Mon email semble être victime d'une tentative de piratage [Résolu]

Signaler
-
Messages postés
34343
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 juillet 2021
-
Bonjour,

Ce matin, j'ai reçu un message m'expliquant qu'on aurait tenté d'accéder à mon email.

J'ai donc suivi ce site: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#Envoyer_les_rapports_danalyse_sur_pjjoint

J'envoie donc ici les 3 liens :

https://pjjoint.malekal.com/files.php?id=FRST_20210707_u11z15c6v6h11

https://pjjoint.malekal.com/files.php?id=20210707_b12u5h6y10p5

https://pjjoint.malekal.com/files.php?id=20210707_k7z8d14h13d6

Je ne sais pas si tout est bien fait mais je pense avoir fait le nécessaire.

Cordialement.

Configuration: Windows / Chrome 91.0.4472.124

3 réponses

Messages postés
34343
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 juillet 2021
14 068
Bonjour,
Ton pc est bien infecté après la désinfection change tous tes mots de passe en ligne (email, login de sites etc etc.....)

Désinstalle WebAdvisor by McAfee c'est un adware.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2841043929-244933412-1124992883-1001\...\Run: [Chromium] => "c:\users\fiercepc\appdata\local\chromium\application\chrome.exe" --auto-launch-at-startup --profile-directory="Default" --restore-last-session
HKU\S-1-5-21-2841043929-244933412-1124992883-1001\...\Run: [WinFlow] => "C:\ProgramData\WinFlow.exe"
Startup: C:\Users\FiercePC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\autoruning.ini.lnk [2021-05-23]
ShortcutTarget: autoruning.ini.lnk -> C:\Users\FiercePC\AppData\Roaming\WinSupport\client32.exe (NetSupport Ltd -> NetSupport Ltd)
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
HKLM\SOFTWARE\Policies\Google: Restriction
Task: {0520ED49-F271-4F24-B123-BACD7253B18E} - System32\Tasks\Firefox Default Browser Agent 8A0FB6EC96A467F2 => C:\Users\FiercePC\AppData\Roaming\bitatwg.exe
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
CHR Notifications: Default -> hxxps://animedigitalnetwork.fr; hxxps://captchatopsource.com; hxxps://click-to-watch.live; hxxps://forums.futura-sciences.com; hxxps://justmedia24.biz; hxxps://lichess.org; hxxps://mail.google.com; hxxps://secrethitler.io; hxxps://urgent-incoming.email; hxxps://www.chess.com; hxxps://www.courrierinternational.com; hxxps://www.g2a.com; hxxps://www.hrkgame.com; hxxps://www.jeuxvideo.com; hxxps://www.statista.com; hxxps://www.topquizz.com; hxxps://www.youtube.com
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM\...\Chrome\Extension: [jdanfkhnfpagoijgfmklhgakdicpnfil]
CHR HKU\S-1-5-21-2841043929-244933412-1124992883-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jdanfkhnfpagoijgfmklhgakdicpnfil]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Chrome\Extension: [jdanfkhnfpagoijgfmklhgakdicpnfil]
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [57360 2020-10-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [47016 2020-10-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
2021-05-23 20:17 - 2021-05-23 20:17 - 000000116 _____ () C:\Users\FiercePC\AppData\Roaming\3bBmkazuhhNPjZOFbXFTOsTX.exe
2021-05-23 20:17 - 2021-05-23 20:17 - 000000116 _____ () C:\Users\FiercePC\AppData\Roaming\e48qFAUpY58knxTkYCygAnG3.exe
C:\Users\FiercePC\AppData\Roaming\bitatwg.exe
C:\ProgramData\WinFlow.exe
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://fr.yahoo.com/?fr=fes_yfp_chr_nt_yfp2&type=wbf_dpyqptgki1320egikmoq9ay_20_40_ssg00
HKU\S-1-5-21-2841043929-244933412-1124992883-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://fr.yahoo.com/?fr=fes_yfp_chr_nt_yfp2&type=wbf_dpyqptgki1320egikmoq9ay_20_40_ssg00
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://fr.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dpyqptgki1320egikmoq9ay_20_40_ssg00¶m1=1¶m2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutByCtA0CtBtDtCtDtCtDyB0EyC0FyD0AtN0D0Tzu0StAtCzyyEtN1L2XzuyDtFtBtFtDtFtCyDzztN1L1Czu1BtCtN1L1G1B1V1N2Y1L1Qzu2SyD0AtBtA0DtDtBtDtGyDtC0B0AtGtDyCyDyBtGtDtB0EyEtGyB0C0CtDyEzz0C0D0BtC0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RtBzy1RtAzytDyEtGtByDyBtCtGyE1T1SzztG1T1Rzz1TtGyCyByEtD1OtA1OtB1RyEyEzy2QtN0A0LzuyEtN1B2Z1V1T1S1NzutN1Q2Z1B1P1RzutCyCtDtCyEtDyByDyBzy%26cr%3D834813816%26a%3Dwbf_dpyqptgki1320egikmoq9ay_20_40_ssg00%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://fr.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dpyqptgki1320egikmoq9ay_20_40_ssg00¶m1=1¶m2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutByCtA0CtBtDtCtDtCtDyB0EyC0FyD0AtN0D0Tzu0StAtCzyyEtN1L2XzuyDtFtBtFtDtFtCyDzztN1L1Czu1BtCtN1L1G1B1V1N2Y1L1Qzu2SyD0AtBtA0DtDtBtDtGyDtC0B0AtGtDyCyDyBtGtDtB0EyEtGyB0C0CtDyEzz0C0D0BtC0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RtBzy1RtAzytDyEtGtByDyBtCtGyE1T1SzztG1T1Rzz1TtGyCyByEtD1OtA1OtB1RyEyEzy2QtN0A0LzuyEtN1B2Z1V1T1S1NzutN1Q2Z1B1P1RzutCyCtDtCyEtDyByDyBzy%26cr%3D834813816%26a%3Dwbf_dpyqptgki1320egikmoq9ay_20_40_ssg00%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://fr.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dpyqptgki1320egikmoq9ay_20_40_ssg00¶m1=1¶m2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutByCtA0CtBtDtCtDtCtDyB0EyC0FyD0AtN0D0Tzu0StAtCzyyEtN1L2XzuyDtFtBtFtDtFtCyDzztN1L1Czu1BtCtN1L1G1B1V1N2Y1L1Qzu2SyD0AtBtA0DtDtBtDtGyDtC0B0AtGtDyCyDyBtGtDtB0EyEtGyB0C0CtDyEzz0C0D0BtC0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RtBzy1RtAzytDyEtGtByDyBtCtGyE1T1SzztG1T1Rzz1TtGyCyByEtD1OtA1OtB1RyEyEzy2QtN0A0LzuyEtN1B2Z1V1T1S1NzutN1Q2Z1B1P1RzutCyCtDtCyEtDyByDyBzy%26cr%3D834813816%26a%3Dwbf_dpyqptgki1320egikmoq9ay_20_40_ssg00%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://fr.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dpyqptgki1320egikmoq9ay_20_40_ssg00¶m1=1¶m2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutByCtA0CtBtDtCtDtCtDyB0EyC0FyD0AtN0D0Tzu0StAtCzyyEtN1L2XzuyDtFtBtFtDtFtCyDzztN1L1Czu1BtCtN1L1G1B1V1N2Y1L1Qzu2SyD0AtBtA0DtDtBtDtGyDtC0B0AtGtDyCyDyBtGtDtB0EyEtGyB0C0CtDyEzz0C0D0BtC0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RtBzy1RtAzytDyEtGtByDyBtCtGyE1T1SzztG1T1Rzz1TtGyCyByEtD1OtA1OtB1RyEyEzy2QtN0A0LzuyEtN1B2Z1V1T1S1NzutN1Q2Z1B1P1RzutCyCtDtCyEtDyByDyBzy%26cr%3D834813816%26a%3Dwbf_dpyqptgki1320egikmoq9ay_20_40_ssg00%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKU\S-1-5-21-2841043929-244933412-1124992883-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\x64\IEPlugin.dll [2021-06-24] (McAfee, LLC -> McAfee, LLC)
BHO-x32: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\win32\IEPlugin.dll [2021-06-24] (McAfee, LLC -> McAfee, LLC)
RemoveProxy:
Hosts:
cmd: ipconfig /flushdns
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

POUR INFORMATION:

Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur, car ce serait dommage de tomber en panne de batterie avant que la mise à jour ne soit terminée.

bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.
Re,

Tout d'abord merci pour votre réponse rapide. J'ai suivi vos indications à la lettre.

https://www.cjoint.com/c/KGhn3BJdN36

Aussi, est-il possible de savoir comment j'ai pu avoir cette infection ?

PS: merci pour la mise à jour !

Cordialement.
Messages postés
34343
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 juillet 2021
14 068
Je suppose que cette infection est sur ton pc depuis le 23 mai c'est un peu trop éloigné pour que je vois dans le rapport FRST d'où elle est arrivée vu que l'analyse FRST n'a été faite que sur 1 mois.

Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
C'est tout bon pour moi.

Un grand merci à toi et bon courage en cette période.

Cordialement.

Teiguu
Messages postés
34343
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 juillet 2021
14 068
@+ sur CCM. :)