Lumma or LummaC2 Stealer.

Bonjour,

Un article du 24/11/2023 de CCM y fait référence... https://www.commentcamarche.net/securite/virus/29559-lumma-stealer-le-malware-qui-vole-les-comptes-gmail/

Merci pour cet article. C'est plutôt inquiétant. Aucune solution n'est indiquée. Est ce qu'une âme charitable pourrait m'aider ?

Bonjour,

Pour voir ,

On va faire un diagnostic du PC :
 

Bien lire toute la procédure avant de poster les rapports
Ne pas les poster directement dans les messages car ils sont illisibles et incomplets

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://textup.fr/ et tu indiques les liens obtenus dans ta réponse

---------------------------------------------------------------------------------------------

--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Merci pour ton aide.

Voici les fichiers générés sur le PC1 :

FRST : https://textup.fr/746546bH

Addition : https://textup.fr/746547e9

et sur le PC2 :

FRST : https://textup.fr/746552Ci

Addition : https://textup.fr/746554nC

RE_

Pas d'infection dans les rapports .

Pour le PC1, désinstalles ExpressVPN  puis

--> Copie ce qui se trouve ici https://textup.fr/746613Tz de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Le PC va redémarrer

--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports

--> Dis moi si tu as toujours le problème .

********************

********************

Tu sembles avoir un problème de profil sur Firefox , tu confirmes ?

FF DefaultProfile: lgkvhnh4.default
FF ProfilePath: C:\Users\danie\AppData\Roaming\Mozilla\Firefox\Profiles\lgkvhnh4.default [non trouvé(e)] <==== ATTENTION

MisteryBean,

J'ai supprimé ExpressVPN.

Je viens de réaliser la correction sur le PC1. Voici le fichier fixlog demandé :

https://textup.fr/746638Th

J'ai toujours le message lorsque j'essaie d'envoyer un mail depuis Thunderbird. Peut être faut il réaliser la procédure https://www.spamhaus.org/query/ip/213.44.140.XXX  Qu'en penses tu ? J'avais fait la même chose il y a qqs jours suite au coup de main de Bazfile et cela avait disparu 1 ou 2 jours pour revenir ...

Pour ton info, l'origine du problème est certainement venu en utilisant le PC2.

Concernant le problème de profil sur Firefox, je ne sais pas, désolé, je ne maitrise pas cela. Y a t il qqchose à faire à ce sujet ?

Bazfile,

J'ai suivi à la lettre tes préconisation d'il y a quelques jours. J'ai à nouveau eu le message dans Thunderbird ce matin et j'ai ouvert une nouvelle demande dans le forum "mail" comme tu me l'avais indiqué. Le modérateur a rebasculé ma demande dans virus. Je ne suis pas compétent en informatique, juste bien embêté. Il n'y a peut être pas d'infection mais alors pourquoi ai je ce message dans thunderbird qui semble mentionner la présence d'un virus ? Merci pour ta compréhension.

RE_

Sur le PC2 , tu as Norton , est ce que c'est l'Antivirus actif ? ou est ce qu'il était installé d'origine avec le PC ?

Si tu n'as pas de licence Norton , désinstalles le , désinstalles aussi WebAdvisor par McAfee

Une fois fais , refais un scan FRST sur le PC2 et postes les nouveaux rapports

J'ai supprimé Norton (il n'était pas installé d'origine) et j'ai supprimé Webadvisor.

Voici les nouveaux rapports :

FRST : https://textup.fr/746652qh

Addition : https://textup.fr/746653Ip

RE_

--> Copie ce qui se trouve ici https://textup.fr/746663TN de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Le PC va redémarrer

--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports

--> Dis moi si tu as toujours le problème .

**********************

Mets à jour Thunderbird sur ce PC . Tu n'as pas la même version que sur le PC1 qui lui a la dernière version

**********************

Essai à nouveau d'envoyer un mail.

Si pas mieux , débranches électriquement ta box, attends une minute puis rebranches la et vois ce que ça donne

Bonjour MisteryBean,

Voici le fichier fixlog généré : https://textup.fr/746721S3

J'ai mis à jour Tunderbird version 115.5.1 (64 bits)

Le problème persiste, même après avoir débranché la box 1 minute. Le même message s'affiche dans Thunderbird. C'est étonnant car depuis le début les mails passent bien depuis la messagerie sfr mais pas par Thunderbird.

Concernant la remarque de Bazfile : "Ton IP est blacklistée par spamhauss, ton pc n'étant pas infecté je pense que tu dois voir ça directement avec SFR qui est habitué du fait https://la-communaute.sfr.fr/t5/sfr-mail/impossible-d-envoyer-des-mails-avec-outlook-suite-restruction/td-p/2410284", si l'IP est blacklistée, comment cela se fait il que ça marche sur la messagerie sfr et pas avec Thunderbird ?

J'aimerais vous envoyer le message affiché sur https://check.spamhaus.org/listed/?searchterm=XXX.XX.1XX.XXX Est ce que je peux vous envoyer une copie d'écran sans risque via www.cjoint.com ou directement vous adresser le lien non masqué avec mon adresse IP si cela ne représente pas de risque de communiquer l'adresse IP ? Lorsque j'avais validé cette procédure la semaine dernière les envois via thunderbird avaient refonctionné 1 ou 2 jours avant ce nouveau problème ...

Attend un peu s'il te plait la réponse de MisteryBean, j'ai déjà été redirigé hier dans ce forum virus ...

Ok merci à toi Bazfile

Salut ,

Ce problème est récurrent avec Thundirbird . On trouve des sujets qui sont très souvent non résolus, c'est peut être donc un bug de thundirbird.

Le problème vient peut être aussi du fait que tu l'ai sur deux PCs différents , surtout si c'est avec les mêmes adresses ?

Pour terminer la désinfection :

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renomme FRST/FRST64.exe en uninstall.exe et exécute-le.

La procédure nécessite un redémarrage

MisteryBean,

J'ai désinstallé FRST.

Je suis étonné mais les 2 adresses sfr marchent à présent sur les 2 PC avec thunderbird, alors que je n'ai pas fait la procédure spamhaus ! J'espère que le problème est définitivement résolu. Si cela revient, je sais que cela n'est pas lié à un virus et j’essaierai de voir avec sfr sans trop savoir qui contacter chez eux.

En tout cas, merci à toi, et aussi à Bazfile pour votre aide. C'est vraiment génial qu'il y des personnes comme vous auprès de qui trouver de l'aide quand c'est nécessaire. Bonne continuation !