PC infecté, quelqu'un m'espionne (?) [Résolu]

[xyz]

Bonjour,

Je demande de l'aide parce que je suspecte 2 personnes d'avoir infecté mon pc pour espionner mon historique google et peut-être plus afin de me rendre vulnérable.
J'en veux pour preuve que mon pc se comportait anormalement avec des applications qui changeaient de position sur le bureau, ma wifi internet qui se déconnectait sans mon intervention, sur leur compte Twitter la présence de tweets qui me sont adressés personnellement car ils n'ont pas l'habitude de parler français, certains tweets sont en total rapport avec mes récentes activités, et des tweets parlent de personnes qui suivraient anonymement son twitter.

Ce qu'il s'est passé c'est que je me rend régulièrement sur plusieurs compte twitter, sans pour autant les "follow", pour suivre des news sur des personnalités et sur ce qu'il se passe dans le monde, et certains ça les déranges alors qu'il n'y a aucune loi qui ne l'interdit (en tout cas à ma connaissance), que je n'ai jamais nui à la vie privé de ses personnes, ni utiliser des techniques de hacking pour récolter des données sur leurs personnes, et que leurs comptes sont accessibles à tout public. Etant donnée qu'il est certainement possible de voir qui se rend sur votre compte twitter. Ils m'ont certainement pris pour une menace.

Je ne peux pas dire comment ils s'y sont pris pour espionner mon pc.

Je suis en train de faire un scanner ESET ONLINE et il y a 10 objets détectés. Le scan n'est pas terminé.
J'aimerais savoir ce que je dois faire pour me sortir de cette situation, être sûr qu'ils n'ont plus accès à mon pc et sécuriser à nouveau ma connexion ?

Merci d'Avance

[Parisien_entraide]

Bonjour,

Si infection Malekal ou Angélique te le diront :

La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut. ----> Ne pas oublier de cocher la case
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[xyz]

Merci pour la réponse, voici les liens demandés (FRST - ADDITION - SHORTCUT)

https://pjjoint.malekal.com/files.php?i ... 10z11p1367

https://pjjoint.malekal.com/files.php?i ... s7h13x5j15

https://pjjoint.malekal.com/files.php?i ... 11v14w14c5


Je peux arrêter le scan ESET ONLINE ou je continue l'analyse ?

[Parisien_entraide]

Malekal en dira plus mais avant de suspecter des personnes tierces d'une infection ou de hacking

Tu as un usage de

DAEMON Tools Lite
Free Download Manager
Mega (a priori désinstallé)
qBittorrent

et un Office 2016 KMS Activator Ultimate (que windows defender a détecté)
Vu que certains KMS (majortairement sont infectés.. Surtout les "versions "ultimate" pour attirer les naifs...

Du reste légitime ou pas
Nom : Trojan:Win32/Wacatac.A!ml
ID : 2147735504
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Program Files\Office 2016 KMS Activator Ultimate v1.1 Final\upgrade.exe
Origine de la détection : Ordinateur local

De là vient peut etre ton soucis avec https://www.malekal.com/wmiprvse-exe/


Donc ton comportement fait que tu es la personne responsable de ce que tu télécharges qui peut etre infecté


Dans firefox tu AVAIS ce module Thinkorswim (et il y a un lien avec la crypto monnaie)
(voir la fin avec l'enquete de la SEC https://en.wikipedia.org/wiki/Thinkorswim

Exécuté par xyz (ATTENTION: L'utilisateur n'est pas administrateur)

Du reste on trouve
xyz (S-1-5-21-989415941-2051967833-3148358314-1001 - Limited - Enabled) => C:\Users\XYZ
zyx (S-1-5-21-989415941-2051967833-3148358314-1017 - Limited - Enabled) => C:\Users\zyx

Tu as plein de service désactivés
La Restauration système est désactivée

Tu as ESET mais on trouve des traces de Avira, bitdefender, AVG...sans compter ByteFence Anti-Malware. et un usage de ZHP qui t'as mis des progs en quarantaine

[xyz]

Merci de ton retour, je dois supprimer ces logiciels ? Je reconnais que je ne respecte pas les bons gestes de préventions qui garantissent la bonne santé du pc. Cela vient du fait que je suis un noob en informatique et il y a de la paresse également je dois admettre, la leçon va être retenu à partir d'aujourd'hui. Mais la probabilité que quelqu'un devine mes activités récentes avec autant de justesse me parait faible donc je reste dubitatif.

xyz et zyx sont 2 comptes que j'avais créer en plus de l'administrateur pour changer le nom utilisateur puisque c'était mon véritable nom. Je vais repasser à un seul compte administrateur après la résolution de mon problème et supprimer les deux premiers.

[Parisien_entraide]

Ce que j'ai mis en avant tu en fais ce que tu veux, mais c'est avec eux que tu peux du fait de ce que tu récupères, te faire infecter

Ensuite il y a ta connexion internet en Wi fi... C'est bien sécurisé à travers l'interface de la box ? (protocole, n'autoriser que la liste des appareils via leur adresse MAC, etc ?

Quant à twitter.. Ce n'est pas en suivant des comptes que tu vas te faire infecter
Par contre si tu cliques sur des liens au sein des comptes twitter , c'est comme sur facebook, il y a des risques

Que raconte l'analyse ESET ?

[Malekal_morte]

Bonjour,

Rapports corrects.
Peut-être désinstalle cela pour alléger le PC :

Avira Safe Shopping
Java
Wondershare Helper Compact

[xyz]

Bonjour,

L'analyse ESET n'avait rien détecté d'alarmant, juste des fichiers suspects liées à uTorrent qu'il a supprimé.
Le PC se comporte beaucoup mieux après une réinitialisation, j'ai suivi les tutoriels du site pour mieux le sécuriser.

Merci.

[Parisien_entraide]

Si cela te dis tu peux poster un nouveau rapport FRST, pour voir ce qui peut etre affiner en terme de sécurité...

[xyz]

Oui ça m'intéresse, voilà le nouveau rapport FRST :

https://pjjoint.malekal.com/files.php?i ... 8m9m6e7g11

https://pjjoint.malekal.com/files.php?i ... 13z9z11z14

https://pjjoint.malekal.com/files.php?i ... j5e8z5q9u9


J'ai aussi installé Tor pour une navigation plus sécuriser mais ce dernier m'affiche un message lié à mon trafic réseau lorsque j'essaie de me rendre sur youtube uniquement :

Our systems have detected unusual traffic from your computer network. Please try your request again later.
Avec l'affichage d'une adresse IP aléatoire que Tor a créé normalement.

J'aimerais comprendre le message.

Suite à ça j'ai effectué une analyse avec Malwarebytes qui a détecté 2 menaces, voici le compte-rendu :

https://pjjoint.malekal.com/files.php?i ... p5x7j12b12

Alors j'ai essayé de me renseigner sur la nature des menaces sur le blog de MBytes et donc ça serait en rapport avec la configuration que j'ai faite suite au tuto pour empêcher le pistage sur le navigateur firefox avec le fichier user.js, et que MB les détectent en tant que menace dans le registre pour empêcher une éventuellement modification des paramètres, j'aimerais bien savoir, le niveau de dangerosité, d'où peut provenir une telle requête et ce que dois-je du coup les mettre en quarantaine ou faire en sorte qu'il ne soit plus détecté ?

Et j'ai aussi le NoVirusThanks OS Armor qui a bloqué le process :

C:\Windows\SysWOW64\reg.exe

Je n'ai pas exclu le fichier car d'après mes recherches ce n'est pas une menace, mais évidement je ne sais pas quoi faire maintenant qu'il a été bloqué.

Merci d'Avance.

[Parisien_entraide]

Bonsoir,

Je regarderai un peu plus tard pour les rapports

Il me semble curieux que MBAM déclare en faux positif une modif de user.js de Firefox pour empêcher le pistage
Mon user.js comporte largement plus de tweaks que le tien et je n'ai pas eu de problèmes

Par contre dans le user.js il peut y avoir a des adresses en https, et c'est peut etre là qu'est le problème si une a été modifié par un programme tiers, une infection.. (un module complémentaire vérolé par ex)

Donc si MBAM indique un soucis applique ce qu'il demande. Mais il faut se rappeler que les lignes de user.js sont copiées dans le prefs.js, donc après nettoyage par MBAM, repasse un coup de MBAM pour voir si il dit la meme chose (j'en doute sinon il aurait indiqué le prefs.js)


TOR : Evite et vire le. Cela demande certaines connaissances pour le configurer et usage.

Ensuite évite d'utiliser un tas de programme, dont NoVirusThanks OS Armor
On n'installa pas des progs pour espérer d'un coup de baguette magique résoudre les problèmes
Il faut analyser avant et appliquer la bonne solution en adéquation

[xyz]

Bonjour,

J'ai placé en quarantaine les deux menaces, refait une analyse et il n'a rien détecté. Puis supprimé Tor et NoVirusThanks.

Okep j'éviterais d'installer plusieurs logiciels dorénavant.

[Parisien_entraide]

Tu peux faire la meme chose avec GlassWire...

Lorsqu'il a été lancé il était intéressant, mais au fil du temps les fonctions se sont dépréciées ou ont disparu, SAUF si on achetait la version payante

Edit : En protection installe plutot un truc qui ne va pas lancer de services, faire de la télémétrie etc

https://www.malekal.com/hardentools-securiser-windows/

voir les mises à jour (dernier message)

viewtopic.php?t=60030

La chose qu'il faut se rappeler c'est que cela bloque, en protection , si on coche CMD et powershell (utilisé par les malwares)
Donc si on a usage il faut décocher, relancer windows faire sa manip et ensuite réactiver la chose

Pour le reste cela ne bloque rien en usage courant

[xyz]

Bonjour,

Voilà, j'ai suivi tes recommandations et les ai comprises, du moins je pense, tout a été clair. Si quelque chose n'est pas clair ou si j'ai un doute, je demanderais à nouveau. Je vais lire un peu plus les articles du site pour me tenir informé. Bien que ça soit complexe, le monde de l'informatique est plutôt fascinant.

Je te remercie d'avoir pris le temps de m'aider et de bien m'expliquer les pratiques à faire et respecter. Merci.

[Parisien_entraide]

Accessoirement le fait de cumuler ces types de programmes (je parle au sens global) , ralentissent, parfois bugguent entre eux et annulent les fonctions de ce pour quoi ils sont prévus, peuvent provoquer des dysfonctionnements etc
Il faut donc trouver le juste équilibre, et en choisissant les programmes qui meme si non utilisés ne lancent pas au démarrage un tas de services, voire pilotes à bas niveau

SInon bah oui, si tu as un soucis tu peux revenir :-)