Piratage de mes comptes liés à mon adresse mail.

Résolu
Eshiiwer Messages postés 7 Date d'inscription vendredi 23 juillet 2021 Statut Membre Dernière intervention 25 décembre 2023 - 20 déc. 2023 à 11:07
bazfile Messages postés 56444 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 - 25 déc. 2023 à 21:47

Bonjour,

récemment j'ai été victime d'un piratage ainsi que de nombreux mails concernant des demandes de réinitialisation de mots de passe ainsi que des connexions sur mes plateformes (Instagram, Facebook, LinkedIn, Mega, Microsoft...) J'ai pris les mesures telles que changement de mots de passe, plus mise en place d'une a2f, ainsi qu'une analyse antivirus sur mon pc où je trouve ceci.

​​​​​

Et voici les screens montrant les piratages sur les comptes Issues de mon adresse mail

j'entreprends de changer mon SSD sur mon ordinateur pour augmenter mon stockage, en espérant que ceci réglera le problème. Bien que je suspecte que le virus soit une racine dans mon ordinateur. Mais avant de changer le SSD est-ce qu'il serait possible de trouver une solution afin de résoudre définitivement le problème, parce qu'il se pourrait aussi que ce soit incruster dans la RAM.

Merci de votre compréhension.

NB: J'ai pris les mesures nécessaires que l'antivirus m'a conseillé (mise en quarantaine + suppression des logiciels malveillants). Et pour le moment je ne reçois pas d'alertes. À confirmer dans les heures à venir.

​​​​

​​​​​

A voir également:

9 réponses

bazfile Messages postés 56444 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 19 285
20 déc. 2023 à 13:47

Bonjour.

parce qu'il se pourrait aussi que ce soit incruster dans la RAM.

Aucun risque, la RAM ne conserve aucune donnée c'est une mémoire volatile.

Télécharge FRST .

Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser


Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ puis donne les deux liens générés par https://www.cjoint.com/ dans ta réponse. 


0
Eshiiwer Messages postés 7 Date d'inscription vendredi 23 juillet 2021 Statut Membre Dernière intervention 25 décembre 2023
20 déc. 2023 à 18:16

Bonsoir,

Merci beaucoup de votre réponse. Voici les liens demandés:

FRST.txt :

https://www.cjoint.com/c/MLurmOdGMpt

Addition.txt :

https://www.cjoint.com/c/MLurosyJ81t

0
bazfile Messages postés 56444 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 19 285
20 déc. 2023 à 20:09

Tu as utilisé un autoKMS pour activer un produit Microsoft c'est la source de l'infection qui t'a causé tous ces ennuis.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1517640766-2502494813-3159341883-1001\...\Run: [ProtonVPN] => C:\Program Files\Proton\VPN\ProtonVPN.Launcher.exe (Pas de fichier)
HKU\S-1-5-21-1517640766-2502494813-3159341883-1001\...\Run: [electron.app.Lunar Client] => C:\Users\Rhaas\AppData\Local\Programs\Update.exe --processStart "Lunar Client.exe" --process-start-args "--hidden" (Pas de fichier)
Task: {00F8A64F-7422-4807-910E-305EDDF8DE83} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe  --automatic (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
Task: {A23E53DF-FE81-4EB6-942B-E3BAA1B7400B} - System32\Tasks\OneDC_Updater => C:\Users\Rhaas\Documents\temp\OneDC_Updater\OneDC_Updater.exe  OneDragonCenter (Pas de fichier) 
S3 BraveElevationService; "C:\Program Files\BraveSoftware\Brave-Browser\Application\120.1.61.104\elevation_service.exe" [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
Task: {222B2513-13DC-40C0-B788-749066598FFC} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem122.0.6180.0{66ED025E-9086-4ADC-B76D-8269FEE75216} => C:\Program Files (x86)\Google\GoogleUpdater\122.0.6180.0\updater.exe [4711712 2023-12-12] (Google LLC -> Google LLC)
CustomCLSID: HKU\S-1-5-21-1517640766-2502494813-3159341883-1001_Classes\CLSID\{04d5c66b-d515-61ec-258f-a409f9443e98}\localserver32 -> "C:\Program Files\Proton\VPN\v3.0.7\ProtonVPN.exe" -ToastActivated => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1517640766-2502494813-3159341883-1001_Classes\CLSID\{bdf037d5-d1f4-16de-7c00-9c2204d45001}\localserver32 -> "C:\Program Files\Proton\VPN\v3.0.5\ProtonVPN.exe" -ToastActivated => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1517640766-2502494813-3159341883-1001_Classes\CLSID\{ef332f57-6128-39af-c6ef-8a8c89b3c2b7}\localserver32 -> "C:\Program Files\Proton\VPN\v3.1.0\ProtonVPN.exe" -ToastActivated => Pas de fichier
AlternateDataStreams: C:\Users\Rhaas\OneDrive\Bureau\FRST64.exe:MBAM.Zone.Identifier [240]
FirewallRules: [{17E43A59-D60D-4D38-A19B-ADA1DE599EC0}] => (Allow) C:\GrandRP Launcher\RAGEMP\GTA5.exe => Pas de fichier
FirewallRules: [{381BC61F-5036-4CA9-B2E0-9EF32AC59475}] => (Allow) C:\GrandRP Launcher\RAGEMP\GTA5.exe => Pas de fichier
FirewallRules: [TCP Query User{8EB8A2CA-1D3C-4AB9-9C1B-AC126470E408}C:\users\rhaas\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\rhaas\appdata\local\discord\app-1.0.9013\discord.exe => Pas de fichier
FirewallRules: [UDP Query User{501FA5DB-0065-4BEC-8C1A-698349ED3B02}C:\users\rhaas\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\rhaas\appdata\local\discord\app-1.0.9013\discord.exe => Pas de fichier
FirewallRules: [{F2BE089D-730D-437A-A871-61FF189E3F9E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\OBS Studio\bin\64bit\obs64.exe => Pas de fichier
FirewallRules: [{7F2CD861-544B-4E0E-B874-B409BC91706F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\OBS Studio\bin\64bit\obs64.exe => Pas de fichier
FirewallRules: [TCP Query User{8C134FC8-09C8-4CCB-B661-F7263A91C9B7}C:\program files (x86)\steam\steamapps\common\hell let loose\hll\binaries\win64\hll-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\hell let loose\hll\binaries\win64\hll-win64-shipping.exe => Pas de fichier
FirewallRules: [UDP Query User{8B2E782C-BCA0-40B1-8D9C-78D336F83BBA}C:\program files (x86)\steam\steamapps\common\hell let loose\hll\binaries\win64\hll-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\hell let loose\hll\binaries\win64\hll-win64-shipping.exe => Pas de fichier
FirewallRules: [TCP Query User{A7106DFF-7148-433F-96D3-15E2F0E271EC}C:\users\rhaas\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\rhaas\appdata\local\programs\opera\opera.exe => Pas de fichier
FirewallRules: [UDP Query User{D5996900-2FD0-40DD-918E-18E1663E03E0}C:\users\rhaas\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\rhaas\appdata\local\programs\opera\opera.exe => Pas de fichier
FirewallRules: [TCP Query User{FCB7B91D-564C-4376-A336-F4C8AA2460DD}C:\users\rhaas\appdata\local\discord\app-1.0.9015\discord.exe] => (Allow) C:\users\rhaas\appdata\local\discord\app-1.0.9015\discord.exe => Pas de fichier
FirewallRules: [UDP Query User{2713BD42-C011-4E5B-ADD4-CFC1260C1DE3}C:\users\rhaas\appdata\local\discord\app-1.0.9015\discord.exe] => (Allow) C:\users\rhaas\appdata\local\discord\app-1.0.9015\discord.exe => Pas de fichier
FirewallRules: [TCP Query User{8130F4C0-5F74-4371-95F1-3D1C5039F12E}C:\users\rhaas\downloads\anydesk.exe] => (Allow) C:\users\rhaas\downloads\anydesk.exe => Pas de fichier
FirewallRules: [UDP Query User{06FAEBD7-9ECF-4B68-9620-F1120915656B}C:\users\rhaas\downloads\anydesk.exe] => (Allow) C:\users\rhaas\downloads\anydesk.exe => Pas de fichier
FirewallRules: [TCP Query User{62E203C1-DAEB-4C72-B962-412C0C801CD5}C:\users\rhaas\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\java-runtime-alpha\windows-x64\java-runtime-alpha\bin\javaw.exe] => (Allow) C:\users\rhaas\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\java-runtime-alpha\windows-x64\java-runtime-alpha\bin\javaw.exe => Pas de fichier
FirewallRules: [UDP Query User{F286BEE1-8530-4EEB-AC39-2DFC4A058BD7}C:\users\rhaas\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\java-runtime-alpha\windows-x64\java-runtime-alpha\bin\javaw.exe] => (Allow) C:\users\rhaas\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\java-runtime-alpha\windows-x64\java-runtime-alpha\bin\javaw.exe => Pas de fichier
FirewallRules: [{9148F223-3218-4FCA-9CB7-F0CB3CD5BD5C}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Pas de fichier
FirewallRules: [{BD86373C-9432-449F-B694-92CD08C6260A}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Pas de fichier
FirewallRules: [{964DA5BA-54B1-4A6A-8902-FDD3FA556024}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Pas de fichier
FirewallRules: [{40C7827F-C920-446A-A5FC-2100FD798998}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Pas de fichier
FirewallRules: [TCP Query User{6106A951-4E9E-431C-A7EC-10C41808E9CB}C:\users\rhaas\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2189_gtaprocess.exe] => (Allow) C:\users\rhaas\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2189_gtaprocess.exe => Pas de fichier
FirewallRules: [UDP Query User{691101B8-51F0-4F89-8AF4-8D46E3C219C7}C:\users\rhaas\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2189_gtaprocess.exe] => (Allow) C:\users\rhaas\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2189_gtaprocess.exe => Pas de fichier
FirewallRules: [TCP Query User{447E3B5F-9F74-4C2B-9B61-46EC37C9C8D7}C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe => Pas de fichier
FirewallRules: [UDP Query User{9C615D8C-E5C0-42DE-A160-F0A27B6D4B47}C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe => Pas de fichier
FirewallRules: [TCP Query User{7B65EEB9-5CE5-438E-B8A6-E3E3037564AD}C:\users\rhaas\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2189_gtaprocess.exe] => (Allow) C:\users\rhaas\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2189_gtaprocess.exe => Pas de fichier
FirewallRules: [UDP Query User{3A1D75F3-C682-49E3-8BDD-C4C177242FD8}C:\users\rhaas\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2189_gtaprocess.exe] => (Allow) C:\users\rhaas\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2189_gtaprocess.exe => Pas de fichier
FirewallRules: [TCP Query User{648B141C-5418-4B6B-BC27-3E3E1608BDE8}C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe => Pas de fichier
FirewallRules: [UDP Query User{E89DB2B4-9DC6-414A-B8DE-24549292AD2E}C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\assettocorsa\acs.exe => Pas de fichier
FirewallRules: [TCP Query User{1F0F7188-9ADF-4BC3-A48C-9A938959FC06}C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe => Pas de fichier
FirewallRules: [UDP Query User{D11D161B-6A78-4F12-85C0-999994C01BE7}C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe => Pas de fichier
C:\Program Files (x86)\Google\GoogleUpdater\122.0.6180.0\updater.exe
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.


0
Eshiiwer Messages postés 7 Date d'inscription vendredi 23 juillet 2021 Statut Membre Dernière intervention 25 décembre 2023
21 déc. 2023 à 12:12

Bonjour,

Un de mes amis qui possède un autoKMS depuis six ans et n'a jamais rencontré de problèmes, et que selon lui c'est parce que le script se met devant le système et peut être détecté un virus. Et que vu que ça supplante l'os c'est normal que Windows va bloquer. 

Puis ça me paraît bizarre que la source du problème soit forcément ici.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
bazfile Messages postés 56444 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 19 285
Modifié le 21 déc. 2023 à 23:48

Tu as du télécharger un autoKMS repacké c'est à dire dans lequel on rajoute un Malware qui s'est installé en même temps que l'autoKMS, ton ami est bien tombé il a eu simplement de la chance, il faut éviter de télécharger et d'installer ce genre de choses sans connaissances cela ne t'apportera que des problèmes, en plus c'est pas très malin de faire ça voir cette page.

Tu ne m'as pas transmis le fixlog.

0
Eshiiwer Messages postés 7 Date d'inscription vendredi 23 juillet 2021 Statut Membre Dernière intervention 25 décembre 2023
Modifié le 21 déc. 2023 à 23:49

Ola,

merci pour l'intention portée, voici le lien demandé :

https://www.cjoint.com/c/MLvwq4nrZjt 

D'ailleurs je suis à la recherche d'une licence Microsoft Office 365 pour les PowerPoint en lien avec mon cours de maths. Si possible merci.

​​​​​​

NB: Je tiens à signaler que j'ai reçu actuellement une alerte de connexion sur mon compte Google scolaire à 5:00, cependant je n'avais pas modifié le mot de passe de ce dernier, que j'ai fait dès ce matin.

0
bazfile Messages postés 56444 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 19 285
Modifié le 21 déc. 2023 à 23:59

Le fixlog est OK, ton pc est propre.

D'ailleurs je suis à la recherche d'une licence Microsoft Office 365 

Il n'y a pas de clé de licence pour Office 365 car c'est un abonnement, tu peux utiliser LibreOffice qui est gratuit et qui fait la même chose.

Un conseil pour ne pas te retrouver dans ce genre de situation analyse ce que tu télécharges sur VirusTotal.

Voilà pour ce qui est du forum sécurité ce sera tout.


Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


0
Eshiiwer Messages postés 7 Date d'inscription vendredi 23 juillet 2021 Statut Membre Dernière intervention 25 décembre 2023
25 déc. 2023 à 11:08

Bonjour,

Récemment j'ai encore été victime de piratage, en pensant que le problème a été résolu, mais en fait non. Mon compte Steam a été hacké, j'ai rechangé le mot de passe mais ça persiste. Je ne sais pas exactement si le problème est lié sur mon Android ou sur le PC. Mais pourtant le PC a l'air clean comme tu as pu le constater.

0
bazfile Messages postés 56444 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 19 285
Modifié le 26 déc. 2023 à 10:48

Je ne sais pas exactement si le problème est lié sur mon Android ou sur le PC.

Pour ce qui est de ton pc il est propre, pour ton appareil sous Android il n'y a pas d'outil d'analyse type FRST et sans analyse je ne peux pas t'en dire plus sur ton appareil Android.

Les mots de passe récupérés lors de l'infection te réserveront peut-être d'autres surprises de ce genre, car les pirates peuvent les utiliser à tout moment, c'est un dommage collatéral de l'infection.

J'espère que cela te servira de leçon et qu'à l'avenir tu y réfléchiras à deux fois avant de télécharger et d'installer des choses pour le moins douteuses.

0