Vérification de virus après réinitialisation du PC

[adilpeil]

Bonsoir je viens ici en détresse car j'ai tout perdu et j'ai déjà eu recours à votre forum qui m'a bien aidé, je vous explique j'ai une connaissance de l'informatique assez bonne et malheureusement (et je ne vois pas comment) hier en me baladant sur un site de téléchargement j'ai téléchargé un logiciel le problème c'est que je m'en suis pas rendu compte je ne l'ai même pas lancé, mais aujourd'hui en téléchargent Capcut par hasard j'ai voulu lancer l'installateur mais j'ai lancé ce fameux virus ...


J'ai directement compris qu'il y avait quelque chose de très bizarre donc j'ai directement réinitialiser mon PC mais je veux savoir si à l'heure actuelle il est propre, pour ensuite changer tout mes mots de passe merci beaucoup


(résultat plein de connection sur tout mes comptes)

[Parisien_entraide]

Bonsoir

Vu que tu as tout réinitalisé je doute qu'il reste quelque chose (sauf si par le cloud, si il y a des synchronisations, ...) , MAIS, tu ne dis pas ce que tu as téléchargé et OU
Tu ne dis pas de quel "virus" il s'agit ce qui est AUSSI important car si c'est un stealer les login/mot de passe de sites, réseaux sociaux , messageries, jeux, .. peuvent être volés.. OU PAS si il s'agit d'un simple PUP et que tu t'es affolé

Donc

La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :


* FRST.txt
* Shortcut
* Additionnal.txt




Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ ou https://textup.fr si cela ne passe pas et en retour donne les 3 liens qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

IMPORTANT : Une fois les rapports crées, n'installe pas de programmes, n'efface rien, ne prends pas d’initiatives, parce que tu "penses que", que "tu crois que " etc. Bref tu ne touches plus à rien

[adilpeil]

Salut merci énormément de ta réponse rapide, je sais bien que normalement ça devrait etre bon mais je suis totalement parano voici quelques screen du logiciel en question (dommage j'ai paniqué j'aurai du envoyer le lien virustotal j'ai eu ce logiciel sur un site comme bunkr.ru un site qui sert à upload des films etc bien fait pour moi) :


https://www.noelshack.com/2024-11-7-171 ... ebd5f3.jpg
https://www.noelshack.com/2024-11-7-171 ... 0c8a2d.jpg

Et voici le FRST :

https://pjjoint.malekal.com/files.php?i ... 4q14x8w9x6

https://pjjoint.malekal.com/files.php?i ... 12g15u5b13

https://pjjoint.malekal.com/files.php?i ... y5t13r7s12

[Parisien_entraide]

Malekal ou Angélique t'en diront plus demain matin je suppose car là il est tard

En tous les cas le fichier est un navigateur assez connu mais par contre je ne trouve pas le numéro de version que tu détiens hormis une version 2.22.2.1 de janvier (donc pas à jour puisque la dernières est 2.22.4.4)
https://www.ssuiteoffice.com/resources/ ... #804229558 donc il est possiblement modifié

En plus je ne sais pas ce que tu as comme protection mais normalement tu aurais du être bloqué sur ce site plein de scams

[adilpeil]

Re, j’ai windows defender comme vous avez toujours conseillé ici, je pense que le virus était fud mais de me mémoire après avoir Check sur virus total il avait 9 détections j’aurai tellement du screen le virus total …


En regardant on peut voir que j’aurai téléchargé ce fichier sur discord depuis Microsoft edge pourtant si il y a bien un truc de sur c’est que j’utilise pas edge et jamais au grand jamais je téléchargerai un truc sur discord et encore moins un .exe c’est vraiment trop mystique … sachant que le pc est neuf et que j’ai jamais lancé un .exe même juste un peu suspect jamais jamais jamais

[Parisien_entraide]

Windows defender suffit à la majorité des gens, mais un antivirus quel qu'il soit ne protège pas de certaines "actions volontaires" (j'allais dire de la bêtise humaine)

Et pour celles-ci, liées aux cracks ou sites foireux qui vont délivrer un stealer, il faut compter avec le "trou dans la raquette" comme l'a expliqué kaspersky

Moralité : A ce petit jeu, les "malveillants" auront TOUJOURS une longueur d'avance

viewtopic.php?p=541514#p541514

[adilpeil]

Ok ! j'attends de voir si le pc reset est sain et sur une bonne base

[Malekal_morte]

Les rapports sont bon.
De toute façon, tu as réinitialisé le PC.

[adilpeil]

Les rapports sont bon.
De toute façon, tu as réinitialisé le PC.

Salut j'ai pris une sauvegarde d'avant le problème donc je voulais quand même être sur donc la pour toi le PC et sain à 100%

[Parisien_entraide]

Je le mets en rouge, car je ne vois pas l'intérêt de reposer la question

Les rapports sont bon.
De toute façon, tu as réinitialisé le PC.

Par contre tu disais "'j'ai tout perdu"... On ne sait pas quoi
Donc dans le doute chante tous les mots de passe

[adilpeil]

La par exemple il vient de prendre mon discord et de spammer tout mes contact j'utilise dashlane mais visiblement il se connecte à tout comme si il aurait tout grab

[Parisien_entraide]

Tu as des stealer qui aiment bien Dashlane
https://forum.malekal.com/viewtopic.php ... 57#p543957

Au delà de cela, (déjà il y a des différences entre la version gratuite et payante de Dashlane), et comme le rappelle l'auteur de Keepass (à ne pas confondre avec KeepassXC qui n'avait pas ce soucis)

Dès lors qu'attaquant a un accès complet à votre machine, ce n'est plus votre machine.

________________________

Q - Si un attaquant modifie le fichier de configuration xml (ajout d'un trigger d'export sur 'Opened database file') il pourra exporter tous les mots de passe, sans que nous le sachions. Ne faudrait-il pas demander à l'utilisateur de confirmer avant d'exporter ?

R - En un mot : oui.
Vous pouvez désactiver "Ne pas exiger la saisie de la clé principale actuelle avant l'exportation" sous Outils > Options > Stratégie.
Cependant, un attaquant disposant d'un accès suffisant pour ajouter un déclencheur puis collecter l'exportation peut désactiver cette option.

Fondamentalement, si un attaquant a un accès complet à votre machine, ce n'est plus votre machine.
Utilisez le cryptage complet du disque, assurez-vous que votre antivirus est à jour et exécutez une analyse régulière des logiciels malveillants avec quelque chose comme MalwareBytes
________________________________

Donc il te faut changer tes mots de passe

[adilpeil]

J'ai lu c'est super intéressant et dingue à la fois donc finalement c'est normal qu'il ai pu tout exporter en quelques secondes seulement ? car comme expliqué j'ai réagis très très très très très rapidement ...

Donc autant dire que tout tout tout mes mots de passes sont compromis actuellement j'essaye de tout modifier même les plus inutiles ...


Mais sinon hormis des petites astuces genre qu'il modifie un mail de récupération etc, si j'ai reset mon pc et formaté mon disque dur de stockage (oui j'ai tout perdu mais bon c'est le risque j'avais peur que ce soit propagé) normalement je ne suis plus infecté ? il ne reste "PLUS" que mes mots de passes en circulation (j'ai dashlane premium) et potentiellement tout les fichiers de mon ordi aussi ?...


Aussi ce midi il a surement grab le token de mon discord pour s'y connecter spam un lien de phishing (super bien fait) c'était un lien genre : Get your 50$ Free code on steam avec un faut mail de redirection copié à l'identique de Steam qui au final pointait vers un steamcommunitL un truc bidon entre le I et L ceci dit il a spam une bonne centaines de mes contact discord ... en tout cas je suis choqué à quel point l'humain est mauvais


J'ai pas compris pour "Utilisez le cryptage complet du disque"

[Parisien_entraide]

Pour l'exportation cela va très vite, c'est comme avec un ransomware qui crypte les fichiers d'un disque en quelques secondes

Je ne sais pas si tu connais Everything
https://www.malekal.com/everything-rech ... s-windows/
qui même sur un vieux PC est très rapide pour créer un index de tout ce qu'il contient (Il fait comme les programmes de récupération de données il va lire la table de fichiers master (MFT) qui stocke les informations requises pour récupérer des fichiers à partir d'une partition NTFS)

En gros (je simplifie) c'est la même chose et c'est encore PLUS rapide, puisque sont ciblées en priorité les zones de dossiers intéressants (Documents, Images etc) et certaines extensions de fichiers (En fait cela exclu les 2/3 de ce que contient un disque)

Ensuite il y a des tas de programmes malveillants qui exploitent des failles
Par ex DarKtate qui exploite une faille smarscreen (ca bypasse en fait) que Microsoft n'a comblé qu'au bout de 6 mois en février dernier le mode opératoire est le suivant (copier coller)

Cela peut paraitre technique mais le mode opératoire est compréhensible :

"L'attaque commence par un e-mail malveillant comprenant une pièce jointe PDF avec des liens qui utilisent des redirections ouvertes des services Google DoubleClick Digital Marketing (DDM) pour contourner les contrôles de sécurité des e-mails.

Lorsqu'une victime clique sur le lien, elle est redirigée vers un serveur Web compromis qui héberge un fichier de raccourci Internet. Ce fichier de raccourci (.url) renvoie à un deuxième fichier de raccourci hébergé sur un serveur WebDAV contrôlé par un attaquant.

L'utilisation d'un raccourci Windows pour ouvrir un deuxième raccourci sur un serveur distant exploite efficacement la faille CVE-2024-21412, provoquant l'exécution automatique d'un fichier MSI malveillant sur l'appareil.

Lors de l'exécution du programme d'installation MSI, une autre faille de chargement latéral de DLL impliquant le fichier « libcef.dll » et un chargeur nommé « sqlite3.dll » décryptera et exécutera la charge utile du malware DarkGate sur le système.

Une fois initialisé, le malware peut voler des données, récupérer des charges utiles supplémentaires et les injecter dans les processus en cours d'exécution, effectuer une journalisation des clés et donner aux attaquants un accès à distance en temps réel.

Bref c'est chaîné et tu ne vois rien

L'analogie n 'est pas très pertinente, mais c'est un peu comme si tu laisses les extensions de fichiers connues cachées par défaut (ce que fait Windows)
Normalement cela ne doit plus passer, mais si tu as un fichier avec un nom comme "monfichier.txt.exe", windows ne voit QUE la première extension et pas la deuxième et donc tu camoufles un .exe en .txt et tu te fais infecter

Pour Discord c'est assez connu, et on le voit régulièrement dans le forum Steam où les gens se font voler des items voire leur compte via de faux liens Discord

https://forum.malekal.com/viewtopic.php ... 90#p544690


Edit :
Concernant le cryptage (ou chiffrement) ce sont les paroles du développeur que j'ai laissé à l'identique

L'extrait de la discussion Keepass à pour source
https://sourceforge.net/p/keepass/discu ... 146e5cf6b/

Ce qui est dit est valable pour d'autres programmes de gestion de mots de passe, si on s'amuse par ex à crypter le fichier ou le disque

Dans la discussion on trouve :

KeePass ne peut pas lire un fichier de paramètres keepass.config.xml crypté.
La suppression du fichier de paramètres ou le rendre illisible par cryptage entraîne le démarrage de KeePass avec les paramètres par défaut.
Si un fichier de paramètres est enregistré sur un volume crypté, KeePass pourra lire et écrire les paramètres sur le volume lors de son déchiffrement, tout comme un acteur malveillant ayant accès au volume déchiffré.

Je vous recommande de passer à KeePass 2.54. Il protège les paramètres sensibles en exigeant des privilèges d'administrateur pour modifier les paramètres lorsque l'application KeePass est installée dans le dossier « Program Files » sous Windows.

En fait cela rejoint ce qui est dit ici, sur les 10 lois immuables de la sécurité (ca date :-)
https://learn.microsoft.com/en-us/previ ... v=msdn.10)

Dès lors qu'un malveillant est entré et à accès à votre ordinateur, ce n'est plus votre ordinateur

[adilpeil]

Ok super intéressant et terriblement effrayant, pour être honnête il y a facile 8/10 avec un ami on s'y était intéressé mais pas dans l'optique d'infecter quelqu'un simplement entre nous sur des PC qui avait pour but de finir à la poubelle à l'époque on avait utilisé darkcomet + un logiciel qui permettait de changer l'extension de manière propre et un qui servait à binder je sais plus le terme mais deux logiciel entre eux, genre tu cliquais dessus et ça t'infecté mais ça ouvrait aussi Minecraft par exemple et puis à la fin on avait un crypter FUD qui passait 100% des anti virus et franchement on était à la fois choqué et surpris de simplicité pourtant on devait avoir 12 ans

Tout ça c'est pas pour t'apprendre ce que tu sais déjà mais c'est pour dire à quel point c'était déjà bien fait à l'époque et accessible et maintenant à quel point c'est encore plus optimisé


Une question me taraude l'esprit, je sais toujours pas comment il est arrivé là .. enfin le cheminement si, mais la technique non ... Ok je suis allé sur donc ce fameux hébergeur Bunkrr.si j'ai ouvert le contenu j'ai évidemment eu les pubs avec la page qui se duplique et où il faut fermer les pubs (un classique dans le monde du streaming) mais le lien de téléchargement direct de discord (comme j'ai montré dans le premier screen) franchement chapeau c'était trop smooth j'ai rien vu du tout pourtant je suis vraiment le premier à faire attention en ce qui concerne le lancement du setup c'est totalement ma faute j'ai cliqué il y a rien à dire même si c'était un concours de circonstance