dossier Razer, TR/Dropper.Gen

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

nayro57
newbie
newbie
Messages : 24
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 16 févr. 2017 13:46

Yes, en espérant que la chose qui leur a permis d'avoir mon mot de passe ne soit plus là, tant que mon PC est safe et sur ce point je te fais confiance, ça me rassure déjà ^^ Le truc du fichier razer confirmé en tant que virus par avira m'a vraiment fait flipper :/

Je suis un grand parano, je regarde plusieurs fois par jour maintenant l'historique des connexions à mon compte PDT_007 j'ai toujours cette "peur" que ça se reproduise :(

Merci encore pour ton aide en tous cas PDT_016

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84221
Inscription : 10 sept. 2005 13:57
Contact :

Re: dossier Razer, TR/Dropper.Gen

Message par Malekal_morte » 16 févr. 2017 17:17

Tu sais que tu peux activer la validation en deux étapes ?
=> Tutoriel : Comment gérer son compte Microsoft.

Tu as cela sur tous les "gros" comptes maintenant : Google, Paypal (Sécuriser son compte en ligne Paypal).
Même si le mot de passe est récupéré, il faut ton téléphone portable pour pouvoir s'identifier.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

nayro57
newbie
newbie
Messages : 24
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 16 févr. 2017 18:33

Yes c'est une super idée ! Je le ferai, mais je voudrais d'abord savoir si une connexion malicieuse se reproduit ou non histoire d'être sûr que la "chose" qui a permis de le récupérer n'est plus là ^^

Je l'avais fait sur mon compte battle.net il y a quelques années, puis enlevé pensant être en sécurité sur mon PC sur lequel je ne fais absolument rien de "bizarre" ou "dangereux", mais vu que ces comptes sont aussi présent sur mon téléphone ou mon mac sur lesquels je suis un peu moins parano et où je fais davantage de choses, je vais probablement les remettre en place.

Merci PDT_016

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84221
Inscription : 10 sept. 2005 13:57
Contact :

Re: dossier Razer, TR/Dropper.Gen

Message par Malekal_morte » 17 févr. 2017 10:15

ok PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

nayro57
newbie
newbie
Messages : 24
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 17 févr. 2017 11:09

Bon et bien j'ai checké sur le compte, il y a une nouvelle tentative de synchro des mails de la Chine qui a toujours échouée, donc bonne nouvelle :D à mon avis c'est un script de récupération qui tourne derrière avec un bot d'analyse voir s'il trouve pas des informations utiles type carte bancaire, compte paypal ou autre.

Par contre j'ai toujours cette connexion bizarre qui revient et qui elle réussie, où il me dit :
appareil/plateforme
Windows
Navigateur/application
Inconnue
Adresse IP
Inconnue

Ce qui est bizarre c'est qu'à chaque fois que j'ai eu cette connexion mon PC était éteint et j'étais sur mon mac (et le téléphone portable qui tourne en permanence bien sûr). J'ai peut-être pensé à skype sur mon téléphone ou sur mon mac, je sais pas trop.
M'enfin ça semble bizarre mais en tout cas c'est pas la première fois que je le vois et c'est pas pour autant que la tentative de connexion de la Chine réussie, donc j'imagine que c'est un truc sur le mac qui fait cette connexion, mais ça m'intrigue quand je ne sais pas ce qu'il se passe (comme pour l'histoire du virus trouvé dans le dossier Razer, ça m'énerve de pas savoir si c'était réellement un faux positif, pourquoi avira a trouvé que c'était un virus et comment cette merde aurait pu arriver là vu ce que je fais du PC si ça en est vraiment un ^^).

Je vais mettre la double authentification avec le téléphone ce week-end je pense, et voir si cette connexion revient, comme ça j'aurais la confirmation que c'est un de mes appareils qui la génère :)

nayro57
newbie
newbie
Messages : 24
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 27 févr. 2017 15:42

Resalut,

10 jours sont passées depuis mon dernier message, et sans activité suspecte, j'ai mis la validation en deux étapes sur le compte. J'ai aussi supprimé mon adresse msn de l'application "mail" du mac et de mon téléphone, sur mon mac plus rien pour gérer mes mails de cette adresse, sur le téléphone, j'ai installé carrément l'application outlook.

Après autant de temps je pensais être débarrassé de tout ça, et bien nan, une synchronisation réussie à mon compte mail a de nouveau été détectée, cette fois depuis l'Equateur... et même avec l'authenticator !

Une image de l'activité de mon compte, j'ai à nouveau changé mon mot de passe tout de suite après avoir reçu le mail d'information :
connexion_frauduleuse_compte_microsoft.png
Voici les machines et applications que j'utilise avec mon compte :
- PC dont j'ai parlé depuis le début du topic avec la détection à la base du Dropper.gen :
Windows store, skype

- Mac :
Skype, connexion sur chrome pour vérifier régulièrement l'activité du compte

- Téléphone :
Application outlook, skype

Là je t'avoue que je stresse beaucoup, je ne sais plus quoi faire :/ Encore une fois pas de connexion directe au compte juste une synchronisation de mails, et mes autres comptes semblent être ok (deux comptes gmail dont les mails sont synchronisés sur le mac et le téléphone). C'est comme s'ils n'avaient pas le mot de passe mais juste une sorte de token leur permettant de se synchroniser, c'est bizarre...Normalement si ça avait été une connexion j'aurais du recevoir soit une demande d'approbation de l'authenticator, soit une proposition par mail de créer un mot de passe d'application grâce à la validation en deux étapes...

Si tu as une idée je suis preneur, je suis vraiment perdu là :(


Edit :
Je précise qu'hier j'étais à nouveau chez mes parents, les activités suspectes ont à priori commencées le jour suivant le changement de connexion et de box de mes parents, c'est étrange quand même... Pour info j'étais ce week-end chez mes parents avec juste mon téléphone et mon mac (le PC étant resté dans mon appartement)

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84221
Inscription : 10 sept. 2005 13:57
Contact :

Re: dossier Razer, TR/Dropper.Gen

Message par Malekal_morte » 27 févr. 2017 16:20

Tu retournes chez tes parents quand ?
Ils ont un Windows 10 et un compte Microsoft pour vérifier les connexions ?

SInon pour vérifier le PC un coup de Malwarebytes Anti-Malware (MBAM ) et
FRST en donnant les rapports via pjjoint.

Tu n'utilises pas de VPN ?

Si tu veux vérifier à nouveau ton ordinateur, on peut refaire un FRST.

Pour ton téléphone et Mac, je ne pourrai pas les vérifier.

Je ne connais pas l'authentificator de Microsoft, mais pour celui de Google, tu n'as aucun contact ou mail.
Il génère un code à instant T qu'il faut utiliser sur la page d'authentification.
Après il est aussi possible d'enregistrer un ordinateur.

As-tu vérifié dans ton compte Microsoft, les ordinateurs autorisés ou autres ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

nayro57
newbie
newbie
Messages : 24
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 27 févr. 2017 16:40

Tu retournes chez tes parents quand ?
Ils ont un Windows 10 et un compte Microsoft pour vérifier les connexions ?

=> je vais chez mes parents à peu prêt tous les week-ends, mais ils n'ont pas de windows 10 ou de compte microsoft pour vérifier les connexions, uniquement deux tablettes avec des comptes gmail.

SInon pour vérifier le PC un coup de Malwarebytes Anti-Malware (MBAM ) et
FRST en donnant les rapports via pjjoint.
=> je ferai ça ce soir
Tu n'utilises pas de VPN ?
=> non
Si tu veux vérifier à nouveau ton ordinateur, on peut refaire un FRST.
=> comme tu l'as proposé plus haut je vais faire un scan MBAM et un FRST et je t'enverrai les rapports
Pour ton téléphone et Mac, je ne pourrai pas les vérifier.
=> Ok je comprend, ce sont d'autres technologies, le mac est assez ancien et malheureusement je n'ai pas les mêmes réflexes qu'avec mon PC, je ne fait pas autant gaffe aux sites sur lesquels je vais, aux téléchargements que je fais et il n'est pas à jour, je vais peut-être essayer un anti virus
Je ne connais pas l'authentificator de Microsoft, mais pour celui de Google, tu n'as aucun contact ou mail.
Il génère un code à instant T qu'il faut utiliser sur la page d'authentification.
Après il est aussi possible d'enregistrer un ordinateur.
=> celui de microsoft fonctionne un peu différemment, à la connexion il te demande d'approuver la connexion sur l'appli du smartphone (chose que je n'ai pas eu lors de la synchro venant de l'Equateur), ou encore lorsque l'application n'est pas supportée par Microsoft il faut créer un mot de passe d'application (de ce côté là gmail semble fonctionner pareil).

As-tu vérifié dans ton compte Microsoft, les ordinateurs autorisés ou autres ?

=> J'ai ça :
appareil_confiance_compte_microsoft.png
Semblerait qu'il n'y ait pas d'appareil de confiance de paramétré...


Je suis complètement stressé :/

Edit :
Et au passage je comprend vraiment pas, j'ai un compte battle.net, un compte steam, deux comptes gmail, et il s'attaque au compte msn vieux de 10 ans... Et cette histoire de simplement synchroniser les mails et ne jamais se connecter directement au compte je trouve ça bizarre, comme s'il arrivait simplement à chopper le token de connexion qui se refresh sans jamais se connecter directement, c'est bizarre...

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84221
Inscription : 10 sept. 2005 13:57
Contact :

Re: dossier Razer, TR/Dropper.Gen

Message par Malekal_morte » 27 févr. 2017 18:08

Dans ta capture, ce sont des relevés IMAP.
Possible qu'il soit possible de relever les mails directement par un client mail sans être sujet à la double authentification.
Seul le mot de passe suffit.

En plus tu as changé ton mot de passe depuis la dernière fois, donc apparemment, il a été à nouveau récupéré.

Tu devrais le rechanger et voir comment ça évolue, s'ils n'arrivent plus à récupérer le nouveau mot de passe, ça peut être l'ordinateur de tes parents.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

nayro57
newbie
newbie
Messages : 24
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 27 févr. 2017 18:30

Comme je l'ai dit dans mon message précédent mes parents n'ont pas de PC, juste deux tablettes, et ces deux tablettes n'ont pas mon compte msn de synchronisé

Sinon oui semblerait qu'il ait été de nouveau récupéré et oui j'ai à nouveau changé le mot de passe directement après avoir eu cette connexion bizarre ce matin... Et en effet je doute qu'en IMAP il y ait la double authentification, néanmoins quand j'avais essayé de me connecter via l'application mail du mac (et donc le protocole exchange), il avait refusé la connexion et j'avais eu un mail de microsoft me demandant de générer un mot de passe destinée à une seule application. Tout ça est assez bizarre :/

Ou alors il ne réussit peut-être pas à chopper le mot de passe directement mais juste un token d'authentification qui transite sur le réseau, ce qui expliquerait pourquoi il ne se connecte pas directement au compte. Et pourquoi ne s'attaquer qu'au compte msn avec tout ce qu'il y a à côté, je sais pas du tout :/

Pour être honnête je suis complètement parano quand il s'agit de la sécu et des virus, je flippe à mort là d'avoir une merde sur un de mes appareils. J'espère qu'on va réussir à trouver d'où ça vient :( (et au passage merci encore de me filer un coup de main ^^)

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84221
Inscription : 10 sept. 2005 13:57
Contact :

Re: dossier Razer, TR/Dropper.Gen

Message par Malekal_morte » 27 févr. 2017 19:17

ok.
Regarde si tu n'as pas une page de contact ou de support sur le site de gestion de compte compte Microsoft.
Microsoft peut peut-être faire quelque chose ou donner plus d'informations.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

nayro57
newbie
newbie
Messages : 24
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 27 févr. 2017 20:08

Ok je vais regarder sur le site essayer de trouver un support ou quelque chose dans le genre.

Le scan MBAM semble n'avoir rien trouvé, voici le rapport (cela dit l'analyse a été très rapide... je sais pas si c'est normal) :
http://pjjoint.malekal.com/files.php?id ... 1q14q6r9u5

J'ai aussi fait le scan FRST comme tu m'as demandé, voici les trois fichiers :
FRST : http://pjjoint.malekal.com/files.php?id ... 13f15j13y8
Addition : http://pjjoint.malekal.com/files.php?id ... 15d7c13h10
Shortcut : http://pjjoint.malekal.com/files.php?id ... l15i1511n6

nayro57
newbie
newbie
Messages : 24
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 27 févr. 2017 21:38

Resalut,

En plus de mon précédent message, j'apporte quelques informations supplémentaires :
- j'ai fais un scan MBAM sur mon mac aussi, rien n'a été détecté
- j'ai fait un scan avec CM security et Avast sur mon téléphone, aucune détection
- j'ai contacté le support technique de Microsoft, j'ai eu une personne lors d'un tchat écrit avec qui j'ai pu regarder quelques informations et options de mon compte. On a regardé s'il n'y avait pas de transfert de mails de configuré, ça n'était pas le cas. Il m'a demandé de vérifier les connexions à mon compte, je lui ai dit qu'aucune connexion à mon compte n'avait été enregistrée, seule une synchronisation de mail depuis l'Equateur qui a réussie.

Il m'a dit qu'il était impossible de contourner la validation en deux étapes, et la seule possibilité qu'il a trouvé était que j'avais un VPN de configuré. Je lui ai dit qu'à priori sauf erreur de ma part aucun VPN n'avait été configuré, et qu'en plus je n'avais plus aucune application qui se chargeait de synchroniser les mails, seule une application récupère mes mails et c'est l'application Outlook de Microsoft qui ne semble pas utiliser de synchronisation automatique (je n'avais aucune entrée dans la partie synchronisation automatique depuis que j'avais supprimé mon adresse de l'application mail de mon mac et de mon téléphone, ils utilisent peut-être une récupération directe vu que c'est en interne). Malgré cela il me dit que la seule possibilité qu'il voit ça serait un VPN.

Il m'a redirigé vers la communauté Microsoft en me demandant d'y poster une question lorsque je lui ai demandé s'il était possible de contacter un expert en sécurité. Je le ferai quand j'aurai un peu de temps.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84221
Inscription : 10 sept. 2005 13:57
Contact :

Re: dossier Razer, TR/Dropper.Gen

Message par Malekal_morte » 27 févr. 2017 23:06

Tes rapports sont toujours corrects.
Pour moi ton ordinateur n'est pas infecté.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

nayro57
newbie
newbie
Messages : 24
Inscription : 10 févr. 2017 12:07

Re: dossier Razer, TR/Dropper.Gen

Message par nayro57 » 28 févr. 2017 01:40

Okok, bonne nouvelle déjà c'est qu'à priori ça ne viendrait pas du PC, j'ai regardé un peu le fichier shortcut.txt, j'ai un peu flippé quand j'ai vu la grande ligne avec des symboles chinois
Shortcut: C:\Users\jonathan\Links\RecentPlaces.lnk -> L ᐁ À 䘀 耟穭⊇㞡䘚낑�깚馼 ė ꀀŠ 匱卐뜥䟯ယ怂麌곫=
ἀ ᔀ 䔀洀瀀氀愀挀攀洀攀渀琀猀 爀挀攀渀琀猀 ㄀ Ѐ Dossier système  匱卐檦⡣锽ᇒ횵쀀�퀘e ἀ ⤀ 㨀㨀笀㈀㈀㠀㜀㜀䄀㘀䐀ⴀ㌀㜀䄀㄀ⴀ㐀㘀㄀䄀ⴀ㤀㄀䈀 ⴀ䐀䈀䐀䄀㔀䄀䄀䔀䈀䌀㤀㤀紀
Et ce qui est un peu bizarre aussi je vois qu'il parle de Firefox, que je n'ai pas sur le PC, mais bon au vu de la vieillesse de l'install (presque 2 ans), il se peut que je l'avais d'installé il y a longtemps et que ça soit des restes, je ne sais pas trop.

Je vais suivre les conseils de la personne de Microsoft et je vais poster sur leur forum communautaire un post demain, je te tiendrai au courant.

Par contre j'ai eu avant un gros coup de stress, vu qu'il avait parlé de vpn, je me suis dit que j'allais checker mon ip pour voir sur mon mac et mon PC, du coup je suis allé sur un site pour l'avoir et avec le PC je suis allé sur mon-ip.org, et là j'ai Malwarebytes Anti-Malware (MBAM ) qui me dit qu'il a bloqué le site findbetterresults.com à plusieurs reprises et là j'ai été redirigé sur un site bizarre où tout était bleu dans le site avec des textes un peu bizarres me disant que le PC est infecté et qu'il fallait appeler un numéro de téléphone.
Bon l'arnaque de base quoi j'ai fermé l'onglet puis voilà je me suis dit rien de bien grave, sauf qu'ensuite mon PC ramait à fond, plus moyen d'ouvrir quoi que ce soit, même pas un site ou même le gestionnaire de tâche...
Du coup j'ai du éteindre le PC avec le bouton, au redémarrage tout semblait bien aller (j'ai joué toute la soirée sans souci), j'ai vidé historique/cache/etc. de chrome, et fait une analyse sur les dossiers ProgramData et dans mon dossier utilisateur, et une analyse MBAM, rien de trouvé, ça a l'air d'aller mais si ça ne te dérange pas je te met en dessous trois rapports de FRST juste pour être sûre, ça m'a un peu fait flipper ^^"

FRST : http://pjjoint.malekal.com/files.php?id ... 6v12x11x12
Addition : http://pjjoint.malekal.com/files.php?id ... 8l99p13z12
Shortcut : http://pjjoint.malekal.com/files.php?id ... 4z8q6i15b6

Voilou désolé de te donner encore des rapports ^^" merci encore pour ton temps :)

Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 9 invités