virus Autolt error et Win32/Penguish!MSR [résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Pacodelamancha2038
Messages : 4
Inscription : 21 déc. 2023 22:25

virus Autolt error et Win32/Penguish!MSR [résolu]

par Pacodelamancha2038 »

Salut,

Mes mots de passe sont utilisés à mon insu.
Comme le pb est récurrent, je pense être infecté.

Depuis que j'ai installé ESET endpoint security, je vois apparaitre une fenêtre Autolt error :
Line 0 (File *C:\users\pacod\appData\local\hAyhQEffSZ\R*):

Suite à tuto, j'ai lancé un FRT (toujours d'actualité ?)
Les rapports FRST sont ici :
https://pjjoint.malekal.com/files.php?i ... x9r5c9g6k5
https://pjjoint.malekal.com/files.php?i ... f10o14q6k8
https://pjjoint.malekal.com/files.php?i ... w9w5j12n11

Quelqu'un sait il générer un fix svp ?
Merci
Paco
Avatar de l’utilisateur
Parisien_entraide
Messages : 17689
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: UTILISATION DE MES MOTS DE PASSE Trojan:Win32/Penguish!MSR

par Parisien_entraide »

Bonjour


Le fix ne vas pas tout résoudre (les données sont déjà parties), mais Malekal ou Angélique te diront si il il y a une infection active ou pas et le fix et les conseils ensuite aideront
De toutes les façons tu as une infection malware PowerShell, probablement un stealer puisqu'il y a eu une injection sur le fichier TPSvc.dll
Le truc c'est que le malware supprime les DLL malveillantes afin d’effacer ses traces (et pas que)


C'est la méthode du stealer : LummaC2

Il est capable d'exfiltrer diverses données sensibles, notamment
- les portefeuilles de crypto-monnaie,
- les informations enregistrées sur les navigateurs,
- les informations provenant d'applications comme Steam, etc
- les données des clients de messagerie,
- les fichiers spécifiques dans certains dossiers avec des extensions particulières, etc. (.doc, .pdf etc histoire d'avoir des infos exploitables)

Defender a bloqué cette librairie et a trouvé un Trojan:Win32/Penguish!MSR mais cela ne veut pas dire que tout a été bloqué et si defender a été assez réactif (a priori non puisque tu as constaté un vol de mots de passe)
(j'ai renommé le titre de ton sujet qui est plus parlant)

Les vols de données viennent de deux sources

Externes
viewtopic.php?t=62280

Interne avec des cracks (ce que tu as utilisé) comme le montre les ligne Adobe
viewtopic.php?t=71178

Cela te fera un peu de lecture en attendant les analyses
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Pacodelamancha2038
Messages : 4
Inscription : 21 déc. 2023 22:25

Re: UTILISATION DE MES MOTS DE PASSE

par Pacodelamancha2038 »

Bonsoir,

Bien vu Parisien et merci pour ces 1ères infos.
Clairement pas sympa ce Win32/Penguish!MSR et rusé en plus !!

Vais revoir certains de mes process internes....
Avatar de l’utilisateur
Parisien_entraide
Messages : 17689
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: UTILISATION DE MES MOTS DE PASSE

par Parisien_entraide »

Les malwares évoluent...
Et si tu as lu les liens tu as du voir qu'il est impossible d'y échapper dès lors qu'on utilise des cracks (lire l'analyse de Kaspersky par ex sur le "trou dans la raquette")
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 116068
Inscription : 10 sept. 2005 13:57

Re: virus Autolt error et Win32/Penguish!MSR

par Malekal_morte »

Bonjour,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
InternetURL: C:\Users\pacod\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CXqbAIuxnh.url -> URL: "C:\Users\pacod\AppData\Local\hAyhQEffSZ\opAVVmfGbtf.js"   <==== ATTENTION
Task: {DC56F105-27DD-4B3A-A58F-9B8C02314602} - System32\Tasks\Service\Data => "C:\Users\pacod\AppData\Roaming\ServiceData\Jekomas.exe"  -> "C:\Users\pacod\AppData\Roaming\ServiceData\Jekomas.dat" <==== ATTENTION
Task: {DB57E28D-8272-4714-A5B5-25180DAF798A} - System32\Tasks\Geometry => C:\Users\pacod\AppData\Local\hAyhQEffSZ\opAVVmfGbtf.js [150 2023-10-18] () [Fichier non signé]
C:\Users\pacod\AppData\Roaming\acppage
R2 McAfee WebAdvisor; C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe [895152 2023-12-08] (McAfee, LLC -> McAfee, LLC)
2023-12-21 10:28 - 2023-10-18 12:44 - 000000000 ____D C:\Users\pacod\AppData\Local\hAyhQEffSZ
2022-12-31 18:57 - 2022-12-31 18:57 - 000000000 _____ () C:\Users\pacod\AppData\Local\{7EA4A119-2DC7-4434-AF49-0DCAA402F5BD}
C:\Program Files\McAfee
EmptyTemp:
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises : 3)
Désinstalle ces programmes - inutiles :
CCleaner
WebAdvisor par McAfee
4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Pacodelamancha2038
Messages : 4
Inscription : 21 déc. 2023 22:25

Re: virus Autolt error et Win32/Penguish!MSR

par Pacodelamancha2038 »

Bonjour,

Merci Malekal pour ta réactivité.

J'ai lancé le fix et voici le fixlog généré après la manip :
https://pjjoint.malekal.com/files.php?i ... t9v11e11r8

Comme demandé, j'ai relancé un FRST et voici les nouveaux rapports générés :
https://pjjoint.malekal.com/files.php?i ... u11k8m8f15
https://pjjoint.malekal.com/files.php?i ... i6m7v15d12
https://pjjoint.malekal.com/files.php?i ... 15r14o7y10

Dores et déjà la fenêtre popup Autolt error n'apparait plus.
Toutes les instructions demandées ont été exécutées avec succès (cf. fixlog).
Comme j'ai desinstallé CCleaner + WebAdvisor par McAfee, le 2e rep est confirmé vide.

Egalement nettoyé : Firefox
+++
Malekal_morte
Messages : 116068
Inscription : 10 sept. 2005 13:57

Re: virus Autolt error et Win32/Penguish!MSR [résolu]

par Malekal_morte »

Je pense que c'est bon.
J'ai mis le sujet en Résolu.

Supprime C:\FRST et ses restes.
Fais une analyse ESET ce WE en le mettant à jour avant.

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Pacodelamancha2038
Messages : 4
Inscription : 21 déc. 2023 22:25

Re: virus Autolt error et Win32/Penguish!MSR [résolu]

par Pacodelamancha2038 »

Un grand merci !!
J'ai même relancé Bing pour les évaluations et je m'aperçois que le navigateur intègre des nouveautés intéressantes.

Sinon, des recommandations de lecture pour apprendre à déchiffrer un FRST ?
Excellent week end !
Malekal_morte
Messages : 116068
Inscription : 10 sept. 2005 13:57

Re: virus Autolt error et Win32/Penguish!MSR [résolu]

par Malekal_morte »

Merci!
Pour la lecture de FRST, faut connaître pas mal Windows pour différencier les bons processus et entrées par rapport à celle malveillante.
C'est un peu compliqué d'expliquer "comme ça".
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »