Hacked [Résolu]

- - Dernière réponse : bazfile
Messages postés
20044
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
- 25 févr. 2019 à 10:54
Bonjour tout le monde, j’ai vraiment besoin de votre aide!
Le soucis c’est que j’ai laissé mon pc allumé, j’etais Partis a la salle je suis revenu j’ai trouver que la souris bougeait toute seul et essayer d’entrer au site Paypal.
Sanchant que j’avais deja donner mon ID teamviewer a quelqun mais j’avais désinstaller teamviewer, et il a toujours acces a mon PC. I really need your help pla
Afficher la suite 

4 réponses

Messages postés
20044
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
5047
0
Merci
Bonjour,
Télécharge FRST une fois téléchargé met-le sur le bureau puis ouvre-le tu auras ceci :

Puis coche la case shortcut comme ceci :

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.

Commenter la réponse de bazfile
0
Merci
https://pjjoint.malekal.com/files.php?id=FRST_20190223_d87j6p7s13
https://pjjoint.malekal.com/files.php?id=20190223_f14d12w14y7c7
https://pjjoint.malekal.com/files.php?id=20190223_l12z8h11n8o6
Voila les 3 liens j'ai télécharger malwarebyte et j'ai fais une réparation total.
bazfile
Messages postés
20044
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
5047 -
Re,

Malgré ton scan avec Malwarebytes ton pc est encore Infecté !

1- Pour commencer désinstalle les logiciels qui suivent, pour les désinstaller tu peux utiliser RevoUninstaller en mode "scan avancé":
- AlphaGo
- amuleC
- amulesw
- Kit Ball
- qksee
- McAfee Security Scan Plus
- McAfee WebAdvisor
- WINSNARE
- Wondershare Helper Compact
- youndoo


J'ai vu qu'il y avait aussi FIFA18 version 1.0 je pense que c'est un crack évite les cracks.

2- Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2133216 2017-03-23] (Wondershare Technology Co.,Ltd -> Wondershare)
HKU\S-1-5-21-2207486840-47293410-1880744165-1001\...\Run: [ee73dd3eea305960d08ff18bf47d21df] => C:\Users\Admin\AppData\Local\Temp\explerer.exe .. [334848 2019-02-03] ()
HKU\S-1-5-21-2207486840-47293410-1880744165-1001\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj88MWHcFTNQRTY2OUYcOYQSMWw1FkRYNYQLFdqyFTVLFc== /q
GroupPolicy: Restriction - Chrome
CHR HKLM\SOFTWARE\Policies\Google: Restriction
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2019-02-14]
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.961\SSScheduler.exe (McAfee, Inc.)
Tcpip\..\Interfaces\{29f9d3d9-6186-43d2-8c6f-f9e31cac5da7}: [DhcpNameServer] 4.4.4.4 8.8.8.8
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
CHR StartupUrls: afeleocyrikuty -> hxxp://search.babylon.com/?babsrc=HP_ss&affID=101241&mntrId=282b5078000000000000001f16af52c5,hxxps://www.google.com/
CHR Profile: C:\Users\Admin\AppData\Local\Google\Chrome\User Data\afeleocyrikuty [2019-02-23] <==== ATTENTION
CHR Extension: (Bing) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\afeleocyrikuty\Extensions\fcfenmboojpjinhpgggodefccipikbpd [2019-02-23]
CHR Extension: (Widthie) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\afeleocyrikuty\Extensions\gegdfeiahlfolhcfioipjlkombmgbakh [2019-02-23]
CHR Extension: (MSN Homepage & Bing Search Engine) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\fcfenmboojpjinhpgggodefccipikbpd [2015-12-20]
CHR HKU\S-1-5-21-2207486840-47293410-1880744165-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iinglghmhcgdgjjlafobajghjamdchik] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] - hxxps://clients2.google.com/service/update2/crx
HKU\.DEFAULT\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Fanlook\Application\chrome.exe
HKU\S-1-5-21-2207486840-47293410-1880744165-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Baglook\Application\chrome.exe
HKU\S-1-5-18\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Fanlook\Application\chrome.exe
S1 SRepairDrv; \??\C:\Windows\GJFix\SRepairDrv [X]
S1 UCGuard; system32\DRIVERS\ucguard.sys [X]
2019-02-03 20:14 - 2019-02-03 20:14 - 000334848 ____N () C:\Users\Admin\AppData\Local\Temp\explerer.exe
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
Task: {22526704-3AA2-4CF2-AEB4-7D2488B2CC15} - \CCleanerSkipUAC -> Pas de fichier
Task: {39E14FF5-A3AC-4463-9856-4BC636EEDAAD} - System32\Tasks\Kit Ball2 => C:\Windows\system32\rundll32.exe "C:\Users\Admin\AppData\Local\Kit Ball\{30E72DF4-E23C-5D29-F0C9-C7A7408BBD9F}\reesakn.dll",#1
Task: {3E494551-95B4-4098-BCBF-EB854AE43634} - System32\Tasks\Windows-PG => C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\windows\psgo\psgo.ps1
Task: {6C35A951-EAA4-443B-A675-77053A5D3477} - System32\Tasks\cFos\Registration Tasks\Open Browser => c:\windows\system32\launchwinapp.exe "hxxp://www.cfos.de/fr/cfosspeed/expiration.htm?sw-10.10.2238&days=-2&ret=0&raw=13&exp=101"
Task: {E96B49E1-3B00-47C7-B7F2-3EB748CC5267} - System32\Tasks\Kit Ball => C:\Windows\system32\rundll32.exe "C:\Users\Admin\AppData\Local\Kit Ball\{30E72DF4-E23C-5D29-F0C9-C7A7408BBD9F}\KitBall.dll",#1
CHR Extension: (Kit Ball) - C:\Users\Admin\AppData\Local\Kit Ball\Component [2017-06-28]
cmd: ipconfig /flushdns
RemoveProxy:
Hosts:
EmptyTemp:
Reboot:
End::

2- Une fois le script copié revient dans FRST clique sur Corriger FRST va prendre automatiquement le script dans le presse papier et l'exécuter.
Laisse la correction se faire une fois qu'elle est terminée redémarre ton ordinateur.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise Google Chrome avec CE LOGICIEL que tu télécharges ensuite tu l'ouvres et tu cliques sur Réinitialiser Google Chrome
6- Vérifie et dis-moi si ton problème est toujours présent.
Commenter la réponse de Gragas
0
Merci
Voici le Lien FixLog j'ai suivi toutes les étapes et j’espère que ce problème soit régler, et c'est la dernière fois que j'utiliserais ce teamviewer, merci beaucoup pour votre aide je ne saurais comment vous remercier, merci!!!
https://pjjoint.malekal.com/files.php?id=20190224_k8q11m7p5m8
bazfile
Messages postés
20044
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
5047 -
Bonjour,
Je ne pense pas que Teamviewer ait à voir avec cette infection qui a pu aussi s'installer via un crack ou un logiciel douteux.
L'infection n'est plus, pour info cette infection est arrivée sur ton pc le 03 février 2019 à 20h14 une clé de registre la lançant au démarrage du pc a été créée le 3 février 2019, vu que tu dis avoir vu ta souris bouger seule et que cette souris était sur Paypal, par prudence je te conseille de surveiller ton compte bancaire ainsi que de changer tous tes mots de passe.
Pour une dernière vérification fait à nouveau un rapport FRST (frst addition et shortcut) afin que je vois si tout est OK.
Commenter la réponse de Gragas
0
Merci
https://pjjoint.malekal.com/files.php?id=20190224_d8e10r5h13q7
https://pjjoint.malekal.com/files.php?id=20190224_v8q7x7q8h11
https://pjjoint.malekal.com/files.php?id=FRST_20190224_o1110r14p8w9
voici les fichiers,

et merci beaucoup pour votre aide, et effectivement j'ai check mes ancien jeu et l'un de mes compte sur un certain jeu nommé dofus a été hacked (heureusement que je n'y joue plus). Merci beaucoup de votre aide!
bazfile
Messages postés
20044
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
5047 -
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST et ne ferme pas la fenêtre de FRST durant la procédure sinon ça ne fonctionnera pas, appuie simultanément sur les touches CTRL et Y le bloc-note s'ouvre tu y copies/colles le script qui est dans l'encadré qui suit :
CreateRestorePoint:
CloseProcesses:
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
S2 0235701550998279mcinstcleanup; C:\Users\Admin\AppData\Local\Temp\023570~1.EXE -cleanup -nolog [X]
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.11.961\McCHSvc.exe [X]
S3 WsDrvInst; C:\Program Files (x86)\Wondershare\Video Converter Ultimate\Transfer\DriverInstall.exe [X]
S2 MVCSrv; C:\ProgramData\Package Cache\{2A002F88-FD5D-379B-A350-A25D84AF128B}v14.0.25420\packages\VisualC_D14\VC_IDE.Base\VC_IDE_Base.dll [105984 2017-03-28] () [Fichier non signé]
2015-12-18 15:46 - 2015-05-30 06:06 - 001171592 _____ (Microsoft Corporation) C:\Users\Admin\AppData\Roaming\bot.exe
2016-11-06 21:37 - 2016-11-06 21:41 - 000000008 _____ () C:\Users\Admin\AppData\Roaming\DofusAppId1_5
2016-03-08 22:42 - 2016-03-08 22:42 - 000005120 _____ () C:\Users\Admin\AppData\Roaming\GiftBag.db
C:\Windows\SysWOW64\lastpass_1337.exe
EmptyTemp:
Reboot:

2- Dans le bloc-note clique sur Fichier puis sur Enregistrer ferme le bloc-note.
3- Revient dans FRST qui est ouvert, clique sur Corriger.
Laisse la correction se faire une fois qu'elle est terminée redémarre ton ordinateur.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
Merci
voici le fichier: https://pjjoint.malekal.com/files.php?id=20190225_f6g14o6h15t14
bazfile
Messages postés
20044
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
5047 -
Pour moi tout est OK ton pc est à nouveau fonctionnel et propre, Chrome lui aussi est propre car débarrassé de ce profil parasite, dis-moi si tu estimes ton problème résolu et as-tu des questions ?
Si ca vient de vous, je voudrais vraiment vous remercier, Merci du fond du coeur.
et il y avait aussi trop de bug sur mon pc qui sont parties merci beaucoup a vous
Mon problème a été résolue!
bazfile
Messages postés
20044
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
5047 -
Oui effectivement il devait y avoir pas mal de bugs, maintenant ce doit-être plus facile de surfer sur Internet.
Bonne journée.
Commenter la réponse de Gragas