Mon email semble être victime d'une tentative de piratage
Résolu/Fermé
Teiguu
-
Modifié le 7 juil. 2021 à 15:16
bazfile Messages postés 56448 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 - 7 juil. 2021 à 21:09
bazfile Messages postés 56448 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 - 7 juil. 2021 à 21:09
A voir également:
- Winflow windows 10
- Caf piratage - Accueil - Piratage
- Piratage free - Accueil - Piratage
- Piratage whatsapp - Accueil - Guide piratage
- Piratage paypal - Accueil - Guide piratage
- Comment creer un compte email - Guide
3 réponses
bazfile
Messages postés
56448
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 novembre 2024
19 285
Modifié le 7 juil. 2021 à 15:44
Modifié le 7 juil. 2021 à 15:44
Bonjour,
Ton pc est bien infecté après la désinfection change tous tes mots de passe en ligne (email, login de sites etc etc.....)
Désinstalle WebAdvisor by McAfee c'est un adware.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
Ton pc est bien infecté après la désinfection change tous tes mots de passe en ligne (email, login de sites etc etc.....)
Désinstalle WebAdvisor by McAfee c'est un adware.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2841043929-244933412-1124992883-1001\...\Run: [Chromium] => "c:\users\fiercepc\appdata\local\chromium\application\chrome.exe" --auto-launch-at-startup --profile-directory="Default" --restore-last-session
HKU\S-1-5-21-2841043929-244933412-1124992883-1001\...\Run: [WinFlow] => "C:\ProgramData\WinFlow.exe"
Startup: C:\Users\FiercePC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\autoruning.ini.lnk [2021-05-23]
ShortcutTarget: autoruning.ini.lnk -> C:\Users\FiercePC\AppData\Roaming\WinSupport\client32.exe (NetSupport Ltd -> NetSupport Ltd)
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
HKLM\SOFTWARE\Policies\Google: Restriction
Task: {0520ED49-F271-4F24-B123-BACD7253B18E} - System32\Tasks\Firefox Default Browser Agent 8A0FB6EC96A467F2 => C:\Users\FiercePC\AppData\Roaming\bitatwg.exe
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
CHR Notifications: Default -> hxxps://animedigitalnetwork.fr; hxxps://captchatopsource.com; hxxps://click-to-watch.live; hxxps://forums.futura-sciences.com; hxxps://justmedia24.biz; hxxps://lichess.org; hxxps://mail.google.com; hxxps://secrethitler.io; hxxps://urgent-incoming.email; hxxps://www.chess.com; hxxps://www.courrierinternational.com; hxxps://www.g2a.com; hxxps://www.hrkgame.com; hxxps://www.jeuxvideo.com; hxxps://www.statista.com; hxxps://www.topquizz.com; hxxps://www.youtube.com
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM\...\Chrome\Extension: [jdanfkhnfpagoijgfmklhgakdicpnfil]
CHR HKU\S-1-5-21-2841043929-244933412-1124992883-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jdanfkhnfpagoijgfmklhgakdicpnfil]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Chrome\Extension: [jdanfkhnfpagoijgfmklhgakdicpnfil]
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [57360 2020-10-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [47016 2020-10-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
2021-05-23 20:17 - 2021-05-23 20:17 - 000000116 _____ () C:\Users\FiercePC\AppData\Roaming\3bBmkazuhhNPjZOFbXFTOsTX.exe
2021-05-23 20:17 - 2021-05-23 20:17 - 000000116 _____ () C:\Users\FiercePC\AppData\Roaming\e48qFAUpY58knxTkYCygAnG3.exe
C:\Users\FiercePC\AppData\Roaming\bitatwg.exe
C:\ProgramData\WinFlow.exe
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://fr.yahoo.com/?fr=fes_yfp_chr_nt_yfp2&type=wbf_dpyqptgki1320egikmoq9ay_20_40_ssg00
HKU\S-1-5-21-2841043929-244933412-1124992883-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://fr.yahoo.com/?fr=fes_yfp_chr_nt_yfp2&type=wbf_dpyqptgki1320egikmoq9ay_20_40_ssg00
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://fr.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dpyqptgki1320egikmoq9ay_20_40_ssg00¶m1=1¶m2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutByCtA0CtBtDtCtDtCtDyB0EyC0FyD0AtN0D0Tzu0StAtCzyyEtN1L2XzuyDtFtBtFtDtFtCyDzztN1L1Czu1BtCtN1L1G1B1V1N2Y1L1Qzu2SyD0AtBtA0DtDtBtDtGyDtC0B0AtGtDyCyDyBtGtDtB0EyEtGyB0C0CtDyEzz0C0D0BtC0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RtBzy1RtAzytDyEtGtByDyBtCtGyE1T1SzztG1T1Rzz1TtGyCyByEtD1OtA1OtB1RyEyEzy2QtN0A0LzuyEtN1B2Z1V1T1S1NzutN1Q2Z1B1P1RzutCyCtDtCyEtDyByDyBzy%26cr%3D834813816%26a%3Dwbf_dpyqptgki1320egikmoq9ay_20_40_ssg00%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://fr.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dpyqptgki1320egikmoq9ay_20_40_ssg00¶m1=1¶m2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutByCtA0CtBtDtCtDtCtDyB0EyC0FyD0AtN0D0Tzu0StAtCzyyEtN1L2XzuyDtFtBtFtDtFtCyDzztN1L1Czu1BtCtN1L1G1B1V1N2Y1L1Qzu2SyD0AtBtA0DtDtBtDtGyDtC0B0AtGtDyCyDyBtGtDtB0EyEtGyB0C0CtDyEzz0C0D0BtC0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RtBzy1RtAzytDyEtGtByDyBtCtGyE1T1SzztG1T1Rzz1TtGyCyByEtD1OtA1OtB1RyEyEzy2QtN0A0LzuyEtN1B2Z1V1T1S1NzutN1Q2Z1B1P1RzutCyCtDtCyEtDyByDyBzy%26cr%3D834813816%26a%3Dwbf_dpyqptgki1320egikmoq9ay_20_40_ssg00%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://fr.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dpyqptgki1320egikmoq9ay_20_40_ssg00¶m1=1¶m2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutByCtA0CtBtDtCtDtCtDyB0EyC0FyD0AtN0D0Tzu0StAtCzyyEtN1L2XzuyDtFtBtFtDtFtCyDzztN1L1Czu1BtCtN1L1G1B1V1N2Y1L1Qzu2SyD0AtBtA0DtDtBtDtGyDtC0B0AtGtDyCyDyBtGtDtB0EyEtGyB0C0CtDyEzz0C0D0BtC0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RtBzy1RtAzytDyEtGtByDyBtCtGyE1T1SzztG1T1Rzz1TtGyCyByEtD1OtA1OtB1RyEyEzy2QtN0A0LzuyEtN1B2Z1V1T1S1NzutN1Q2Z1B1P1RzutCyCtDtCyEtDyByDyBzy%26cr%3D834813816%26a%3Dwbf_dpyqptgki1320egikmoq9ay_20_40_ssg00%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://fr.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dpyqptgki1320egikmoq9ay_20_40_ssg00¶m1=1¶m2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutByCtA0CtBtDtCtDtCtDyB0EyC0FyD0AtN0D0Tzu0StAtCzyyEtN1L2XzuyDtFtBtFtDtFtCyDzztN1L1Czu1BtCtN1L1G1B1V1N2Y1L1Qzu2SyD0AtBtA0DtDtBtDtGyDtC0B0AtGtDyCyDyBtGtDtB0EyEtGyB0C0CtDyEzz0C0D0BtC0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RtBzy1RtAzytDyEtGtByDyBtCtGyE1T1SzztG1T1Rzz1TtGyCyByEtD1OtA1OtB1RyEyEzy2QtN0A0LzuyEtN1B2Z1V1T1S1NzutN1Q2Z1B1P1RzutCyCtDtCyEtDyByDyBzy%26cr%3D834813816%26a%3Dwbf_dpyqptgki1320egikmoq9ay_20_40_ssg00%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKU\S-1-5-21-2841043929-244933412-1124992883-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\x64\IEPlugin.dll [2021-06-24] (McAfee, LLC -> McAfee, LLC)
BHO-x32: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\win32\IEPlugin.dll [2021-06-24] (McAfee, LLC -> McAfee, LLC)
RemoveProxy:
Hosts:
cmd: ipconfig /flushdns
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
POUR INFORMATION:
Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur, car ce serait dommage de tomber en panne de batterie avant que la mise à jour ne soit terminée.
Re,
Tout d'abord merci pour votre réponse rapide. J'ai suivi vos indications à la lettre.
https://www.cjoint.com/c/KGhn3BJdN36
Aussi, est-il possible de savoir comment j'ai pu avoir cette infection ?
PS: merci pour la mise à jour !
Cordialement.
Tout d'abord merci pour votre réponse rapide. J'ai suivi vos indications à la lettre.
https://www.cjoint.com/c/KGhn3BJdN36
Aussi, est-il possible de savoir comment j'ai pu avoir cette infection ?
PS: merci pour la mise à jour !
Cordialement.
bazfile
Messages postés
56448
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 novembre 2024
19 285
Modifié le 7 juil. 2021 à 18:17
Modifié le 7 juil. 2021 à 18:17
Je suppose que cette infection est sur ton pc depuis le 23 mai c'est un peu trop éloigné pour que je vois dans le rapport FRST d'où elle est arrivée vu que l'analyse FRST n'a été faite que sur 1 mois.
Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
C'est tout bon pour moi.
Un grand merci à toi et bon courage en cette période.
Cordialement.
Teiguu
Un grand merci à toi et bon courage en cette période.
Cordialement.
Teiguu
bazfile
Messages postés
56448
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 novembre 2024
19 285
7 juil. 2021 à 21:09
7 juil. 2021 à 21:09
@+ sur CCM. :)