Tentatives de connexion à mes réseaux

Résolu
ElisabethRz Messages postés 39 Date d'inscription mardi 19 juillet 2016 Statut Membre Dernière intervention 26 février 2024 - 25 févr. 2024 à 10:54
bazfile Messages postés 56639 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 - 26 févr. 2024 à 17:30

Bonjour,

Cela fait plusieurs jours que je reçois des alertes de tentatives de connexion parfois fructueuses à mes réseaux, qui ne proviennent pas de moi : Instagram, Facebook et maintenant Google et Microsoft. Pour pallier à cela, j'ai changé mes mots de passe et activé l'authentification à double facteur, ce qui semble régler le problème. Mais j'avoue que n'ayant jamais vraiment eu ce souci, je me pose des questions. J'ai déjà eu des tentatives évidemment, mais jamais sur autant de mes réseaux et surtout de manière aussi rapprochée. Or, il se trouve que j'ai récemment installé un logiciel d'une façon peu conventionnelle disons, et ce, à peine quelques jours avant toutes ces tentatives d'intrusion sur mes réseaux. Ce n'est pas la première fois que je faisais ça et je n'avais jamais vraiment eu de problème, mais j'avoue que le timing m'intrigue, et je me demande s'il est possible qu'on "usurpe" l'identité de mon PC pour accéder à tous ces réseaux. J'ai lancé un scan complet avec Norton qui a supprimé quelques "menaces" mais encore une fois rien de très inhabituel.

Je voulais donc savoir si vous aviez des recommandations sur un logiciel permettant de scanner son PC en profondeur pour vérifier qu'il n'y ait rien de louche.

De plus, dans l'activité suspecte liée à mes réseaux, je crois avoir retrouvé une adresse IP similaire entre plusieurs tentatives d'accès sur des comptes différents (autre que la mienne). Existe-t-il un moyen de bloquer cette adresse ?

Enfin, mais là, je pense que c'est ma parano qui prend le dessus, en allant dans le gestionnaire de mot de passe google, j'ai vu que j'avais un compte enregistré pour "http://192.168.35.XXX" (j'ai masqué les 3 derniers chiffres car je ne sais pas tout à fait à quoi cela correspond). Si je clique sur le lien, cela m'ouvre une page inaccessible avec l'adresse "http://192.168.35.XXX/portal/logon.htm", qu'est-ce que cela pourrait bien être ?

Merci d'avance pour votre aide !

6 réponses

bazfile Messages postés 56639 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 326
25 févr. 2024 à 22:56

Bonjour.

Télécharge FRST .

Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser


Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ puis donne les deux liens générés par https://www.cjoint.com/ dans ta réponse. 


0
ElisabethRz Messages postés 39 Date d'inscription mardi 19 juillet 2016 Statut Membre Dernière intervention 26 février 2024
Modifié le 26 févr. 2024 à 13:24

Bonjour,

Merci pour votre réponse. Voici les deux fichiers après analyse :

FRST : https://www.cjoint.com/c/NBAk02HJAJC 

ADDITION : https://www.cjoint.com/c/NBAk0DEB0JC 

Bonne journée.

PS : hier soir c'était au tour de mon compte Discord et ce matin de mon compte paypal...

0
bazfile Messages postés 56639 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 326
Modifié le 26 févr. 2024 à 16:24

@ElisabethRz StatutMembre .

Tu utilises beaucoup de logiciels piratés en conséquence ce qui devait arriver est arrivé, actuellement il n'y a pas réellement d'infection sur ton pc juste quelques restes et quelques processus orphelins.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-362852494-96732990-1594706629-1001\Software\Classes\.scr: SageThumbsImage.scr =>
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (Pas de fichier)
Task: {9C26724B-29D7-4F3E-AEB0-D4A139D54BDC} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe  (Pas de fichier)
Task: {1AE5148A-B848-459B-9662-D1AC6948455A} - System32\Tasks\Lenovo\Vantage\Schedule\NotificationCenter => C:\Program Files (x86)\Lenovo\VantageService\3.13.72.0\ScheduleEventAction.exe  NotificationCenter (Pas de fichier)
Task: {E3D76A45-FF34-490B-ABB8-7B754A9CDCEA} - System32\Tasks\Lenovo\Vantage\Schedule\VantageTelemetryAddinTask => C:\Program Files (x86)\Lenovo\VantageService\3.5.27.0\ScheduleEventAction.exe  VantageTelemetryAddinTask (Pas de fichier)
S2 RailCloneService; "C:\Program Files\ItooServer\RailClone.exe" [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction
CustomCLSID: HKU\S-1-5-21-362852494-96732990-1594706629-1001_Classes\CLSID\{0381f81a-12ea-1460-c181-c3fd6952ead8}\localserver32 -> "C:\Users\colin\AppData\Local\Overwolf\ProcessCache\0.240.0.6\afmcagbpgggkpdkokjhjkllpegnadmkignlonpjm\AlecaFrame.exe" -ToastActivated => Pas de fichier
CustomCLSID: HKU\S-1-5-21-362852494-96732990-1594706629-1001_Classes\CLSID\{04d5c66b-d515-61ec-258f-a409f9443e98}\localserver32 -> "C:\Program Files\Proton\VPN\v3.0.7\ProtonVPN.exe" -ToastActivated => Pas de fichier
CustomCLSID: HKU\S-1-5-21-362852494-96732990-1594706629-1001_Classes\CLSID\{059e648d-91b1-a657-bb21-ecbb967dc466}\localserver32 -> "C:\Users\colin\AppData\Local\Overwolf\ProcessCache\0.236.0.11\afmcagbpgggkpdkokjhjkllpegnadmkignlonpjm\AlecaFrame.exe" -ToastActivated => Pas de fichier
CustomCLSID: HKU\S-1-5-21-362852494-96732990-1594706629-1001_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2020\Inventor Server\Bin\TestServer.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-362852494-96732990-1594706629-1001_Classes\CLSID\{29387e5d-57fa-f416-ac65-0a9dd2a06285}\localserver32 -> "C:\Users\colin\AppData\Local\Overwolf\ProcessCache\0.233.1.2\afmcagbpgggkpdkokjhjkllpegnadmkignlonpjm\AlecaFrame.exe" -ToastActivated => Pas de fichier
CustomCLSID: HKU\S-1-5-21-362852494-96732990-1594706629-1001_Classes\CLSID\{301ebb33-76da-02c0-5db9-6cb14bdd537b}\localserver32 -> "C:\Users\colin\AppData\Local\Overwolf\ProcessCache\0.230.0.10\afmcagbpgggkpdkokjhjkllpegnadmkignlonpjm\AlecaFrame.exe" -ToastActivated => Pas de fichier
CustomCLSID: HKU\S-1-5-21-362852494-96732990-1594706629-1001_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2020\Inventor Server\Bin\TestServer.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-362852494-96732990-1594706629-1001_Classes\CLSID\{a02f0bf0-ff4b-8e8a-d70f-e33304e9d0e7}\localserver32 -> "C:\Users\colin\AppData\Local\Overwolf\ProcessCache\0.236.2.2\afmcagbpgggkpdkokjhjkllpegnadmkignlonpjm\AlecaFrame.exe" -ToastActivated => Pas de fichier
CustomCLSID: HKU\S-1-5-21-362852494-96732990-1594706629-1001_Classes\CLSID\{a47fb05b-ec6f-030b-6e3b-e3725973b5b61}\InprocServer32 -> 0x6C4143414143624579543133446455425651424D61574E6C626E4E6C5A46527650564E736557647662334E6C4930567459576C7350574A736232356B615756666147466B58324666624739305832396D58325A31626B427A6232316C5957526B636D56 (l'élément de données a 202 caractères en plus). => Pas de fichier
CustomCLSID: HKU\S-1-5-21-362852494-96732990-1594706629-1001_Classes\CLSID\{bdf037d5-d1f4-16de-7c00-9c2204d45001}\localserver32 -> "C:\Program Files\Proton\VPN\v3.0.5\ProtonVPN.exe" -ToastActivated => Pas de fichier
CustomCLSID: HKU\S-1-5-21-362852494-96732990-1594706629-1001_Classes\CLSID\{d1c767cd-b956-4dc7-95a0-e178c62469c8}\localserver32 -> "C:\Users\colin\AppData\Local\Overwolf\ProcessCache\0.233.0.21\afmcagbpgggkpdkokjhjkllpegnadmkignlonpjm\AlecaFrame.exe" -ToastActivated => Pas de fichier
CustomCLSID: HKU\S-1-5-21-362852494-96732990-1594706629-1001_Classes\CLSID\{e1c47c23-4c84-78b5-9b9b-95198c1f086e}\localserver32 -> "C:\Users\colin\AppData\Local\Overwolf\ProcessCache\0.240.0.4\afmcagbpgggkpdkokjhjkllpegnadmkignlonpjm\AlecaFrame.exe" -ToastActivated => Pas de fichier
CustomCLSID: HKU\S-1-5-21-362852494-96732990-1594706629-1001_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2020\Inventor Server\Bin\TestServer.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-362852494-96732990-1594706629-1001_Classes\CLSID\{ee858303-4e07-323f-259d-162993e55095}\localserver32 -> "C:\Users\colin\AppData\Local\Overwolf\ProcessCache\0.233.2.2\afmcagbpgggkpdkokjhjkllpegnadmkignlonpjm\AlecaFrame.exe" -ToastActivated => Pas de fichier
Shortcut: C:\Users\colin\AppData\Local\Autodesk\3dsMax\2020 - 64bit\ENU\en-US\plugcfg\CopyToPro\uac.lnk -> C:\temp\uac.bat (Pas de fichier)
cmd: netsh advfirewall reset
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.


0
ElisabethRz Messages postés 39 Date d'inscription mardi 19 juillet 2016 Statut Membre Dernière intervention 26 février 2024
26 févr. 2024 à 16:56

Bonjour,

Voici le Fixlog : https://www.cjoint.com/c/NBAp4bE3o5C

Merci encore.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
bazfile Messages postés 56639 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 326
26 févr. 2024 à 17:10

@ElisabethRz StatutMembre .

Le fixlog est OK.


Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


0
ElisabethRz Messages postés 39 Date d'inscription mardi 19 juillet 2016 Statut Membre Dernière intervention 26 février 2024
26 févr. 2024 à 17:14

C'est fait.

Merci pour votre aide, je vous souhaite une bonne journée.

0
bazfile Messages postés 56639 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 326
26 févr. 2024 à 17:30

Bonne journée également.

0