Prise de contrôle sans autorisation et souris qui bouge toute seule

[smart7]

Bonjour à tous,

J'ai pu via le site Malekal, procéder à quelques manipulations depuis fin janvier et vous remercie grandement pour l'aide apportée ainsi que l'ensemble des informations présentes sur le site.
Aujourd'hui je commence à sécher et ne sais plus vraiment par où traiter ce case.

Cartographie SI :
Pc principal : sous Win10 22H2 (sur SSD), principalement impacté.
3 autres ordinateurs portables
1 imprimante
Box Wi-Fi (Delta + Player)
A noter que l'ensemble des appareils s'y connectent via WIFI.

- AdwCleaner et Malwarebytes Anti-Malware (MBAM) : RAS
- Bitdefender Premium Security : RAS

Description globale :
En fin d'année 2022, en pleine utilisation de mon ordinateur et d'archivage d'éléments, ma souris s'est mise à bouger. Je suis passé en mode avion et ai par la suite, verrouillé ma session.
Fin janvier même constat, j'ai donc désactivé le bureau à distance.
Début février, même vérification et j'ai poursuivi sous la section "espace développeur" pour désactiver l'assistance à distance et le bureau à distance.

J'ai donc commencé à suivre les activités via l'audit windows et via les fichiers .exe FullEventLog + LastActivityView et ai selon moi, constaté de l'activité ne venant pas de windows, aux périodes où je n'utilise pas le PC.
Après d'autres manipulations pour tenter de sécuriser mes fichiers pour repartir à 0, j'ai constaté des lignes qui m'interpellent tels que :
"ID 29914 / Event ID : 151 / Au cours des 3603 dernières secondes, 18 fichiers ont été supprimés. 18 suppressions enregistrent leur nom de processus."
Nom de processus remontés : dllhost.exe / MoUsoCoreWorke / bdservicehost / svchost.exe / Dowloader.exe / wermgr.exe (liste non exhaustive).

En souhaitant vérifier les fichiers transférés sur un nouveau SSD via un autre PC et une autre session, chaque lignes/nom de fichier disparait un à un.
L'explorateur se fige et ne peut être fermé/déplacé jusqu"à ce que la fenêtres de l'explorateur soit vide.
Enfin, l'ensemble des noms de fichiers réaparaissent.
Après avoir tenté de réouvrir un fichier video qui ne semble plus accessible, j'ai éjecté le SSD et débranché de son adaptateur usb-c.

Le SSD ainsi que le disque dur possèdent chacun une partition de restauration que je windows ne parviens pas à détecter.
La nouvelle version de partition de restauration faite sur le SSD est aujourd'hui corrrompu.e J'ai attribué une lettre au lecteur et des suppressions de fichiers + réécritures ont été faites. Constat fait via Recuva et Photorec/Testdisk
L'ancienne partition (moins lourde) n'a pas été touchée et donc attaquée. Le HDISK débranché contient également une partition. La clé USB reconnu a été utilisée pour installer les logiciels antimalware etc.

Partitions.png

J'ai également eu une tentative de connexion via outlook/Sharepoint et ai constaté des HKEY_USERS dont je ne suis pas sur de l'origine :
- S-1-5-21-162406775-639007790-1448180305-1002
- S-"""""""""""""""""""idem"""""""""""""""""""""""""""""""-1002_classes

Rapports Fabar Recovery Scan Tool :
FRST : https://pjjoint.malekal.com/files.php?i ... 2r12l13i10
Shortcut : https://pjjoint.malekal.com/files.php?i ... 13w13d12x5
Addition : https://pjjoint.malekal.com/files.php?i ... j5d11j15d9

Vous remerciant par avance pour votre aide.
Cordialement

[Malekal_morte]

Salut,

Merci.
Par contre, ton message n'est pas clair du tout dans le sens où tu parles de trois choses en même temps.
Pour l'histoire de partition, faut créer un nouveau sujet et explique bien, de quoi tu parles pour la partition de restauration car je n'ai pas compris.
Pour l'histoire du HKEY_USERS, je n'ai pas non plus compris et de toute façon, ça n'est pas un problème vu le contenu que tu donnes.

Pour la prise de contrôle à distance et souris qui bouge.
Mouais.. Je ne pense pas que ça vienne de la fonction de Windows.
Par contre, dans tes rapports, tu as des dossiers suspicieux qui datent du 23/02.
Mais pas l'impression qu'un malware soit actif.

AdwCleaner ne sert à rien si tu n'as pas de pubs.
De toute façon, les détections sont dans MBAM... donc MBAM se suffit.
Je pense que tu devrais le désinstaller car BitDefender Total Security est déjà assez usine à gaz.

A désinstaller, inutiles et ralentis Windows :

CyberLink
Malwarebytes
MEGA Privacy
Wondershare

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2023-02-23 13:36 - 2022-01-30 16:38 - 000000640 _____ C:\WINDOWS\system32\config\mDSHCtNE
2023-02-23 13:36 - 2022-01-30 16:38 - 000000480 _____ C:\WINDOWS\system32\config\meVRAabX
2023-02-23 13:36 - 2022-01-30 16:38 - 000000384 _____ C:\WINDOWS\system32\config\Q8PUeNYG
2023-02-23 13:36 - 2022-01-30 16:38 - 000000368 _____ C:\WINDOWS\system32\config\w188a76d
2023-02-23 13:36 - 2022-01-30 16:38 - 000000368 _____ C:\WINDOWS\system32\config\5QK62SAn
2023-02-23 13:36 - 2022-01-30 16:38 - 000000288 _____ C:\WINDOWS\system32\config\GHyAX5r3
2023-03-19 02:52 - 2023-03-19 02:52 - 000000000 _RSHD C:\ProgramData\Key-Base
2023-03-19 02:52 - 2023-03-19 02:52 - 000000000 ____D C:\ProgramData\{52F80F8D-685D-8AD2-90D3-8A7C99F49942}
Task: {5DBD78F6-CD93-489A-8B63-D46456761D08} - System32\Tasks\CCleanerSkipUAC => D:\Program Files 1\CCleaner\CCleaner.exe $(Arg0) (Pas de fichier)
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


Refais un scan FRST et donne les rapports.

[smart7]

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 25-03-2023
Exécuté par Stephane (25-03-2023 15:01:34) Run:1
Exécuté depuis G:\
Profils chargés: Stephane
Mode d'amorçage: Safe Mode (with Networking)
==============================================

fixlist contenu:
*****************
̩Star t:
CloseProcesses:
CreateRestorePoint:
2023-02-23 13:36 - 2022-01-30 16:38 - 000000640 _____ C:\WINDOWS\system32\config\mDSHCtNE
2023-02-23 13:36 - 2022-01-30 16:38 - 000000480 _____ C:\WINDOWS\system32\config\meVRAabX
2023-02-23 13:36 - 2022-01-30 16:38 - 000000384 _____ C:\WINDOWS\system32\config\Q8PUeNYG
2023-02-23 13:36 - 2022-01-30 16:38 - 000000368 _____ C:\WINDOWS\system32\config\w188a76d
2023-02-23 13:36 - 2022-01-30 16:38 - 000000368 _____ C:\WINDOWS\system32\config\5QK62SAn
2023-02-23 13:36 - 2022-01-30 16:38 - 000000288 _____ C:\WINDOWS\system32\config\GHyAX5r3
2023-03-19 02:52 - 2023-03-19 02:52 - 000000000 _RSHD C:\ProgramData\Key-Base
2023-03-19 02:52 - 2023-03-19 02:52 - 000000000 ____D C:\ProgramData\{52F80F8D-685D-8AD2-90D3-8A7C99F49942}
Task: {5DBD78F6-CD93-489A-8B63-D46456761D08} - System32\Tasks\CCleanerSkipUAC => D:\Program Files 1\CCleaner\CCleaner.exe $(Arg0) (Pas de fichier)
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Star t: => Erreur: Pas de correction automatique trouvée pour cet élément.
Processus fermé avec succès.
Erreur: Un point de restauration ne peut être créé qu'en mode normal.
"C:\WINDOWS\system32\config\mDSHCtNE" => non trouvé(e)
"C:\WINDOWS\system32\config\meVRAabX" => non trouvé(e)
"C:\WINDOWS\system32\config\Q8PUeNYG" => non trouvé(e)
"C:\WINDOWS\system32\config\w188a76d" => non trouvé(e)
"C:\WINDOWS\system32\config\5QK62SAn" => non trouvé(e)
"C:\WINDOWS\system32\config\GHyAX5r3" => non trouvé(e)
"C:\ProgramData\Key-Base" => non trouvé(e)
"C:\ProgramData\{52F80F8D-685D-8AD2-90D3-8A7C99F49942}" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5DBD78F6-CD93-489A-8B63-D46456761D08}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\CCleanerSkipUAC" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\CCleanerSkipUAC" => non trouvé(e)

========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1624067775-639007790-1448180305-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1624067775-639007790-1448180305-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 786432 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 24249233 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 1655718 B
Edge => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 21 B
LocalService => 21 B
NetworkService => 13399 B
Stephane => 18141678 B

RecycleBin => 5265314 B
EmptyTemp: => 47.8 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 15:02:20 ====

[smart7]

Merci pour ce premier retour. Bien noté pour la souris et les malware.

Il s'agit en effet des trois points distincts par lesquels j'ai tenté de nettoyer mon PC.
Pas de soucis, je ferais une demande spécifique aux points de restauration.

Désinstallations faites post script correction FRST, merci.
Est-il possible de savoir si les fichiers ont étés téléchargés ou mis via clé usb ou autre par ex. ?
J'ai pu repérer les lignes en question datées du 23-02, je vais tenter d'étudier ça.

Rapports Fabar Recovery Scan Tool :
FRST : https://pjjoint.malekal.com/files.php?i ... v9p14v10y9
Shortcut : https://pjjoint.malekal.com/files.php?i ... 10s12t12e7
Addition : https://pjjoint.malekal.com/files.php?i ... 4h11s12k14

[Malekal_morte]

Rapports corrects.
Non pour les fichiers sur clé USB. Il faut accès physique à la machine pour cela.

Après, le dossier C:\ProgramData\Key-Base a l'air de stocker des clés pour un logiciel qui utilisent un service de licence.
Ca ne semble pas si malveillant que cela.

Sinon maintenant les rapports sont bon.
Compte tenu que tu as utilisé MBAM et BitDefender, je ne pense pas qu'il y ait de malware actif.