comment faire pour éradiquer logiciel malveillant très sophstiqué

[alexone]

Bonjour Maleka_Morte,
Je me pose encore pas mal de questions, excusez-moi, mais je suis débutante, j’ai lu pas mal de vos tutos qui sont très bien, mais c’est un peu confus dans ma tête.

-si mon routeur est piraté ou a été piraté, s’il y avait un logiciel malveillant, est ce que mon PC et les autres de la maison qui sont sur ce routeur ont forcément un logiciel malveillant, des infections ? Et est-ce que Bitdefender Security total suffit pour les trouver et les bloquer,sachant que Bitdefender à été installé après ?

-Est-ce que le reset pour la box que j’ai fait le 15 et 17-12 qui remet les paramètres d’usine suffit pour enlever les logiciels malveillants ou faut-il faire autre chose ?
Je vous ai envoyé le 22/12/19, le rapport de Mini Tool Box, mais j’avais fait un reset avant, est ce que cela à pu effacer le logiciel malveillant?
Du coup, le rapport fait après on ne voit rien.
On m’a conseillé de changer de routeur, que le reset ne suffisait pas. Qu’en pensez-vous ?
Si le routeur est piraté, est-ce que le fait de se connecter avec le câble Ethernet change quelque chose ?

Je pense encore que ma box, mon PC et mon téléphone fixe aussi sont piraté.
Quand je lis vos tuto ou vous dîtes : « un piratage peut être un accès temporaire, quelques minutes ou autres afin de parvenir au but final (voler tel ou tel information - Un trojan peu se lancer voler des informations et les transmettre à un serveur et se fermer, le but est de garder un accès frauduleux permanent sur l’ordinateur afin de contrôler ce dernier - une personne peux faire installer un logiciel de prise en main à distance légitime, mais utilisé à des fins d’espionnage pour « pirater » l’ordinateur. »
J’ai bien l’impression que c’est mon cas.
Mais comment se débarrasser d'un piratage temporaire, qui agit très rapidement et très certainement la nuit qu’en vous dormez, bien caché ?

Tout d’abord, j’ai installé Malwarebytes et il m’a mis en quarantaine 4 menaces.
Puis, j’ai peut être fait l’erreur de supprimer ce logiciel et je ne sais pas ce qu’il a fait de ce qu’il avait mis en quarantaine ?

1-malware du 29-10-12-2.png

Ensuite, j’ai fait l’analyse avec l’outil MRT de suppression de logiciel malveillant. Aucun logiciel malveillant n’a été détecté. Mais vous dîtes dans votre tuto : « si votre PC est infecté par un logiciel malveillant ne se trouvant pas dans la liste cible de MRT alors l’outil ne le détectera pas »
Puis, je vous ai envoyé le « FRST »et « <TXT » le 15/11/19. Vous m’avez répondu que mon PC n’était pas infecté.
Puis, j’ai acheté BitdefenderTolal, et fait un scanne complet. Qui a mis en quarantaine et qui y sont toujours :

2-quarantaine bitdefender-2.png

J’ai fait un reset et fini par réussir à changer les mots de passe de ma box le 17/12/19 qui était depuis 2ans et demi resté avec le mot de passe d’usine. Grosse erreur de ma part, mais je n’arrivais pas à les changer.

J’ai essayé de réinitialiser le serveur de nom-DNS le 22/12/19 en suivant votre tuto « réinitialiser les serveurs de nom/DNS »au cas où le serveur serait infecté. Je l’ai fait manuellement, mais je n’ai rien trouvé à supprimer.
J’étais connecté sur mon réseau wifi « bobb8 »
Il n’y a pas de IPs des DNS les cases sont vides
J’ai cliqué sur le bouton « avancé » je n’ai rien trouvé

3-protocole internet version 4-2.png

[alexone]

suite :

4-paramètre TCP-2.png

Pourquoi je n’ai pas d’adresse de serveur DNS, est-ce normal ?
Dans l’onglet DNS, je n’ai pas trouvé les deux IPs des DNS, ça veut dire que ce n’était pas infecté ?
J’ai annulé et refermé.

Par contre, j’ai vidé le cache DNS manuellement

5-cache DNS vidé le 22-12-19-2.png

6-vidé les cache le 24-12-19-2.png

Je sais bien que ce n’est pas parce qu’un élément est détecté que le PC est forcément infecté.
Mais les antivirus sont limités dans leur capacité de détecter une menace, si le virus est très sophistiqué, il peut passer à côté. Surtout si c’est une personne travaillant en tant que : « IT risk et cyber Management et maintenant Chef informatique Sécurity officier Partner Sécurity Cyber Review Management » qui m'espionne.

Aussi, je voudrais savoir comment faire face à un logiciel sophistiqué, ne sachant pas utiliser Process Explorer, ni Autorums et même pas sûr de mettre la mains dessus avec ces logiciels.
Je voudrais savoir qu’elle est la façon radicale pour y arriver. Faut-il que je reformate mon PC, que je fasse remplacer ma box, est-ce la seule façon ?

Je vous remercie pour votre aide.

[angelique]

Bonjour/Bonsoir,


Qu'est ce qui te fait dire que ta box a été "piraté" ?

Je pense que tu psychotes un peu

Pour les DNS laisse obtenir les dns automatiquement, ce sont celles mises dans ton routeur qui feront la résolution.

Pour vérifier::

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST ou FRST
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
  
  -------------
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  -------------
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[alexone]

Désolée mais quand je veux exécuter FRST64.exe, defender me mets :" à empêché le démarrage d'une application non reconnue"

message defender.PNG

j'avais déjà télécharger 2 fois "FRST" auparavant, mais il ne m'avait pas mis cette avertissement ?!
VIRUS TOTAL signal un malware (Sangfor Engine Zero) et Suspicious.low.ml.score (Trapmine) ?!

[alexone]

Je n'ai pas compris "les DNS laisse obtenir les dns automatiquement, ce sont celles mises dans ton routeur qui feront la résolution"
Que dois je comprendre, il faut que j'attends quand je suis sur propriété protocole internet version 4?

[angelique]

Faux positif, tu peux quand même l'exécuter.

Pour les dns tu peux mettre comme sur les captures.

[alexone]

Voici les liens : https://pjjoint.malekal.com/files.php?i ... 5r9r6f10o9

https://pjjoint.malekal.com/files.php?i ... k8d8g10p15

https://pjjoint.malekal.com/files.php?i ... 6h11s85n14

mot de passe : marmotte

[alexone]

Je n’ai que 2 protocoles internet une version 4 (TCP/IPv4) et une version 6 (TCP/IPv6) sur lesquelles je peux poursuivre et cliquer sur le bouton
« propriété ». Une fois sur propriété de protocole … je n’ai aucune adresse de serveurs DNS les cases sont vides.
En cliquant sur le bouton « avancé » je n’ai rien non plus.
Quand je sélectionne une autre ligne dans gestion de réseau, le bouton « propriété » est grisé, je n'ai pas la main.

version 4.PNG

version 6.PNG

[angelique]

c'est dans les propriétés tcp ip ipv4 dns comme sur la capture, celles d'openDNS

dns primaire : 208.67.220.220
dns secondaire : 208.67.222.222

si tu veux un filtrage porno, violence, etc....


dns primaire : 208.67.222.123
dns secondaire : 208.67.220.123



Sinon tu n'es pas infecté , ni même de résidus, les rapports sont corrects

Un petit coup de nettoyage::


Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[alexone]

Je vous remercie,
c'est à moi de mettre une adresse de serveur. Je pensais que je devais "Supprimer les adresses de serveurs s'y trouvant"
et comme il n'y avait aucune d'adresse, je supposais soit qu'il y avait un problème, ou soit que je n'avais pas de malware?
Mais je n'ai aucune idée de ce qu'il faut mettre et je ne voudrais pas faire une erreur et ne plus avoir de connexion.

je crois que je vais laisser tomber, en tout cas, encore merci pour votre aide et le temps que vous m'avez accordé
Je vous souhaite une très bonne soirée

[alexone]

contenu fixlog.txt :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 28-12-2019
Exécuté par FONTAINE Annie (28-12-2019 21:52:58) Run:1
Exécuté depuis C:\Users\FONTAINE Annie\Downloads
Profils chargés: FONTAINE Annie (Profils disponibles: FONTAINE Annie)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\bd_js_config.js [2019-12-01] <==== ATTENTION (Pointe vers un fichier *.cfg)
FF ExtraCheck: C:\Program Files\mozilla firefox\bd_config.cfg [2019-12-01] <==== ATTENTION
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
Emptytemp:


*****************

Le Point de restauration a été créé avec succès.
C:\Program Files\mozilla firefox\defaults\pref\bd_js_config.js => déplacé(es) avec succès
C:\Program Files\mozilla firefox\bd_config.cfg => déplacé(es) avec succès
C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => déplacé(es) avec succès

=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 1137180562 B
Java, Flash, Steam htmlcache => 524 B
Windows/system/drivers => 731474 B
Edge => 18480031 B
Chrome => 236604567 B
Firefox => 49875117 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 6656 B
Users => 6656 B
ProgramData => 6656 B
Public => 6656 B
systemprofile => 6656 B
systemprofile32 => 6656 B
LocalService => 145766 B
NetworkService => 435288 B
FONTAINE Annie => 88310958 B

RecycleBin => 4961792 B
EmptyTemp: => 1.4 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 22:00:42 ====

[angelique]

Dans ce cas, tu peux désormais supprimer frst, ses rapports et C:\FRST