Doute de virus double accent circonflexe [résolu]

[PaperStreet]

Je n'avais pas vu cette partie de ton message, je suis navré.

J'ai donc tout bien changé, de nouveau tous les mots de passes, les logins, le nom d'utilisateur, les réglages de mon browser, installé les bons antimalware, les bons réglages de part feu...grâce à la longue liste d'informations ultra intéressante sur ce forum et site.

Merci à tous pour votre aide.

[PaperStreet]

Bonjour à tous, merci pour toute votre aide précédente, j'ai bien avancé depuis et ai fait de bonnes lectures.

Afin de tout bien vérifier, d'éviter à d'autres les mêmes erreurs (stupides) et être sûr que je n'ai plus d'autres actions à faire j'ai plusieurs questions:

- Après beaucoup de lecture, j'ai pu lire sur le site et sur le forum que ce genre de trojan "Wacatac" était potentiellement un RAT ?
- Le fait que j'avais les doubles accents circonflexe affirme qu'il y avait bel et un keylogger ?
- Peut-ton avoir un keylogger sans avoir un RAT avec backdoor ?
- Avaient-ils complet accès à mon PC ? Ai-je un moyen de le vérifier ?
- Depuis quand si c'est le cas ? Depuis AOUT 2021 si je lis bien l'extrait de mon rapport FRST qu'à posté dans ce fil Malekal Morte? Pouvait-il être présent depuis plus longtemps encore?
- Du fait que windows defender l'ait détecté est ce qu'il à bloqué les accès afin qu'ils n'aient pas total accès à mon PC même si il restait des résidus d'après la fixlist que ma conseillé Malekal Morte ? (Javais depuis depuis Février installé Norton, je ne sais pas si cela fait une différence)

- C'est ma première plus grosse craintes : avais-je un backdoor?
Que fait ce Trojan en général autre que Botnet, mining et keylogger ? Volent-ils les documents (administratifs, clients), des photos et vidéos stockées..? Si oui, puis-je vérifier si un dossier à déjà était "envoyé" en ligne? (à noter que je n'ai eu aucune trace de ransomware ou blackmail à ce jour et est ce que cela peut arriver encore à présent?)

- Ma deuxième grosse craintes est : A-t-il pû infecter tout mon network (je pense à accéder à tous les appareils connectés sur ma box et y accéder ? Activer des caméras de sécurité, de téléphones ou autres devices sur le même network ?
- dois-je prendre des actions à présent que j'ai même réinitialisé mon PC pour repartir sur des bases saines et bien suivre tous les conseils du site et du forum?
- Peuvent-ils toujours (si ça à été déjà le cas) avoir accès à mes identifiants de mon FAI, de mon network, ma box (et donc mes caméras, téléphones...et les activer? Utiliser ma connexion comme proxy ?...

Pour rappel, voici les infos que j'ai pu avoir de mes analyses avant d'avoir réinitialisé mon PC:

TDSKiller : rien de repéré.

Scan MBAM :

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 373805
Menaces détectées: 6
Menaces mises en quarantaine: 0
Temps écoulé: 2 min, 34 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Détection
PUM: Détection

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 1
Trojan.BrowserHijack, C:\PROGRAM FILES (X86)\COMMON FILES\CONTROLDISCOVER\YOGOPINS\NETR3C_WZAG.DLL, Aucune action de l'utilisateur, 2471, 955723, , , , , 849A36E9CF3481D50C602CEA1FAB59DF, 120117664D04F192DD9F9198407DA328512BB1C041050147F9223B7E469586B8

Clé du registre: 3
Trojan.BrowserHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Microsoft\Windows\PI\WSTPQuery, Aucune action de l'utilisateur, 2471, 955723, , , , , ,
Trojan.BrowserHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{F63EB0A5-55B3-481C-A13D-870AC76662DA}, Aucune action de l'utilisateur, 2471, 955723, , , , , ,
Trojan.BrowserHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\BOOT\{F63EB0A5-55B3-481C-A13D-870AC76662DA}, Aucune action de l'utilisateur, 2471, 955723, , , , , ,

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 2
Trojan.BrowserHijack, C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\PI\WSTPQuery, Aucune action de l'utilisateur, 2471, 955723, , , , , 7793BFE818DE0C6FC8E881105F7B118B, 8C0267CBEA24B6A187FDA4B87B420642C8189A81590C9521C4063118A3DB8635
Trojan.BrowserHijack, C:\PROGRAM FILES (X86)\COMMON FILES\CONTROLDISCOVER\YOGOPINS\NETR3C_WZAG.DLL, Aucune action de l'utilisateur, 2471, 955723, 1.0.61277, , ame, , 849A36E9CF3481D50C602CEA1FAB59DF, 120117664D04F192DD9F9198407DA328512BB1C041050147F9223B7E469586B8

Secteur physique: 0
(Aucun élément malveillant détecté)

WMI: 0
(Aucun élément malveillant détecté)


(end)

---------------------------------------------

Scan FRST :

Date: 2021-08-12 15:13:28
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Wacatac.B!ml
ID : 2147735505
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\Charles MILLS\AppData\Local\NSogs2\NSogs2.exe
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : MILLS-PC\Charles MILLS
Nom du processus : C:\Windows\explorer.exe
Version de la veille de sécurité : AV: 1.345.381.0, AS: 1.345.381.0, NIS: 1.345.381.0
Version du moteur : AM: 1.1.18400.4, NIS: 1.1.18400.4

----------------------------------

J'espère juste être parano et être loin de la vérité mais je préfère bien vérifier afin de savoir à quoi je me suis sensiblement exposé et surtout faire le nécessaire afin que cela n'arrive plus (en plus d'éviter les erreurs stupides futurs).

Merci d'avance pour votre aide.

[Parisien_entraide]

Tu as une grande partie des réponses à tes questions dans le message de la page précédente de Malekal en date du » 20 oct. 2022 14:24

Ce qui a été fait : mots de passe volés (c'est indiqué)
A partir de là que l'infection soit en place depuis janvier ou aout, c'est secondaire

A lire https://www.malekal.com/browser-hijacke ... -internet/

Si c'était un ransomware, les données seraient volées, puis cryptées et tu aurais eu un message de paiement de rançon

Sur Trojan:Win32/Wacatac.
https://www.malekal.com/comment-supprim ... n-wacatac/
https://www.malekal.com/rat-remote-access-tool-botnet/

Si tu cherches quelque chose de précis tu tapotes dans le moteur de recherche

Malekal et ce que tu cherches
forum malekal et ce que tu cherches

[PaperStreet]

Tu as une grande partie des réponses à tes questions dans le message de la page précédente de Malekal en date du » 20 oct. 2022 14:24

Ce qui a été fait : mots de passe volés (c'est indiqué)
A partir de là que l'infection soit en place depuis janvier ou aout, c'est secondaire

A lire https://www.malekal.com/browser-hijacke ... -internet/

Si c'était un ransomware, les données seraient volées, puis cryptées et tu aurais eu un message de paiement de rançon

Sur Trojan:Win32/Wacatac.
https://www.malekal.com/comment-supprim ... n-wacatac/
https://www.malekal.com/rat-remote-access-tool-botnet/

Si tu cherches quelque chose de précis tu tapotes dans le moteur de recherche

Malekal et ce que tu cherches
forum malekal et ce que tu cherches

Je te remercie beaucoup pour ta patience et tes réponses.
J'ai bien relus ces articles que j'avais justement lu cette nuit déjà. (et qui m'ont justement fait me poser toutes ces questions supplémentaires)

J'ai essayé de trouver ces réponses justement sur Malekal et sur le forum mais j'ai toujours un doute d'avoir bien compris (ou si je n'ai pas bien tapé les bons mots clés par exemple). J'ai aussi "oui" et "non" comme déduction.

Donc pour toi, la "seule chose" qui à été faite à été les mots de passes volés?
Pas de vol d'autres infos et dossiers personnelles ?
Pas de connexions à mes devices sur mon network avec possibilité d'y accéder et de les contrôler ...?
Et que si il y avait ce genre de risque Malekal Morte me l'aurait dit et de faire d'autres manips c'est bien ça?

J'ai bien compris ?

[Parisien_entraide]

Malekal a indiqué "Change tous tes mots de passe, ils ont été volés"

Si il ne parle pas du reste c'est qu'il n'y a rien
Si tu as changé les mots de passe c'est tout bon

Le seul risque si il y a une adresse mail volée (mais que tu as changé le mot de passe) c'est le phishing maintenant
Si ils ont eu accès à la boite mail tes contacts subiront le meme sort

Le piège c'est que lorsqu'"on s aperçoit qu'il a eu piratage , c'est d'avertir ses contacts puisque si tout est encore en place et que le mot de passe n'est pas changé, les "pirates" peuvent voir à qui tu t'adresses etc ce qui leur donne des infos complémentaires

Ce qu'il faut savoir aussi c'est ce que valent les données volées et à quoi cela se rapporte
Une adresse mail (sauf si tu es quelqu'un de très connu) c'est secondaire

Lorsqu'il y a vol de données, il y en ensuite des "petites mains" (même si parfois automatisés) qui vont tester ce qui rapporte le plus
En plus les voleurs manquent de personnel (il y a trop de vol de données) pour tout tester dans un très court laps de temps et une adresse mail finira sur une boite merdique de revente pour de la pub

Les comptes facebook et instagram sont très recherchés par ex (le must Linkedin)

Lire le dernier message
viewtopic.php?t=62280&start=60

[PaperStreet]

Malekal a indiqué "Change tous tes mots de passe, ils ont été volés"

Si il ne parle pas du reste c'est qu'il n'y a rien
Si tu as changé les mots de passe c'est tout bon

Le seul risque si il y a une adresse mail volée (mais que tu as changé le mot de passe) c'est le phishing maintenant
Si ils ont eu accès à la boite mail tes contacts subiront le meme sort

Le piège c'est que lorsqu'"on s aperçoit qu'il a eu piratage , c'est d'avertir ses contacts puisque si tout est encore en place et que le mot de passe n'est pas changé, les "pirates" peuvent voir à qui tu t'adresses etc ce qui leur donne des infos complémentaires

Ce qu'il faut savoir aussi c'est ce que valent les données volées et à quoi cela se rapporte
Une adresse mail (sauf si tu es quelqu'un de très connu) c'est secondaire

Lorsqu'il y a vol de données, il y en ensuite des "petites mains" (même si parfois automatisés) qui vont tester ce qui rapporte le plus
En plus les voleurs manquent de personnel (il y a trop de vol de données) pour tout tester dans un très court laps de temps et une adresse mail finira sur une boite merdique de revente pour de la pub

Les comptes facebook et instagram sont très recherchés par ex (le must Linkedin)

Lire le dernier message
viewtopic.php?t=62280&start=60

Je te remercie une fois de plus pour cette réponse. C'est très instructif.

J'ai tout bien changé en effet (mot de passe). Je vais néanmoins prévenir mes contacts qu'ils risquent d'avoir des mails de fishing comme tu le conseils.

Quand tu parles de "ce que valent les données volées" des "petites mains qui vont tester ce qui rapporte le plus" et "qu'il y a trop de vol de données", tu parles donc d'adresses mail, mot de passe et comptes facebook/insta... ?
Pas de données dossiers/fichiers stockés/photos...

Le dernier article que tu as linké est très intéressant. Merci.

[Parisien_entraide]

Tu as des soucis de lecture....

Tu as écris "

Je vais néanmoins prévenir mes contacts qu'ils risquent d'avoir des mails de fishing comme tu le conseils.

Ce n'est pas ce que je dis.. J'ai écris

"Le piège c'est que lorsqu'"on s aperçoit qu'il a eu piratage , c'est d'avertir ses contacts puisque si tout est encore en place et que le mot de passe n'est pas changé, les "pirates" peuvent voir à qui tu t'adresses etc ce qui leur donne des infos complémentaires

C'est donc une manipulation à NE PAS FAIRE, tant que l'on est certain que le malware n'est pas éradiqué, et que l'on n'a pas encore changé les mots de passe

Ensuite cela peut etre fait effectivement mais ce n'est pas ce que j'avais dis dans ma phrase

Pour les petites mains.. OUI
Pour les données volées il peut y avoir du chantage par la suite mais ils volent et cryptent les données avant ce qui n'est pas ton cas

[PaperStreet]

Tu as des soucis de lecture....

Tu as écris "

Je vais néanmoins prévenir mes contacts qu'ils risquent d'avoir des mails de fishing comme tu le conseils.

Ce n'est pas ce que je dis.. J'ai écris

"Le piège c'est que lorsqu'"on s aperçoit qu'il a eu piratage , c'est d'avertir ses contacts puisque si tout est encore en place et que le mot de passe n'est pas changé, les "pirates" peuvent voir à qui tu t'adresses etc ce qui leur donne des infos complémentaires

C'est donc une manipulation à NE PAS FAIRE, tant que l'on est certain que le malware n'est pas éradiqué, et que l'on n'a pas encore changé les mots de passe

Ensuite cela peut etre fait effectivement mais ce n'est pas ce que j'avais dis dans ma phrase

Pour les petites mains.. OUI
Pour les données volées il peut y avoir du chantage par la suite mais ils volent et cryptent les données avant ce qui n'est pas ton cas

Effectivement, j'ai lu de travers cette phrase. My bad. J'ai la tête en feu avec tout ça.
Malheureusement, cela ne change pas trop le souci car j'ai écris à beaucoup de mes contacts alors que le malware était en place. Ils ont donc pu avoir beaucoup d’informations concernant les personnes à qui je m'adresse.
Voient-ils également le contenu des mails envoyés ? J’imagine que oui...
Bon, maintenant tout mes mots de passe sont changés.

Je comprends, est ce qu'ils pourraient néanmoins -sans les cryptés et les bloquer sur mon PC car tout est clean à présent- me black-mail avec des fichier récupérés avant le clean up ? Je pense notamment à des dossier avec fichiers administartifs importants persos que j'avais "protégés" avec un code en zip qu'ils pourraient récupérer par un breach du code en question?

[PaperStreet]

Savoir si un truc pas sympa peut m'attendre si le code tombe entre leurs mains et ouvrent ces dossiers.

[Parisien_entraide]

Les mots de passe sont changés... Ca s'arrête là
Quant à tes dossiers.. si tu fais des sauvegardes je ne vois pas trop ou se situe le problème

[PaperStreet]

Peuvent-ils avoir volés des dossiers persos avant que j'ai supprimé le malware et RAT ?
Peuvent-ils revenir vers moi en me blackmail après ?

[PaperStreet]

Les mots de passe sont changés... Ca s'arrête là
Quant à tes dossiers.. si tu fais des sauvegardes je ne vois pas trop ou se situe le problème

Oui, je fais bien des backups de tout régulièrement.
Menacer de dévoiler des données sur ces dossiers à des contacts par exemple?
Est-ce un risque ?

Merci pour ta patience.

[Parisien_entraide]

Le Trojan Wacatac a été détecté et bloqué par Defender

Cela ne veut pas dire qu'il n'était pas actif AVANT mais vu que ce truc traine depuis 1 ou 2 ans il est bien détecté (du moins en version "B")
Si il avait pu poursuivre, il aurait téléchargé un RAT (c'est ce qu'il fait en général)
Si Malekal n'a rien vu c'est qu'il n'y a pas de traces

Tu n'a pas eu de demande de rançon, ni de ransomware et c'est normal puisque ce truc est là pour voler tes mots de passe etc pas tes dossiers
(BIS REPETITA)

Maintenant j'arrête là car j'ai l'impression de me répêter

[PaperStreet]

Merci beaucoup pour ta réponse.
Encore.
Toutes les infos fournies sont très intéressantes.
J'ai complétement réinitialiser le PC, viré les dossiers administratifs du PC pour les mettre en externe...
De bonnes bases saines.

[PaperStreet]

Bonjour à tous,

Après avoir eu un problème (résolu grâce à l'équipe au forum) avec un malware Trojan Win32/Wacatac.B!ml puis un Trojan.BrowserHijack, je me suis attelé à bien lire tout ce que je peux trouver sur le site et le forum pour prévenir ce genre de souci futurs et bêtises facilement évitables.

Arrivé au moment de vérifier la config de ma box (free delta) je me suis rendu compte de plusieurs choses :
- le protocol UPnp n'était pas désactivé.
- le firewall Ipv6 n'était pas activé.
- Heureusement l'accès à distance était désactivé.
- Je n'avais pas rebooté ma box depuis des mois (très mauvais car, comme je l'ai découvert lors des lectures sur le site c'est par ce moyen que les upgrades firmware se font).

J'ai remarqué dans les connexions de la box un appareil (devenu "injoignable" dès que j'ai changé le mot de passe wifi qui je crois a aussi changé le mot de passe admin) avec un nom d'hôte très étrange :
Mdns
99ba3717-8c64-427a-b57c-03fd2c418134
(j'ai remarqué que cela ressemble à une "adresse" d'extension mozilla ? Je suis peut être complétement à côté)
Constructeur inconnu
Elle avait aussi une ipv4, une ipv6 et une adresse MAC.

J'ai beaucoup d'appareil connectés à la box à la maison mais ils sont tous bien nommés ou au moins ont un nom de constructeur connu.

Après beaucoup de lecture sur le site et le forum, et au vu des réglages qui étaient loin d’être optimales sur ma box je me présente ici car je bute :

- Est-il possible de faire des test pour savoir si ma box a pu être contaminée?
- Si elle a pu être utilisée pour DDoS ou Botnet.
- Si des "pirates" ont pu avoir accès à ma box et tous mes appareils connectés?
- Envoyé des malware (keylogger et autres, Trojan RAT, backdoor) à mes autres devices, smartphones, Ipad, ordi portable...
- Accédé aux caméras téléphone (ou caméra IP, toujours débranchées quand présent à la maison) connectés sur la même box?
Le genre de test un peu comme haveibeenpwned.

J'essaye de repartir sur des bases saines et souhaite éviter de passé à côté d'un détail (que j’espère être de la psychote) qui peut faire toute la différence.