LocalService => 0 B
NetworkService => 0 B
NetworkService => 0 B
OCELOTGG => 2071197 B
RecycleBin => 0 B
EmptyTemp: => 66.9 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
==== Fin de Fixlog 11:24:12 ====
Je n'avais pas vu la ligne où tu m'as demandé de copier le fixlog. Désolé.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-07-2019 01
Exécuté par OCELOTGG (22-07-2019 11:24:03) Run:4
Exécuté depuis C:\Users\OCELOTGG\Desktop
Profils chargés: OCELOTGG (Profils disponibles: OCELOTGG)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
2019-07-21 19:42 - 2019-07-21 19:42 - 000000000 ____D C:\Users\OCELOTGG\AUDIOKSE
C:\Users\OCELOTGG\AUDIOKSE
HKU\S-1-5-21-3408321178-4010605290-1452123563-1001\...\Run: [bitsadmin] => C:\Users\OCELOTGG\AUDIOKSE\appidcertstorecheck.exe [66323664 2019-07-21] (Malwarebytes Corporation -> ) [Fichier non signé]
2019-07-22 00:22 - 2019-07-22 09:51 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2019-07-22 00:22 - 2019-07-22 09:48 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2019-07-22 00:22 - 2019-07-22 00:22 - 000000000 ____D C:\Windows\System32\Tasks\Safer-Networking
2019-07-22 09:35 - 2019-07-22 09:51 - 000000000 ____D C:\Users\OCELOTGG\AppData\Roaming\Imminent
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:
*****************
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"C:\Users\OCELOTGG\AUDIOKSE" => non trouvé(e)
"C:\Users\OCELOTGG\AUDIOKSE" => non trouvé(e)
"HKU\S-1-5-21-3408321178-4010605290-1452123563-1001\Software\Microsoft\Windows\CurrentVersion\Run\\bitsadmin" => non trouvé(e)
"C:\Program Files (x86)\Spybot - Search & Destroy 2" => non trouvé(e)
"C:\ProgramData\Spybot - Search & Destroy" => non trouvé(e)
"C:\Windows\System32\Tasks\Safer-Networking" => non trouvé(e)
"C:\Users\OCELOTGG\AppData\Roaming\Imminent" => non trouvé(e)
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3408321178-4010605290-1452123563-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3408321178-4010605290-1452123563-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
=========== EmptyTemp: ==========
BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 8466925 B
Java, Flash, Steam htmlcache => 14702797 B
Windows/system/drivers => 2600 B
Edge => 0 B
Chrome => 37001186 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 11118 B
LocalService => 0 B
NetworkService => 0 B
NetworkService => 0 B
OCELOTGG => 2071197 B
RecycleBin => 0 B
EmptyTemp: => 66.9 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
==== Fin de Fixlog 11:24:12 ====
- Messages : 117019
- Inscription : 10 sept. 2005 13:57
Re: Infection trojan "RAT.Imminent" qui revient après reboot
c'est bon,
Pour terminer, à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.
Attention à ce que tu télécharges.
Pour terminer, à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.
Attention à ce que tu télécharges.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 3 Réponses
- 159 Vues
-
Dernier message par Malekal_morte
-
-
Le curseur revient au centrte de l'écran toutes les 20 secondes
par Aurélien2010 » » dans Windows : Résoudre les problèmes - 2 Réponses
- 80 Vues
-
Dernier message par Malekal_morte
-
-
- 8 Réponses
- 240 Vues
-
Dernier message par Parisien_entraide
-
-
reboot PC et partage de connexion mobile
par mgrmgr » » dans Réseau, internet et navigateurs internet - 2 Réponses
- 114 Vues
-
Dernier message par mgrmgr
-
-
- 2 Réponses
- 68 Vues
-
Dernier message par Malekal_morte