Comptes piratés et connection Google suspecte

Résolu
Judawi Messages postés 12 Date d'inscription   Statut Membre Dernière intervention   -  
bazfile Messages postés 58513 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour,

J'avais fait un premier post demandant de l'aide afin de sécuriser ma machine suite au piratage de mes comptes twitter et battlenet mais n'avais pas eu de réponse.

Tout à l'heure j'ai reçu une alerte de sécurité concernant une application suspecte sur mon ordinateur qui aurait tenté de se connecter à mon compte google.

J'aimerais qu'on m'assiste dans la vérification de mon systeme car malwarebytes ne detecte rien et superantispyware ne detecte que des cookies de tracking.

j'ai effectué un scan FRST a l'instant en constant qu'il était souvent demandé, voici les logs :

Addition : https://pjjoint.malekal.com/files.php?id=20210505_q10y5q9g13d14
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20210505_x10t9w13k5v10

Merci d'avance !

Configuration: Windows / Firefox 88.0

4 réponses

  1. bazfile Messages postés 58513 Date d'inscription   Statut Modérateur Dernière intervention   20 275
     
    Bonjour,
    ton pc est infecté par ceci https://vms.drweb.fr/virus/?i=24142742&lng=fr il y a aussi les restes d'un trojan coin miner

    Procédure à faire dans l'ordre indiqué :

    1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
    2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
    HKU\S-1-5-21-1436361595-243843091-2589493566-1001\...\Run: [Gyazo] => [X]
    HKU\S-1-5-21-1436361595-243843091-2589493566-1001\...\Run: [ASRock A-Tuning] => [X]
    HKLM-x32\...\Run: [Genshin Impact_Launcher] => [X]
    Task: {0E3ADB36-0FAB-4467-AF47-E66C7AB1654C} - System32\Tasks\infoapp => C:\Users\Judas\AppData\Roaming\infoapp.exe
    2021-04-14 19:12 - 2021-05-02 21:34 - 000006144 _____ (Microsoft Corporation) C:\Windows\system32\2VLPM2ITH3.tmp
    U5 AppServiceh; C:\Windows\System32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
    S2 AppServicea; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServiceb; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicec; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServiced; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicee; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicef; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServiceg; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicei; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicej; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicek; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicel; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicem; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicen; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServiceo; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicep; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServiceq; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicer; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServices; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicet; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServiceu; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicev; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicew; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicex; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    S2 AppServicey; C:\Windows\system32\2VLPM2ITH3.tmp [6144 2021-05-02] (Microsoft Corporation) [Fichier non signé]
    2021-04-14 19:11 - 2021-04-14 19:11 - 000000000 _____ C:\ProgramData\5401272.exe
    2021-04-14 19:11 - 2021-04-14 19:11 - 000000000 _____ C:\ProgramData\3174798.exe
    2021-04-14 19:11 - 2021-04-14 19:11 - 000000000 _____ C:\ProgramData\2674309.exe
    2021-04-14 19:11 - 2021-04-14 19:11 - 000000000 _____ C:\ProgramData\1232246.exe
    2021-04-14 19:10 - 2021-04-15 20:37 - 000000000 ____D C:\Users\Judas\AppData\LocalLow\gC9tT2iQ3s
    2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\8484072.exe
    2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\8454370.exe
    2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\5727408.exe
    2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\4411607.exe
    2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\3940819.exe
    2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\3658098.exe
    2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\2969543.exe
    2021-04-14 19:10 - 2021-04-14 19:10 - 000000000 _____ C:\ProgramData\2498756.exe
    EmptyTemp:
    End::

    3- Une fois le script copié clique sur Corriger.

    Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

    Puis une fois ton ordinateur redémarré :
    4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
    5- Réinitialise tes navigateurs internet https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur

    6- Fait un nouveau rapport FRST et donne les liens des rapports.

    .
    0
  2. Judawi Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
     
    Tout d'abord merci !

    Voici le fichier Fixlog demandé :

    https://pjjoint.malekal.com/files.php?id=20210505_r12b6e5t11t7

    j'ai également reinitialisé firefox chrome et IE

    Nouvelle analyse FRST :

    FRST : https://pjjoint.malekal.com/files.php?id=FRST_20210505_m8u15h11d12h5

    Addition : https://pjjoint.malekal.com/files.php?id=20210505_s8k13p12o6g13

    edit : correction du lien fixlog
    0
  3. bazfile Messages postés 58513 Date d'inscription   Statut Modérateur Dernière intervention   20 275
     
    C'est bon le fixlog est OK, change tes mots de passe en ligne (email, login de sites, réseaux sociaux etc etc.....).

    0
  4. Judawi Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
     
    D'acc, j'fait ça de suite.

    Merci pour le coup de main, ça me stressait pas mal cette histoire !
    0
    1. bazfile Messages postés 58513 Date d'inscription   Statut Modérateur Dernière intervention   20 275
       

      POUR INFORMATION:

      Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur, car ce serait dommage de tomber en panne de batterie avant que la mise à jour ne soit terminée.
      0
      1. Judawi Messages postés 12 Date d'inscription   Statut Membre Dernière intervention   > bazfile Messages postés 58513 Date d'inscription   Statut Modérateur Dernière intervention  
         
        Bien vu je m'en occupe !

        Bonne journée et bon courage pour la suite
        0
      2. bazfile Messages postés 58513 Date d'inscription   Statut Modérateur Dernière intervention   20 275 > Judawi Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
         
        Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé et renomme-le en uninstall puis ouvre-le la désinstallation se fera automatiquement via un redémarrage du pc.
        Bonne journée à toi aussi.
        0