Salut,
Mes mots de passe sont utilisés à mon insu.
Comme le pb est récurrent, je pense être infecté.
Depuis que j'ai installé ESET endpoint security, je vois apparaitre une fenêtre Autolt error :
Line 0 (File *C:\users\pacod\appData\local\hAyhQEffSZ\R*):
Suite à tuto, j'ai lancé un FRT (toujours d'actualité ?)
Les rapports FRST sont ici :
https://pjjoint.malekal.com/files.php?i ... x9r5c9g6k5
https://pjjoint.malekal.com/files.php?i ... f10o14q6k8
https://pjjoint.malekal.com/files.php?i ... w9w5j12n11
Quelqu'un sait il générer un fix svp ?
Merci
Paco
virus Autolt error et Win32/Penguish!MSR [résolu]
Modérateurs : Mods Windows, Helper
- Messages : 4
- Inscription : 21 déc. 2023 22:25
- Messages : 20273
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: UTILISATION DE MES MOTS DE PASSE Trojan:Win32/Penguish!MSR
Bonjour
Le fix ne vas pas tout résoudre (les données sont déjà parties), mais Malekal ou Angélique te diront si il il y a une infection active ou pas et le fix et les conseils ensuite aideront
De toutes les façons tu as une infection malware PowerShell, probablement un stealer puisqu'il y a eu une injection sur le fichier TPSvc.dll
Le truc c'est que le malware supprime les DLL malveillantes afin d’effacer ses traces (et pas que)
C'est la méthode du stealer : LummaC2
Il est capable d'exfiltrer diverses données sensibles, notamment
- les portefeuilles de crypto-monnaie,
- les informations enregistrées sur les navigateurs,
- les informations provenant d'applications comme Steam, etc
- les données des clients de messagerie,
- les fichiers spécifiques dans certains dossiers avec des extensions particulières, etc. (.doc, .pdf etc histoire d'avoir des infos exploitables)
Defender a bloqué cette librairie et a trouvé un Trojan:Win32/Penguish!MSR mais cela ne veut pas dire que tout a été bloqué et si defender a été assez réactif (a priori non puisque tu as constaté un vol de mots de passe)
(j'ai renommé le titre de ton sujet qui est plus parlant)
Les vols de données viennent de deux sources
Externes
viewtopic.php?t=62280
Interne avec des cracks (ce que tu as utilisé) comme le montre les ligne Adobe
viewtopic.php?t=71178
Cela te fera un peu de lecture en attendant les analyses
Le fix ne vas pas tout résoudre (les données sont déjà parties), mais Malekal ou Angélique te diront si il il y a une infection active ou pas et le fix et les conseils ensuite aideront
De toutes les façons tu as une infection malware PowerShell, probablement un stealer puisqu'il y a eu une injection sur le fichier TPSvc.dll
Le truc c'est que le malware supprime les DLL malveillantes afin d’effacer ses traces (et pas que)
C'est la méthode du stealer : LummaC2
Il est capable d'exfiltrer diverses données sensibles, notamment
- les portefeuilles de crypto-monnaie,
- les informations enregistrées sur les navigateurs,
- les informations provenant d'applications comme Steam, etc
- les données des clients de messagerie,
- les fichiers spécifiques dans certains dossiers avec des extensions particulières, etc. (.doc, .pdf etc histoire d'avoir des infos exploitables)
Defender a bloqué cette librairie et a trouvé un Trojan:Win32/Penguish!MSR mais cela ne veut pas dire que tout a été bloqué et si defender a été assez réactif (a priori non puisque tu as constaté un vol de mots de passe)
(j'ai renommé le titre de ton sujet qui est plus parlant)
Les vols de données viennent de deux sources
Externes
viewtopic.php?t=62280
Interne avec des cracks (ce que tu as utilisé) comme le montre les ligne Adobe
viewtopic.php?t=71178
Cela te fera un peu de lecture en attendant les analyses
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 4
- Inscription : 21 déc. 2023 22:25
Re: UTILISATION DE MES MOTS DE PASSE
Bonsoir,
Bien vu Parisien et merci pour ces 1ères infos.
Clairement pas sympa ce Win32/Penguish!MSR et rusé en plus !!
Vais revoir certains de mes process internes....
Bien vu Parisien et merci pour ces 1ères infos.
Clairement pas sympa ce Win32/Penguish!MSR et rusé en plus !!
Vais revoir certains de mes process internes....
- Messages : 20273
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: UTILISATION DE MES MOTS DE PASSE
Les malwares évoluent...
Et si tu as lu les liens tu as du voir qu'il est impossible d'y échapper dès lors qu'on utilise des cracks (lire l'analyse de Kaspersky par ex sur le "trou dans la raquette")
Et si tu as lu les liens tu as du voir qu'il est impossible d'y échapper dès lors qu'on utilise des cracks (lire l'analyse de Kaspersky par ex sur le "trou dans la raquette")
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 116318
- Inscription : 10 sept. 2005 13:57
Re: virus Autolt error et Win32/Penguish!MSR
Bonjour,
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
Désinstalle ces programmes - inutiles :
Refais un scan FRST et donne les nouveaux rapports via pjjoint
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Code : Tout sélectionner
Start:
CloseProcesses:
CreateRestorePoint:
InternetURL: C:\Users\pacod\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CXqbAIuxnh.url -> URL: "C:\Users\pacod\AppData\Local\hAyhQEffSZ\opAVVmfGbtf.js" <==== ATTENTION
Task: {DC56F105-27DD-4B3A-A58F-9B8C02314602} - System32\Tasks\Service\Data => "C:\Users\pacod\AppData\Roaming\ServiceData\Jekomas.exe" -> "C:\Users\pacod\AppData\Roaming\ServiceData\Jekomas.dat" <==== ATTENTION
Task: {DB57E28D-8272-4714-A5B5-25180DAF798A} - System32\Tasks\Geometry => C:\Users\pacod\AppData\Local\hAyhQEffSZ\opAVVmfGbtf.js [150 2023-10-18] () [Fichier non signé]
C:\Users\pacod\AppData\Roaming\acppage
R2 McAfee WebAdvisor; C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe [895152 2023-12-08] (McAfee, LLC -> McAfee, LLC)
2023-12-21 10:28 - 2023-10-18 12:44 - 000000000 ____D C:\Users\pacod\AppData\Local\hAyhQEffSZ
2022-12-31 18:57 - 2022-12-31 18:57 - 000000000 _____ () C:\Users\pacod\AppData\Local\{7EA4A119-2DC7-4434-AF49-0DCAA402F5BD}
C:\Program Files\McAfee
EmptyTemp:
RemoveProxy:
Reboot:
End:
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
- Réparer Mozilla Firefox (premier paragraphe)
- Réparer Google Chrome (premier paragraphe)
- Comment réparer ou réinitialiser Microsoft Edge
Désinstalle ces programmes - inutiles :
4)CCleaner
WebAdvisor par McAfee
Refais un scan FRST et donne les nouveaux rapports via pjjoint
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 4
- Inscription : 21 déc. 2023 22:25
Re: virus Autolt error et Win32/Penguish!MSR
Bonjour,
Merci Malekal pour ta réactivité.
J'ai lancé le fix et voici le fixlog généré après la manip :
https://pjjoint.malekal.com/files.php?i ... t9v11e11r8
Comme demandé, j'ai relancé un FRST et voici les nouveaux rapports générés :
https://pjjoint.malekal.com/files.php?i ... u11k8m8f15
https://pjjoint.malekal.com/files.php?i ... i6m7v15d12
https://pjjoint.malekal.com/files.php?i ... 15r14o7y10
Dores et déjà la fenêtre popup Autolt error n'apparait plus.
Toutes les instructions demandées ont été exécutées avec succès (cf. fixlog).
Comme j'ai desinstallé CCleaner + WebAdvisor par McAfee, le 2e rep est confirmé vide.
Egalement nettoyé : Firefox
+++
Merci Malekal pour ta réactivité.
J'ai lancé le fix et voici le fixlog généré après la manip :
https://pjjoint.malekal.com/files.php?i ... t9v11e11r8
Comme demandé, j'ai relancé un FRST et voici les nouveaux rapports générés :
https://pjjoint.malekal.com/files.php?i ... u11k8m8f15
https://pjjoint.malekal.com/files.php?i ... i6m7v15d12
https://pjjoint.malekal.com/files.php?i ... 15r14o7y10
Dores et déjà la fenêtre popup Autolt error n'apparait plus.
Toutes les instructions demandées ont été exécutées avec succès (cf. fixlog).
Comme j'ai desinstallé CCleaner + WebAdvisor par McAfee, le 2e rep est confirmé vide.
Egalement nettoyé : Firefox
+++
- Messages : 116318
- Inscription : 10 sept. 2005 13:57
Re: virus Autolt error et Win32/Penguish!MSR [résolu]
Je pense que c'est bon.
J'ai mis le sujet en Résolu.
Supprime C:\FRST et ses restes.
Fais une analyse ESET ce WE en le mettant à jour avant.
A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.
Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com
J'ai mis le sujet en Résolu.
Supprime C:\FRST et ses restes.
Fais une analyse ESET ce WE en le mettant à jour avant.
A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.
Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 4
- Inscription : 21 déc. 2023 22:25
Re: virus Autolt error et Win32/Penguish!MSR [résolu]
Un grand merci !!
J'ai même relancé Bing pour les évaluations et je m'aperçois que le navigateur intègre des nouveautés intéressantes.
Sinon, des recommandations de lecture pour apprendre à déchiffrer un FRST ?
Excellent week end !
J'ai même relancé Bing pour les évaluations et je m'aperçois que le navigateur intègre des nouveautés intéressantes.
Sinon, des recommandations de lecture pour apprendre à déchiffrer un FRST ?
Excellent week end !
- Messages : 116318
- Inscription : 10 sept. 2005 13:57
Re: virus Autolt error et Win32/Penguish!MSR [résolu]
Merci!
Pour la lecture de FRST, faut connaître pas mal Windows pour différencier les bons processus et entrées par rapport à celle malveillante.
C'est un peu compliqué d'expliquer "comme ça".
Pour la lecture de FRST, faut connaître pas mal Windows pour différencier les bons processus et entrées par rapport à celle malveillante.
C'est un peu compliqué d'expliquer "comme ça".
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 8 Réponses
- 298 Vues
-
Dernier message par Parisien_entraide
-
- 4 Réponses
- 314 Vues
-
Dernier message par Mite
-
- 3 Réponses
- 173 Vues
-
Dernier message par supertazman91
-
- 9 Réponses
- 243 Vues
-
Dernier message par Malekal_morte
-
- 5 Réponses
- 233 Vues
-
Dernier message par Malekal_morte