Sujet Précédent Sujet Suivant

Comptes piratés et connection Google suspecte [Résolu]

Signaler
Messages postés
6
Date d'inscription
dimanche 2 mai 2021
Statut
Membre
Dernière intervention
5 mai 2021
 -
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021
 -
Bonjour,

J'avais fait un premier post demandant de l'aide afin de sécuriser ma machine suite au piratage de mes comptes twitter et battlenet mais n'avais pas eu de réponse.

Tout à l'heure j'ai reçu une alerte de sécurité concernant une application suspecte sur mon ordinateur qui aurait tenté de se connecter à mon compte google.


J'aimerais qu'on m'assiste dans la vérification de mon systeme car malwarebytes ne detecte rien et superantispyware ne detecte que des cookies de tracking.

j'ai effectué un scan FRST a l'instant en constant qu'il était souvent demandé, voici les logs :

Addition : https://pjjoint.malekal.com/files.php?id=20210505_q10y5q9g13d14
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20210505_x10t9w13k5v10

Merci d'avance !

Configuration: Windows / Firefox 88.0

4 réponses

Réponse 1 / 4
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021
 13 644
Bonjour,
ton pc est infecté par ceci https://vms.drweb.fr/virus/?i=24142742&lng=fr il y a aussi les restes d'un trojan coin miner

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKU\S-1-5-21-1436361595-243843091-2589493566-1001\...\Run: [Gyazo] => [X]
HKU\S-1-5-21-1436361595-243843091-2589493566-1001\...\Run: [ASRock A-Tuning] => [X]
HKLM-x32\...\Run: [Genshin Impact_Launcher] => [X]
Task: {0E3ADB36-0FAB-4467-AF47-E66C7AB1654C} - System32\Tasks\infoapp => C:\Users\Judas\AppData\Roaming\infoapp.exe
2021-04-14 19:12 - 2021-05-02 21:34 - 000006144 _____ (Microsoft Corporation) C:\Windows\system32\2VLPM2ITH3.tmp
U5 AppServiceh; C:\Windows\System32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S2 AppServicea; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceb; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicec; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServiced; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicee; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicef; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceg; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicei; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicej; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicek; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicel; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicem; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicen; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceo; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicep; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceq; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicer; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServices; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicet; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServiceu; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicev; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicew; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicex; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
S2 AppServicey; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
2021-04-14 19:11 - 2021-04-14 19:11 - 000000000 _____ C:\ProgramData\5401272.exe
2021-04-14 19:11 - 2021-04-14 19:11 - 000000000 _____ C:\ProgramData\3174798.exe
2021-04-14 19:11 - 2021-04-14 19:11 - 000000000 _____ C:\ProgramData\2674309.exe
2021-04-14 19:11 - 2021-04-14 19:11 - 000000000 _____ C:\ProgramData\1232246.exe
2021-04-14 19:10 - 2021-04-15 20:37 - 000000000 ____D C:\Users\Judas\AppData\LocalLow\gC9tT2iQ3s
2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\8484072.exe
2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\8454370.exe
2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\5727408.exe
2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\4411607.exe
2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\3940819.exe
2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\3658098.exe
2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\2969543.exe
2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\2498756.exe
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise tes navigateurs internet https://www.commentcamarche.net/faq/26679-reinitialiser-son-navigateur

6- Fait un nouveau rapport FRST et donne les liens des rapports.

.
bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.
Réponse 2 / 4
Messages postés
6
Date d'inscription
dimanche 2 mai 2021
Statut
Membre
Dernière intervention
5 mai 2021
Tout d'abord merci !

Voici le fichier Fixlog demandé :

https://pjjoint.malekal.com/files.php?id=20210505_r12b6e5t11t7

j'ai également reinitialisé firefox chrome et IE

Nouvelle analyse FRST :

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20210505_m8u15h11d12h5

Addition : https://pjjoint.malekal.com/files.php?id=20210505_s8k13p12o6g13


edit : correction du lien fixlog
Réponse 3 / 4
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021
 13 644
C'est bon le fixlog est OK, change tes mots de passe en ligne (email, login de sites, réseaux sociaux etc etc.....).

bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.
Réponse 4 / 4
Messages postés
6
Date d'inscription
dimanche 2 mai 2021
Statut
Membre
Dernière intervention
5 mai 2021
D'acc, j'fait ça de suite.

Merci pour le coup de main, ça me stressait pas mal cette histoire !
Signaler
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021
 13 644

POUR INFORMATION:

Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur, car ce serait dommage de tomber en panne de batterie avant que la mise à jour ne soit terminée.
Signaler
Messages postés
6
Date d'inscription
dimanche 2 mai 2021
Statut
Membre
Dernière intervention
5 mai 2021
 >
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021
Bien vu je m'en occupe !

Bonne journée et bon courage pour la suite
Signaler
Messages postés
33391
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
11 juin 2021
 13 644 >
Messages postés
6
Date d'inscription
dimanche 2 mai 2021
Statut
Membre
Dernière intervention
5 mai 2021
Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé et renomme-le en uninstall puis ouvre-le la désinstallation se fera automatiquement via un redémarrage du pc.
Bonne journée à toi aussi.
Répondre Posez votre question