Faire un don
ANNONCES

Bienvenue sur notre forum d'entraide informatique :youpie:
Notre équipe est là pour vous aider à régler vos problèmes informatiques.
Postez un message sur le forum pour expliquer votre problème,
vous obtiendrez une assistance efficace, gratuite et rapide (si les délais sont parfois un peu plus longs, c'est que nous avons beaucoup de demandes :ooops: ).

Si devenir "helper" vous tente, les inscriptions à notre école de formation sont ouvertes par intermittence. Suivez les instructions données sur cette page
NB : nous sommes en ce moment victimes d'une vague d'inscriptions malveillantes, et nous devons supprimer à tour de bras. Si vous êtes bien intentionnés, et victimes de ces suppressions, envoyez nous un mel de confirmation sur la boite des admins. Merci de votre compréhension

administrateurs(arobase)helper-formation.fr

N'hésitez pas à rendre une petite visite à nos partenaires, ça leur fera plaisir, et à nous aussi :D

Résolu le 11/08/19 PC infecté

La première étape avant de poster dans ce forum est >>ICI<<
( Aucune aide ne sera apportée sur une version illégale de Windows ) :!:

PC infecté.

Messagepar samgav » Lun 5 Aoû 2019 19:49

:hello:

Voici mon 2ème PC (boulot) qui est infecté et je pense fortement que c'est lui qui a causé mes différents piratages.


Rapport FRST: https://www.cjoint.com/c/IHfqKmxXeMN
Rapport addition: https://www.cjoint.com/c/IHfqKVfOwmN
Rapport shortcut: https://www.cjoint.com/c/IHfqLLMxkrN
Rapport MBAM analyse: https://www.cjoint.com/c/IHfqMtc4XJN
Rapport MBAM quarantaine: https://www.cjoint.com/c/IHfqNlUbAAN

Qui désire un petit TP ? Firebird :siffle: A moins qu'un autre apprenti helper veuille se faire la main ;)
Mais vous battez pas :lol:

A+
samgav
Helper
Helper
 
Messages: 136
Enregistré le: Jeu 29 Déc 2011 17:17
Localisation: CAEN
Google Chrome 75.0.377 Google Chrome 75.0.377
Windows 8 64 bits Windows 8 64 bits
Résolution d’écran: 1366 x 768 1366 x 768

Re : PC infecté.

Messagepar Firebird » Mar 6 Aoû 2019 20:44

Bonjour samgav, :)

Je te remercie pour les rapports Malwarebytes et FRST. :good:

:arrow: Les rapports Malwarebytes montrent la présence d'une infection très dangereuse, Backdoor.NanoCore.StolenData.Generic.
Trojan NanoCore/Backdoor.NanoCore

:arrow: Avant tout correctif, il est urgent que tu changes tous tes mots de passe, pour parer le vol de données.


:arrow: Comme il s'agit d'un PC professionnel, as-tu l'autorisation de ton administrateur pour que nous intervenions dessus ?
En effet, nous ne pouvons pas nous permettre de toucher aux paramètres personnalisés et aux restrictions mises en place par ton entreprise.


:arrow: Pourquoi as-tu désactivé le filtre SmartScreen ?


:arrow: Les rapports montrent la présence de cracks, que tu m'as d'ailleurs signalée spontanément.
Les cracks sont un vecteur permanent d'infections, comme tu le sais déjà. ;)
  • https://forum.malekal.com/viewtopic.php?t=893
    Les cracks sont un vecteur de malwares et d'infections très important. En téléchargeant et en exécutant un crack, vous pouvez exposer votre Windows à une infection, surtout qu'en règle général, les antivirus ne détectent rarement les cracks infectés. Parfois une simple visite sur un site de cracks peut suffire à infecter votre Windows. Un grand nombre de sites de cracks contiennent des exploits, les personnes n'ayant pas leurs systèmes et logiciels à jour sont vulnérables
  • https://www.malekal.com/crack-ou-keygen-quest-ce-que-cest/
    Le danger des cracks
    Outre le fait que c’est interdit, le téléchargement et l’utilisation des cracks pour amener des problèmes.
    Parfois cela touche le fonctionnement de l’application, parfois pire car ils renferment un code malveillant.
    En effet, les auteurs de malwares savent que beaucoup d’internautes cherchent des cracks.
    Ainsi de faux sites renfermant des malwares sont mis en ligne.
    Le problème de fond étant que vous téléchargez un fichier sans connaître la source véritable.
    En clair donc, c’est la roulette russe.
    De plus, les sites qui proposent ces programmes peuvent aussi amener à toutes sortes d’arnaques notamment à travers les publicités.

:arrow: Le fait que tu utilises un logiciel contrefait n'est pas notre affaire, c'est ton choix moralement discutable et pénalement répréhensible mais nous ne sommes pas chargés de faire les poursuites judiciaire éventuelles. C'est juste une information pour nous couvrir et une application de nos règles légales de fonctionnement conformément à la charte du forum.


:arrow: Ton système Windows est-il légal ou est-il activé via l'usage d'un crack ou d'un autre outils équivalent (donc contrefait) ?
A défaut de précision, ton sujet sera verrouillé.


:arrow: Bien sûr, si ton système Windows est légal, nous fournirons avec grand plaisir de l'aide mais il faudra que tu supprimes les cracks présents sur ta machine car les outils de désinfection que nous utilisons sont puissants et peuvent avoir des effets inattendus sur des systèmes et logiciels illégaux.
En tout état de cause, nous ne serions être tenus responsables des éventuelles conséquences.


:arrow: En ce qui concerne Microsoft Office cracké, tu peux le remplacer par LibreOffice téléchargeable gratuitement et disposant des mêmes fonctionnalités que Microsoft Office.


Bonne journée et à bientôt. :hello:
@+
Patricia
Avatar de l’utilisateur
Firebird
En formation avancée
En formation avancée
 
Messages: 113
Enregistré le: Sam 17 Fév 2018 00:07
Localisation: Haute-Saône / France
Google Chrome 70.0.353 Google Chrome 70.0.353
Windows 8 64 bits Windows 8 64 bits
Résolution d’écran: 1920 x 1080 1920 x 1080

Re : PC infecté.

Messagepar samgav » Mer 7 Aoû 2019 22:12

:hello: Firebird

Firebird a écrit:Avant tout correctif, il est urgent que tu changes tous tes mots de passe, pour parer le vol de données

Je l'avais déjà effectué et je me servais de ce PC que pour le boulot du coup.



Firebird a écrit:Comme il s'agit d'un PC professionnel, as-tu l'autorisation de ton administrateur pour que nous intervenions dessus ?
En effet, nous ne pouvons pas nous permettre de toucher aux paramètres personnalisés et aux restrictions mises en place par ton entreprise

Il n'y a pas de soucis concernant l'autorisation, car je suis en quelque sorte l'administrateur du PC, et il n'y a aucune restriction.



Firebird a écrit: Pourquoi as-tu désactivé le filtre SmartScreen ?

Je ne me rappelle pas avoir effectué cela



Firebird a écrit:Ton système Windows est-il légal ou est-il activé via l'usage d'un crack ou d'un autre outils équivalent (donc contrefait) ?
A défaut de précision, ton sujet sera verrouillé.

Oui c'est PC neuf avec un windows d'origine.




Le logiciel principal que j'utilise est "Lely group - MVXSOM interface R11" qui ne fonctionne qu'avec microsoft access et word donc je ne vais le supprimer maintenant.
Avant toute action sur mon PC je vais voir ça avec mon responsable dans 10 jours ;)


A bientôt
samgav
Helper
Helper
 
Messages: 136
Enregistré le: Jeu 29 Déc 2011 17:17
Localisation: CAEN
Google Chrome 75.0.377 Google Chrome 75.0.377
Windows 8 64 bits Windows 8 64 bits
Résolution d’écran: 1366 x 768 1366 x 768

Re : PC infecté.

Messagepar Firebird » Mer 7 Aoû 2019 22:47

Bonsoir samgav, :cheers:


samgav a écrit:
Firebird a écrit:Avant tout correctif, il est urgent que tu changes tous tes mots de passe, pour parer le vol de données

Je l'avais déjà effectué et je me servais de ce PC que pour le boulot du coup.

Parfait. :king:


samgav a écrit:
Firebird a écrit:Comme il s'agit d'un PC professionnel, as-tu l'autorisation de ton administrateur pour que nous intervenions dessus ?
En effet, nous ne pouvons pas nous permettre de toucher aux paramètres personnalisés et aux restrictions mises en place par ton entreprise

Il n'y a pas de soucis concernant l'autorisation, car je suis en quelque sorte l'administrateur du PC, et il n'y a aucune restriction.

Merci pour cette précision. :)


samgav a écrit:
Firebird a écrit: Pourquoi as-tu désactivé le filtre SmartScreen ?

Je ne me rappelle pas avoir effectué cela.

Je te conseille de le réactiver.
Voir Paragraphe "Puis-je activer ou désactiver SmartScreen ?" de cette FAQ https://support.microsoft.com/fr-fr/hel ... screen-faq


samgav a écrit:
Firebird a écrit:Ton système Windows est-il légal ou est-il activé via l'usage d'un crack ou d'un autre outils équivalent (donc contrefait) ?
A défaut de précision, ton sujet sera verrouillé.

Oui c'est PC neuf avec un windows d'origine.

Parfait. :king:


samgav a écrit:Le logiciel principal que j'utilise est "Lely group - MVXSOM interface R11" qui ne fonctionne qu'avec microsoft access et word donc je ne vais le supprimer maintenant.
Avant toute action sur mon PC je vais voir ça avec mon responsable dans 10 jours ;)

D'accord. ;)


:arrow: Est-ce toi qui a installé les deux extensions Chrome Bureau à distance Google Chrome et Chrome Remote Desktop ?
Chrome Bureau à distance n'est pas au catalogue des extensions Chrome et je recommande de la désinstaller.
L'autre, Chrome Remote Desktop, est officielle, mais le bureau à distance est une ouverture sur ton PC, un risque permanent d'infection, et je te conseille de la désinstaller aussi, si tu n'en as pas d'utilité impérative.


:arrow: Possèdes-tu un compte Google synchronisé ?


Bonne soirée. :hello:
@+
Patricia
Avatar de l’utilisateur
Firebird
En formation avancée
En formation avancée
 
Messages: 113
Enregistré le: Sam 17 Fév 2018 00:07
Localisation: Haute-Saône / France
Google Chrome 70.0.353 Google Chrome 70.0.353
Windows 8 64 bits Windows 8 64 bits
Résolution d’écran: 1920 x 1080 1920 x 1080

Re : PC infecté.

Messagepar samgav » Jeu 8 Aoû 2019 22:10

:hello: Firebird

Firebird a écrit:Est-ce toi qui a installé les deux extensions Chrome Bureau à distance Google Chrome et Chrome Remote Desktop ?
Chrome Bureau à distance n'est pas au catalogue des extensions Chrome et je recommande de la désinstaller.
L'autre, Chrome Remote Desktop, est officielle, mais le bureau à distance est une ouverture sur ton PC, un risque permanent d'infection, et je te conseille de la désinstaller aussi, si tu n'en as pas d'utilité impérative.

Je te confirme que je suis à l'origine de l'installation de ces 2 extensions afin de trouver une alternative a TeamViewer pour mon travail car on avait un problème chez un de mes clients. Mais comme je n'en ai plus l'utilité je vais donc les désinstaller. Merci pour ce conseil :good2:



Firebird a écrit:Possèdes-tu un compte Google synchronisé ?

Oui tout à fait. Je ne peux rien te cacher :lol:


A bientôt
samgav
Helper
Helper
 
Messages: 136
Enregistré le: Jeu 29 Déc 2011 17:17
Localisation: CAEN
Google Chrome 75.0.377 Google Chrome 75.0.377
Windows 8 64 bits Windows 8 64 bits
Résolution d’écran: 1366 x 768 1366 x 768

Re : PC infecté.

Messagepar Firebird » Jeu 8 Aoû 2019 22:52

Bonsoir samgav,

samgav a écrit:
Firebird a écrit:Est-ce toi qui a installé les deux extensions Chrome Bureau à distance Google Chrome et Chrome Remote Desktop ?
Chrome Bureau à distance n'est pas au catalogue des extensions Chrome et je recommande de la désinstaller.
L'autre, Chrome Remote Desktop, est officielle, mais le bureau à distance est une ouverture sur ton PC, un risque permanent d'infection, et je te conseille de la désinstaller aussi, si tu n'en as pas d'utilité impérative.

Je te confirme que je suis à l'origine de l'installation de ces 2 extensions afin de trouver une alternative a TeamViewer pour mon travail car on avait un problème chez un de mes clients. Mais comme je n'en ai plus l'utilité je vais donc les désinstaller. Merci pour ce conseil :good2:

C'est une bonne décision. :good:


amgav a écrit:
Firebird a écrit:Possèdes-tu un compte Google synchronisé ?

Oui tout à fait. Je ne peux rien te cacher :lol:

C'est important, car il faut désactiver la synchronisation pour que l'infection ne revienne pas systématiquement.

:arrow: Désactiver la synchronisation du compte Google (merci à Jonathan :king: )
  • Ouvre Chrome et tape chrome://settings/ dans la barre d'adresse.
  • Clique sur Synchronisation sous ton profil.
  • Clique sur Gérer les données synchronisées dans Google Dashboard.
  • En bas, clique sur Redémarrer la synchronisation.
  • Cela va te déconnecter de Chrome, ferme ensuite Chrome.

Explication: toutes les informations qui ont été synchronisées avec votre compte sont supprimées, mais elles restent sur votre Chromebook. Cela signifie que des informations telles que les favoris,
les applications et les extensions présents sur le Chromebook ne s'affichent pas si vous activez la synchronisation sur un autre ordinateur.

Source : https://support.google.com/chrome/answer/185277?hl=fr

:arrow: Au retour de ton responsable, s'il donne le feu vert pour poursuivre la désinfection, fais un nouveau diagnostic FRST, en veillant à ce que les cases Shortcut.txt et Addition.txt soient cochées, puis transmets-moi les liens des rapports.

Bonne soirée et à bientôt. :hello:
@+
Patricia
Avatar de l’utilisateur
Firebird
En formation avancée
En formation avancée
 
Messages: 113
Enregistré le: Sam 17 Fév 2018 00:07
Localisation: Haute-Saône / France
Google Chrome 70.0.353 Google Chrome 70.0.353
Windows 8 64 bits Windows 8 64 bits
Résolution d’écran: 1920 x 1080 1920 x 1080

Re : PC infecté.

Messagepar samgav » Ven 9 Aoû 2019 22:55

:hello:

Firebird a écrit:C'est important, car il faut désactiver la synchronisation pour que l'infection ne revienne pas systématiquement

Le souci c'est que j'en ai besoin tous les jours.
Je vais donc rester comme ça encore quelques jours.


A bientôt
samgav
Helper
Helper
 
Messages: 136
Enregistré le: Jeu 29 Déc 2011 17:17
Localisation: CAEN
Google Chrome 75.0.377 Google Chrome 75.0.377
Windows 8 64 bits Windows 8 64 bits
Résolution d’écran: 1366 x 768 1366 x 768

Re : PC infecté.

Messagepar Firebird » Ven 9 Aoû 2019 23:51

Bonjour samgav, :cheers:

samgav a écrit:
Firebird a écrit:C'est important, car il faut désactiver la synchronisation pour que l'infection ne revienne pas systématiquement

Le souci c'est que j'en ai besoin tous les jours.
Je vais donc rester comme ça encore quelques jours.

La désactivation de la synchronisation est nécessaire le temps d'effectuer la désinfection, tu pourras la réactiver après.

:arrow: As-tu bien désinstallé les deux extensions suivantes :?:
Chrome Remote Desktop
Bureau à distance Google Chrome

:arrow: Désactive la synchronisation de Google Chrome comme je te l'ai indiqué dans mon précédent message.


:arrow: Ensuite, passe dès maintenant le correctif suivant, destiné UNIQUEMENT à supprimer les infections.


:flèche: FRST-Correction Image Ne pas utiliser ce correctif sur un autre PC Image

  • Télécharge sur le Bureau FRST64.exe.
  • Télécharge sur le bureau le fichier > fixlist.txt <
  • Ferme les applications en cours, y compris le navigateur Internet.
    Image
  • Lance FRST.exe (par clic-droit -> "Exécuter en tant qu'administrateur").
  • Clique sur le bouton [Corriger] (une seule fois) et patiente le temps de la correction.
  • Accepte le redémarrage si demandé.
  • L'outil générera un rapport fixlog.txt sur le Bureau.
  • Héberge le rapport sur Cjoint.
  • Copie/Colle le lien obtenu dans ton prochain message.

Bonne soirée. :hello:
@+
Patricia
Avatar de l’utilisateur
Firebird
En formation avancée
En formation avancée
 
Messages: 113
Enregistré le: Sam 17 Fév 2018 00:07
Localisation: Haute-Saône / France
Google Chrome 70.0.353 Google Chrome 70.0.353
Windows 8 64 bits Windows 8 64 bits
Résolution d’écran: 1920 x 1080 1920 x 1080

Re : PC infecté.

Messagepar samgav » Sam 10 Aoû 2019 14:09

:hello:

Firebird a écrit::arrow: As-tu bien désinstallé les deux extensions suivantes :?:
Chrome Remote Desktop
Bureau à distance Google Chrome

Oui cheffe :salut: :lol:



Firebird a écrit::arrow: Désactiver la synchronisation du compte Google (merci à Jonathan :king: )

Ouvre Chrome et tape chrome://settings/ dans la barre d'adresse.
Clique sur Synchronisation sous ton profil.
Clique sur Gérer les données synchronisées dans Google Dashboard.
En bas, clique sur Redémarrer la synchronisation.
Cela va te déconnecter de Chrome, ferme ensuite Chrome.

J'ai cherché un peu car ce n'est pas exactement la même procédure pour moi apparemment:
  • Ouvre Chrome et tape chrome://settings/ dans la barre d'adresse.
  • Clique sur Service Google/Synchronisation sous ton profil.
  • Clique sur Données de la synchronisation Chrome
  • En bas, clique sur Réinitialiser la synchronisation.

Or ça ne m'a pas déconnecté de Chrome j'ai dû le faire manuellement. Par contre j'ai voulu me reconnecter mais ce n'est pas le bon MP que j'ai habituellement sur les autres MP de mon taf je vais rechercher ça mon responsable m'avait envoyé un mail avec ID et MP.


Rapport FixLog: https://www.cjoint.com/c/IHkliVeiWFz

A bientôt
samgav
Helper
Helper
 
Messages: 136
Enregistré le: Jeu 29 Déc 2011 17:17
Localisation: CAEN
Google Chrome 76.0.380 Google Chrome 76.0.380
Windows 8 64 bits Windows 8 64 bits
Résolution d’écran: 1366 x 768 1366 x 768

Re : PC infecté.

Messagepar Firebird » Sam 10 Aoû 2019 22:29

Bonjour samgav, :)


samgav a écrit:
Firebird a écrit::arrow: As-tu bien désinstallé les deux extensions suivantes :?:
Chrome Remote Desktop
Bureau à distance Google Chrome

Oui cheffe :salut: :lol:

Parfait. :good:

samgav a écrit:
Firebird a écrit::arrow: Désactiver la synchronisation du compte Google (merci à Jonathan :king: )

Ouvre Chrome et tape chrome://settings/ dans la barre d'adresse.
Clique sur Synchronisation sous ton profil.
Clique sur Gérer les données synchronisées dans Google Dashboard.
En bas, clique sur Redémarrer la synchronisation.
Cela va te déconnecter de Chrome, ferme ensuite Chrome.

J'ai cherché un peu car ce n'est pas exactement la même procédure pour moi apparemment.

Merci pour l'information. :good:

samgav a écrit:Or ça ne m'a pas déconnecté de Chrome j'ai dû le faire manuellement. Par contre j'ai voulu me reconnecter mais ce n'est pas le bon MP que j'ai habituellement sur les autres MP de mon taf je vais rechercher ça mon responsable m'avait envoyé un mail avec ID et MP.

Tu m'as indiqué avoir changé tous tes mots de passe récemment en raison de tes soucis de piratage.
N'as-tu pas retenu le nouveau mot de passe du compte Google Chrome ? :réfléchi:


Le rapport fixlog est correct.
Nous finalisons le sujet.


:arrow: Purge de la quarantaine de Malwarebytes.

  • Relance Malwarebytes (clic droit==> exécuter en tant qu'administrateur).
  • Dans l'onglet Quarantaine, sélectionne tout et clique sur Supprimer.
  • Confirme la demande de suppression en cliquant sur yes.
  • Ferme Malwarebytes.

Image


Les logiciels utilisés sur ce forum sont régulièrement remis à jour, inutile de les garder. Pour Malwarebytes, tu peux le conserver et effectuer une analyse mensuelle.


:arrow: Suppression des autres outils.

:flèche: KpRm (de Kernel-panik) - (toolslib)

  • Télécharge sur le bureau : kprm.exe
  • Lance l'exécution par clic-droit -> Exécuter en tant qu'administrateur
  • Coche les cases devant :

    • Supprimer des outils (case précochée)
    • Supprimer les points de restauration
    • Créer un point de restauration
    • Sauvegarder le registre
    • Restaurer UAC
    • Restaurer les paramètres système
  • Clique sur [Exécuter]...
  • "Toutes les opérations sont terminées" -> [OK]
  • Un rapport kprm-aaaammjjhhmm.txt sera créé sur le bureau et s'ouvrira,
    (il est aussi enregistré sous C:\KPRM\kprm-aaaammjjhhmm.txt)
  • Héberge le rapport sur Cjoint
  • Donne le lien créé dans ta réponse.
    Image

Bonne soirée. :hello:
@+
Patricia
Avatar de l’utilisateur
Firebird
En formation avancée
En formation avancée
 
Messages: 113
Enregistré le: Sam 17 Fév 2018 00:07
Localisation: Haute-Saône / France
Google Chrome 70.0.353 Google Chrome 70.0.353
Windows 8 64 bits Windows 8 64 bits
Résolution d’écran: 1920 x 1080 1920 x 1080

Suivante

Retourner vers Virus / Sécurité

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Alexa [Bot] et 36 invités