Pc infecté après téléchargement d'un logiciel cracké

[Romain50]

Bonjour,

Sutie au téléchargement d'un logiciel cracké, j'ai eu une série de problèmes :

-d'abbord google m'a alerté d'une activité suspect et a déconnecté mes comptes de mon pc,

- ensuite sur mon compte steam des items ont été échangés sans d'actions de ma part.

Sutie à cela j'ai fait une analyse malwarebytes qui a mit en quarentaine des trucs :


Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l’analyse: 29/09/2024
Durée d’analyse: 20:58
Fichier journal: d8da7262-7e94-11ef-a620-04d4c4686727.json

-Informations du logiciel-
Version: 5.1.11.133
Version de composants: 1.0.5048
Version de pack de mise à jour: 1.0.89839
Licence: Essai

-Informations système-
Système d’exploitation: Windows 10 (Build 19045.4894)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-2H2TO9K\Romain

-Résumé de l’analyse-
Type d’analyse: Analyse des menaces
Analyse lancée par: Manuelle
Résultat: Terminé
Objets analysés: 320030
Menaces détectées: 15
Menaces mises en quarantaine: 15
Temps écoulé: 4 min, 10 s

-Options d’analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Détection
PUM: Détection

-Détails de l’analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 3
Trojan.Tasker.TP, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\CryptoHelper, En quarantaine, 8617, 1277469, 1.0.89839, , ame, , ,
Trojan.Tasker.TP, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{50F983CE-F831-4BDC-806D-BAA44691755A}, En quarantaine, 8617, 1277469, 1.0.89839, , ame, , ,
Trojan.Tasker.TP, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{50F983CE-F831-4BDC-806D-BAA44691755A}, En quarantaine, 8617, 1277469, 1.0.89839, , ame, , ,

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 12
Trojan.Tasker.TP, C:\WINDOWS\SYSTEM32\TASKS\CryptoHelper, En quarantaine, 8617, 1277469, 1.0.89839, , ame, , 9B565582609FF5B37A3F84B84A4D9651, 51E655485BF45BCCD829992E245B73BE06D7B5A01D978D8134AAC98089FEFE94
RiskWare.SystemRequirementsLab, C:\USERS\ROMAIN\DOWNLOADS\DETECTION (5).EXE, En quarantaine, 9252, 1206521, 1.0.89839, , ame, , 5F132E3823F3E46AF4C0230A2D1BC3A5, 786C001635A46F335682D3599772DC337A36BD6E93FE95814BF39A217775FFA0
RiskWare.SystemRequirementsLab, C:\USERS\ROMAIN\DOWNLOADS\DETECTION (3).EXE, En quarantaine, 9252, 1176975, 1.0.89839, , ame, , D127F67314635A388EA7C5E620BE1600, 58AB41690A6B92AF8D3F30BBEFC2CF4584BAF53AD9BA95B7B00ADF36ECB305CE
RiskWare.SystemRequirementsLab, C:\USERS\ROMAIN\DOWNLOADS\DETECTION (50P).EXE, En quarantaine, 9252, 1222268, 1.0.89839, , ame, , 8E4A5B6AB6391D226E9114161B276F40, 745231B114BE9C085ECBE47D390DCAF2D7756AF6F73705E92BC79028DD1A6D63
RiskWare.SystemRequirementsLab, C:\USERS\ROMAIN\DOWNLOADS\DETECTION (1).EXE, En quarantaine, 9252, 1157539, 1.0.89839, , ame, , 80373BE8C01C7EC1CE24D582392B651C, FDFA47E519631A6FDEF2F5EDA6F59C332F809749CF30C19323D27098EBAB6322
RiskWare.SystemRequirementsLab, C:\USERS\ROMAIN\DOWNLOADS\DETECTION (CRG).EXE, En quarantaine, 9252, 1222268, 1.0.89839, , ame, , 8E4A5B6AB6391D226E9114161B276F40, 745231B114BE9C085ECBE47D390DCAF2D7756AF6F73705E92BC79028DD1A6D63
RiskWare.SystemRequirementsLab, C:\USERS\ROMAIN\DOWNLOADS\DETECTION (4).EXE, En quarantaine, 9252, 1176975, 1.0.89839, , ame, , E6A3EBDF75FD3D12775BCEDD9598139B, E0CEA0F0A264E76BCD661C0C793D51AF1988D00628264D9E93EDD2DA16325A11
RiskWare.SystemRequirementsLab, C:\USERS\ROMAIN\DOWNLOADS\DETECTION (2).EXE, En quarantaine, 9252, 1176975, 1.0.89839, , ame, , 01397CB041931338368DFE80FBF86163, 9F8473B596FC9D5FF8556B02ED6531C2B1E6AA5CEEC8A5B54FDB63912DDF2F07
RiskWare.SystemRequirementsLab, C:\USERS\ROMAIN\DOWNLOADS\DETECTION (N2D).EXE, En quarantaine, 9252, 1259925, 1.0.89839, , ame, , 8A928D5B4EAA0D1F25FDDE064FCE2DD8, 64137FB074BA4603E4C3BAE70E3D549F457338E10B69FD01D7D2603C20940ECD
HackKMS.HackTool.RiskWare.DDS, C:\USERS\ROMAIN\DOWNLOADS\KMSAUTO.NET.PORTABLE.V1.4.2 (1).RAR, En quarantaine, 1000002, 0, 1.0.89839, A7F7D889BE9B4346E469661C, dds, 03022210, C06F14F9DC1535E858473C93691D9705, 5B1811465573B3BD10A04B52EA8585FF0869468134BBC77756DC826BBA051DE0
HackKMS.HackTool.RiskWare.DDS, C:\USERS\ROMAIN\DESKTOP\KMSAUTO.NET.PORTABLE.V1.4.2.RAR, En quarantaine, 1000002, 0, 1.0.89839, A7F7D889BE9B4346E469661C, dds, 03022210, C06F14F9DC1535E858473C93691D9705, 5B1811465573B3BD10A04B52EA8585FF0869468134BBC77756DC826BBA051DE0
HackKMS.HackTool.RiskWare.DDS, C:\USERS\ROMAIN\APPDATA\ROAMING\Microsoft\Windows\Recent\KMSAuto.Net.Portable.v1.4.2.lnk, En quarantaine, 1000002, 0, 1.0.89839, A7F7D889BE9B4346E469661C, dds, 03022210, 8B335C4B4A118362218E9B4D6A23B193, C58EF97CF1FBA9669E498A89C763CEF8C9E7197267D072A511D172810672CD60

Secteur physique: 0
(Aucun élément malveillant détecté)

WMI: 0
(Aucun élément malveillant détecté)


(end)

Je pensais le problème réglé mais après cela, mon compte discord a envoyé des message avec des liens pirates à mes contacts.

Que-dois je faire svp ? Est-ce que l'intégralité de ce qu'il y a sur mon pc est compromis ? comptes ? photos persos comprises ? Je suis en panique...

Merci d'avance

[Romain50]

Ci-joint l'analyse FRST : https://pjjoint.malekal.com/files.php?i ... e9y14r9n12

addition : https://pjjoint.malekal.com/files.php?i ... 0g9x9h11m7

[Malekal_morte]

Salut,

Le fameux KMSPico / KMSAuto.

Sinon ça semble bon.
Supprime : :\Users\Romain\AppData\Roaming\Plugin_v1
Désinstalle Avira. Laisse Windows Defender beaucoup plus léger.

~~

Supprime C:\FRST et ses restes.

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et assure toi que Windows Defender fonctionne correctement.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com

[Romain50]

D'accord merci je change ça.

[Parisien_entraide]

Je pensais le problème réglé mais après cela, mon compte discord a envoyé des message avec des liens pirates à mes contacts.

Que-dois je faire svp ? Est-ce que l'intégralité de ce qu'il y a sur mon pc est compromis ? comptes ? photos persos comprises ? Je suis en panique...

En complément pour lecture car il y a des variants (Auto KMS KMS SPICO)
viewtopic.php?t=69838

Ce n'est pas parce que "le problème est réglé" (plous d'infection sur le PC) que tout l'est. C'est un leurre

Les stealer volent les données, sont capables d'effacer leurs traces ou de tromper les protections en leur livrant "en pâture" un fichier qu'il détecteront pendant que la commande PowerShell derrière agira pour voler ET extraire tes données

"intégralité de ce qu'il y a sur mon pc est compromis ? comptes ? photos persos comprises ?

Il faut partir du principe que .. OUI surtout que je vois que tu as des documents qui peuvent intéresser les pirates

Néanmoins l'action de ce trojan semble limitée à espionner électroniquement les activités de l'utilisateur (intercepter les saisies au clavier, prendre des captures d'écran, capturer la liste des applications actives, etc.) et pas aspirer tous les documents, photos etc...

Ce qu'il l'intéresse en premier lieu ce sont les login/mot de passe. Reste à savoir ce qu'il a pu capturer dans tes documents...

Lis bien (parce qu'en plus je note un produit Adobe qui doit etre cracké aussi)
viewtopic.php?p=544690#p544690
Tu verras qu'il peut y avoir un deuxième effet kissKool

Le mal est fait, mais il te faut comme le suggère Malekal changer tes mots de passe, c'est tout ce que tu peux faire au plus rapide pour l'instant

Méfiance avec la CNI, carte vitale (Je ne vois rien en relation avec des documents bancaires mais si il y en a de voir avec ta banque)
On voit qu'ils ont été rapides puisque tes Items sur steam ont été volés

Ensuite les documents qui font apparaitre QUI on est, avec plein de détails, il vaut mieux éviter de les laisser sur son SSD ou disque dur du PC

Attend toi comme il est dit dans le lien à avoir au mieux du phishing ciblé (téléphone ou mail)

[Romain50]

D'accord, merci pour votre aide et votre message.

[Parisien_entraide]

Sinon pour tes items volés sur Steam il va falloir faire une croix dessus

https://help.steampowered.com/fr/faqs/v ... -2400-8D24

Ils partent du principe que "La sécurité de votre compte est sous votre entière responsabilité." car ils fournissent tout ce qu'il faut pour le faire (2FA) et qu'il n'y a jamais eu de vol en passant cette barrière (Si vol il y a eu c'est la faute de l'utilisateur)

Vérifie, modifie si il y a lieu, si quelque chose a changé
https://store.steampowered.com/account/

Il y a plein d'autres choses à faire si le compte est volé mais tu as déjà la base