Lumma or LummaC2 Stealer.
Résolutricetop Messages postés 165 Date d'inscription mardi 13 août 2013 Statut Membre Dernière intervention 23 mai 2024 - 28 nov. 2023 à 14:30
- Lummac2 malware
- Lumma stealer - Accueil - Virus
- Metastealer stealer - Guide
- Aurora stealer - Guide
14 réponses
27 nov. 2023 à 10:03
Bonjour,
Un article du 24/11/2023 de CCM y fait référence... https://www.commentcamarche.net/securite/virus/29559-lumma-stealer-le-malware-qui-vole-les-comptes-gmail/
27 nov. 2023 à 10:15
Merci pour cet article. C'est plutôt inquiétant. Aucune solution n'est indiquée. Est ce qu'une âme charitable pourrait m'aider ?
27 nov. 2023 à 10:17
Ce n'est pas mon domaine (les virus). Je laisse le soin à mes p'tits camarades de t'aider. Patiente...
27 nov. 2023 à 15:17
Bonjour,
Pour voir ,
On va faire un diagnostic du PC :
Bien lire toute la procédure avant de poster les rapports
Ne pas les poster directement dans les messages car ils sont illisibles et incomplets
Sont attendus les rapports FRST.txt et Addition.txt
Tous les rapports doivent être hébergés sur https://textup.fr/ et tu indiques les liens obtenus dans ta réponse
---------------------------------------------------------------------------------------------
--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
---------------------------------------------------------------------------------------------
--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau
--> Pour un système en 32 bits
--> Pour un système en 64 bits
Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
27 nov. 2023 à 17:43
Merci pour ton aide.
Voici les fichiers générés sur le PC1 :
FRST : https://textup.fr/746546bH
Addition : https://textup.fr/746547e9
et sur le PC2 :
FRST : https://textup.fr/746552Ci
Addition : https://textup.fr/746554nC
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question27 nov. 2023 à 20:38
RE_
Pas d'infection dans les rapports .
Pour le PC1, désinstalles ExpressVPN puis
--> Copie ce qui se trouve ici https://textup.fr/746613Tz de start:: à end:: (sans le coller nulle part)
--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner
--> Le PC va redémarrer
--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports
--> Dis moi si tu as toujours le problème .
********************
********************
Tu sembles avoir un problème de profil sur Firefox , tu confirmes ?
FF DefaultProfile: lgkvhnh4.default
FF ProfilePath: C:\Users\danie\AppData\Roaming\Mozilla\Firefox\Profiles\lgkvhnh4.default [non trouvé(e)] <==== ATTENTION
27 nov. 2023 à 20:48
Salut :=)
Pas d'infection dans les rapports .
Doublon de https://forums.commentcamarche.net/forum/affich-37950591-re-captha-version-2-7-top
Je ne sais pas combien de fois il faudra lui dire qu'il n'y a pas d'infection.
Modifié le 27 nov. 2023 à 21:00
Salut,
C'est certainement parce que le sujet a été redirigé
27 nov. 2023 à 21:30
MisteryBean,
J'ai supprimé ExpressVPN.
Je viens de réaliser la correction sur le PC1. Voici le fichier fixlog demandé :
J'ai toujours le message lorsque j'essaie d'envoyer un mail depuis Thunderbird. Peut être faut il réaliser la procédure https://www.spamhaus.org/query/ip/213.44.140.XXX Qu'en penses tu ? J'avais fait la même chose il y a qqs jours suite au coup de main de Bazfile et cela avait disparu 1 ou 2 jours pour revenir ...
Pour ton info, l'origine du problème est certainement venu en utilisant le PC2.
Concernant le problème de profil sur Firefox, je ne sais pas, désolé, je ne maitrise pas cela. Y a t il qqchose à faire à ce sujet ?
Bazfile,
J'ai suivi à la lettre tes préconisation d'il y a quelques jours. J'ai à nouveau eu le message dans Thunderbird ce matin et j'ai ouvert une nouvelle demande dans le forum "mail" comme tu me l'avais indiqué. Le modérateur a rebasculé ma demande dans virus. Je ne suis pas compétent en informatique, juste bien embêté. Il n'y a peut être pas d'infection mais alors pourquoi ai je ce message dans thunderbird qui semble mentionner la présence d'un virus ? Merci pour ta compréhension.
Modifié le 28 nov. 2023 à 09:10
Il n'y a peut être pas d'infection mais alors pourquoi ai je ce message dans thunderbird qui semble mentionner la présence d'un virus ?
Ton IP est blacklistée par spamhauss, ton pc n'étant pas infecté redémarre ta box comme cela t'a été proposé par MisteryBean ci-dessous, si c'est toujours pareil je pense que tu devrais voir ça directement avec SFR qui est habitué du fait https://la-communaute.sfr.fr/t5/sfr-mail/impossible-d-envoyer-des-mails-avec-outlook-suite-restruction/td-p/2410284 .
27 nov. 2023 à 21:36
RE_
Sur le PC2 , tu as Norton , est ce que c'est l'Antivirus actif ? ou est ce qu'il était installé d'origine avec le PC ?
Si tu n'as pas de licence Norton , désinstalles le , désinstalles aussi WebAdvisor par McAfee
Une fois fais , refais un scan FRST sur le PC2 et postes les nouveaux rapports
27 nov. 2023 à 21:59
J'ai supprimé Norton (il n'était pas installé d'origine) et j'ai supprimé Webadvisor.
Voici les nouveaux rapports :
FRST : https://textup.fr/746652qh
Addition : https://textup.fr/746653Ip
27 nov. 2023 à 22:52
RE_
--> Copie ce qui se trouve ici https://textup.fr/746663TN de start:: à end:: (sans le coller nulle part)
--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner
--> Le PC va redémarrer
--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports
--> Dis moi si tu as toujours le problème .
**********************
Mets à jour Thunderbird sur ce PC . Tu n'as pas la même version que sur le PC1 qui lui a la dernière version
**********************
Essai à nouveau d'envoyer un mail.
Si pas mieux , débranches électriquement ta box, attends une minute puis rebranches la et vois ce que ça donne
28 nov. 2023 à 09:33
Bonjour MisteryBean,
Voici le fichier fixlog généré : https://textup.fr/746721S3
J'ai mis à jour Tunderbird version 115.5.1 (64 bits)
Le problème persiste, même après avoir débranché la box 1 minute. Le même message s'affiche dans Thunderbird. C'est étonnant car depuis le début les mails passent bien depuis la messagerie sfr mais pas par Thunderbird.
Concernant la remarque de Bazfile : "Ton IP est blacklistée par spamhauss, ton pc n'étant pas infecté je pense que tu dois voir ça directement avec SFR qui est habitué du fait https://la-communaute.sfr.fr/t5/sfr-mail/impossible-d-envoyer-des-mails-avec-outlook-suite-restruction/td-p/2410284", si l'IP est blacklistée, comment cela se fait il que ça marche sur la messagerie sfr et pas avec Thunderbird ?
J'aimerais vous envoyer le message affiché sur https://check.spamhaus.org/listed/?searchterm=XXX.XX.1XX.XXX Est ce que je peux vous envoyer une copie d'écran sans risque via www.cjoint.com ou directement vous adresser le lien non masqué avec mon adresse IP si cela ne représente pas de risque de communiquer l'adresse IP ? Lorsque j'avais validé cette procédure la semaine dernière les envois via thunderbird avaient refonctionné 1 ou 2 jours avant ce nouveau problème ...
Modifié le 28 nov. 2023 à 09:41
Concernant la remarque de Bazfile : "Ton IP est blacklistée par spamhauss, ton pc n'étant pas infecté je pense que tu dois voir ça directement avec SFR qui est habitué du fait https://la-communaute.sfr.fr/t5/sfr-mail/impossible-d-envoyer-des-mails-avec-outlook-suite-restruction/td-p/2410284", si l'IP est blacklistée, comment cela se fait il que ça marche sur la messagerie sfr et pas avec Thunderbird ?
Vois ça avec SFR, je redirige ton post dans le forum mail/Thunderbird vu qu'ici ce sont plutôt les problèmes d'infection qui sont traités.
28 nov. 2023 à 09:41
Attend un peu s'il te plait la réponse de MisteryBean, j'ai déjà été redirigé hier dans ce forum virus ...
Modifié le 28 nov. 2023 à 09:53
J'ai redirigé ton post dans le forum Thunderbird, ne t'inquiète pas MisteryBean verra ta réponse tu es dans ses discussions suivies, il y a beaucoup de problèmes similaires avec Thunderbird évoqués sur le net personnellement je n'utilise plus Thunderbird je lui préfère Blue Mail, je te conseille tout de même de contacter SFR.
28 nov. 2023 à 09:56
Ok merci à toi Bazfile
28 nov. 2023 à 12:06
Salut ,
Ce problème est récurrent avec Thundirbird . On trouve des sujets qui sont très souvent non résolus, c'est peut être donc un bug de thundirbird.
Le problème vient peut être aussi du fait que tu l'ai sur deux PCs différents , surtout si c'est avec les mêmes adresses ?
Pour terminer la désinfection :
Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renomme FRST/FRST64.exe en uninstall.exe et exécute-le.
La procédure nécessite un redémarrage
28 nov. 2023 à 14:30
MisteryBean,
J'ai désinstallé FRST.
Je suis étonné mais les 2 adresses sfr marchent à présent sur les 2 PC avec thunderbird, alors que je n'ai pas fait la procédure spamhaus ! J'espère que le problème est définitivement résolu. Si cela revient, je sais que cela n'est pas lié à un virus et j’essaierai de voir avec sfr sans trop savoir qui contacter chez eux.
En tout cas, merci à toi, et aussi à Bazfile pour votre aide. C'est vraiment génial qu'il y des personnes comme vous auprès de qui trouver de l'aide quand c'est nécessaire. Bonne continuation !