HackTool:Win32/AutoKMS : Suspicion infection

[herve62]

Bonsoir
J'ai un gros doute sur une potentielle infection , j'ai EXCEL qui commence à faire du n'importe quoi ....et se fermer tout seul ?
De plus j'ai une notification DEFENDER
Donc comme je connais ci joint les rapport FRST

https://pjjoint.malekal.com/files.php?i ... 10n9e9x5l8
https://pjjoint.malekal.com/files.php?i ... 15c6i14m11
https://pjjoint.malekal.com/files.php?i ... 5g15f11c14

Merci pour l'analyse

[Parisien_entraide]

Bonjour,

Je pense que tu devrais reformuler ta phrase "j'ai EXCEL qui commence à faire du n'importe quoi ....et se fermer tout seul ?"

en

"j'ai téléchargé une version pirate d' EXCEL, et c'est normal d'avoir des soucis puisque je fais n'importe quoi "

Tu es arrivé sur le forum en 2014 pour un problème de virus et le site et forum sont emplis de gens infectés par des programmes piratés/crackés et là tu fais comme si de rien n'était comme si tu ne savais pas

En plus :

Windows pas à jour Version 20H2


Des progs obsolètes ou dangereux

- eMule ... Tu tiens vraiment à avoir un (autre) message de la nouvelle instance d'Hadopi ?


Wondershare... Y a pas une semaine qui se passe sans qu'il soit conseillé de virer ce truc qui bouffe du CPU et mémoire (que tu n'as pas beaucoup) vu que la conso est lié au scan du HD ou SSD pour faire de la télémétrie et envoyer tes données à l'étranger
https://www.malekal.com/comment-supprimer-wondershare/

Wondershare Helper Compact 2.5.3
Wondershare Streaming Audio Recorder

En plus tu installes n'importe quoi, comme avec Soda Player
https://new.reddit.com/r/Piracy/comment ... player_is/



REMO : Prog considéré comme une arnaque


ChrisPC Free Anonymous Proxy ... Ce truc plébiscité il y a... une quinzaine d'année, (Et où les gens oubliaient de désactiver les plugins Java, Flash (et autres) ainsi que le JS ce qui fait sauter le pseudo anonymat)
La version free est liée à des bannières de pubs, et les proxies "free" ne sont pas fiables, et on y ajoute les risque de problème de confidentialité.
L'historique de navigation est enregistré par le serveur proxy (ton adresse IP originale et les informations contenues dans tes requêtes Web comme les mots de passe)
Ce n'est pas le prog en lui même qui pose problème (enfin si en version gratuite) mais les "proxies gratuits" c'est du même ordre que les VPN gratuits



Quant à ton Excel il est en erreur, et vu qu Office 14 n'est plus officiellement supporté par Windows 10...

https://support.microsoft.com/fr-fr/off ... 7d7275705

Tu as en plus une erreur VBE7.dll, mais cela peut venir de VBA qui affecte VBE7.dll
Regarde si une nouvelle installation du .Net Framework 4.5 peut résoudre le problème (après que Malekal ou Angélique se soient occupés de ton cas)

mais vu que tu as téléchargé liés à ton Excel un HackTool:Win32/AutoKMS (C:\Users\herve\Downloads\KMSAuto Net.exe faut pas se plaindre ensuite de "penser être infecté" (pour Windows ou Office)

Un lien avec le téléchargement d'un Excel piraté le 14/02/2022
C:\Users\herve\Downloads\Excel2016.rar


De plus tu n'as pas assez de mémoire, et la version 14 d'Office/excel est connue pour des soucis avec les fichiers de grande taille (du reste comme Word)
Ca sort d'où ces trucs que tu as téléchargé ?

C:\Users\herve\Downloads\Formule 1 2022.xlsm
C:\Users\herve\Downloads\Mon Compte Bancaire V8.xlsm


Bref on est dans le grand n'importe quoi

[herve62]

Bonjour
@parisien
? j'ai TOUJOURS eu des versions OFFICIELLES OFFICE peut être via des entreprises mais avec leur clé et j'ai les versions pro
Soda : je regarde le sport en streaming et parfois je dois installer des "sites" pour visionner selon les "link" ( ce n'est pas du piratage puisque rien à faire,) mais Soda .. je sais pas ce que c'est ??

W10 : normalement UPDATE met à jour régulièrement ?? j'ai regardé et il me dit que je suis à jour !!! (20H2)

E mule ça fait 10 ans que je l'ai !! et pourquoi (autre) ?? je ne m'en sert pas !

Wondershare : Je ne savais même pas que j'avais ? je ne sais pas ce que c'est > j'ai Supprimé

REMO : conseil de la communauté Orange mais qui ne sert plus

Là un ami m'a refilé Office16 avec le crack ( de chez lui) ; mais je n'ai rien utilisé car j'ai analysé le KMS et il est déclaré comme virus !!
Je n'ai jamais téléchargé n'importe quoi , j'étais electronicien/inform. , donc je m'y connais un petit peu ,non ?
Sûr que cela évolue très vite et que je ne suis plus dans le système

Et avec un proche qui était responsable régional informatique j'ai toujours eu tout , matos et logiciels même mon PC ; Bon c'est fini tout ça !!
raison pour laquelle je suis resté à Office10

Merci pour les infos et support ; J’aimerai juste retrouver mon Excel car je programme avec , justement

les 2 fichiers Excel viennent du forum Exceldownload ou comme vous , depuis 15 ans j'aide à la résolution de Pb , écriture d'appli ..etc
j'y passe des heures par jour
Donc il Faudra me signaler l'Etat ce ces fichiers car c'est depuis hier que je BUG !! Ce serait vraiment ENORME que ce soient ces fichiers qui infectent surtout que le "Compte Bancaire" est mis en RESSOURCES DISPO sur le site ????
Merci pour la suite

PS : en 2014 > WIFI public d'un office de tourisme , donc même pas penser à télécharger; mais quand même à plusieurs à choper le virus Gendarmerie et avec un AV pro ( sur le PC d'entreprise) , je suis responsable ??

[Malekal_morte]

Salut,

La détection concerne le téléchargement de KMSPico.
Donc tu peux supprimer ou mettre en quarantaine.

Date: 2022-02-21 11:43:23
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
Nom : HackTool:Win32/AutoKMS
ID : 2147685180
Gravité : Élevée
Catégorie : Outil
Chemin : file:_\Device\HarddiskVolumeShadowCopy7\Users\herve\Downloads\KMSAuto Net.exe
Origine de la détection : Inconnu
Type de détection : Concret
Source de détection : Protection en temps réel
Utilisateur : AUTORITE NT\Système
Nom du processus : C:\Windows\System32\svchost.exe
Version de la veille de sécurité : AV: 1.359.603.0, AS: 1.359.603.0, NIS: 1.359.603.0
Version du moteur : AM: 1.1.18900.3, NIS: 1.1.18900.3

[Parisien_entraide]

Lorsque tu dis

j'ai TOUJOURS eu des versions OFFICIELLES OFFICE peut être via des entreprises mais avec leur clé et j'ai les versions pro


Ce n'est pas de cela dont je parle et tu le sais très bien, preuve en est :


"Là un ami m'a refilé Office16 avec le crack ( de chez lui) ;

Ben voila


mais je n'ai rien utilisé car j'ai analysé le KMS et il est déclaré comme virus !!

Le KMS c'est ce qui est détecté comme infection
Par défaut un KMS sera TOUJOURS détecté par les outils de Microsoft (Defender) comme dangereux
Le truc c'est qu'il peut l'être.. OU pas


Je n'ai jamais téléchargé n'importe quoi , j'étais electronicien/inform. , donc je m'y connais un petit peu ,non ?

Non

Sûr que cela évolue très vite et que je ne suis plus dans le système

Un crack c'est un crack... Et depuis le début de l'informatique que l'on soit un parfait néophyte ou un "kissikoné", tout le monde sait qu'un crak est la première source d'infection et qu'ils sont vérolés à 99,99%


Soda : je regarde le sport en streaming et parfois je dois installer des "sites" pour visionner selon les "link" ( ce n'est pas du piratage puisque rien à faire,) mais Soda .. je sais pas ce que c'est ??

Je ne parle pas de piratage
Lis le lien que j'ai donné



REMO : conseil de la communauté Orange mais qui ne sert plus
La communauté Orange... Pour moi cela ne vaut rien ou ne veut rien dire puisque composée de tout (compétents et pas)


Pour Excel là aussi relis ce que j'ai indiqué (outre le fait que tu n'as pas assez de mémoire)
Tu n'a pas mis de protections type hardentools etc ? contre les scripts, les diverses macros office etc ?

Tu as essayé la dernière version de Libre Office ? (qui se veut encore "plus" compatible" avec la derniere version d'Office (en se rappelant que les versions de fichiers de ce qui résulte de l'usage d'OFFICE n'est pas toujours compatible avec lui même)