Vérification d'une possible infection [rapport Malware]

[barbara22]

Bonjour,

Je pense qu'il y a eu intrusion sur mon ordinateur portable, possiblement ma tablette ainsi que mon téléphone.
En effet il semblerait que des informations sensibles aient été transmises à des tiers, mais je n'ai pas la possibilité de le prouver clairement.
J'avoue que je ne sais pas trop où donner de la tête car il y a beaucoup d'informations sur internet mais j'ai trouvé votre site plutôt fiable.
Après lecture de votre page "comment vérifier si ordinateur a été hacké ou piraté ?" j'ai commencé la procédure par une analyse Malwarebytes Anti-Malware (MBAM).
J'ai l'intention de continuer avec les autres conseils que vous donnez : Process explorer, autorun, FRST, mais avant de tout lancer et de m'y perdre votre expertise serait la bienvenue !
Serait-il possible de partager ici le rapport Malwarebytes que j'ai obtenu ? Il comprend 16 éléments mis en quarantaine dont un qui est identifié par le logiciel comme une menace.
Comme je ne voudrais pas faire n'importe quoi, j'aimerais savoir s'il est possible de poster ici la version .txt du rapport ? C'est la première fois que je me lance dans ce genre de démarche, donc d'avance pardonnez moi si je pose des questions dont les réponses vous paraissent évidentes. J'ai tenté l'outil pjjoint mais j'ai ce message : "Vous ne pouvez pas uploader de fichiers dont la taille est supérieure à : 20000 Ko ou dont la longueur du nom est supérieur à 50 caractères et qui contient des caractères spéciaux."

Je vais avoir besoin de toute l'aide possible pour comprendre ce qui m'arrive et régler cette situation aussi je vous remercie d'avance pour vos réponses.

[barbara22]

Voici la suite les rapports FRST d'avance merci pour votre aide !

Dans l'ordre frst - shortcut - addition

https://pjjoint.malekal.com/files.php?i ... 11k1511n14

https://pjjoint.malekal.com/files.php?i ... 5k9e10k5r8

https://pjjoint.malekal.com/files.php?i ... i9i8y7t5h7

[Malekal_morte]

Salut,

Les rapports sont corrects, pas de malware.

[barbara22]

Merci beaucoup Malekal c'était très rapide !

Au risque d'abuser : juste pour bien comprendre, est ce que ça veut dire que mon pc n'est pas infecté actuellement ? ou qu'il ne l'a pas été du tout ?
Sachant que MalwareBytes a mis des éléments en quarantaine est ce que ça aurait pu fausser le résultat "rassurant" des rapports FRST ?
J'aimerais être tranquille sur le fait que mon ordinateur n'est pas surveillé à distance d'où mes questions, cela me rassurerait de savoir que ces derniers mois ou dernières semaines mes fichiers n'ont pas été accessibles/transmis (sachant que je suis la seule à utiliser cet ordinateur cela ne peut se faire qu'à distance) ce serait important pour mon boulot (non je ne suis pas agent secret mais il y a du secret professionnel là dedans).

Encore merci !

édit : j'ai cet ordinateur depuis seulement 3-4 mois c'est un prêt, je pense que je reviendrai vers vous très prochainement avec les rapports FRST de mon autre ordinateur pour plus de sûreté. Est-ce qu'il y a une procédure spécifique pour vérifier de la même manière une tablette ?

[Malekal_morte]

Il n'est pas infecté pour le moment et il n'y a pas de trace.
Après il a pu l'être.

Sachant que tu as utilisé Kaspersky et Malwarebytes Anti-Malware (MBAM), je doute qu'il l'ai été vu que tu ne parles pas de détection.

[barbara22]

Merci Malekal,

Le soucis c'est que Kaspersky et Malwarebytes je ne les ai installé que très récemment, la semaine dernière. Il n'y avait qu'une version obsolète de Malwarebytes (je ne l'ai découvert qu'à la récente installation) qui a priori ne fonctionnait pas. Sinon c'était Windows defender. Je sais c'est très faible.
J'ai installé ces deux logiciels après avoir vu des écrans commandes s'ouvrir et se refermer très rapidement à l'allumage de l'ordinateur il y a quelques jours.

Malwarebytes (version période d'essai) je l'ai installé après avoir constaté il y a 2 ou 3 jours que l'icône corbeille était apparu sur le bureau, pas alignée avec les autres icones d'ailleurs.
Pour le reste de mes soupçons ils reposent sur des éléments non-informatiques, des sous-entendus si tu préfères qui laissent penser qu'une information particulière a pu fuiter via instagram (j'ai une double authentification depuis le 1er janvier après avoir remarqué une activité de connexion basée en australie). Je ne suis pas certaine de ma tablette et de mon téléphone non plus et ça je ne sais pas comment le vérifier. Mais il y a bel et bien quelque chose qui a fuité.

Je me permets de copier/coller ci dessous le compte rendu en version résumé de Malwarebytes, réalisé avant FRST (comme dit plus haut je n'arrive pas à le faire passer sur pjjoint) :


Clé du registre: 13
PUP.Optional.WebDiscoverBrowser, HKU\S-1-5-21-789612206-4163586858-2691855785-1000\SOFTWARE\WebDiscoverBrowser, En quarantaine, 5233, 253912, 1.0.37587, , ame, , ,
PUP.Optional.WebDiscoverBrowser, HKLM\SOFTWARE\WOW6432NODE\WebDiscoverBrowser, En quarantaine, 5233, 253915, 1.0.37587, , ame, , ,
Adware.Agent.OL, HKLM\SOFTWARE\CLASSES\Prod.cap, En quarantaine, 8488, 830817, 1.0.37587, , ame, , ,
PUP.Optional.WebDiscoverBrowser, HKLM\SOFTWARE\WebDiscoverBrowser, En quarantaine, 5233, 253915, 1.0.37587, , ame, , ,
PUP.Optional.WinYahoo, HKU\S-1-5-21-789612206-4163586858-2691855785-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, En quarantaine, 2683, 182758, , , , , ,
PUP.Optional.WinYahoo, HKU\S-1-5-21-789612206-4163586858-2691855785-1060\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, En quarantaine, 2683, 182758, , , , , ,
PUP.Optional.WinYahoo, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, En quarantaine, 2683, 182758, , , , , ,
PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, En quarantaine, 2683, 182758, 1.0.37587, , ame, , ,
PUP.Optional.WinYahoo, HKU\S-1-5-21-789612206-4163586858-2691855785-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}, En quarantaine, 2683, 182758, , , , , ,
PUP.Optional.WinYahoo, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}, En quarantaine, 2683, 182758, 1.0.37587, , ame, , ,
PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2F23AB71-4AC6-41F2-A955-EA576E553146}, En quarantaine, 2683, 182757, , , , , ,
PUP.Optional.WinYahoo, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2F23AB71-4AC6-41F2-A955-EA576E553146}, En quarantaine, 2683, 182757, , , , , ,
PUP.Optional.WinYahoo, HKU\S-1-5-21-789612206-4163586858-2691855785-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2f23ab71-4ac6-41f2-a955-ea576e553146}, En quarantaine, 2683, 182757, 1.0.37587, , ame, , ,

Valeur du registre: 3
PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|URL, En quarantaine, 2683, 182758, 1.0.37587, , ame, , ,
PUP.Optional.WinYahoo, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}|URL, En quarantaine, 2683, 182758, 1.0.37587, , ame, , ,
PUP.Optional.WinYahoo, HKU\S-1-5-21-789612206-4163586858-2691855785-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2f23ab71-4ac6-41f2-a955-ea576e553146}|URL, En quarantaine, 2683, 182757, 1.0.37587, , ame, , ,

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

[barbara22]

Je viens de lancer une analyse complète Malwarebytes sur ma tablette je reviendrai sur ce topic avec les résultats, mais apparemment ça va prendre des heures.

[Malekal_morte]

PUP.Optional.WinYahoo, = programme parasite qui vise à pousser Yahoo! sur tes navigateurs WEB (Browser Hijacker).
On est donc loin d'un Trojan qui vole des données ou permet de contrôler ton PC.

Toujours rien de grave donc.