Infection trojan "RAT.Imminent" qui revient après reboot

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

OCELOT69350

Infection trojan "RAT.Imminent" qui revient après reboot

par OCELOT69350 »

Bonjour,

J'ai un souci avec une détection d'un trojan détecté par malwarebytes et spoybot s&d.
Un fichier de logs nommé de la date du jour se loge dans le dossier C:\Users\OCELOTGG\appdata\roaming\imminent\Logs et revient après chaque reboot après une désinfection avec Malwarebytes Anti-Malware (MBAM) ou spybot. Il est référencé comme "RAT.Imminent" par spybot et comme "Trojan.StolenData" par MBAM.
Ce qui est étrange c'est que mon ssd est neuf (je n'ai installé que chrome, steam, winrar, mbam; bref que des logiciels de base).

Je n'y connais quasi rien en scans highjackthis ou FRST mais j'ai vu qu'il fallait poster les logs de ce dernier.

https://pjjoint.malekal.com/files.php?i ... 9n7l7c11b7
https://pjjoint.malekal.com/files.php?i ... 15e14m11p8
https://pjjoint.malekal.com/files.php?i ... 10k5k14o13

Merci par avance pour votre aide.

EDIT: après un scan et une désinfection par RogueKiller, il semblerait que le dossier et le fichier aient disparu après le redémarrage.
Malekal_morte
Messages : 117019
Inscription : 10 sept. 2005 13:57

Re: Infection trojan "RAT.Imminent" qui revient après reboot

par Malekal_morte »

Salut,

Spybot sert à rien et est inefficace.
Les Trojan RAT sont capables de voler les mots de passe.
Il te faudra donc les changer.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2019-07-21 19:42 - 2019-07-21 19:42 - 000000000 ____D C:\Users\OCELOTGG\AUDIOKSE
C:\Users\OCELOTGG\AUDIOKSE
HKU\S-1-5-21-3408321178-4010605290-1452123563-1001\...\Run: [bitsadmin] => C:\Users\OCELOTGG\AUDIOKSE\appidcertstorecheck.exe [66323664 2019-07-21] (Malwarebytes Corporation -> ) [Fichier non signé]
2019-07-22 00:22 - 2019-07-22 09:51 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2019-07-22 00:22 - 2019-07-22 09:48 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2019-07-22 00:22 - 2019-07-22 00:22 - 000000000 ____D C:\Windows\System32\Tasks\Safer-Networking
2019-07-22 09:35 - 2019-07-22 09:51 - 000000000 ____D C:\Users\OCELOTGG\AppData\Roaming\Imminent
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
OCELOT69350

Re: Infection trojan "RAT.Imminent" qui revient après reboot

par OCELOT69350 »

La manip est faite. Merci pour ton aide le souci a l'air réglé, maintenant je m'occupe de changer mes mdp.
OCELOT69350

Re: Infection trojan "RAT.Imminent" qui revient après reboot

par OCELOT69350 »

C'est encore moi,

Je n'avais pas vu la ligne où tu m'as demandé de copier le fixlog. Désolé.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-07-2019 01
Exécuté par OCELOTGG (22-07-2019 11:24:03) Run:4
Exécuté depuis C:\Users\OCELOTGG\Desktop
Profils chargés: OCELOTGG (Profils disponibles: OCELOTGG)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
2019-07-21 19:42 - 2019-07-21 19:42 - 000000000 ____D C:\Users\OCELOTGG\AUDIOKSE
C:\Users\OCELOTGG\AUDIOKSE
HKU\S-1-5-21-3408321178-4010605290-1452123563-1001\...\Run: [bitsadmin] => C:\Users\OCELOTGG\AUDIOKSE\appidcertstorecheck.exe [66323664 2019-07-21] (Malwarebytes Corporation -> ) [Fichier non signé]
2019-07-22 00:22 - 2019-07-22 09:51 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2019-07-22 00:22 - 2019-07-22 09:48 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2019-07-22 00:22 - 2019-07-22 00:22 - 000000000 ____D C:\Windows\System32\Tasks\Safer-Networking
2019-07-22 09:35 - 2019-07-22 09:51 - 000000000 ____D C:\Users\OCELOTGG\AppData\Roaming\Imminent
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"C:\Users\OCELOTGG\AUDIOKSE" => non trouvé(e)
"C:\Users\OCELOTGG\AUDIOKSE" => non trouvé(e)
"HKU\S-1-5-21-3408321178-4010605290-1452123563-1001\Software\Microsoft\Windows\CurrentVersion\Run\\bitsadmin" => non trouvé(e)
"C:\Program Files (x86)\Spybot - Search & Destroy 2" => non trouvé(e)
"C:\ProgramData\Spybot - Search & Destroy" => non trouvé(e)
"C:\Windows\System32\Tasks\Safer-Networking" => non trouvé(e)
"C:\Users\OCELOTGG\AppData\Roaming\Imminent" => non trouvé(e)

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3408321178-4010605290-1452123563-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3408321178-4010605290-1452123563-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 8466925 B
Java, Flash, Steam htmlcache => 14702797 B
Windows/system/drivers => 2600 B
Edge => 0 B
Chrome => 37001186 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 11118 B
LocalService => 0 B
NetworkService => 0 B
NetworkService => 0 B
OCELOTGG => 2071197 B

RecycleBin => 0 B
EmptyTemp: => 66.9 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 11:24:12 ====
Malekal_morte
Messages : 117019
Inscription : 10 sept. 2005 13:57

Re: Infection trojan "RAT.Imminent" qui revient après reboot

par Malekal_morte »

c'est bon,

Pour terminer, à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.
Attention à ce que tu télécharges.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »