Ordi Infiltré !

Résolu
Fantomas80 Messages postés 25 Date d'inscription jeudi 21 mai 2015 Statut Membre Dernière intervention 22 juillet 2024 - Modifié le 22 juil. 2024 à 12:42
bazfile Messages postés 56520 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 3 décembre 2024 - 22 juil. 2024 à 20:38

Bonjour à tous,

J'ai un gros gros problème en ce moment, je crois que je me suis fait infiltrer mon ordi. Je passe mon temps à changer mes mots de passe depuis une bonne semaine car j'ai des attaques répétées sur tous mes profils (mails, fb, insta, youtube, spotify, etc.).
Contexte : j'ai voulu télécharger un jeu gratuit, mais comme le fichier ne fonctionnait pas, je suis allé le chercher sur un site que je ne connaissais pas et j'ai dézippé un truc qui n'avait pas le nom du jeu en question (d'habitude je ne me fais pas avoir à ce genre d'attrape-couillon, mais il suffit d'une fois, dans le speed pour faire une erreur grossière comme ça...)
Je soupçonne fortement un rootkit, j'ai fait des analyses adw, este, roguekiller, rkill, kvrt et d'autres, mais même après tout ça, je reçois des notifs de tentatives de connexion à tous mes comptes chaque jour. J'ai même perdu mon insta (j'ai abandonné vu leur système de récupération complètement pourri) et je crois bien que quelqu'un a changé mon password de google (que j'ai changé pourtant la semaine dernière, et qui centralise un paquet d'autres comptes cruciaux !).
Quelqu'un peut-il m'aider SVP ? je n'arrive plus à gérer la situation !

Mes liens FRST : https://www.cjoint.com/c/NGwktZ6uXER 
                             https://www.cjoint.com/c/NGwkyiaCWhR 
Windows / Firefox 128.0

A voir également:

4 réponses

bazfile Messages postés 56520 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 3 décembre 2024 19 302
22 juil. 2024 à 13:12

Bonjour @Fantomas80 StatutMembre .

Il n'y a pas ou plus d'infection sur ton pc, vu tous les outils que tu as utilisé cela n'a rien d'étonnant, quand tu soupçonnes une infection vient ici directement, n'utilise pas une tonne d'outils de désinfection.

Je vois que tu as téléchargé des trucs pourris, par exemple le 13 juillet un keygen pour Ableton et et au mois de février un keygen pour Output by Portal, c'est donc normal que maintenant tu ais des problèmes.

 Si ton pc a été infecté et que tes mots de passe ont été dérobés, maintenant qu'ils sont en possession des pirates tu ne peux rien faire d'autre que protéger les comptes auxquels tu as accès, et pour les autres utilise les procédures de récupération. 

Comme je te l'ai dit plus haut, il n'y a pas d'infection sur ton pc, il n'y a que quelques processus orphelins si tu souhaites les supprimer fait la correction FRST qui suit.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
ContextMenuHandlers1: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Pas de fichier
ContextMenuHandlers1: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Pas de fichier
ContextMenuHandlers2: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Pas de fichier
ContextMenuHandlers2: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Pas de fichier
ContextMenuHandlers6: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Pas de fichier
ContextMenuHandlers6: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Pas de fichier
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction 
GroupPolicy: Restriction ? 
GroupPolicyScripts: Restriction 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
Task: {0A96FDF5-F523-40BF-ACCB-8453AA58F7A5} - pas de chemin du fichier. 
Task: {0F73EAED-651F-4BCA-9B02-2F508693CF25} - pas de chemin du fichier. 
Task: {1EE06A70-1DCF-4582-B8C4-EFA3856C1CDF} - pas de chemin du fichier. 
Task: {265D0904-9F8D-4476-B1AD-D4C0E6403F54} - pas de chemin du fichier. 
Task: {271C86DC-8E49-4AB0-83A3-C0252C8B5886} - pas de chemin du fichier. 
Task: {274DABA9-8833-48C9-A069-746B833BF5BB} - pas de chemin du fichier. 
Task: {3048F27B-166D-44D4-AC7B-6A0140FF3711} - pas de chemin du fichier. 
Task: {34ADEFE8-89DB-43BC-8C0B-14BB34D69F6D} - pas de chemin du fichier. 
Task: {46BC051A-8866-4984-BB57-A5B31D0B413C} - pas de chemin du fichier. 
Task: {47C410AC-0593-4304-87B5-A7B2CC788C35} - pas de chemin du fichier. 
Task: {491B112C-500B-4A63-91A8-3FC4691E52CC} - pas de chemin du fichier. 
Task: {4AF08E10-D652-4924-B1C0-CF62B30F72B1} - pas de chemin du fichier. 
Task: {6BA19357-1FFC-4AED-996F-576F9F90E433} - pas de chemin du fichier. 
Task: {747D9FB6-3434-4B2F-A87C-4D0C650380AD} - pas de chemin du fichier. 
Task: {7580A2B6-C485-40E0-B7DC-C128AF2E03CE} - pas de chemin du fichier. 
Task: {801FB0D1-7080-40BB-963D-6CAE8059C505} - pas de chemin du fichier. 
Task: {81082376-E7DF-4427-9F91-60CA19EA3612} - pas de chemin du fichier. 
Task: {87094343-6C1F-4855-A6B9-305BA74AB761} - pas de chemin du fichier. 
Task: {8A18AA6E-C78A-4015-9207-ED2429512F10} - pas de chemin du fichier. 
Task: {91662812-09B9-4B9F-9499-828F53C6CF18} - pas de chemin du fichier. 
Task: {99D2D712-7712-44E3-9D43-A02272E4ACBA} - pas de chemin du fichier. 
Task: {9E889AFD-18A3-4EAA-93FB-07F06E47D318} - pas de chemin du fichier. 
Task: {B7490AEE-5326-483E-A2E4-4026DA0ACFE3} - pas de chemin du fichier. 
Task: {D98E3EAC-5381-4282-BD9A-5B86F7D904EE} - pas de chemin du fichier. 
Task: {DF0C001F-B9C8-4EE5-8B14-5DD8E49F14F1} - pas de chemin du fichier. 
Task: {E15F46CD-E7DF-47BE-ACAC-DA9D3762834C} - pas de chemin du fichier. 
Task: {E53D4A97-CD33-4795-96E0-9C0E5BA97228} - pas de chemin du fichier. 
HKLM\...\Print\Monitors\HP C211 Status Monitor: hpinkstsC211LM.dll (Pas de fichier)
Task: {36A78C3E-A142-4F86-903E-AE26291F646C} - \Microsoft\Windows\Autochk\Proxy -> Pas de fichier 
Task: {3A92573F-61C5-4F73-AB0F-0A9B791545CB} - \Microsoft\Windows\Windows Media Sharing\UpdateLibrary -> Pas de fichier 
S3 MpKsldd324a6e; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{569CBEEB-2847-40E4-8651-A34C610358CE}\MpKslDrv.sys [X]
cmd: netsh advfirewall reset
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ ou https://pixeldrain.com/ 
 

Puis donne le lien généré par https://www.cjoint.com/ ou https://pixeldrain.com/ dans ta réponse.


1
bazfile Messages postés 56520 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 3 décembre 2024 19 302
Modifié le 22 juil. 2024 à 17:06

@Fantomas80 StatutMembre .

Le fixlog est OK.

Mais pourquoi devrais-je demander ici en 1er plutôt que de tenter de me débrouiller tout seul ?

Les outils de désinfection sont des outils automatiques ils ne virent pas toujours tout du premier coup et souvent je m'aperçoit dans les différentes désinfections que je traite qu'ils oublient parfois des choses, d'ailleurs il y avait pas mal de restes inactifs de l'infection sur ton pc, autant tout faire du premier coup.

Avec FRST on voit tout et on peut intervenir en une seule fois, d'autre part dans le script FRST je demande l'analyse de certains fichiers ce qui me permet de savoir le type d'infection et de donner des conseils en conséquence quand il n'y a plus rien je ne peux pas adapter mes conseils.


Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

1

Merci beaucoup pour ta réponse, Bazfile !

Heureux d'apprendre que j'ai pu virer l'infection, ça me retire un gros poids d'en avoir confirmation !
Mais pourquoi devrais-je demander ici en 1er plutôt que de tenter de me débrouiller tout seul ? Je n'ai pas envie d'engorger le forum pour un oui ou pour un non quand je sais que je peux tenter de solutionner les choses moi-même moyennant quelques recherches, ce n'est pas la bonne logique ?

Voici le lien fixlog : https://www.cjoint.com/c/NGwnQTY5qhR 


Après, j'avoue utiliser pas mal de plugins crackés pour la musique, il viennent d'un site auquel je fais confiance et que j'utilise depuis des années, mais on ne peut jamais savoir si la keygen est un vrai ou un faux positif, dans le sens où je ne sais pas si par exemple un trojan est partie intégrante de la keygen, sans quoi elle ne marcherait pas, ou simplement un ajout fait pour créer des failles dans mon OS, en tout cas je n'ai jamais eu de problèmes à cause de ces keygens en question...
Là ça vient d'un jeu que je voulais tester et que j'ai téléchargé depuis un site que je ne fréquentais pas, avec un dossier.zip qui n'évoquait même pas le nom du jeu, mais que j'ai dézippé un peu trop vite (oui, je sais, c'est pas très malin !)...

0
Fantomas80 Messages postés 25 Date d'inscription jeudi 21 mai 2015 Statut Membre Dernière intervention 22 juillet 2024
22 juil. 2024 à 20:23

Ok, merci encore pour ta réactivité et tes conseils et explications concises !
Je clôture le sujet.
À une prochaine fois peut-être (comme pour le garagiste, on n'a pas envie de dire "à bientôt", haha !)

Bonne continuation, Bazfile

0
bazfile Messages postés 56520 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 3 décembre 2024 19 302
22 juil. 2024 à 20:38

@+

0