PIRATAGE, HELP Résolu/Fermé

Question

Bonjour,

J'ai besoin de vous !

Je vous explique vite fait, c'est assez long.

Hier, Facebook m'envoie une notification comme quoi mon compte aurait été piraté. Je prends pas trop au sérieux, je me dis que c'est un check up de sécurité, je fais tout ce qui me demande et voilà.

Plus tard dans la journée, je m'aperçois que dans mon Insta, j'ai une storie qui a été mise d'une crypto/Elon Musk, et une publication. Je comprends donc qu'on m'a piraté. Je fais le nécessaire, changer mdp, double authentification, tout ça.

Rien de plus jusqu'à ce matin, où je me fais spamer de mails de souscription à des sites russes/italiens/anglais, etc. Je commence donc à changer tout mes mots de passe, tout ça. Ca se calme pas trop. Je vois une commande Amazon de 150e, qui a été faite, (et qui me l'envoie chez moi, merci de penser à moi mr le pirate). J'arrive à annuler pas de soucis, je fais opposition à ma carte tout ça.

Je fais le rapprochement vite avec un crack que j'ai essayé d'installer sur le pc (oui désolé j'ai été bête, me suis fais avoir comme un bleu). J'ai lancé le setup du crack, ça chargeait vite fait, et plus rien. Donc je pense que c'est à ce moment que j'ai installé le petit virus. Mais TotalAV n'a rien détecté. Bref.

J'ai fais une récupération à partir d'un point de sauvegarde 1 jour avant d'avoir utilisé le crack, mais je sais pas si je suis tranquille..

J'aimerais votre aide pour éventuellement checké mon PC plus en profondeur, voir si tout cela est réglé, et avoir des solutions éventuelles pour voir si tout mes comptes sont en sécurité. Et voir comment dé souscrire à tous ces mails.

En restant à votre dispo, et vous remerciant de m'avoir lu !

Greg ;)

bazfile · Answer

Bonjour @Greggouuzz  .

Mais TotalAV n'a rien détecté.

Décidément tu as tout faux, TotalAV est une arnaque cet antivirus est à éviter :

https://forums.commentcamarche.net/forum/affich-36320037-total-av-a-debite-mon-compte-bancaire-sujet-groupe

https://forums.commentcamarche.net/forum/affich-35074211-antivirus-totalav-vos-avis

https://forum.quechoisir.org/arnaque-logiciel-antivirus-totalav-t124644.html

Pour l'infection fait ce qui suit :

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://pjjoint.malekal.com/ puis donne les deux liens générés par https://pjjoint.malekal.com/ dans ta réponse.

Greggouuzz · Answer

Salut @bazfile, merci de ta réponse rapide !

Voice les deux analyses :

FRST : https://pjjoint.malekal.com/files.php?id=20230913_o8w9c10m6e7

Addition : https://pjjoint.malekal.com/files.php?id=20230913_o12h14i10b14z12

bazfile · Answer

Premier conseil désinstalle TotalAV avec RevoUninstaller comme je te l'ai dit dans mon précédent message cet antivirus est une bouse, l'antivirus de Windows (Windows Defender) prendra automatiquement le relais, contrairement à TotalAV il est efficace et gratuit.

Apparemment il n'y a rien de bien grave dans les rapports FRST, mais ce n'est qu'apparemment, beaucoup de processus sont inaccessibles, ce qui est encore plus étrange c'est qu'aucune tâche planifiée n'est listée.

Télécharge et scanne ton pc avec Kaspersky Virus Removal Tool (KVRT), tu trouveras un tutoriel dans cette page paragraphe Kaspersky Virus Removal Tool (KVRT) comme expliqué dans le tutorielsupprime ce qu'il trouvera.

S'il trouve quelque chose fait une nouvelle analyse FRST et donne les liens des deux rapports.

Greggouuzz · Answer

@bazfile

Voici le rapport de KVRT : https://pjjoint.malekal.com/files.php?id=20230913_m9t12k10g10e5

FRST : https://pjjoint.malekal.com/files.php?id=20230913_i10s14m13z15v6

Adition : https://pjjoint.malekal.com/files.php?id=20230913_q5p14t14f10b15

Et un scan results avec des erreurs : https://pjjoint.malekal.com/files.php?id=20230913_b9n10e12u6w8

billi · Answer

Slt

comme expliqué dans le tutorielsupprime ce qu'il trouvera.

:-)

bazfile · Answer

@Greggouuzz

Le nouveau rapport est mieux que le précédent, tu n'as pas désinstallé TotalAV c'est toi qui voit.

Fait ce qui suit :

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
R1 webshieldfilter; C:\windows\System32\drivers\webshieldfilter.sys [96264 2023-02-17] (Microsoft Windows Hardware Compatibility Publisher -> Windows (R) Win 7 DDK provider) 
R2 avgntflt; C:\windows\System32\DRIVERS\avgntflt.sys [209088 2023-03-28] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
R1 avipbb; C:\windows\system32\DRIVERS\avipbb.sys [199312 2023-03-28] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\windows\system32\DRIVERS\avkmgr.sys [46704 2023-03-28] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG)
2023-09-13 21:06 - 2023-03-28 00:07 - 000209088 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avgntflt.sys
2023-09-13 21:06 - 2023-03-28 00:07 - 000199312 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avipbb.sys
2023-09-13 21:06 - 2023-03-28 00:07 - 000046704 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avkmgr.sys
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\...\RunOnce: [458df8fb-be25-4a5a-befe-c6ffa2602a63] => "C:\Users\grego\AppData\Local\Temp\{b72d19c8-9305-4d62-af5f-6c530d9bd8a8}\458df8fb-be25-4a5a-befe-c6ffa2602a63.cmd" (Pas de fichier) 
HKU\S-1-5-21-2355889429-3508942809-1182745612-1005\...\Run: [] => [X]
Task: {D121516F-FC50-4BDF-92F1-AB2FE1853CC4} - \Opera GX scheduled assistant Autoupdate 1682520642 -> Pas de fichier 
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
Task: {D5811B00-7B7A-487C-BF6A-E820920390C2} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2355889429-3508942809-1182745612-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Pas de fichier)
FirewallRules: [TCP Query User{4A92E629-58ED-4CA4-9403-CF55ABBF6AF5}C:\users\grego\appdata\local\discord\app-1.0.9012\discord.exe] => (Allow) C:\users\grego\appdata\local\discord\app-1.0.9012\discord.exe => Pas de fichier
FirewallRules: [UDP Query User{5F15DCAB-718E-4540-9E8E-47A3455AA2B1}C:\users\grego\appdata\local\discord\app-1.0.9012\discord.exe] => (Allow) C:\users\grego\appdata\local\discord\app-1.0.9012\discord.exe => Pas de fichier
FirewallRules: [{6EBBF185-A2E7-455C-8286-A9B0E6E8F75A}] => (Block) C:\users\grego\appdata\local\discord\app-1.0.9012\discord.exe => Pas de fichier
FirewallRules: [{C394CE63-3DBB-43F9-98B2-46322B42BE40}] => (Block) C:\users\grego\appdata\local\discord\app-1.0.9012\discord.exe => Pas de fichier
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://pjjoint.malekal.com/ puis donne le lien généré par https://pjjoint.malekal.com/ dans ta réponse.