Je pense avoir été piraté : comment nettoyer mon PC ?

Signaler
-
 LeSaucisson -
Bonjour,

J'ai eu des signaux qui peuvent me faire penser à un piratage, mais je ne suis pas expert donc j'ai besoin d'aide ...

- ordinateur plus lent
- connections à priories non reconnues dans certaines adresses mails (bon ça c'est sur internet, ce qui m'inquiète, c'est surtout si mon PC ou smartphone sont piratés!)
- logiciel chelou de chez hp pour gérer la luminosité de l'écran...qui n'était pas là au début ...mais qui est à priori pas écrit par hp directement....et qui serait écrit en javascript d'après les notes que j'avais trouvé qq part dans son dossier d'installation (y avait marqué comme quoi c'était un logiciel écrit grâce à github ou je ne sais quoi)...et qui arrêtait pas de demander par pop up une maj urgente de sécurité ...en utilisant edge pour faire la dite maj...
- après un appel au service technique de hp, elle m'a fait téléchargé un logiciel pour ouvrir l'assistance à distance (bon, y avait plus rien de personnel dans le PC donc je me suis dit même si c'est une fausse assistance hp je risque plus rien à ce stade, surtout qu'à priori j'étais bien sur le site hp mais comme j'ai ouvert le site de hp depuis le PC en question je n'en suis pas sûr à 100%) : et là miracle, aussitôt, le logiciel apparaît sur mon PC comme écrit par HP (alors que j'ai bien signalé à cette "assistante" que d'après google il n'était pas écrit par hp directement et que ça m'inquiétait au plus au point...) et elle m'a répondue "peut être une maj"...
- appareils qui apparaissent comme ayant déjà été connectés à ma box dans un passé proche (par exemple, le nom de mon smartphone, mais avec un chiffre en plus, ou des noms de PC que à priori je connais pas, sauf si mes appareils connectés de mon réseau local peuvent changer de noms d'eux même, je sais pas si c'est le cas ...?)
Par contre, bizarrement, impossible de jamais trouver quand je checke les équipements connectés à l'instant-T trace de ces appareils suspects, je trouve toujours que des équipements légits de mon réseau local que je reconnais bien connectés au wifi ...
- dans le gestionnaire des taches, je trouvais trace d'un logiciel pour overclocker mon pc que je connaissais pas...or, mon PC est pas du tout un pc gamer et je suis pas sûr du tout que ce soit normal...
- des règles du parefeu qui changent...j'avais bloqué toutes les connections entrantes sur tous les réseaux, même des applications autorisées, tout ça avait été décoché ou alors c'est une maj qui a tout décoché ...
- après une réinitialisation, l'antivirus fournis avec (mc affee) bloque des centaines de connections "suspectes" certaines en provenance de la livebox elles mêmes ou d'adresses qui m'ont l'air d'appartenir au réseau local ...
- l'anvirus mc afee qui très rapidement a tous ces modules de protections désactivés...aucune notif, et bien sûr impossible de les réactiver...
- les services net bios qui sont activés à priori (je croyais que windows les désactivais par défaut)
- après des réinitialisations de la box et ou du PC, j'ai utilisé une connexion ethernet et là le nom du réseau a changé trois fois de noms pour au final s'appeler "réseau" tout court, je sais pas si c'est normal...sachant qu'il a pris les deux anciens noms de réseaux que j'utilisais pour le wifi avant de s'appeler réseau mais que là pour le coup j'étais désormais relié en ethernet...
- tous les antivirus testés (defender, kasperky, f secure) ne trouvent rien...et lorsque j'installais un autre antivirus que mc affee il n'y a jamais eu de notifs sur des connections bloquées...ça le faisait qu'avec mc afee...
- Ah, et puis j'oubliais le plus beau, j'ai vu dans les paramètres windows qu'à un moment une caméra windows hello (reconnaissance faciale) semblait être présente pour déverrouiller le PC alors que ce PC n'a jamais été compatible avec...j'ai installé Kasperky, redémarré, cette "caméra" avait disparu et à priori c'est pas revenu..
- Il y aussi dans le parefeu windows affichage sans fil dans les connections sortantes qui étaient autorisées par défaut, est ce que c'est normal ? sachant que je n'ai PAS d'écran autre que celui du tout en un ....


Bref, ça sent mauvais. Pourriez vous m'indiquer deux trois manips pour checker si j'ai une infection et prendre la température ?

1 réponse

Messages postés
3728
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
13 septembre 2021
545
Bonjour,

Un peu confus tout ça , surtout si tu as plusieurs antivirus qui tournent

---------
---------------------

On va commencer par un diagnostic du PC :

Bien lire toute la procédure avant de poster les rapports

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse

---------------------------------------------------------------------------------------------

--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs



envoyer un fichier ...
https://up.security-x.fr/file.php?h=R2fdc460392d8b392f69509ddc62be232
et
https://up.security-x.fr/file.php?h=Rc6b7ea5c2535449cad8005ea7abdb81a

Edit : le PC revient de sav, j'avais demandé un formatage total de toutes les partitions, bien entendu ils ont fait une sorte de réinitialisation ...
Messages postés
3728
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
13 septembre 2021
545
RE_

Rien de spécial dans les rapports , à part Cleaner One Pro qui , comme tout les outils de ce genre ne sert pas à grand chose .

Il reste quelques traces des AV , on va les supprimer.

Réactive la restauration

Crée un point

-----------
-------------------------

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le

start::
closeprocesses:
createrestorepoint:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"
2021-06-27 16:04 - 2021-06-27 16:05 - 000000000 ____D C:\ProgramData\F-Secure
2021-06-27 16:04 - 2021-06-27 16:04 - 000000000 ____D C:\Users\User\AppData\Local\F-Secure
2021-06-27 16:04 - 2021-06-27 16:04 - 000000000 ____D C:\Users\User\AppData\Local\FSDART
2021-06-27 16:03 - 2021-06-27 16:03 - 012401864 _____ (F-Secure Corporation) C:\Users\User\Downloads\F-SecureOnlineScanner.exe
emptytemp:
end::


-----------------
--------------------------------------------

Si tu as un doute sur un fichier , tu peux l'analyser sur Virustotal

Concernant les connexions "illicites", pour moi , ce n'est pas infectieux .
Tu peux créer un nouveau sujet dans la section réseau , quelqu'un saura certainement mieux te répondre
Oui, mais c'est quand même bizarre que mc affee bloque autant de connexions suspectes alors que le PC venait à peine d'être réinitialisé et qu'il soit désactivé même pas qq heures après ...faire toutes les majs windows est pourtant évidement la 1ère chose que je fais ....

sachant que là j'ai opéré qq modifications : j'ai totalement désactivé le wifi sur la box et le PC (ainsi que le bluetooth) et je suis intervenue dans les règles du pare feu windows (pour bloquer les connections sortantes Affichages sans fil TCP/UDP qui sinon étaient autorisées ...(je sais pas si c'est normal) et j'ai aussi bloqué les connections sortantes de HP Display control qui sinon étaient toutes autorisées...

Je vais faire ce que tu me dis et je reviens poster.
Alors, j'ai pas encore fait tout ce que tu m'a dis mais si je le fais pas ça doit pas être trop grave non ? vu qu'avoir un scanner trend micro pour avoir un autre point de vue à tout moment ça ne va pas empêcher un autre antivirus de fonctionner avec les protections en temps réelles...

Par contre, deux trucs de "bizarre" : Windows ne m'a PAS averti qu'il allait devoir redémarrer pour installer des maj et pourtant j'avais checké dans windows update...et lorsque je l'ai arrêté, puis redémarré, il a installé des majs au démarrage de windows....les seules majs qui ont été installées hiers sont des majs windows defender, depuis quand elles obligent à redémarer un PC et elles affichent un bel écran comme quoi windows installe et configure des majs windows ?

Et autre soucis : lorsque je cherche manuellement des majs windows defender car la dernière maj auto datait de plus de 6h, j'obtient un beau message d'erreur : Echec de la maj de la définition de la protection Code d'erreur -2145107961
Echec de la maj de défition de la protection.

Et la 1ère chose que je trouve quand je cherche ce code d'erreur sur google c'est un message qui parle de SCCM server ...Et lorsque je cherche ce qu'est un SCCM server je m'inquiète un peu ...