Ordi infecté Résolu

Question

Bonjour,

Hier, j'avais découvert que mon ordi avait été infecté par le virus Backdoor, apparemment il a été supprimé, mais par précaution j'ouvre ce topic + ayant des problèmes avec ma souris depuis hier matin, si présente, ne vous étonnez pas que je ne sois pas réactive.

Au fait, comme je suis intérimaire, je peux être appelée à tout instant.

Je suis sous Windows 10 et utilise Sécurité Windows comme AV.

Merci d'avance :)

MisteryBean · Answer

Bonjour,

On va faire un diagnostic du PC :

Bien lire toute la procédure avant de poster les rapports
Ne pas les poster directement dans les messages car ils sont illisibles et incomplets

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://textup.fr/ et tu indiques les liens obtenus dans ta réponse

---------------------------------------------------------------------------------------------

--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Nadege_64 · Answer

J'ai téléchargé FRST 64 bits (j'avais vérifié auparavant), seulement j'ai ceci :

MisteryBean · Answer

RE_

Est ce que tu as un Windows mode S ?

=> Touches Windows + R

=> Tapes msinfo32 et valides par OK

=> Dans la fenêtre , regardes ce qui est marqué à la première ligne à droite ou fais une capture

Nadege_64 · Answer

Windows 10 famille.

MisteryBean · Answer

Dans Paramètres => Applications => Tu as quoi dans choisir "l'origine des applications" ?

Nadege_64 · Answer

Microsoft Store uniquement (recommandé).

MisteryBean · Answer

OK , mets la ligne ci dessous et télécharges FRST64

Nadege_64 · Answer

https://textup.fr/744727xs

https://textup.fr/744728Jb

MisteryBean · Answer

RE_ Tu as toute la collection des produits IOBIT , programmes inutiles , qui tournent en arrière plan et bouffent des ressources . Advanced SystemCare => Voir => CECI <= Driver Booster 11 => Voir => CECI <= Smart Defrag 9 => Voir => CECI <= Je ne fais pas toute la liste **************** Pour la détection , il s'agit d'un fichier temporaire dans le cache FIREFOX , donc , pas grand chose à craindre Le PC est propre , on va juste contrôler un fichier et faire un nettoyage --> Copie ce qui se trouve ici https://textup.fr/744743cS de start:: à end:: (sans le coller nulle part) --> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger Si FRST semble se bloquer ou ne répond pas , laisse tourner --> Le PC va redémarrer --> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports

Nadege_64 · Answer

https://textup.fr/744745sk

MisteryBean · Answer

OK , on va supprimer le fichier en question qui n'est pas très SAFE

C'est un fichier qui collecte des données statistiques et d'enquête auprès de l'utilisateur tout en facilitant l'enregistrement du produit. Il est distribué par des éditeurs qui le regroupent avec des logiciels légitimes.

Il a donc du être mis en même temps qu'un programme légitime.

********

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

start::
closeprocesses:
createrestorepoint:
C:\Users
adeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PowerReg Scheduler.exe
emptytemp:
end::

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Le PC va redémarrer

--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports

Nadege_64 · Answer

https://textup.fr/744748AX

MisteryBean · Answer

RE_

C'est OK pour moi , rien de plus à faire .

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renomme FRST/FRST64.exe en uninstall.exe et exécute-le.

La procédure nécessite un redémarrage

Nadege_64 · Answer

Plus aucune trace de FRST et de ses rapports,

quant à ce qui concerne les logiciels IOBIT, cela fait bien 2 ans que je les ais, je les garde.

Merci beaucoup pour ton aide, elle a été bien précieuse !

Bonne soirée :)

Nadege_64 · Answer

Bonjour,

Tout à l'heure, je dois partir, mais je crois qu'il faudrait que j'ouvre à nouveau ce même topic car mon AV a détecté encore une fois ce même virus " Blackdoor " (hier analyse complète, 0 virus).

Précision : tout à l'heure, j'avais un drôle de mail venant de " Ironwest " (j'ignore ce que c'est), j'ai pourtant veillé à ne pas l'ouvrir, mais non, ça recommence.

Qu'en pensez-vous ?

MisteryBean · Answer

RE_

Pour moi , c'est un faux positif qui se déclenche lorsque tu vas sur un certain site.

Quelle est la date de la détection ? ce n'est pas la même que précédemment ?

Vides le cache de Firefox et vois ce que ça donne.

*******************

Concernant le mail , on reçoit tous des spams malheureusement, et avec le peu d'indication que tu donnes , difficile de répondre .

Tu peux vérifier l'intégrité de tes adresses => ICI <=

Nadege_64 · Answer

Bonjour MisteryBean,

Non, ce n'est pas la même date de détection,

je vide les caches régulièrement, et une fois par jour en moyenne aussi les cookies.

Je suis obligée d'éteindre mon ordi, mais je verrais ça - vérifier l'intégrité de mes adresses - entre 2 missions intérimaires.

A tout à l'heure.

MisteryBean · Answer

Il faudra voir si c'est sur un site particulier que tu as l'alerte

Nadege_64 · Answer

(dans une heure je dois repartir).

Cliqué sur l'intégralité de mon adresse > affiché " Oh no — pwned! "

Quelques minutes avant, j'ai changé le mot de passe de ma messagerie.

P.S.: c'est en consultant ma messagerie que j'ai vu ce drôle de message venant de ... (je l'ai affiché plus haut) > pas reçu d'alerte, rien, juste un pressentiment et j'ai fait cette analyse AV.

MisteryBean · Answer

Cliqué sur l'intégralité de mon adresse > affiché " Oh no — pwned! "

Tu dois voir en dessous quels sont les sites concernés .

Si tu peux , changes les mots de passe

https://www.malekal.com/haveibeenpwned-piratage-mot-de-passe/

Nadege_64 · Answer

Oh la la, je verrais ça à mon retour (ça me parait bien compliqué), car maintenant je dois éteindre mon pc !

A tout à l'heure.

Nadege_64 · Answer

Je ne sais plus où héberger mes images.

MisteryBean · Answer

Tu fais directement dans ton message en cliquant sur

Puis parcourir et tu va chercher ton image

Nadege_64 · Answer

Voici ce que j'ai à l'écran :

https://img-19.ccm2.net/a1zqDFrA-X07Q2blMdt7UWGQh1o=/fc9dcd6ed8454b89b7eac7382dd23ba8/ccm-ugc/Capture_decran_2023-11-23_194923.jpg

https://img-19.ccm2.net/C0ApXsoTGZuBX8J31uFiasy4koY=/3eb40ae6633f42f983c75246613415c3/ccm-ugc/Capture_decran_2023-11-23_194849.jpg

MisteryBean · Answer

RE_

Ok , ce n'est pas violent , c'est le site Dailymotion qui a été piraté en 2016 .

Si tu as un compte actif , changes le MDP sinon , c'est pas très grave

*******

Pour l'alerte , si tu l'as encore , essai de voir sur quel site tu es au moment de l'alerte , mais pour moi , tu ne risques pas grand chose

Nadege_64 · Answer

Dailymotion, je n'y étais pas retourné depuis des années > j'ai d'abord supprimé mes 3 petites vidéos,

ensuite j'ai supprimé mon compte.

J'ai encore été sur https://haveibeenpwned.com/

il apparait toujours en bas de l'écran Dailymotion

Analyse AV complète > 0 fichier détecté.

MisteryBean · Answer

il apparait toujours en bas de l'écran Dailymotion

C'est normal , puisque c'est ce site qui a été piraté et que ton mail a été compromis.

https://www.arobase.org/securite/have-i-been-pwned.htm

L'essentiel est de supprimer le compte ou modifier le MDP sur les sites compromis.

Nadege_64 · Answer

Merci MisteryBean pour ton aide !

A+++

Ordi infecté

28 réponses

Votre réponse

Newsletters