Hacked

Résolu
Gragas -  
bazfile Messages postés 58487 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour tout le monde, j’ai vraiment besoin de votre aide!
Le soucis c’est que j’ai laissé mon pc allumé, j’etais Partis a la salle je suis revenu j’ai trouver que la souris bougeait toute seul et essayer d’entrer au site Paypal.
Sanchant que j’avais deja donner mon ID teamviewer a quelqun mais j’avais désinstaller teamviewer, et il a toujours acces a mon PC. I really need your help pla

4 réponses

  1. bazfile Messages postés 58487 Date d'inscription   Statut Modérateur Dernière intervention   20 266
     
    Bonjour,
    Télécharge FRST une fois téléchargé met-le sur le bureau puis ouvre-le tu auras ceci :

    Puis coche la case shortcut comme ceci :

    Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.

    0
  2. Gragas
     
    https://pjjoint.malekal.com/files.php?id=FRST_20190223_d87j6p7s13
    https://pjjoint.malekal.com/files.php?id=20190223_f14d12w14y7c7
    https://pjjoint.malekal.com/files.php?id=20190223_l12z8h11n8o6
    Voila les 3 liens j'ai télécharger malwarebyte et j'ai fais une réparation total.
    0
    1. bazfile Messages postés 58487 Date d'inscription   Statut Modérateur Dernière intervention   20 266
       
      Re,

      Malgré ton scan avec Malwarebytes ton pc est encore Infecté !

      1- Pour commencer désinstalle les logiciels qui suivent, pour les désinstaller tu peux utiliser RevoUninstaller en mode "scan avancé":
      - AlphaGo
      - amuleC
      - amulesw
      - Kit Ball
      - qksee
      - McAfee Security Scan Plus
      - McAfee WebAdvisor
      - WINSNARE
      - Wondershare Helper Compact
      - youndoo


      J'ai vu qu'il y avait aussi FIFA18 version 1.0 je pense que c'est un crack évite les cracks.

      2- Procédure à faire dans l'ordre indiqué :

      1- Ouvre FRST copie l'intégralité du script qui est dans l'encadré qui suit :
      Start::
      CreateRestorePoint:
      CloseProcesses:
      HKLM-x32...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2133216 2017-03-23] (Wondershare Technology Co.,Ltd -> Wondershare)
      HKU\S-1-5-21-2207486840-47293410-1880744165-1001\...\Run: [ee73dd3eea305960d08ff18bf47d21df] => C:\Users\Admin\AppData\Local\Temp\explerer.exe .. [334848 2019-02-03] ()
      HKU\S-1-5-21-2207486840-47293410-1880744165-1001\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj88MWHcFTNQRTY2OUYcOYQSMWw1FkRYNYQLFdqyFTVLFc== /q
      GroupPolicy: Restriction - Chrome
      CHR HKLM\SOFTWARE\Policies\Google: Restriction
      Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2019-02-14]
      ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.961\SSScheduler.exe (McAfee, Inc.)
      Tcpip\..\Interfaces\{29f9d3d9-6186-43d2-8c6f-f9e31cac5da7}: [DhcpNameServer] 4.4.4.4 8.8.8.8
      HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
      HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
      HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
      HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
      CHR StartupUrls: afeleocyrikuty -> hxxp://search.babylon.com/?babsrc=HP_ss&affID=101241&mntrId=282b5078000000000000001f16af52c5,hxxps://www.google.com/
      CHR Profile: C:\Users\Admin\AppData\Local\Google\Chrome\User Data\afeleocyrikuty [2019-02-23] <==== ATTENTION
      CHR Extension: (Bing) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\afeleocyrikuty\Extensions\fcfenmboojpjinhpgggodefccipikbpd [2019-02-23]
      CHR Extension: (Widthie) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\afeleocyrikuty\Extensions\gegdfeiahlfolhcfioipjlkombmgbakh [2019-02-23]
      CHR Extension: (MSN Homepage & Bing Search Engine) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\fcfenmboojpjinhpgggodefccipikbpd [2015-12-20]
      CHR HKU\S-1-5-21-2207486840-47293410-1880744165-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [iinglghmhcgdgjjlafobajghjamdchik] - hxxps://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] - hxxps://clients2.google.com/service/update2/crx
      HKU\.DEFAULT\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Fanlook\Application\chrome.exe
      HKU\S-1-5-21-2207486840-47293410-1880744165-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Baglook\Application\chrome.exe
      HKU\S-1-5-18\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Fanlook\Application\chrome.exe
      S1 SRepairDrv; \??\C:\Windows\GJFix\SRepairDrv [X]
      S1 UCGuard; system32\DRIVERS\ucguard.sys [X]
      2019-02-03 20:14 - 2019-02-03 20:14 - 000334848 ____N () C:\Users\Admin\AppData\Local\Temp\explerer.exe
      AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
      AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
      Task: {22526704-3AA2-4CF2-AEB4-7D2488B2CC15} - \CCleanerSkipUAC -> Pas de fichier
      Task: {39E14FF5-A3AC-4463-9856-4BC636EEDAAD} - System32\Tasks\Kit Ball2 => C:\Windows\system32\rundll32.exe "C:\Users\Admin\AppData\Local\Kit Ball\{30E72DF4-E23C-5D29-F0C9-C7A7408BBD9F}\reesakn.dll",#1
      Task: {3E494551-95B4-4098-BCBF-EB854AE43634} - System32\Tasks\Windows-PG => C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\windows\psgo\psgo.ps1
      Task: {6C35A951-EAA4-443B-A675-77053A5D3477} - System32\Tasks\cFos\Registration Tasks\Open Browser => c:\windows\system32\launchwinapp.exe "hxxp://www.cfos.de/fr/cfosspeed/expiration.htm?sw-10.10.2238&days=-2&ret=0&raw=13&exp=101"
      Task: {E96B49E1-3B00-47C7-B7F2-3EB748CC5267} - System32\Tasks\Kit Ball => C:\Windows\system32\rundll32.exe "C:\Users\Admin\AppData\Local\Kit Ball\{30E72DF4-E23C-5D29-F0C9-C7A7408BBD9F}\KitBall.dll",#1
      CHR Extension: (Kit Ball) - C:\Users\Admin\AppData\Local\Kit Ball\Component [2017-06-28]
      cmd: ipconfig /flushdns
      RemoveProxy:
      Hosts:
      EmptyTemp:
      Reboot:
      End::

      2- Une fois le script copié revient dans FRST clique sur Corriger FRST va prendre automatiquement le script dans le presse papier et l'exécuter.
      Laisse la correction se faire une fois qu'elle est terminée redémarre ton ordinateur.
      Puis une fois ton ordinateur redémarré :
      4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
      5- Réinitialise Google Chrome avec CE LOGICIEL que tu télécharges ensuite tu l'ouvres et tu cliques sur Réinitialiser Google Chrome
      6- Vérifie et dis-moi si ton problème est toujours présent.
      0
  3. Gragas
     
    Voici le Lien FixLog j'ai suivi toutes les étapes et j’espère que ce problème soit régler, et c'est la dernière fois que j'utiliserais ce teamviewer, merci beaucoup pour votre aide je ne saurais comment vous remercier, merci!!!
    https://pjjoint.malekal.com/files.php?id=20190224_k8q11m7p5m8
    0
    1. bazfile Messages postés 58487 Date d'inscription   Statut Modérateur Dernière intervention   20 266
       
      Bonjour,
      Je ne pense pas que Teamviewer ait à voir avec cette infection qui a pu aussi s'installer via un crack ou un logiciel douteux.
      L'infection n'est plus, pour info cette infection est arrivée sur ton pc le 03 février 2019 à 20h14 une clé de registre la lançant au démarrage du pc a été créée le 3 février 2019, vu que tu dis avoir vu ta souris bouger seule et que cette souris était sur Paypal, par prudence je te conseille de surveiller ton compte bancaire ainsi que de changer tous tes mots de passe.
      Pour une dernière vérification fait à nouveau un rapport FRST (frst addition et shortcut) afin que je vois si tout est OK.
      0
  4. Gragas
     
    https://pjjoint.malekal.com/files.php?id=20190224_d8e10r5h13q7
    https://pjjoint.malekal.com/files.php?id=20190224_v8q7x7q8h11
    https://pjjoint.malekal.com/files.php?id=FRST_20190224_o1110r14p8w9
    voici les fichiers,

    et merci beaucoup pour votre aide, et effectivement j'ai check mes ancien jeu et l'un de mes compte sur un certain jeu nommé dofus a été hacked (heureusement que je n'y joue plus). Merci beaucoup de votre aide!
    0
    1. Gragas
       
      ah oui mais le problème, c'est que maintenant a chaque page sur internet je dois remplir un capatcha, j'ai lu que c'etait un abus de mon adresse ip qui a causé ca, comment y remedier?
      0
    2. bazfile Messages postés 58487 Date d'inscription   Statut Modérateur Dernière intervention   20 266
       
      Dans Google Chrome il y a deux profils le profil par défaut ce qui est normal et un autre profil nommé afeleocyrikuty est-ce toi qui a créé ce deuxième profil ? Si ce n'est pas toi supprime-le voir cette page paragraphe Supprimer une personne ou un profil.
      Si tu supprimes ce profil fait une nouvelle réinitialisation de Google Chrome avec ResetBrowser comme précédemment.
      Si Google Chrome est synchronisé regarde cette page paragraphe Cas de la synchronisation de Google Chrome.
      0
    3. Gragas
       
      je ne trouve qu'un seul profil, qui est le mien
      celui que vous m'avez citer je ne le trouve pas quand je clique sur gerer les utilisateurs
      0
    4. bazfile Messages postés 58487 Date d'inscription   Statut Modérateur Dernière intervention   20 266
       
      Réinstalle chrome proprement comme indiqué sur cette page à partir du paragraphe Reinstaller proprement Chrome fait bien les sauvegardes indiquées au début favoris et mots de passe, puis réinstalle Chrome.
      Une fois Chrome réinstallé fait un nouveau rapport FRST.
      0
    5. Gragas
       
      https://pjjoint.malekal.com/files.php?id=20190224_n5v5r14b5n11
      https://pjjoint.malekal.com/files.php?id=FRST_20190224_f9l5f12i10m15
      https://pjjoint.malekal.com/files.php?id=20190224_h15g9w13p14w5
      merci encore
      0