Piratage boîte mail / Questions +Trojan Downloader:Win32

Résolu/Fermé
diese3 Messages postés 6 Date d'inscription lundi 29 décembre 2014 Statut Membre Dernière intervention 4 janvier 2015 - 29 déc. 2014 à 23:11
diese3 Messages postés 6 Date d'inscription lundi 29 décembre 2014 Statut Membre Dernière intervention 4 janvier 2015 - 4 janv. 2015 à 01:50
Bonjour,
J'ai eu affaire à un piratage de ma boîte mail (via l'arnaque "Phishing/Leboncoin/Paypal : répondu à un sms par un mail, stoppé tout après un échange de mail, cliqué sur aucun lien, adresse, pièce jointe) - Attaque rapide, moins de 2h après l'échange de mails : boîte piratée, messages bidon contenant pièces jointes, repérage d'un logiciel installé sur mon ordi (Free Screen to Video - inactif, jamais utilisé - aucun courriel jamais reçu).
Consultation d'un pro (s'occupe maintenance de mon PC, parti en congés vendredi soir ...), NETTOYAGE RADICAL du PC VEN. 26/12.
Dim 28/12 notification : " Team Viewer est activé, vous pouvez prendre ce PC en main à distance " - (Pas touché Team Viewer ...) - Impossible de le fermer - Désinstallé .
Lun 29/12 Lancé Microsoft Security : repérage de Trojan Downloader:Win32 / Supprimé.
Lu sur divers sites que le Trojan était tenace ...
QUESTIONS : 1) Actions à mener pour repérer et sécuriser
2) Mes contacts peuvent-ils être ciblés ? Que dois-je leur conseiller ?
3) Je croyais que mes pièces jointes et mes liens étaient surs depuis vendredi. ...??? ...
Dois-je m'abstenir d'en envoyer ? Et si c'est le cas, puis-je en envoyer depuis un autre PC ?
4) Suite à la présence de Trojan, les mots de passe utilisés sont-ils encore sûrs ?


MERCI DE VOTRE AIDE ... SUIS OVERDOSEE ... Le "Pro" (qui est pourtant compétent), n'a visiblement pas pris les choses au sérieux ... Il faut dire que le faux message que j'avais reçu
mentionnant Free Screen to Video avait disparu (purement et simplement) de ma messagerie quand je suis arrivée chez lui ... Et qu'il n'a détecté aucun logiciel espion (avec du matos perfectionné). Mais j'avais parlé de ce RV la veille dans un mail !... (Pas fûté je sais ...)
Pour finir, je dispose d'un très petit temps en Haut-Débit, pour cause de problème temporaire de connexion ... (Allez donc changer une dizaine de mots de passe en 3G ...Il faut la moité de la nuit ... )
Merci à tous, et Bonnes Fêtes de fin d'année ...

20 réponses

Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
30 déc. 2014 à 01:00
Salut,

Avant de repondre aux questions.. Pour vérifier lordinateur

Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

--
0
Merci Malekal pour ta réponse rapide. La mienne arrivera en fonction du temps dont je disposerai en haut débit ...
0
Connexion établie, FRST sur bureau.
Rapports :
1) FRST.txt ............ //pjjoint.malekal.com/files.php?id=20141230_q13v12z7n7h15
2) Short cut Petite boulette, celui-là n'était pas demandé ... (?)
http://pjjoint.malekal.com/files.php?id=20141230_l7s11f6l7b13
3) Addition.txt http://pjjoint.malekal.com/files.php?id=20141230_w12h9q13i13r7

Est-ce que l'envoi est correct ?

Avant de me connecter, j'ai relancé Microsoft Security : RAS
et Malware : un PUP.Optional et un PUM.Bad.Proxy en quarantaine, qui auraient du être supprimés vendredi .... (j'ai cliqué sur supprimer ...)
Pas grand-chose donc sur ces deux rapports, mais l'ordinateur ralentit toujours, et les modifications de programmes et autres singeries continuent (ce matin par ex., suppression d'Adblock sur Internet Explorer et Opéra).
[Je navigue sur Chrome essentiellement, et Firefox. J'utilise les 2 autres en annexe (et
je n'ai jamais aimé Opéra ...)]

Bon, en attente de la lecture des rapports ...
A+
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
30 déc. 2014 à 18:02
y a priori rien de malicieux sur ton rapport.
Donc change tes mots de passe.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Tu penses que Trojan a été bien évacué (je sais que c'est un incruste plutôt tenace) - et comment se fait-il que le PUM.Bad.Proxy était encore là aujourd'hui alors que le PC a été sérieusement nettoyé vendredi ...? (je l'avais repéré la veille)
Je continue à ralentir - Bcp de pbs à la frappe - Les 2 Adblocks virés ce matin des navigateurs ... ...
Ça m'inspire pas des masses ... Je tiens pas à aggraver les choses, mais c'est pas net

Si je change les mots de passe (même depuis un autre ordi, ce que j'ai fait vendredi), et que j'ai encore l'espion de service, ça ne sert à rien ...

Et au fait, comment j'ai ramassé ce truc (Trojan) alors que je n'ai cliqué sur aucune pièce jointe, lien ... Est-ce que le simple contact par mail leur suffit à pirater la boîte mail ... ET à rentrer sur l'ordi (ce qu'ils ont fait en moins de 2 heures !... Je le sais parce qu'ils ont repéré Free Screen to Video dont je n'avais aucune trace sur la messagerie ...

J'ai vraiment trop peu de connaissances das ce domaine pour y voir clair ...
Qu'en penses-tu ?
0
C'est du Byron ou c'est de toi le délire à la fin ...
(je viens de voir que ça n 'apparaît pas sur le site ... C'est Trojan qui délire ? ...)
0
RÉSUMÉ :
LA QUESTION QUI ME SOUCIE LE PLUS DANS L'IMMÉDIAT est si je risque D'INFECTER LE PC DE MES CONTACTS (j'ai des pièces jointes et des liens urgents à envoyer)

Pour le reste : j'ai du mal à croire que j'aie pu virer Trojan en utilisant seulement la procédure de suppression de Microsoft Security ...
Et je ne m'explique pas comment ils m'ont balancé ça (je n'ai fait aucun téléchargement non plus) - Si un logiciel espion est présent depuis le début (et ça en a bien l'air), il peut se planquer chaque fois qu'un nettoyage est prévu (ça se voit sur la messagerie ...) Techniquement, ça doit être possible (? ...) ... ?
J'ai peut-être repéré l'énergumène parce que j'ai lancé Microsoft par hasard, alors que j'étais censée dormir sur mes 2 oreilles après le nettoyage ...

Je délire, maybe, mais je trouve ça très plausible ... C'est leur boulot après tout, je vois pas pourquoi ils laisseraient les choses au hasard ...

Well, c'est tout !...
(Désolée pour la tartine, mais je n'ai personne à proximité qui s'y connaisse un peu )
Bonne soirée ...
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
30 déc. 2014 à 21:30
Comme j'ai dit le rapport est correct.
C'est toi qui dis qu'il y a eu un trojan...
Là le PC est sain.

Désinstalle SUPERAntiSpyware, PDF Architect, PDFCreator

Touche Windows +R
tape msconfig et OK
Dans l'onglet Démarrage et Services
décoche tout ce qui est Intel, Realtek, Lenovo

Clic sur OK et redémarre l'ordinateur.
0
Je n'avais pas vu ta réponse hier soir.
Ce n'est pas moi qui dit qu'il y a eu un Trojan, mais le rapport de Microsoft Security.
La preuve : j'ai eu un message du compte Microsoft hier soir, sur une messagerie Hotmail secondaire - Ils ont détecté des connexions anormales - Journal d'activité : des connexions depuis La Réunion, dont plusieurs en continu à partir du 28, après donc le nettoyage du PC et le changement de TOUS les mots de passe DEPUIS UN AUTRE PC (26/12) ... C'est donc par la frappe que les mots de passe sont repérés ...

Anecdote : si tu veux voir le rapport de Mic. Security, je l'avais pris en capture (et je m'en suis servie hier pour vérifier le nom du virus) : hier soir il avait DISPARU ...
(il était rangé avec les autres rapports, il n'est pas dans la corbeille ...) - L'historique de Microsoft Security est vide.
T'es pas obligé de me croire, mais je sais ce que je dis ...

Je vais faire ce que tu conseilles. C'est quoi la touche Windows +R ?
(Il faut vraiment décocher/désinstaller Pdf Cr, Lenovo etc ? ;...)
TEMPS D'ATTENTE pour la connexion HD (plus de crédit sur la 3G) C'est la poisse ...

CONTACTS : je dois leur envoyer des liens urgents, et je n'ai pas envie de leur refiler
un troyen, même s'il est fantôme ... Comment je peux contourner le pb ? ...

Merci pour ton aide
(C'est une histoire à la noix, depuis le début ... Mais elle est vraie ! Sauf que les pièces à conviction disparaissent au fur et à mesure ... Bien vu : je ne suis plus crédible ...)

PS : j'ai lu plusieurs trucs (dont les indications de Microsoft) qui disent que les outils de détection, même performants, peuvent ne pas tout repérer ... Qu'est-ce que t'en penses ?
0
Partant du principe que le rapport de Microsoft Security pris en capture ne pouvait pas avoir disparu, j'ai fouillé tous mes fichiers.
Et je l'ai retrouvé ... dans un fichier de playlists ...
(Posté sur ton site pjjoint.malekal)

Je suis sûre qu'il était rangé, parce que je l'ai consulté hier. Si j'avais du le chercher ailleurs, je m'en rappellerais ...

Tordu comme manip, hein ?
Tu peux parfaitement supposer que je ne me rappelle pas ce que je fais ....

bon, c'est clair au moins sur la présence de trojan hier ...
Reste à savoir s'il y est encore, et où ?
0
On me dit : "Mais c'est pas possible, c'est des robots"
Evidemment ...
Mais il y a forcément une personne physique qui récupère, tous les jours (ou toutes les 12h) les informations interceptées par le robot ...
Elle peut les déplacer ou en faire ce qu'elle veut. Je vois pas où est le délire ... (Il faut bien qu'ils soient un peu tordus pour maintenir leur position le plus longtemps possible ...) Non ?

Bon réveillon ...
A plus tard ...
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
31 déc. 2014 à 15:59
Change ton mot de passe hotmail si ça n'a pas été fait.
Remplace MSE par Avast!, plus efficace : https://www.malekal.com/tutoriel-antivirus-avast/

Si les connexions hotmail ont été bloquées alors, faut pas s'en faire.
0
Merci pour ta réponse.
Je suis en train d'éplucher Avast! ...

Le dernier rapport MSE (aujourd'hui) est sain. Tu penses vraiment que j'ai pu me débarrasser de Trojan en utilisant seulement la procédure de suppression de MSE ? (si c'est le cas tant mieux ...)
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
31 déc. 2014 à 18:57
Comme dit plus haut le rapport FRST est vierge, pas d'infection.
Donc si y a eu un trojan, il n'y est plus.

Note que tu peux avoir eu un trojan, qui se lance, vole les identifiants et n'installe rien sur l'ordinateur.
0
Yes, bien reçu
Bonne soirée
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
1 janv. 2015 à 14:48
:)

bonne année :)
0
diese3 > Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
1 janv. 2015 à 14:58
The same ! ;)
0
DIVERSION ...

En attente d'HD - Trêve pour les virus : La guerre de Troie n'aura pas lieu ...
Du coup, pour commencer l'année numérique avec un peu de vent dans les voiles, je poste un LIEN COMPLÈTEMENT HORS-SUJET, MAIS DRÔLE :
https://www.youtube.com/watch?v=jg_ryIfz-zY
J'adore poster des vidéos de cette chaîne (Parole de chat). Elles sont super bien faites (Parmi les meilleures : La bombe, Les gros mots, La fin du monde, Ouvre-moi, Cache-cache, La vie active, La joie !!, Cobra-Cat etc ...)

Retour de l'HD - Je viens d'en re-visionner une plutôt drôle, pour illustrer les histoires de virus ... ("Magic Mess" - sur "Faireset) ...
Et la totale avec "Dans la peau de Martin Ep002", sur la chaîne du même nom, que je viens de découvrir ... ...
https://www.youtube.com/watch?v=VxKBY4cbpLs&src_vid=ZrPcP-bQvkY&feature=iv&annotation_id=annotation_427627

Voilà l'travail ! Have Fun ...

(Si tu connaissais déjà, Sorry ... :x
Et si cet envoi te dérange, :X :X :X ...)
0
diese3 Messages postés 6 Date d'inscription lundi 29 décembre 2014 Statut Membre Dernière intervention 4 janvier 2015
1 janv. 2015 à 20:18
J'ai pris les liens en copié collé, mais j'ai pas l'impression que ça a fonctionné.

Je refais un essai

https://www.youtube.com/watch?v=jg_ryIfz-zY

https://www.youtube.com/watch?v=VxKBY4cbpLs&src_vid=ZrPcP-bQvkY&feature=iv&annotation_id=annotation_427627

Ça a l'air de marcher ce coup-là ...
0
diese3 Messages postés 6 Date d'inscription lundi 29 décembre 2014 Statut Membre Dernière intervention 4 janvier 2015
4 janv. 2015 à 01:20
Merci pour Avast! C'est un très bon outil.

Détection Trojan : repéré le 01/01 / Quarantaine
Vérif : 02/01 - " Certains fichiers n'ont pas pu être scannés "
Vérif : 03/01 - idem (voir pjjointes)

Question : comment faut-il comprendre les résultats des Vérif 1 et 2 ?
0
diese3 Messages postés 6 Date d'inscription lundi 29 décembre 2014 Statut Membre Dernière intervention 4 janvier 2015
4 janv. 2015 à 01:22
PS : comment faut-il gérer les fichiers en quarantaine ?
(si t'as pas le temps de répondre à cette question laisse tomber - c'est pas urgent)

Je sais mettre un dossier en quarantaine, mais après ... quand j'en ai besoin,
quelqu'un me nettoie le PC (gratos) - c'est pour ça que je suis ignare ... Et j'ai
pas beaucoup de temps pour apprendre ... Pas plus mal qu'il aie été en congé,
ça m'a un peu bougée sur la question ... Merci pour ton aide !
0
diese3 Messages postés 6 Date d'inscription lundi 29 décembre 2014 Statut Membre Dernière intervention 4 janvier 2015
4 janv. 2015 à 01:23
Pour Info :
Quand Microsoft prévient qu'il a détecté une activité anormale sur la messagerie,
il ne bloque rien du tout !... Les diabolos sont donc restés connectés sur ma boîte
jusqu'au 1er Janvier, heure exacte de la mise en quarantaine.
Base affichée : La Réunion ... (vu sur le journal d'activité de la boîte). Changer le
mot de passe ne servait à rien, puisqu'il était intercepté ... ^^"
0
diese3 Messages postés 6 Date d'inscription lundi 29 décembre 2014 Statut Membre Dernière intervention 4 janvier 2015
4 janv. 2015 à 01:50
J'ai enfin eu le temps de voir qu'il y avait des tas de choses intéressantes sur ton site, que j'avais utilisé en vitesse pour déposer des pièces jointes ....
Mais just it's too late ... Je tombe ...
Je reprends ça plus tard ... -_-
0