Comptes piraté les uns après les autres [Résolu]

- - Dernière réponse : tomsawyer1311
Messages postés
393
Date d'inscription
vendredi 1 mai 2009
Statut
Membre
Dernière intervention
7 novembre 2019
- 14 oct. 2019 à 16:46
Bonjour,
Cela fait maintenant 4 jours que je me fais pirater mes différents comptes, les uns après les autres : ça a commencé avec mon compte Airbnb (qui n'a servit qu'une seule fois, ils y a plus de 4 mois), quelqu'un a essayé d'y faire une resa' de + de 700€, heureusement que la banque me fais valider chaque paiements par un code dans un sms, j'ai pu bloquer tout. Ensuite, moins grave, c'est mon compte Instagram, quelqu'un a modifié 2x mon pseudo en 1h. Quand j'ai vu les alertes dans mes mails j'ai tout de suite changé de mdp, mais malgré ça, il a de nouveau été modifié 5min plus tard. J'ai rechanger le mdp (un trouvé depuis un générateur) et pour l'instant je n'ai plus d'alertes d'instagram. Mais ce matin c'est Amazon que je trouve piraté ; J'ai reçu un mail me disant qu'au vu des actions étranges sur mon compte, ils avaient bloqués et annulés mes commandes en cours, ainsi que mon compte pour 2h. Je me suis dit que c'était bizarre, je n'ai pas reçu le fameux mail "Tentative de connexion depuis un autre appareil", ni rien mais en regardant ma boite mail, j'ai 4 commandes qui ont été passé et les mails sont marqué "Lu".
Je suis donc entrain de modifier tous mes mdp, mais je voudrais savoir si il y a un moyen de trouver ce qui a causé ce piratage en série, et comment virer ce ##### de là ?
Pardonnez les fautes, j'ai juste une petite hausse de tension
Merci d'avance
Afficher la suite 

3 réponses

Messages postés
171769
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 novembre 2019
17965
0
Merci
Salut,

Combien d'appareils avec ces comptes as-tu ?
Combien de PC et Smartphone ?

Sur le PC principal,

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).


Malekal_morte-
Messages postés
171769
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 novembre 2019
17965 > Chachou -
ok il faudrait faire le scan FRST sur les deux appareils.
Addition : https://pjjoint.malekal.com/files.php?id=20191014_b148p8t15x8
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20191014_10z10e5g15w11
Shortcut : https://pjjoint.malekal.com/files.php?id=20191014_n9z7c13b15e13
Il y a une applis pour les portables/smartphones du coup? Le message précédent est celui du pc
J'ai pas pensé a préciser que mon smartphone est un android, c'est un samsung galaxy s8+
Malekal_morte-
Messages postés
171769
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 novembre 2019
17965 > Chachou -
ha oui lol
portable j'étais parti sur PC portable.
Commenter la réponse de Malekal_morte-
Messages postés
171769
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 novembre 2019
17965
0
Merci
Pas l'air infecté.
Pour être sûr, scanne les fichiers suivants sur https://www.virustotal.com
Donne les liens de scans s'il y a des résultats positifs.

C:\Windows\System32\atwtusb.exe
C:\Windows\System32\atwtusb.exe
C:\Windows\System32\AtwtusbIcon.exe


~~

Utilise un mot de passe unique pour tout ces sites ?
Si oui => [Haveibeenpwned : vérifier si vos mots de passe ont été piratés https://www.malekal.com/haveibeenpwned-piratage-mot-de-passe/].

~~


Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Avast Secure Browser
CCleaner
Nero (sauf si vraiment utilise)


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Start:
CloseProcesses:
CreateRestorePoint:
Task: {05F22F52-7D05-484F-9123-E4C5113E5A64} - System32\Tasks\Express FilesUpdate => C:\Program Files (x86)\ExpressFiles\EFUpdater.exe [200952 2012-12-26] (Faglaro Enterprises Limited -> hxxp://www.express-files.com/) <==== ATTENTION
C:\Program Files (x86)\ExpressFiles
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

J'ai fais le premier, il me mets qu'il n'y a rien a signaler sur aucun des fichiers.
Pour le site haveibeenpwned, il semblerait que ça vienne d'adobe :) (ceci est le smiley "au bord de la crise de nerf") donc je dois effectivement continuer de changer chaque mdp que j'ai pour le moment parce qu'ils reviennent tous sur la même messagerie. J'adore.

Ah, je croyais que justement CCleaner etait bon pour le pc... Y a-t-il un autre logiciel qui est efficace dans le nettoyage ? Ou quelque chose qui peut redonner un petit coup de pouce à mon vieux pc ? (8ans, et avant c’était mon pc perso donc jeux et streaming....)

Et avant de me dire d'en acheter un autre ; C'est juste pas possible pour le moment, faut qu'il tienne encore un peu ^^'

Et concernant mon smartphone, y a-t-il quelque chose que je puisse faire pour voir s'il est piraté ?
Malekal_morte-
Messages postés
171769
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 novembre 2019
17965 > Chachou -
Pour Adobe tu parles de VirusTotal non ?
Les fichiers à scanner ?

~~

Tu as un mot de passe unique ou tu as un mot de passe différents pour tous tes comptes ?
Oublie pas de changer le mot de passe de la messagerie.
C'est quoi ? gmail ?

~~

Pour CCleaner,
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/


Sinon tu peux nettoyer Windows 10 sans logiciel, voir : https://www.malekal.com/nettoyer-pc-windows-10-logiciel/
Non, dans virustotal j'ai passé les fichiers que tu m'as dis, les fichiers windows, eux sont clean.

Pour les mdp identiques je suis passée par haveibeenpwned comme tu me l'as recommendé, et c'est sur ce site qu'il me dit que mon adresse mail a fuité depuis adobe et "shein" (je connais pas donc bon)

Non bah du coup si ça allège le pc, je vire ccleaner je ferai autrement c'est pas un souci
Je fais la manip avec FRST, voici le txt :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 12-10-2019 02
Exécuté par Charline (14-10-2019 15:02:09) Run:1
Exécuté depuis C:\Users\Charline\Desktop
Profils chargés: Charline (Profils disponibles: Charline)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

Start:
CloseProcesses:
CreateRestorePoint:
Task: {05F22F52-7D05-484F-9123-E4C5113E5A64} - System32\Tasks\Express FilesUpdate => C:\Program Files (x86)\ExpressFiles\EFUpdater.exe [200952 2012-12-26] (Faglaro Enterprises Limited -> hxxp://www.express-files.com/) <==== ATTENTION
C:\Program Files (x86)\ExpressFiles
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:


Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{05F22F52-7D05-484F-9123-E4C5113E5A64}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{05F22F52-7D05-484F-9123-E4C5113E5A64}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Express FilesUpdate => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Express FilesUpdate" => supprimé(es) avec succès
C:\Program Files (x86)\ExpressFiles => déplacé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1885089053-2880701386-303311521-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1885089053-2880701386-303311521-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 23802975 B
Java, Flash, Steam htmlcache => 19276044 B
Windows/system/drivers => 3616105 B
Edge => 0 B
Chrome => 483944139 B
Firefox => 12474150 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 42361499 B
systemprofile32 => 42478212 B
LocalService => 42478212 B
NetworkService => 42478212 B
Charline => 155603789 B

RecycleBin => 0 B
EmptyTemp: => 836.3 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 15:05:15

Commenter la réponse de Malekal_morte-
Messages postés
171769
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 novembre 2019
17965
0
Merci
OK car ça ne semble pas venir de ton PC.
Éventuellement pour le tel faire un scan ESET dessus.

Mais si tu as un mot de passe unique pour tous les sites.
Il suffit qu'un de ces sites se soient fait pirater et que les attaquants aient pu récupérer le mot de passe et le mail.
Après il teste sur divers services internet.

Je te conseille de surfer avec Firefox : Comment sécuriser Firefox.
  • Active le mot de passe principal.
  • Active la synchronisation Mozilla : Comment synchroniser Mozilla Firefox.
  • Puis tu enregistres tes mots de passe dessus avec un mot de passe unique et forts pour chaque sites internet.

Cela permet de les partager sur différents appareils.

Dès que le service le propose active l'authentification en deux étapes : comment protéger ses comptes internet.
Généralement c'est via ton téléphone.
Après tu peux aller plus loin avec une clé de sécurité, par exemple la Yubikey : https://www.malekal.com/yubikey-securiser-compte-ligne/
Mais tous les services ne le gèrent pas.

Enfin pas de cracks et autres téléchargements sur ton PC.
Et ça devrait aller.


J'avoue que j'utilise (ou utilisais, j'ai tout changé cette après midi) régulièrement des mots de passe identiques car j'ai une tête percée et c'est toujours plus simple de ce souvenir d'un code que de 15. Et jusqu'ici rien de tel ne m’étais arrivée, alors je voyais pas trop l'utilité d'avoir pleins de mdp différents. Mais c'est bon, je suis vaccinée, j'ai plein de nouveau mot de passe, et j'ai trouvé une appli "coffre fort" dans laquelle j'enregistre tout et j'ai juste besoin de me souvenir de mon mdp maître pour ouvrir l'appli :) (Ce n'est évidement pas le même que celui que j'utilisé régulièrement) et j'ai effectivement activé l'authentification en deux étapes un peu partout.
Je vais essayer le scan sur le smartphone.
Merci beaucoup de ton aide, maintenant il ne reste plus qu'a attendre et voir si on me pirate encore :)
Malekal_morte-
Messages postés
171769
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 novembre 2019
17965 > Chachou -
De rien, je pense qu'avec cela tu devrais avoir la paix.

bon courage !
tomsawyer1311
Messages postés
393
Date d'inscription
vendredi 1 mai 2009
Statut
Membre
Dernière intervention
7 novembre 2019
23 -
Bonjour,
Petite astuce qui ne vaut quasiment plus rien avec les gestionnaires de mots de passe, mais, pour les paranos ou ceux qui ne veulent pas d'un gestionnaire de mots de passe, on peut utiliser un radical commun d'un mot de passe et l'agrémenter de différents préfixe et suffixe selon les comptes.
Commenter la réponse de Malekal_morte-