Problème caractères accentués avec circonflexes / trémas remplacés par ^^ / ¨¨ Trojan:Win32/Cerobgar.B

[eloWorld]

Bonjour,

Depuis environ 6 mois je rencontrais un problème avec les caractères accentués (circonflexes ou trémas) qui étaient remplacés par ^^ / ¨¨.
Récemment j'ai décidé de me renseigner sur ce souci et j'ai vu sur les forums qu'ils s'agissait potentiellement d'un virus.

Depuis 1 semaine environ, pour une raison que j'ignore, je ne rencontre plus le problème mais je souhaiterais m'assurer que mon ordinateur n'est pas infecté.

Vous trouverez en P.J. les liens vers le rapports FIRST + Addition.

Merci par avance de votre aide.

Cordialement,
Elodie

[Parisien_entraide]

Bonjour

J'ai changé le nom du sujet en ajoutant celui du malware

Ce portable semble etre utilisé dans un contexte PRO lié au médical...

Là j'ai regardé en diagonale parce que je dois m'absenter mais il semble que le scan FRST n'a pas été jusqu'au bout



La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :


* FRST.txt
* Shortcut
* Additionnal.txt




Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ ou https://textup.fr si cela ne passe pas et en retour donne les 3 liens qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

IMPORTANT : Une fois les rapports crées, n'installe pas de programmes, n'efface rien, ne prends pas d’initiatives, parce que tu "penses que", que "tu crois que " etc. Bref tu ne touches plus à rien

[Malekal_morte]

Bonjour,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {DF9FCF93-1A19-447A-B027-FFE31DA4D9DF} - System32\Tasks\Microsoft\OneCore\VSTVP50 => C:\WINDOWS\SysWOW64\RUNDLL32.EXE [41984 2022-05-07] (Microsoft Windows -> Microsoft Corporation) -> C:\Users\elodi\AppData\Local\ActivationCounts\TestAxpxunt\gmdmgflbper.dll utf9Rubios <==== ATTENTION
C:\Users\elodi\AppData\Local\ActivationCounts
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[eloWorld]

Bonjour,

Merci pour vos réponses rapides.

J'essaierai de réaliser les actions préconisées demain; désolé j'ai un planning trop chargé pour pouvoir les faire aujourd'hui.

Je vous tiens au courant.

Elodie

[eloWorld]

Bonjour,

J'ai fais les analyses conseillées et recommandées par Malekalemorte. Ci-dessous les résultats des nouveaux scan FIRST.

Supprimé par la modération

L'ordinateur est-il encore infecté ? Merci pour votre aide

[Malekal_morte]

Les rapports ont l'air mieux
As-tu toujours le problème d'accent ?
Si ce n'est pas le cas, change tous tes mots de passe.

[eloWorld]

Merci beaucoup d'avoir pris le temps de regarder. Je n'ai plus de problèmes mais cela était déjà le cas depuis 1 semaine environ, sans explications à cela. Alors que le problème traînait depuis des mois.

Avez-vous une idée peut-être ?

Bonne soirée

[Parisien_entraide]

Bonsoir,

Puisque vous posez la question....Effectivement on peut avoir une idée...

L'infection est arrivée par un crack et AVANT juillet puisque vous indiquez que cela fait 6 mois. Mais cela ne vous a pas inquiété
Windows defender a détecté la chose en juillet et a neutralisé (possiblement suite à une mise à jour de sa base) et en a peut etre rajouté une couche depuis (il y a eu une utilisation de MBAM (MalwareBytes anti malware) également sur ce PC mais qui semble avoir disparu depuis

MAIS cela veut dire que pendant ces mois, "potentiellement", les données clients, vos données personnelles sont partis dans la nature
Je suppose que vos "clients" vont être heureux d'apprendre la chose, parce que vous avez obligation de les prévenir

Le GROS soucis, c'est que visiblement cela ne vous pas arrêté puisqu'a été "récupéré" au 26 septembre un "Adobe Creative Cloud Collection 2023 v01.03.2023 Win x64 Multi Préactivé MRB007.zip" autrement dit un programme cracké sur le site .... (qui l'a viré depuis du reste)

Je vous invite à lire ceci viewtopic.php?t=72684
où l'on apprend qu'il se sont fait piratés du fait de

Doctolib précise également que cette attaque a été réalisée sur des rendez-vous pris via des logiciels tiers, utilisés par certains professionnels de santé, et qui sont connectés à Doctolib.

Vous entrez dans cette catégorie puisque vous faites un usage perso d'un PC pro

En plus ce PC est "nu" sans aucune protection ne serait ce que sur les navigateurs, les scripts (un antivirus ne fait pas tout et ne peut pas tout faire)

Et si vous voulez prendre conscience des risques actuels en utilisant des programmes crackés.. Parce que les virus à "l'ancienne" cela a disparu depuis déjà pas mal de temps
viewtopic.php?t=71178

Edit : Au passage avec les ADOBE etc.. Vous pourriez avoir la double peine puisque c'est ce qui se fait de plus en plus

- Vol et exfiltration des données
- Une fois tout bien à l'abri chez le "malfaisant", un ransomware / rançongiciel chiffreur de fichiers pour chiffrer les données (aucune possibilité de les récupérer, et il y a une rdemande de rançon à la clé
- Comme ils ne voient que par l'argent, même si la rançon est payée de toutes les façons ils vont exploiter/vendre les données récupérées

Si en plus il y a des documents (fichiers Word, Ecel, PDF, ..) où figurent des identités, adresse, téléphone, mail et coordonnées bancaires c'est le jackpot
Cela peut aller surtout si il y a des scan de pièces d'identité, à de l'usurpation d'identité avec des années pour s' en remettre (compte bancaire bloqué, vidé, fausse carte vitale, des demandes de prêts etc et les huissiers qui frappent à la porte pour un tas de raisons diverses et variées ou des demandes de juges
C'est le scénario du pire mais il existe

[Malekal_morte]

ok il faudrait faire des analyses Malwarebytes ces prochains.
Comme évoqué plus haut, les données (dont les mots de passe) ont été volés.
Donc il faut changer les mots de passe comme j'avais indiqué.

Et il faut suivre les règles élémentaires de sécurité, à savoir, ne pas télécharger de fichiers inconnus (dont des cracks) d'autant plus qu'il s'agit d'un PC de travail.

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

[eloWorld]

Je vous remercie pour votre temps et bienveillance malekalmorte.
Parisianentraide vos propos sont pleins de suppositions et de jugements.
L'ordinateur a été acheté et reçu au mois de mars 2023 et 3 jours après son achat, le problème commençait. Il n'y avait à ce moment là pas de doctolib installé sur mon ordinateur. Le service client Asus a été contacté aussitôt pour comprendre le problème, car vous l'oubliez peut-être, chacun son domaine. Vous c'est l'informatique, moi c'est le médicale comme vous l'indiquez à plusieurs reprises donc les quelques recherches faites sur internet m'amenait à penser qu'il s'agissait d'un virus mais à peine 3j après son achat cela me paraissait impossible. Le service Asus n'a pas eu de réponse à m'apporter, j'ai donc simplement rebooté l'ordi. Puis le problème est réapparu 1mois après. A nouveau, à mon niveau, je ne peux imaginer ce qui se cache derrière, donc vos idées sur mes potentielles intentions vous sont propres et font partis de votre propre imaginaire. Le site malekal c'est un ami informaticien qui m'en a parlé et qui m'a aidé à réaliser les manip. Personne n'avait jusqu'à présent trouvé de solutions à mon problème. Nous n'avons pas tous les mêmes connaissances ne l'oubliez pas. Merci d'avoir pris de votre temps pour m'expliquer les risques encourus.

[Malekal_morte]

C'est pas grave.
- Retiens juste qu'il faut que tu changes tes mots de passe
- Attention aux fichiers inconnus (faire attention aux pièces par mail, bien lire le mail, ne pas télécharger de fichiers depuis des sites inconnus).

[Parisien_entraide]

Bonjour

Il n'y a pas de jugement et suppositions. C'est du factuel aux vues des rapports, c'est l'ordinateur qui raconte sa vie passée et présente.
Le but est surtout de comprendre comment le logiciel malveillant est venu pour ne pas reproduire le problème.

Si l'ordinateur était neuf et qu'il s'est retrouvé infecté, c'est soit le fait du comportement (volontaire ou involontaire par méconnaissance) : téléchargement, ouverture de mail avec liens, et/ou pièce jointe liée, sité vérolé, (voir les liens de Malekal pour la longue liste) ... ou de l'environnement (un proche qui vous a berné ou malfaisant, ou qui s'est servi de l'ordinateur à d'autres fins que professionnelles)

Le fichier "récent" "Adobe Creative Cloud Collection 2023 v01.03.2023 Win x64 Multi Préactivé MRB007.zip" qui est un programme cracké et vérolé, n'est pas arrivé tout seul ...

(le 26 septembre à 8h18... Ce qui vous donne une piste)


Qu'un crack soit utilisé, dans l'absolu je m'en fiche, chacun assume les conséquences, mais là, du fait qu'il y a un contexte, le vol de données touche d'autres personnes qui n'ont rien demandé, et il est là le problème
Le Ministère de la Santé, depuis quand même quelques années, a mené des campagnes de prévention sur le sujet vu les affaires passées

Au delà de cela, il est impératif de connaitre, et Malekal a donné quelques liens, "Comment on se fait infecter ?" et "Comment se protéger ?"'
C'est la base, surtout que comme je l'ai indiqué, ce PC est "nu"

Edit : Juste pour l'actualité de la chose

https://www.clubic.com/actualite-505882 ... iques.html

Alors on se dit que c'est loin, que la situation est différente en France etc.. En fait ce qu'il faut retenir c'est le nouveau comportement des malfaisants depuis quelques temps, dans leurs méthodes, et actions après vol de données qui est à l'identique quel que soit le pays