Je viens d'être contacté sur mon fixe par un interlocuteur qui me déclare appeler au nom de MICROSOFT pour m'informer que mon PC a été hacké. Il a évoqué ma CLS (Computer Licence) en me disant qu'elle avait été hackée. Je suis quasi certain que c'est bidon, néanmoins : pouvez-vous m'aider à déterminer si mon PC est sain ou s'il a été infecté ?
Cordialement,
Stéphane
Pas besoin de vérifier.
C'est bidon.
Ces procédés sont très courants.
Quand tu es contacté ou qu'un message s'affiche lorsque tu n'as rien demandé, il faut être très méfiant.
Merci de votre réponse, néanmoins il avait mon nom et ville de résidence, ils peuvent obtenir ça facilement ?
J'aimerai malgré tout creuser un peu : j'ai reçu de nombreux mails bidons pour des "cadeaux", venant de sites imitant Amazon ou Freebox, et je pense qu'il y a qqchose à corriger sur mon PC. J'ai également reçu des messages dont les auteurs correspondent à des gens que je connais, mais les messages sont bidons...
Peut-on voir ça ensemble ?
Merci par avance,
Stéphane
Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :
Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
FRST.txt
Shortcut.
Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Le second : https://pjjoint.malekal.com/files.php?id=20181212_j8p11p8l9g6
Le troisième : https://pjjoint.malekal.com/files.php?id=20181212_z7l14v15l13s7
Rien d'anormal tout va bien, à part possible nettoyage de programmes inutiles.
Désinstalle CyberLink
Eventuellement désinstaller Avast! au profit de Windows Defender, plus léger, moins intrusif ou pénible.
Sinon il y a cacaoweb qui est actif, si tu ne sais pas ce que c'est et comment c'est venu, faire cette correction FRST.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKU\S-1-5-21-1841654191-2886695254-2477283810-1002\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb" => supprimé(es) avec succès
C:\Users\Stephane\AppData\Roaming\cacaoweb => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\iTunesHelper" => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1841654191-2886695254-2477283810-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1841654191-2886695254-2477283810-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 189963663 B
Java, Flash, Steam htmlcache => 14566 B
Windows/system/drivers => 78787 B
Edge => 15398261 B
Chrome => 632021526 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 12018 B
LocalService => 0 B
NetworkService => 73286 B
NetworkService => 0 B
Stephane => 25960086 B
Administrator => 0 B
Désinstalle CyberLink
Eventuellement désinstaller Avast! au profit de Windows Defender, plus léger, moins intrusif ou pénible.
Sinon il y a cacaoweb qui est actif, si tu ne sais pas ce que c'est et comment c'est venu, faire cette correction FRST.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 09.12.2018
Exécuté par Stephane (12-12-2018 12:30:10) Run:1
Exécuté depuis C:\Users\Stephane\Desktop
Profils chargés: Stephane & Administrateur (Profils disponibles: Stephane & Administrateur)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1841654191-2886695254-2477283810-1002\...\Run: [cacaoweb] => C:\Users\Stephane\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2017-04-02] ()
C:\Users\Stephane\AppData\Roaming\cacaoweb
HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [301880 2018-11-15] (Apple Inc.)
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKU\S-1-5-21-1841654191-2886695254-2477283810-1002\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb" => supprimé(es) avec succès
C:\Users\Stephane\AppData\Roaming\cacaoweb => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\iTunesHelper" => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1841654191-2886695254-2477283810-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1841654191-2886695254-2477283810-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 189963663 B
Java, Flash, Steam htmlcache => 14566 B
Windows/system/drivers => 78787 B
Edge => 15398261 B
Chrome => 632021526 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 12018 B
LocalService => 0 B
NetworkService => 73286 B
NetworkService => 0 B
Stephane => 25960086 B
Administrator => 0 B
RecycleBin => 12914462667 B
EmptyTemp: => 12.8 GB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 12:34:43
Supprime le dossier C:\FRST
Lis bien le dossier dans le premier message pour comprendre ce type d'arnaque et les éviter à l'avenir.