Sujet Précédent Sujet Suivant

Je pense avoir été piraté : comment nettoyer mon PC ?

Fermé
LeSaucisson - 27 juin 2021 à 18:10
 LeSaucisson - 28 juin 2021 à 08:05
Bonjour,

J'ai eu des signaux qui peuvent me faire penser à un piratage, mais je ne suis pas expert donc j'ai besoin d'aide ...

- ordinateur plus lent
- connections à priories non reconnues dans certaines adresses mails (bon ça c'est sur internet, ce qui m'inquiète, c'est surtout si mon PC ou smartphone sont piratés!)
- logiciel chelou de chez hp pour gérer la luminosité de l'écran...qui n'était pas là au début ...mais qui est à priori pas écrit par hp directement....et qui serait écrit en javascript d'après les notes que j'avais trouvé qq part dans son dossier d'installation (y avait marqué comme quoi c'était un logiciel écrit grâce à github ou je ne sais quoi)...et qui arrêtait pas de demander par pop up une maj urgente de sécurité ...en utilisant edge pour faire la dite maj...
- après un appel au service technique de hp, elle m'a fait téléchargé un logiciel pour ouvrir l'assistance à distance (bon, y avait plus rien de personnel dans le PC donc je me suis dit même si c'est une fausse assistance hp je risque plus rien à ce stade, surtout qu'à priori j'étais bien sur le site hp mais comme j'ai ouvert le site de hp depuis le PC en question je n'en suis pas sûr à 100%) : et là miracle, aussitôt, le logiciel apparaît sur mon PC comme écrit par HP (alors que j'ai bien signalé à cette "assistante" que d'après google il n'était pas écrit par hp directement et que ça m'inquiétait au plus au point...) et elle m'a répondue "peut être une maj"...
- appareils qui apparaissent comme ayant déjà été connectés à ma box dans un passé proche (par exemple, le nom de mon smartphone, mais avec un chiffre en plus, ou des noms de PC que à priori je connais pas, sauf si mes appareils connectés de mon réseau local peuvent changer de noms d'eux même, je sais pas si c'est le cas ...?)
Par contre, bizarrement, impossible de jamais trouver quand je checke les équipements connectés à l'instant-T trace de ces appareils suspects, je trouve toujours que des équipements légits de mon réseau local que je reconnais bien connectés au wifi ...
- dans le gestionnaire des taches, je trouvais trace d'un logiciel pour overclocker mon pc que je connaissais pas...or, mon PC est pas du tout un pc gamer et je suis pas sûr du tout que ce soit normal...
- des règles du parefeu qui changent...j'avais bloqué toutes les connections entrantes sur tous les réseaux, même des applications autorisées, tout ça avait été décoché ou alors c'est une maj qui a tout décoché ...
- après une réinitialisation, l'antivirus fournis avec (mc affee) bloque des centaines de connections "suspectes" certaines en provenance de la livebox elles mêmes ou d'adresses qui m'ont l'air d'appartenir au réseau local ...
- l'anvirus mc afee qui très rapidement a tous ces modules de protections désactivés...aucune notif, et bien sûr impossible de les réactiver...
- les services net bios qui sont activés à priori (je croyais que windows les désactivais par défaut)
- après des réinitialisations de la box et ou du PC, j'ai utilisé une connexion ethernet et là le nom du réseau a changé trois fois de noms pour au final s'appeler "réseau" tout court, je sais pas si c'est normal...sachant qu'il a pris les deux anciens noms de réseaux que j'utilisais pour le wifi avant de s'appeler réseau mais que là pour le coup j'étais désormais relié en ethernet...
- tous les antivirus testés (defender, kasperky, f secure) ne trouvent rien...et lorsque j'installais un autre antivirus que mc affee il n'y a jamais eu de notifs sur des connections bloquées...ça le faisait qu'avec mc afee...
- Ah, et puis j'oubliais le plus beau, j'ai vu dans les paramètres windows qu'à un moment une caméra windows hello (reconnaissance faciale) semblait être présente pour déverrouiller le PC alors que ce PC n'a jamais été compatible avec...j'ai installé Kasperky, redémarré, cette "caméra" avait disparu et à priori c'est pas revenu..
- Il y aussi dans le parefeu windows affichage sans fil dans les connections sortantes qui étaient autorisées par défaut, est ce que c'est normal ? sachant que je n'ai PAS d'écran autre que celui du tout en un ....


Bref, ça sent mauvais. Pourriez vous m'indiquer deux trois manips pour checker si j'ai une infection et prendre la température ?

1 réponse

Réponse 1 / 1
MisteryBean Messages postés 8802 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 1 238
27 juin 2021 à 20:59
Bonjour,

Un peu confus tout ça , surtout si tu as plusieurs antivirus qui tournent

---------
---------------------

On va commencer par un diagnostic du PC :

Bien lire toute la procédure avant de poster les rapports

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse

---------------------------------------------------------------------------------------------

--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


1
LeSaucisson
Modifié le 28 juin 2021 à 08:24
Merci pour ta réponse, faut avoir la foi pour télécharger et exécuter ce fichier, Windows n'a vraiment pas envie qu'on le télécharge ou l'exécute ...

Voici les liens :
https://up.security-x.fr/file.php?h=Rd41d8cd98f00b204e9800998ecf8427e
https://up.security-x.fr/file.php?h=Rd41d8cd98f00b204e9800998ecf8427e

Edit : Non, je n'ai jamais eu qu'un seul antivirus à la fois, c'est évident.
0
MisteryBean Messages postés 8802 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 1 238
27 juin 2021 à 22:03
RE_

Rien de spécial dans les rapports , à part Cleaner One Pro qui , comme tout les outils de ce genre ne sert pas à grand chose .

Il reste quelques traces des AV , on va les supprimer.

Réactive la restauration

Crée un point

-----------
-------------------------

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le 

start::
closeprocesses:
createrestorepoint:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" 
2021-06-27 16:04 - 2021-06-27 16:05 - 000000000 ____D C:\ProgramData\F-Secure
2021-06-27 16:04 - 2021-06-27 16:04 - 000000000 ____D C:\Users\User\AppData\Local\F-Secure
2021-06-27 16:04 - 2021-06-27 16:04 - 000000000 ____D C:\Users\User\AppData\Local\FSDART
2021-06-27 16:03 - 2021-06-27 16:03 - 012401864 _____ (F-Secure Corporation) C:\Users\User\Downloads\F-SecureOnlineScanner.exe 
emptytemp:
end::


-----------------
--------------------------------------------

Si tu as un doute sur un fichier , tu peux l'analyser sur Virustotal

Concernant les connexions "illicites", pour moi , ce n'est pas infectieux .
Tu peux créer un nouveau sujet dans la section réseau , quelqu'un saura certainement mieux te répondre
1

Discussions similaires

J'ai reçu un email de menace après avoir regardé du porno
Shahrazad52 -
Romain -

306 réponses
message iphone piraté
enzo -
Panth33ra -

3 réponses
Message : votre iPhone a été piraté. Que faire ?
Paqi5241 -
LeRoiBerny -

12 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Menace par email bitcoin
Gattaca2104 -
bazfile -

40 réponses
Comment savoir que mon portable est espionné
Enochdjohi -
Khalid -

6 réponses