PC qui s'éteint brusquement, Presenoker, ICBlunder [résolu]

[Malekal_morte]

Si tu as une erreur à la désinstallation, c'est parce que tu as supprimé le programme de désinstallation manuellement.
Laisse dans ce cas.
Sinon avec Revo : Revo Uninstaller : désinstaller proprement une application


Faut toujours d'abord passer par la désinstallation de l'application avant de supprimer des fichiers.

[BZDZ!]

Ok merci, bonne continuation à toi !

[Malekal_morte]

Merci à toi aussi !

[BZDZ!]

Malekal_morte, j'ai laissé mon PC allumé pendant que je suis sorti dehors et j'ai reçu une alerte Google de ce type sur mon téléphone. Il y a quelque chose qui cloche sur mon Windows mais je ne sais pas quoi... Ça ne m'a jamais fait ça. Au secours

[Malekal_morte]

Les vérifications à effectuer sont données dans ce tuto : https://www.malekal.com/compte-google-l ... -securite/

[BZDZ!]

Les vérifications à effectuer sont données dans ce tuto : https://www.malekal.com/compte-google-l ... -securite/

Merci pour ta réponse, j'ai fait les vérifications, installer l'extension MBAM et désactiver "envoyer une demande d'interdire le suivi" pour mon navigateur Brave. Mais je ne me suis pas reconnecter sur mon PC... La dernière fois j'ai eu accès à l'adresse IP du hacker via l'activité Google.

[Malekal_morte]

Dans le tutoriel, il n'est pas indiqué de toucher à la configuration du navigateur internet.
Il faut surtout que tu vérifies les applications autorisées à utiliser ton compte Googlt et qu'aucune malveillante, bizarre ou autres ne soient présentes.
Si c'est le cas, tu la supprimes.
Vérifie les PC et appareils autoriser à utiliser le compte Google. Là aussi, si un appareil anormal est présent, tu le supprimes
Change ton mot de passe Google ensuite.
Vois si les alertes de sécurité s'arrêtent.

[BZDZ!]

Dans le tutoriel, il n'est pas indiqué de toucher à la configuration du navigateur internet.
Il faut surtout que tu vérifies les applications autorisées à utiliser ton compte Googlt et qu'aucune malveillante, bizarre ou autres ne soient présentes.
Si c'est le cas, tu la supprimes.
Vérifie les PC et appareils autoriser à utiliser le compte Google. Là aussi, si un appareil anormal est présent, tu le supprimes
Change ton mot de passe Google ensuite.
Vois si les alertes de sécurité s'arrêtent.

Oui j'avais également fait cela. Je viens de suivre ce matin des recommandations de Google me disant que j'avais été déconnecté de mon appareil car il était infecté par un logiciel malveillant. Et c'est vrai que le problème revenait uniquement après m'être connecté sur mon PC. En faisant l'analyse offline de Windows Defender j'ai remarqué que :
- le statut du Contrôle des applications et du navigateur a désormais un statut valide (aucune action requise) et si j'ai bien compris les PUP ont été supprimés
- dans l'historique de protection, je vois ce qui s'était passé quand l'executable malveillant avait été lancé et également d'autres détails

La veille de sécurité s'est mise à jour aujourd'hui
Quand le logiciel malveillant avait été ouvert il y avait plusieurs notifications d'affilées du Contrôle des applications/navigateur par Windows Defender.
J'ai aussi réinitialiser "au cas où" les paramètres de mon navigateur internet.
Je vais me connecter dans l'après midi et surveiller ça.

[Malekal_morte]

Trojan:Script/Sabsik.FL.B!ml - là effectivement ce n'est pas bon du tout.
C'est bizarre que le scan NOD32 ne l'ai pas détecté.
Apparemment le Trojan s'est introduit le 01 Janvier à 19h.

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2022-01-01 19:00 - 2022-01-01 19:00 - 000000000 ____D C:\Users\larab\AppData\Roaming\NCH Software
2022-01-01 18:59 - 2022-01-01 18:59 - 000000000 ____D C:\Users\larab\AppData\Roaming\unbong
2022-01-01 18:33 - 2022-01-01 18:33 - 000000000 ____D C:\Users\larab\AppData\Roaming\Design Science
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

~~

Refais un scan FRST et donne les rapports.

[BZDZ!]

C'est fait, le fichier FRST était dans Téléchargements donc j'ai fais directement la manip en restant dans ce dossier. Après la correction mon PC a lutté pour redemarrer, notamment à l'ouverture de la session qui a pris du temps à afficher les logos épinglés à la barre des tâches.

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 10-01-2022
Exécuté par larab (10-01-2022 13:59:54) Run:1
Exécuté depuis C:\Users\larab\Downloads
Profils chargés: larab
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
2022-01-01 19:00 - 2022-01-01 19:00 - 000000000 ____D C:\Users\larab\AppData\Roaming\NCH Software
2022-01-01 18:59 - 2022-01-01 18:59 - 000000000 ____D C:\Users\larab\AppData\Roaming\unbong
2022-01-01 18:33 - 2022-01-01 18:33 - 000000000 ____D C:\Users\larab\AppData\Roaming\Design Science
Hosts:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
C:\Users\larab\AppData\Roaming\NCH Software => déplacé(es) avec succès
C:\Users\larab\AppData\Roaming\unbong => déplacé(es) avec succès
C:\Users\larab\AppData\Roaming\Design Science => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.


Le système a dû redémarrer.

==== Fin de Fixlog 14:01:20 ====

Shortcut : https://pjjoint.malekal.com/files.php?i ... 15b12j7u14
FRST : https://pjjoint.malekal.com/files.php?i ... x14n9j8g12
Addition : https://pjjoint.malekal.com/files.php?i ... 11g9s12m12

[Malekal_morte]

ok pour FRST.

Pour ton Compte Google, vérifie bien tout cela :

Il faut surtout que tu vérifies les applications autorisées à utiliser ton compte Googlt et qu'aucune malveillante, bizarre ou autres ne soient présentes.
Si c'est le cas, tu la supprimes.
Vérifie les PC et appareils autoriser à utiliser le compte Google. Là aussi, si un appareil anormal est présent, tu le supprimes
Change ton mot de passe Google ensuite.

MBAM n'avait rien détecté ?
Mets le à jour et refais un scan aussi, histoire de voir s'il n'y a plus rien.

[BZDZ!]

J'ai bien fait plusieurs fois les vérifications des appareils connectés et des applications tierces ayant accès à mes comptes Google (WhatsApp Messenger et Samsung My Files) ainsi que les changements de mots de passse.
J'ai redémarré mon ordinateur suite au débranchement inattentif d'un de mes proches et le démarrage du PC est toujours aussi capricieux pour charger les éléments de la barre des tâches.
MBAM avait détecté des menaces mais je ne te ments pas que je n'y ai pas prêté attention vu que nous avions fait déjà les manipulations avec FRST et que j'avais des PUP. Je viens de le réinstaller et voilà :
-Détails du journal-
Date de l'analyse: 10/01/2022
Durée d'analyse: 17:51
Fichier journal: 9ada7f7a-7235-11ec-8ec2-40167e9cbbfc.json

-Informations du logiciel-
Version: 4.5.0.152
Version de composants: 1.0.1538
Version de pack de mise à jour: 1.0.49624
Licence: Essai

-Informations système-
Système d'exploitation: Windows 10 (Build 19043.1415)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-LPDHDKK\larab

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 318113
Menaces détectées: 2
Menaces mises en quarantaine: 0
Temps écoulé: 14 min, 35 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Détection
PUM: Détection

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 0
(Aucun élément malveillant détecté)

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 1
PUP.Optional.Conduit, HKU\S-1-5-21-3836288900-472609194-4126119095-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|START PAGE, Aucune action de l'utilisateur, 181, 293058, 1.0.49624, , ame, , ,

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 1
PUP.Optional.OpenCandy, C:\USERS\LARAB\DOWNLOADS\CDBURNERXP_4-5-8-7128_FR_18424_32.EXE, Aucune action de l'utilisateur, 1294, 999248, 1.0.49624, , ame, , 0037C0F1B219E6C03117451CC48F55FB, 04B7DE2BAD29F978F2386400DEC309FA69A3DDFBED04278D1B96D6F5FB9FE77A

Secteur physique: 0
(Aucun élément malveillant détecté)

WMI: 0
(Aucun élément malveillant détecté)


(end)

[Malekal_morte]

Mouais que des PUP dans les détections, pas de Trojan.
Dans tous les cas, la correction FRST a rendu le Trojan inactif.
Il est aussi détecté par Windows Defender qui peut normalement le neutraliser.

Change bien TOUS tes mots de passe.

Fais des analyses ces prochains jours et vois si tu rencontres de nouvelles détections.
Et maintenant, évite de télécharger tout et n'importe quoi et notamment des cracks.

[Parisien_entraide]

Bonsoir,

J'ai noté que tu utilisais les outils de https://www.aiseesoft.com (surement pour du déverrouillage de Smartphone)

Je te conseille de tout désinstaller. Nombre de personnes ont perdu TOUTES leurs données smartphone avec leur outil

Ensuite regarde le site :

Les informations sur l'entreprise sont louches.
Ils ne suivent pas le RGPD
il n'y a pas de profil d'entreprise.
Pas d'adresse,
Pas de siège,
Pas de PDG,
Aucune information.

Le site a beau exister depuis 13 ans cela ne veut rien dire (et le propriétaire dissimule son identité)

Donc à fuir comme tous les sites du genre

[BZDZ!]

Mouais que des PUP dans les détections, pas de Trojan.
Dans tous les cas, la correction FRST a rendu le Trojan inactif.
Il est aussi détecté par Windows Defender qui peut normalement le neutraliser.

Change bien TOUS tes mots de passe.

Fais des analyses ces prochains jours et vois si tu rencontres de nouvelles détections.
Et maintenant, évite de télécharger tout et n'importe quoi et notamment des cracks.

Salut, j'ai changé mes mots de passe.
Le démarrage de mon PC est toujours lent par rapport à avant. Le Trojant est inactif mais peut-il être supprimé ?
En cas de réinitialisation est-on sûr de ne plus avoir de virus et que tout rentre dans l'ordre ? Merci d'avance pour ta réponse.

Bonsoir,

J'ai noté que tu utilisais les outils de https://www.aiseesoft.com (surement pour du déverrouillage de Smartphone)

Je te conseille de tout désinstaller. Nombre de personnes ont perdu TOUTES leurs données smartphone avec leur outil

Ensuite regarde le site :

Les informations sur l'entreprise sont louches.
Ils ne suivent pas le RGPD
il n'y a pas de profil d'entreprise.
Pas d'adresse,
Pas de siège,
Pas de PDG,
Aucune information.

Le site a beau exister depuis 13 ans cela ne veut rien dire (et le propriétaire dissimule son identité)

Donc à fuir comme tous les sites du genre

Bonjour, ce n'est pas un logiciel pour les smartphones mais un programme pour enregistrer mon écran Windows, notamment des conversations vidéos. Si tu connais un bon programme gratuit qui enregistre le son du système et à la fois celui-du microphone pour sauvegarder une consultation vidéo par exemple, je suis "tout ouïe"