Compte Amazon piraté ? ordinateur sain ?

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Arno2020
Messages : 10
Inscription : 28 août 2020 13:21

Compte Amazon piraté ? ordinateur sain ?

par Arno2020 »

Bonjour,

Il y a 2 jours je reçois une notification mail en provenance d'Amazon me confirmant la validation de 3 commandes.
Bien évidement je n'ai rien passé... Pensant à du Phishing je n'y ai pas prêté attention. J'ai vérifié mes commandes malgré tout et rien dans l'historique.
Puis dans l'après midi un lien de LaPoste m'indiquant que le colis est en route. Là je vérifie le mail et les liens sont bons, du coup je regarde les mails Amazon et les liens sont bons aussi. Gros stress ! Pas de redirection vers un site bizarre. Du coup je cherche et je ne vois rien sur Amazon, et je finis par trouver 3 commandes archivées et donc masquées des commandes récentes ! Quelqu'un a effectivement commandé quelque chose.
Je reçois effectivement les colis à la maison, je signale à Amazon change le mdp et supprime ma carte enregistrée.

Le truc que je trouve bizarre c'est que c'est livré à mon adresse pour environ 60€. Je ne comprends pas pourquoi le gars n'a pas changé l'adresse de livraison ?

J'ai peur que mon PC soit infecté du coup même si je ne vais pas sur les sites douteux et que je ne télécharge rien d'illégal.
J'ai vérifier si je voyais des Process bizarre avec ProcessExplorer et VirusTotal mais rien. J'ai quelque process m'indiquant [Accès refusé.] Le fichier spécifié est introuvable.
J'ai regarder mes connexion avec l'extérieur avec TCPView et je ne vois rien de bizarre.

J'ai fais un scan avec adwcleaner qui m'a trouver des PUP :
PUP.Optional.Legacy HKLM\Software\Wow6432Node\\Classes\CLSID\{3CCC052E-BDEE-408A-BEA7-90914EF2964B}
PUP.Optional.Legacy HKLM\Software\Wow6432Node\\Classes\CLSID\{61F47056-E400-43D3-AF1E-AB7DFFD4C4AD}
PUP.Optional.Legacy HKLM\Software\Wow6432Node\\Classes\CLSID\{E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A}

Puis rien avec MalwareBytes

voici mes 3 rapports FRST :
https://pjjoint.malekal.com/files.php?i ... n11y5x8p14
https://pjjoint.malekal.com/files.php?i ... p8q8b7s9r9
https://pjjoint.malekal.com/files.php?i ... 0c10y8h8w5

J'ai lu l'article sur les rootkits et leur détection difficiles du coup ça fait 2j que je suis en stress !
Si vous pouvez m'aider...
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Compte Amazon piraté ? ordinateur sain ?

par Malekal_morte »

Salut,

Analyse ce fichier C:\Program Files (x86)\Trotec\IoT\ManagementClient\Trotec.IoT.Tools.Management.exe sur Virustotal
et donne le lien de scan ici.

~~

2°) ESET NOD32
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Arno2020
Messages : 10
Inscription : 28 août 2020 13:21

Re: Compte Amazon piraté ? ordinateur sain ?

par Arno2020 »

Merci pour ta réponse rapide.
Trotec est un logiciel pour gérer un laser CO2 je ne pense pas que ça soit un problème.
Dans le doute j'ai fais le scan sur VirusTotal : No engines detected this file (0/67)

Voici le rapport NOD32, ça a prit beaucoup de temps.
1 détection de trouvé MSIL/Stimilik.GJ cheval de troie
https://pjjoint.malekal.com/files.php?i ... _o6g9n65z9

Merci
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Compte Amazon piraté ? ordinateur sain ?

par Malekal_morte »

Pas l'air infecté donc.

Configure la Double authentification sur ton compte Amazon.
Ca limite les piratages.

A lire ce dossier sinon : Comment se protéger sur internet et éviter les piratages : le dossier.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Arno2020
Messages : 10
Inscription : 28 août 2020 13:21

Re: Compte Amazon piraté ? ordinateur sain ?

par Arno2020 »

Merci d'avoir pris le temps de regarder les logs. Je suis rassuré.

J'ai déjà la double authentification SMS sur Amazon. Je n'ai jamais reçu de SMS m'indiquant que quelqu'un essayait de se connecter à mon compte.
Ce que je ne comprends pas c'est pourquoi livrer des commandes à mon adresse et pour un total de ~60€ ? Pourquoi le gars n'a pas fait livrer à une autre adresse ? Ou alors il y a des gars qui récupère les colis dans la boite à lettre. Le facteur m'a déjà dit qu'ils ne mettaient plus les colis dans la BAL car certains les forçaient...
Ou un bug ou un truc du genre chez Amazon et là on se le saura jamais.
Bref c'est trop bizarre cette histoire.
Avatar de l’utilisateur
Parisien_entraide
Messages : 19471
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Compte Amazon piraté ? ordinateur sain ?

par Parisien_entraide »

Bonjour,

Vérifie (cité dans le lien donné par Malekal)
https://www.malekal.com/haveibeenpwned- ... -de-passe/

surtout si tu utilises le même mot de passe sur plusieurs sites ou services


Je note sur ton PC un :

TeamViewer

S'est fait voler sa base de données il y a quelques années
En aout il a été découvert une faille facile à exploiter (Iframe qui se connecte au serveur de l'attaquant par le protocole SMB)

Garmin
A subi l'attaque d'un ransomware en juillet et s'est fait pirater sa base de données client (dont carte bancaire)
Ils ont payé mais rien n'indique que certaines données piratées n'ont pas été partiellement vendues

Pour le premier il n'y a pas besoin de connaitre le mot de passe pour se connecter
Pour Garmin, il faut changer login/mot de passe et carte bancaire


Concernant ta navigation internet


Tu n 'as AUCUNE protection. Le minimum étant d'utiliser
Ublock Origin https://www.malekal.com/ublock-bloquer- ... -internet/ (et il protège pas que de la pub)

Idéalement y ajouter le module "no script" https://www.malekal.com/tutoriel-noscript/

Après il y a d'autres pistes comme https://www.malekal.com/hardentools-securiser-windows/ (mais il faut bien en comprendre l'impact)


Je note un programme (peut etre lié à une alarme ?) BabyWare
Je ne connais pas, mais nombre de caméras d'alarmes sont mal sécurisées, ont des failles, et l'on peut y accéder de l'extérieur,
https://www.ass-security.fr/blog/dossie ... veillance/

et de plus cela doit t'ouvrir des ports et utiliser des protocoles https://www.malekal.com/activer-desactiver-smb-windows/
Là aussi idéalement il faudrait un PC dédié pour cela

Tu as un processus inutile GMER (tu as du faire une analyse rootkit je présume)
La règle étant de virer les processus et services qui ne servent pas

C:\Users\Arnaud\AppData\Local\Temp\afldyuoc.sys [56584 2020-08-28] (GMEREK Systemy Komputerowe Przemyslaw Gmerek -> GMER
GMEREK Systemy Komputerowe Przemyslaw Gmerek


C'est quoi ?

Le 28 aout tu as installé :

2020-08-28 09:51 - 2020-08-28 09:52 - 000380928 _____ C:\Users\Arnaud\Desktop\en5zuqoy.exe

Qui en plus est en erreur :

Error: (08/28/2020 11:18:49 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nom de l’application défaillante en5zuqoy.exe, version : 2.2.19882.0, horodatage : 0x56e2cdca
Nom du module défaillant : en5zuqoy.exe, version : 2.2.19882.0, horodatage : 0x56e2cdca
Code d’exception : 0xc0000005
Décalage d’erreur : 0x0001d061
ID du processus défaillant : 0xe58
Heure de début de l’application défaillante : 0x01d67d1a18cd476d
Chemin d’accès de l’application défaillante : C:\Users\Arnaud\Desktop\en5zuqoy.exe
Chemin d’accès du module défaillant: C:\Users\Arnaud\Desktop\en5zuqoy.exe
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Arno2020
Messages : 10
Inscription : 28 août 2020 13:21

Re: Compte Amazon piraté ? ordinateur sain ?

par Arno2020 »

Bonjour,

Merci pour ta réponse.

Je ne savais pas pour TeamViewer. Du coup le mieux est de désactiver le service ? Je me sers uniquement pour dépanner jamais pour obtenir de l’aide.

Pour Garmin oui ils ont été bloqués pendant 1s. Je ne savais pas qu’ils avaient payés, ils me semblaient qu’ils avaient tout réinstallé ? Par contre je n’ai pas de carte d’enregistrer. Juste mes sessions de sport. Je vais changer le mdp.

Effectivement j’ai installé GMER pour détecter des root kits mais le soft plantait au chaque fois. Je ne sais pas si il y avait un conflit. Mais même en mode sans échec ça ne fonctionnait pas. Le fichier exécuté avec un nom bizarre est gmer. Quand on télécharge ils génèrent un fichier au nom aléatoire. Je vais supprimer tout ça.

Oui je n’ai rien de spécial pour surfer sur internet. Je pensais que Windows Defender suffisait. Et je ne clique pas sur n’importe quoi donc je pensais être à l’abri. Je n’ouvre jamais les pj des e-mails « bizarre » que je ne connais pas.

Baby ware oui c’est une alarme. Programme pour paramétrer toutes les fonctions avec le PC. J’ai effectivement ouvert 2 ports tcp sur la box pour communiquer avec l’alarme. C’est risqué ?

Je vais lire tes liens et je vais relire les articles du site que je trouve super intéressant. Je suis dans l’informatique mais plutôt le développement logiciel. La sécurité c’est encore un autre domaine :)
Avatar de l’utilisateur
Parisien_entraide
Messages : 19471
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Compte Amazon piraté ? ordinateur sain ?

par Parisien_entraide »

Bonjour

Oui pour teamviewer si tu ne t'en sers pas tu peux désactiver le service
Sinon pour la vue d'ensemble autoruns https://www.malekal.com/autoruns/

Pour GMER c'est normal. C'est un moyen défensif de contrecarrer un rootkit qui s'appuierait sur le nom d'un programme pour le neutraliser

De nos jours même si on ne clique pas sur n'importe quoi, une simple régie de pubs vérolée sur un site "safe" peut suffire et un anti virus est juste une brique dans la sécurisation
Ensuite il y a sa réactivité, idem pour les autres programmes de sécurité
Avec "no script" et un Ublock origin bien configuré (qui disposes également d'un no script mais plus pénible à gérer je trouve) etc tu contrecarres la majorité de ce qui peut trainer

Sans compter que Ublock est un véritable couteau suisse viewtopic.php?f=46&t=64996
et https://www.malekal.com/ublock-le-filtr ... ie-privee/ (un peu contraignant à l'usage mais...)
idem avec https://www.malekal.com/localcdn-pour-f ... -en-ligne/

Evidemment si tu lis tout https://www.malekal.com/virus-securite/ tu deviens parano, mais tu peux également te passer d'anti virus

https://www.malekal.com/comment-protege ... antivirus/ (je ne conseille pas cependant car il faut quelques connaissances annexes)

Pour les mails, ne pas ouvrir les PJ ne suffit pas toujours. Il ne faut pas ouvrir tout court le spam et les messages "bizarres"
Ca parle à la base de GMail mais viewtopic.php?f=46&t=66466
Ca n'infecte pas, mais cela donne des indications pour mieux te cerner et renouveler soit le spam soit le phishing

Pour ton alarrme, je ne sais si tu parles juste d'une alarme ou alarmes et caméras, mais le soucis à la base est avec les caméras, la box, le réseau

Juste quelques grandes lignes https://homeprotection.fr/content/93-pr ... e-piratage

Exemple applicatif :

"En analysant des caméras du commerce, associées à une application mobile, qui servent à la fois à protéger la maison et à surveiller les bébés, les experts ont découvert que leur connexion au réseau domestique n'était pas sécurisée. La transmission du mot de passe et la liaison avec la borne Wi-Fi ou la box ADSL, notamment, s'effectuent sans chiffrement. Ce qui facilite le travail du pirate."
Pire: à chaque utilisation, l'application mobile envoie un simple code de connexion au serveur en ligne qui gère la connexion, et ce serveur ne vérifie pas le code, accordant l'authentification automatiquement. Un pirate peut donc «enregistrer un appareil différent en utilisant le code de l'appareil original dans le but de tromper le serveur», expliquent les chercheurs. Il pourra alors récupérer le nouveau mot de passe de la caméra si l'utilisateur a changé celui par défaut. En prime, le pirate peut aussi exploiter les notifications: dès que l'utilisateur reçoit une alerte, quand la caméra détecte un son ou un mouvement suspect dans la maison, il lui suffit d'intercepter la communication, faiblement sécurisée, pour obtenir le mot de passe non chiffré."

Ca c'est pour les pirates, mais un voleur peut également analyser la présence ou pas et ensuite contourner la sécurité pour pénétrer

ce qui fait que :
http://insecam.org/
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Arno2020
Messages : 10
Inscription : 28 août 2020 13:21

Re: Compte Amazon piraté ? ordinateur sain ?

par Arno2020 »

Bonjour Parisien_entraide,

Je ne sais pas ce que c'est :
C:\Users\Arnaud\AppData\Local\Temp\afldyuoc.sys [56584 2020-08-28] (GMEREK Systemy Komputerowe Przemyslaw Gmerek -> GMER
GMEREK Systemy Komputerowe Przemyslaw Gmerek
Comme j'ai vu Gmer je croyais que cétait en rapport avec Gmer...
Est ce qu'une simple suppression suffit ou est ce un pilote installé et que cela nécessite une commande spécifique pour tout désinstaller ?

Merci

EDIT : Je viens de regarder le fichier et c'est bien un fichier installé par Gmer le 28 aout.
Je vais le suprimer...
Arno2020
Messages : 10
Inscription : 28 août 2020 13:21

Re: Compte Amazon piraté ? ordinateur sain ?

par Arno2020 »

Impossible de supprimer le fichier manuellement, il est utilisé par un processus ouvert.
Du coup je peux faire comment ? Si c'est utilisé par Gmer je ne vois rien dans les programmes installés.
Avatar de l’utilisateur
Parisien_entraide
Messages : 19471
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Compte Amazon piraté ? ordinateur sain ?

par Parisien_entraide »

Pour GMER je t'avais indiqué "Pour GMER c'est normal. C'est un moyen défensif de contrecarrer un rootkit qui s'appuierait sur le nom d'un programme pour le neutraliser" donc les noms sont aléatoires

Je t'ai indique l'usage d'autoruns également.
Si GMER est actif tu devrais le voir (donne une capture image)

La FAQ de GMER n'est pas claire, car il est dit qu'il suffit d'effacer le nom du programme qui se trouve dans le dossier Windows
mais cela c'était pour les anciennes versions

A garder sous le coude :le temps que je vois ce que GMER installe en processus via tes captures

Ouvrir CMD en mode administrateur et taper

C: \\ WINDOWS \\ gmer_uninstall.cmd
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Arno2020
Messages : 10
Inscription : 28 août 2020 13:21

Re: Compte Amazon piraté ? ordinateur sain ?

par Arno2020 »

Merci pour ta réponse.
J'ai lancé Autorun et j'ai repéré qu'il y avait un service Gmer probablement associé au fichier afldyuoc.sys
Puis comme je n'avais pas le temps, je me suis dit que je le ferai ce soir. Ce soir, au démarrage du PC, le service n'est plus visible et j'ai pu supprimer le fichier afldyuoc.sys
C'est bizarre peut être que le service c'est supprimé en ne voyant plus le fichier Gmer ? Mais ça me semble bizarre quand même.

Dans Autorun je ne vois rien de bizarre lancé au démarrage donc je pense que c'est bon. Et VirusTotal ne détecte rien non plus.

EDIT : En fait le fichier était utiliser dans HKLM\System\CurrentControlSet\Services et pas les "services windows"
Avatar de l’utilisateur
Parisien_entraide
Messages : 19471
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Compte Amazon piraté ? ordinateur sain ?

par Parisien_entraide »

C'est l'avantage d'autoruns, de montrer les services lancés qui ne figurent pas dans les "services wiindows"

Quant à la disparition du service.. Peut être as tu décocher la case dans autoruns sans le faire exprès, car il ne se désinstalle pas tout seul :-)-
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Arno2020
Messages : 10
Inscription : 28 août 2020 13:21

Re: Compte Amazon piraté ? ordinateur sain ?

par Arno2020 »

Merci pour ta réponse, bon je suis têtu j'ai donc téléchargé à nouveau Gmer pour voir.
Effectivement en lançant un scan j'ai bien le fichier afldyuoc.sys qui se créé dans le service visible dans Autorun (voir capture en PJ)
Par contre, Gmer se ferme tout seul pendant le scan. Le logiciel plante et je ne comprends pas pourquoi ?

Je remarque des process avec un nom bizarre (voir capture en PJ) on dirait un problème d'encodage ou nom chinois ?

Pourquoi Gmer plante ?
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avatar de l’utilisateur
Parisien_entraide
Messages : 19471
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Compte Amazon piraté ? ordinateur sain ?

par Parisien_entraide »

Pour Autoruns il est préférable de se servir des onglets "Logon", "Sheduled tasks", "Services" pour avoir une meilleure vue et diffférencier

Quant à GMER, regarde bien si l'AV ou autre protection, ne s'en occupe pas, car considéré comme tous les programmes de ce genre comme "dangereux""


Pour ton caractère chinois, il faudrait affiner le process pour voir ce qu'il y a derrière avec un process explorer plus pointu :

https://www.malekal.com/alternative-au- ... e-windows/

Astuce pour process hacker le lien est ici : https://wj32.org/processhacker/nightly.php

Je ne peux t'en conseiller un en particulier car malheureusement ils ont chacun des points forts et faibles et spécialisations

Néanmoins cela peut être lié à GMER il faudrait tester après désinstallation de GMER
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »