> Tous les forums > Forum Sécurité
 Mail "L' article pour votre examen" (phishing)
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
gippel108
  Posté le 29/05/2014 @ 17:33 
Aller en bas de la page 
Nouvel astucien

Bonjour à toutes et à tous,

J'ai reçus il y a deux jour un mail en provenance de mes parents ayant comme objet :"L'article pour votre examen", celui venant de mes parents je n'ai donc pas fais vraiment attention. Aujourd'hui j'ai perdu tous mes contacts, que ce soit sur téléphone ou via gmail, de plus je ne reçois plus aucun mail depuis hier, rien dans les spams ni nul part ailleurs... Et pour couronner le tout, tous mes contacts ainsi que ceux de mes parents ont eux aussi reçu ce mail.

Ce sujet à déjà été traité ici https://forum.pcastuces.com/phishing_mail_intitule__article_pour_votre_examen-f25s71199.htm?page=1 le mois dernier, c'est à priori la même chose.

Que faut-il faire pour que tout rentre dans l'ordre (à savoir continuer à recevoir les mails, plus de virus ou autre qui envoi ces mails et récupérer mes contacts ) ?

Merci d'avance,

Cordialement,

Gippel108

Publicité
lilidurhone
 Posté le 29/05/2014 à 17:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Hello

Commence en premier par changer le mot de passe de ta boîte mail

Ensuite

Fais cette procédure afin qu'un membre GS te prenne en charge

https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm

gippel108
 Posté le 29/05/2014 à 18:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : AdwCleaner[S1].txt

gippel108
 Posté le 29/05/2014 à 18:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : mbam.txt

gippel108
 Posté le 29/05/2014 à 18:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : ZHPDiag.txt

gippel108
 Posté le 29/05/2014 à 18:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Voilà tout est fait, mot de passe est aussi changé.

Merci

Gippel108

lilidurhone
 Posté le 29/05/2014 à 18:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Tu pourras désinstaller

Panda Cloud Cleaner v1.0.98

Spybot - Search & Destroy v2.3.39

Ensuite les prochaines instructions te seront données par un GS

gippel108
 Posté le 29/05/2014 à 18:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

C'est bon tout est fait !

Pierre95
 Posté le 29/05/2014 à 19:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour gippel108,

Tu devras aussi faire de la place sur ton disque C: En effet il faut un minimum de 15% de disponible

System drive C: has 7 GB (14%) free of 49 GB

Tu dois rapatrier films, photos,etc.. sur un disque externe, supprimer des programmes inutiles pour faire de la place au disque C: avant de commencer la désinfection.

P2P

Les P2P ne sont pas les bienvenus car vecteurs d'infections.

Les helpers s' interdisent de faire des désinfections sur des PC contenant des programmes P2P

Si tu veux qu'un membre du Groupe Sécurité puisse te prendre en charge, tu dois supprimer ton P2P ( utorrent) et refaire une analyse ZHPDiag et nous le poster.

Pierre95



Modifié par Pierre95 le 29/05/2014 19:29
Publicité
gippel108
 Posté le 29/05/2014 à 19:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Voilà j'ai fais un peu de place, j'ai quasiment que l'OS sur le disque C, j'ai pas de films dessus, je vais voir si je peux pas faire encore un peu plus de place.

Le logiciel de P2P est désinstallé, de toutes façons je ne m'en sers plus donc ça tombe bien x)

Je poste le ZHPDiag aussitôt !

Merci

Gippel108

gippel108
 Posté le 29/05/2014 à 19:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : ZHPDiag2.txt

Pierre95
 Posté le 29/05/2014 à 19:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

c'est OK

Les prochaines instructions te seront données par un membre du Groupe Sécurité dès qu'il sera disponible.

Je te souhaites une bonne fin de désinfection.

Pierre95

Labougie
 Posté le 29/05/2014 à 20:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

Voici les inofs que je peux donner sur cette infection.

Elle pirate la boite mail,

  • modifie donc les paramètres de cette dernière en ajoutant des filtres afin que tous les mails soient dirigés vers la corbeille,
  • donc attention si l'envie te prenais de vider cette dernière sans la contrôler,
  • regarde bien avant de supprimer,
  • aussi certaines connexions peuvent avoir été faite depuis d'autres endroits que ton adresse IP, raison pour laquelle je t'avais demandé de changer ton mot de passe suite à tes MP's,
  • la boite gmail permet me semble t'il de regarder ou les dernières connexions ont été réalisés.

Je remercie Toctoc1403 pour m'avoir communiquée ces infos. Espérant qu'elles puissent t'aider.

Concernant les filtres de redirection, je ne peux pas t'aider, je ne suis pas client Gmail.

Pour la désinfection, hélas, je suis indisponible.

Bonne continuation.

Labougie

gippel108
 Posté le 29/05/2014 à 20:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Oui je m'en suis rendu compte, pour désactiver la mise automatique à la corbeille, il suffit d'aller dans les paramètres Gmail, rubrique filtres et de supprimer le filtre correspondant (au cas ou d'autres passeraient par là ;)).

Pour ce qui est des adresse IP, j'ai effectivement une connexion venant de France mais qui n'est pas la mienne.

Merci,

Gippel108

Labougie
 Posté le 30/05/2014 à 23:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Je vais prendre un peu de temps pour t'aider. Sache que je suis un peu débordé ces derniers temps, donc, pas certains de pouvoir toujours répondre rapidement.

Pour faire bien, je vais te donner beaucoup de manipulations à réaliser dans l'ordre, si une bloque, tu passes à la suivante, et ainsi de suite.

C'est parti


1/ RogueKiller (de Tigzy)

  • Téléchargez et enregistrez RogueKiller sur votre bureau.


    Si vous avez une version 64 bit de Windows alors téléchargez cette version : RogueKillerX64.exe

    Si vous avez une version 32 bit de Windows alors téléchargez cette version : RogueKiller.exe

  • Quittez tous les programmes en cours
  • Sous Windows Vista et ultérieur, clic droit -> lancez le programme en tant qu'administrateur
  • Sinon lancez simplement RogueKiller.exe en cliquant dessus.
  • Attendez la fin du Prescan ...
  • Cliquez sur "Scan" et patientez...



    image


    Cliquez sur Accept pour l'acceptation du Eula


    image


  • A l'issue RKreport[0].txt sera généré sur le bureau. On peut également l'ouvrir avec le bouton "Rapport".
  • Postez ce rapport par copier/coller.
  • Ne redémarrez pas l'ordinateur







  • Quittez tous les programmes en cours
  • Sous Windows Vista et ultérieur, clic droit -> lancez le programme en tant qu'administrateur
  • Sinon lancez simplement RogueKiller.exe en cliquant dessus.
  • Attendez la fin du Prescan ...
  • Cliquez sur "Suppression" et patientez...



    image


  • A l'issue RKreport[0].txt sera généré sur le bureau. On peut également l'ouvrir avec le bouton "Rapport".
  • Postez ce rapport par copier/coller.
  • Ne redémarrez pas l'ordinateur

2/ Mbam

Relance le, mets le à jour, puis scan rapide mais en suivant ces réglages

Lance l'outil par un double clique gauche

Auparavant, tu vas modifier quelques paramètres

  • Onglet paramètres / Détection et protection / coche "Recherche de rootkit"
  • Ensuite tu lances une mise à jour de l'outil via l'onglet "Tableau de bord"
  • Enfin tu vas dans l'onglet "Examen" et tu choisis "Examen Menaces"

Tu postes le nouveau rapport

Regarde ce tuto pour t'aider ==> http://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-version-2/


3/ image ZHPFix

  • Il est trés important de copier toutes les lignes.
  • Le script doit comporter obligatoirement comme première ligne : Script ZHPFix.
  • A l'aide de votre souris (avec le pointeur de la souris et clic gauche maintenu)
  • Parcourez et sélectionnez toutes les lignes ci dessous
  • Ensuite, copiez les. (avec le clic droit de la souris, sélectionnez "Copier" dans le menu contextuel).

    EXEMPLE
    image


    Lignes à copier

    Code
    Script ZHPFix
    Proxyfix
    ShortcutFix
    SysRestore
    EmptyTemp
    EmptyFlash
    EmptyCLSID
    EmptyPrefetch
    FirewallRaz
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowHelp: Modified =>PUA.StartShow
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowSetProgramAccessAndDefaults: Modified =>PUA.StartShow
    O45 - LFCP:[MD5.592EA8073C4A0B8AF426FB682CFD1D63] - 29/05/2014 - 18:29:04 ---A- - C:\Windows\Prefetch\DISKCLEANER.EXE-7280868A.pf =>Rogue.DiskCleaner
    HKLM\SOFTWARE\Microsoft\Tracing\ApowersoftUpdate_RASAPI32 =>Adware.Boxore
    HKLM\SOFTWARE\Microsoft\Tracing\ApowersoftUpdate_RASMANCS =>Adware.Boxore
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowHelp: Modified =>PUA.StartShow^
    O45 - LFCP:[MD5.A95EC573C92184A59693E79BC34BB3F6] - 29/05/2014 - 18:26:41 ---A- - C:\Windows\Prefetch\UTORRENT.EXE-AE62E46F.pf =>P2P.µTorrent
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utorrent_2_RASAPI32 =>P2P.µTorrent
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utorrent_2_RASMANCS =>P2P.µTorrent
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowMyDocs: Modified
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowMyGames: Modified
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowMyMusic: Modified
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowMyPics: Modified
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowPrinters: Modified
    R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1
    O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline




  • Double-cliquez sur le raccourci du programme "ZHPFix" qui est sur votre bureau.
  • Dans l'interface du logiciel qui s'est ouvert, cliquez sur "Importer" pour transférer les lignes copiées.



    image


  • Si le script n'est pas conforme : Un avertissement s'affiche.
  • Si le script est conforme : Le texte copié est affiché dans ZHPFix.



    image


  • Vérifiez bien que le script que vous voyez dans ZHPFix correspond aux lignes copiées.
  • Fermez vos applications en cours (navigateur internet compris) sauf ZHPFix
  • Cliquez sur le bouton « GO » pour lancer le nettoyage.
  • Confirmez ce nettoyage en cliquant sur "OUI" dans les deux fenêtres suivantes.



    image
    image


  • Ce traitement peut durer jusqu'à plusieurs minutes avant le nettoyage proprement dit des lignes du script.
  • Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
  • A l'issue un rapport ZHPFix.txt s'affiche dans la zone de rapport de l'interface et dans le bloc note Windows.
  • Le rapport ZHPFix.txt est aussi sauvegardé sur le Bureau Windows.
  • Postez le contenu de ce rapport par copier/coller.
  • Vous pouvez fermer ZHPFix et le bloc note par la croix rouge en haut à droite des deux fenêtres.

4/ image Junkware Removal Tool (de Thisisu)

  • Téléchargez Junkware Removal Tool et enregistrez le sur votre ordinateur : Lien direct
  • Quittez tous les programmes en cours.
  • Avec Windows Vista / 7 / 8 et 8.1 , faites un clic droit -> lancez le programme en tant qu'administrateur
  • Avec Windows XP lancez simplement Junkware Removal Tool en cliquant dessus.
  • L'outil de suppression va maintenant commencer son travail, et à l'invite de commande, vous aurez besoin d'appuyer sur une touche de votre clavier pour confirmer votre choix.



    image



  • Veuillez être patient(e) car les processus (sauvegarde Erunt et suppression des malveillants) peuvent prendre un certain temps (jusqu'à 10 minutes) en fonction des spécifications de votre système.
  • Votre bureau va disparaitre provisoirement lors du travail de l'outil, ne paniquez pas car c'est normal et attendu.
  • Lorsque l'analyse est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, un copie se trouve aussi dans le même dossier que Junkware Removal Tool.



    image



  • Postez ce rapport par copier/coller.

5/ Frst de Farbar



Charge la version qui convient à ton pc. La version 32bits pour un pc en X86 (32bits) ou la version 64bits pour un pc en X64 (64bits).

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Clique sur "Actions" puis sur "Exécuter quand même"


Frst 64 bits version => Clique sur le lien, le chargement se lancera tout seul.

Dépose Frst.exe sur ton bureau

Regarde bien cette image, frst n'est pas un raccourci, il n'y a pas de flèche

test

Maintenant que tu as chargé la bonne version de l'outil, double clique dessus, puis valide le Disclaimer par "Ok"

image

Coche en + les cases "Drivers MD5" // "Additions.txt" & "Shorcut"

Patient le temps que l'outil analyse ton pc.

Les rapports dont j'ai besoin se situent dans le même dossier que Frst.exe, ils se nomment Frst.txt // Additions.txt & Shorcut.txt

Copie colle les dans ta prochaine réponse

_____________________________________________________________________________________________

Les rapports attendus sont:

  • Rogue killer Recherche et suppression
  • Nouveau log Malware bytes
  • Zhpfix log
  • JRT log
  • Frst.txt Addition.txt & shorcut.txt

labougie

gippel108
 Posté le 31/05/2014 à 11:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : Addition31-05.txt

gippel108
 Posté le 31/05/2014 à 11:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : FRST31-05.txt

Publicité
gippel108
 Posté le 31/05/2014 à 11:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : JRT31-05.txt

gippel108
 Posté le 31/05/2014 à 11:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : mbam31-05.txt

gippel108
 Posté le 31/05/2014 à 11:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : Shortcut31-05.txt

gippel108
 Posté le 31/05/2014 à 11:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Voilà tout y est ! :)

Labougie
 Posté le 31/05/2014 à 11:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Il manque le fix de zhpfix

labougie

Labougie
 Posté le 31/05/2014 à 11:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

je stoppe mon aide pour la raison suivante

C:\Windows\AutoKMS => piratage de produit Microsoft

Labougie

gippel108
 Posté le 31/05/2014 à 11:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Oo Comment ça piratage ? Ma version Windows n'est pas bonne ? Pourtant mon ordi à été acheté avec la licence Windows 7.



Modifié par gippel108 le 31/05/2014 11:55
Anonyme
 Posté le 31/05/2014 à 12:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour

Labougie vous signale un produit microsoft piraté, dans votre cas c'est le suite bureautique Office.

Australien

gippel108
 Posté le 31/05/2014 à 13:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Ah mince, comment faut-il faire pour tout supprimer dans ce cas là ? Il suffit juste de désinstaller ou pas ?

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Phishing mail intitulé "L' article pour votre examen"
piratage boite mail yahoo
Facebook m'adresse des courriers par un compte mail qui n'existe plus
E-mail suspet
Risque de Mail frauduleux
mail suspect
Phishing et Cert.be
Boite mail piratée
Hameçonnage/phishing impot.gouv.fr
Boite mail
Plus de sujets relatifs à Mail "L'' article pour votre examen" (phishing)
 > Tous les forums > Forum Sécurité