Compte Outlook compromis : sextorsion, DCRat (Trojan) et fenêtre « npm install winreg » — guide de remédiation

Votre compte Outlook affiche des blocages, vous recevez un courriel de sextorsion citant votre mot de passe, et Windows Defender signale DCRat avec une fenêtre « npm install winreg ». Voici un plan d’action éprouvé pour reprendre le contrôle et assainir vos appareils.

Sommaire

Problématique

Scénario typique : un utilisateur constate des tentatives de connexion multiples à son compte Outlook, reçoit un courriel d’extorsion sexuelle (« sextorsion ») qui connaît son mot de passe récent et réclame 1 600 $ en bitcoins, pendant qu’un alerte Windows Defender remonte Trojan: MSIL/DCRat.CXLM!MTB. En parallèle, une fenêtre cmd s’ouvre sporadiquement pour exécuter npm install winreg. L’objectif : reprendre le contrôle du compte, purger les malwares et empêcher toute fuite ultérieure (mots de passe, e‑mails, données perso).

Plan d’action express (vue d’ensemble)

Étape	Action recommandée	But
1	Ne payez pas la rançon ; traitez le courriel comme une escroquerie.	Ne pas financer l’attaque ni valider votre adresse.
2	Analysez les en‑têtes du courriel (spoof ?) : `Return-Path`, `Authentication-Results`, `X‑SID‑PRA`.	Évaluer si l’attaquant a vraiment accès à la boîte.
3	Isolez la machine suspecte : réseau coupé, session hors ligne.	Stopper l’exfiltration/commande à distance.
4	Scannez en profondeur (Defender complet + hors‑ligne, puis outil tiers).	Éliminer DCRat et tout composant associé.
5	Réinitialisez vos mots de passe depuis un appareil sain.	Empêcher l’interception des nouveaux secrets.
6	Activez la MFA (Microsoft Authenticator) + méthodes de secours.	Bloquer l’accès même si le mot de passe fuit.
7	Fermez toutes les sessions, révoquez app passwords et autorisations OAuth.	Éjecter les accès persistants (jetons encore valides).
8	Contrôlez règles/redirections/alias côté Outlook.	Couper la copie discrète des e‑mails.
9	Mettez à jour Windows, navigateurs, pilotes, Node/npm. Purgez tâches/services suspects.	Corriger les failles et la persistance.
10	Vérifiez les comptes liés (banque, réseaux sociaux, cloud).	Limiter la portée de la compromission.
11	Sauvegardez puis, si besoin, réinstallez proprement Windows.	Élimination garantie des malwares résistants.
12	Signalez l’extorsion (police/plateformes officielles).	Appui légal et traçabilité (assurance).

Comprendre l’attaque en trois minutes

Le courriel de sextorsion recycle souvent d’anciens mots de passe exposés (fuites de services tiers). Le fait qu’il affiche votre « nouveau » mot de passe signifie probablement qu’il a été capturé localement (malware, extension navigateur, keylogger) ou via un phishing récent.
DCRat (DarkCrystal RAT) est un Remote Access Trojan modulaire : vol de mots de passe, exécution de commandes, capture d’écran, modules additionnels.
La fenêtre npm install winreg révèle qu’un script Node.js tente d’ajouter une bibliothèque de registre Windows (winreg) pour persister ou manipuler la configuration. Cette activité peut être planifiée (Planificateur de tâches), démarrée comme service, ou déclenchée au login.

Étapes détaillées et sécurisées

Mettre le système sous cloche

Déconnectez l’ordinateur d’Internet (Wi‑Fi/ethernet), désactivez le Bluetooth, retirez tout périphérique USB non essentiel.
Si vous devez l’utiliser, ouvrez une session locale hors ligne sans lancer de navigateur.
Préparez un appareil de confiance (smartphone non jailbreaké ou PC sain) pour les opérations sensibles (mots de passe, MFA).

Changer immédiatement les mots de passe depuis un appareil sain

Modifiez le mot de passe du compte Microsoft/Outlook avec une phrase secrète longue (≥ 14 caractères) et unique.
Changez ensuite les mots de passe des comptes critiques (banque, messageries secondaires, boutiques en ligne, réseaux sociaux, stockage cloud). Ne faites pas ces changements depuis la machine suspecte.
Activez l’option « exiger le mot de passe à la reconnexion » sur tous les appareils associés.

Activer la MFA et préparer les secours

Activez la MFA (application Microsoft Authenticator recommandée).
Ajoutez au moins deux méthodes de secours : numéro de téléphone, adresse secondaire ou codes de récupération.
Désactivez les app passwords inutiles. N’en créez qu’en dernier recours et isolez‑les par application.

Clore les sessions et révoquer les accès persistants

Depuis votre compte Microsoft :

Déconnectez‑vous de tous les appareils (fonction « Se déconnecter partout » / « Fermer toutes les sessions »).
Supprimez les appareils inconnus de la liste des appareils de confiance.
Révoquez les mots de passe d’application existants.
Dans la section confidentialité/consentements, retirez les applications tiers avec accès à votre boîte (OAuth).

Auditer Outlook : règles, redirections, alias

Dans Outlook (web) : Paramètres → Courrier → Règles/Boîte de réception et Transfert.

Supprimez toute règle inconnue (ex. : déplacer tous les messages vers Archive/Supprimés, transférer à une adresse externe).
Vérifiez Transfert global : aucune redirection automatique vers l’extérieur.
Contrôlez les alias et adresses d’expédition (« Envoyer en tant que »).
Ouvrez Éléments envoyés et Éléments supprimés à la recherche d’activité suspecte.

Dans Outlook (bureau) : Fichier → Gérer les règles et alertes. Supprimez les règles anormales.

Scanner et assainir Windows de manière robuste

1) Microsoft Defender : analyse complète + hors‑ligne

Ouvrez Sécurité Windows → Protection contre les virus et menaces → Options d’analyse → lancez une Analyse complète.
Ensuite, lancez Microsoft Defender Offline depuis le même menu (Analyse hors connexion). L’ordinateur redémarre et scanne avant chargement de Windows, efficace contre les RAT.

2) Microsoft Safety Scanner (complément)

Téléchargez l’outil Microsoft Safety Scanner depuis un appareil sain, copiez‑le sur la machine isolée, puis exécutez une analyse complète. Utilisez une version à jour et supprimez‑la après usage.

3) Un second avis anti‑malware

Exécutez un scan avec un outil réputé (par ex. Malwarebytes, ESET). Un moteur alternatif attrape souvent ce qu’un premier a manqué.

4) Traquer et éradiquer la persistance « npm install winreg »

Cette trace indique probablement un script Node malveillant. Procédez ainsi :

Désinstallez Node.js si vous ne l’utilisez pas : Applications et fonctionnalités → Node.js → Désinstaller.
Supprimez les caches et modules globaux :
- %AppData%\npm
- %AppData%\npm-cache
- C:\Users\<Profil>\AppData\Roaming\npm
- C:\Users\<Profil>\AppData\Roaming\npm-cache
Planificateur de tâches : ouvrez Planificateur de tâches → Bibliothèque du planificateur. Supprimez toute tâche qui exécute node.exe, npm, cmd /c npm install winreg ou un script inconnu dans %AppData%/Temp.
Services : vérifiez services.msc pour des services inconnus pointant vers node.exe ou des répertoires utilisateur.
Démarrages : Paramètres → Applications → Démarrage et shell:startup. Désactivez/supprimez les entrées douteuses.
Registre (à manier prudemment) : inspectez
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Supprimez les valeurs qui invoquent cmd, node ou des scripts de chemins temporaires.

Commandes PowerShell utiles (exécuter en Administrateur) :

# Lister les tâches planifiées mentionnant npm/winreg
Get-ScheduledTask | Where-Object {$_.TaskName -match 'npm|winreg' -or $_.Actions.Execute -match 'npm|node|cmd'} | Format-Table TaskName,State

# Rechercher sur le disque les scripts suspects

Get-ChildItem -Path $env:USERPROFILE -Recurse -Include *.cmd,*.bat,*.ps1,*.js  -ErrorAction SilentlyContinue |
Select-Object FullName | Where-Object { (Get-Content $_.FullName -ErrorAction SilentlyContinue) -match 'npm install winreg' }

# Lister les modules Node globaux

npm -g list --depth=0

# Supprimer une tâche spécifique (exemple)

Unregister-ScheduledTask -TaskName "MAJWinReg" -Confirm:$false

5) Nettoyer les navigateurs (extensions & synchronisation)

Extensions : edge://extensions ou chrome://extensions. Désinstallez tout ce qui est inconnu. Vérifiez aussi Firefox (about:addons).
Mots de passe enregistrés : supprimez ceux du navigateur, migrez vers un gestionnaire de mots de passe dédié.
Synchronisation : réinitialisez la synchro (profils Edge/Chrome) après nettoyage local pour éviter la ré‑injection d’une extension malveillante depuis le cloud.
SmartScreen : activez les protections renforcées et les alertes.

6) Mise à jour et durcissement

Appliquez toutes les mises à jour Windows (Qualité & sécurité).
Mettez à jour Edge/Chrome/Firefox et pilotes.
Si vous conservez Node.js, installez une version récente, puis npm cache clean --force.
Activez Accès contrôlé aux dossiers dans Sécurité Windows (protection anti‑ransomware) et réduction de la surface d’attaque.

Contrôler les comptes et appareils liés

Smartphones/Tablettes : supprimez et recréez le compte e‑mail. Révoquez les appareils mobiles inconnus (gestion des appareils).
Comptes sensibles : banque, impôts, cloud, réseaux sociaux — changement de mot de passe + MFA.
Avertir vos contacts en cas d’envois frauduleux depuis votre adresse (modèle ci‑dessous).

Quand réinstaller Windows ?

Si après scans et nettoyage la fenêtre npm install winreg réapparaît, si DCRat est détecté à répétition, ou si vous doutez de l’intégrité du système :

Sauvegardez vos données (documents, photos) vers un disque externe déconnecté après copie.
Procédez à une réinstallation propre (ou restauration d’une image système antérieure connue saine).
Avant de réinjecter vos données, refaites un scan sur le support externe.

Signaler l’extorsion

Conservez le message d’extorsion et ses en‑têtes, les captures d’écran de Defender et vos journaux d’actions. Signalez l’incident aux autorités (ex. plateformes officielles de signalement) pour obtenir un numéro de dossier.

Analyser correctement les en‑têtes du courriel de sextorsion

Pourquoi ? Pour distinguer un spoofing d’un véritable accès à votre boîte.

Comment afficher les en‑têtes

Outlook sur le web : ouvrez le message → … (Plus d’actions) → Afficher les détails du message / Afficher la source.
Outlook (bureau) : ouvrez le message → Fichier → Propriétés → encadré En‑têtes Internet.

À quoi faire attention

Return‑Path vs From : s’ils diffèrent radicalement, suspect.
Authentication‑Results : spf=fail, dkim=fail, dmarc=fail → forte probabilité de spoof.
X‑SID‑PRA (spécifique aux environnements Microsoft) et Received: incohérents → usurpation probable.
Liens et pièces jointes : ne cliquez/ouvrez rien.

Exemple (extrait simplifié) :

Return-Path: &lt;random@fraud-domain.xyz&gt;
From: "Support Outlook" &lt;support@outlook.com&gt;
Authentication-Results: spf=fail; dkim=fail; dmarc=fail
X-SID-PRA: support@outlook.com
Received: from 203.0.113.77 by mx.example.net with ESMTP...

Conclusion : si l’e‑mail est une usurpation, la probabilité que l’attaquant n’ait pas accès à votre boîte augmente, mais ne relaxez pas la réponse : votre mot de passe a pu fuiter et doit être changé avec MFA + audits.

Check‑lists opérationnelles

Dans les 24–48 heures

Changer les mots de passe critiques depuis un appareil sain (Outlook en premier), activer MFA + méthodes de secours.
Fermer les sessions, révoquer app passwords et consentements OAuth.
Supprimer règles/redirections/alias douteux dans Outlook (web & bureau).
Analyse complète Defender + Defender Offline + second avis anti‑malware.
Nettoyer extensions navigateurs + réinitialiser la synchronisation.
Vérifier comptes liés (banque, cloud, réseaux sociaux) et activer MFA.

Durcissement durable

Mettre à jour Windows et applications automatiquement.
Adopter un gestionnaire de mots de passe (Bitwarden, KeePass, etc.).
Activer SmartScreen et l’alerte sur identifiants compromis (monitoring de fuites publiques).
Appliquer la règle 3‑2‑1 pour les sauvegardes (3 copies, 2 supports distincts, 1 hors ligne).
MFA partout où c’est possible.

Cas entreprise / Microsoft 365 (complément)

Si votre adresse est professionnelle :

Administrateurs : réinitialisez le mot de passe et imposez la réauthentification (Revoke sign‑in sessions) du compte concerné.
Vérifiez dans le Centre d’administration les règles de flux de messagerie (Exchange) et les redirections au niveau boîte.
Consultez les journaux d’audit (accès à la boîte, MailItemsAccessed, création de règles, consentements OAuth).
Bloquez l’auto‑forward vers l’externe par politique si possible.

FAQ rapide

Dois‑je payer les 1 600 $ en bitcoins ? Non. Payer n’efface pas les copies ni ne garantit le silence. Renforcez votre sécurité et signalez l’extorsion.

Le fait que l’e‑mail affiche mon mot de passe prouve‑t‑il qu’il lit ma boîte ? Pas forcément. Il peut s’agir d’un mot de passe volé antérieurement (phishing, fuite d’un autre service) ou intercepté localement par un malware. Changez‑le immédiatement, activez la MFA, auditez votre boîte.

Quand puis‑je reconnecter la machine au réseau ? Après deux scans complets sans détection (dont un hors‑ligne) et suppression de toute persistance (tâches/services/registre). Si un doute subsiste, réinstallez Windows.

Mes contacts ont reçu des spams de ma part : que faire ? Prévenez‑les que votre compte a été compromis et d’ignorer tout message douteux récent. Voir le modèle ci‑dessous.

Modèles utiles

Message à vos contacts

Objet : Ignorez tout message suspect reçu de ma part récemment

Bonjour,
Mon compte Outlook a été compromis mais est en cours de sécurisation (mots de passe changés, MFA activée).
Si vous avez reçu des e-mails étranges, n’ouvrez pas les liens/pièces jointes et supprimez-les.
Merci !

Notes pour dépôt de plainte / assurance

Captures d’écran (alerte Defender, règles Outlook supprimées, journaux « activité récente » du compte).
Copie des en‑têtes complets du courriel d’extorsion.
Chronologie : premier blocage Outlook, réception du mail, alertes antimalware, actions menées.

Annexes techniques

Scripts et commandes d’inspection

Lister rapidement ce qui démarre avec Windows (PowerShell Admin) :

# Démarrages (Registre)
'HKLM','HKCU' | ForEach-Object {
  Get-ItemProperty "Registry::$_\Software\Microsoft\Windows\CurrentVersion\Run" `
    -ErrorAction SilentlyContinue | Select-Object PSPath, *
}

# Tâches planifiées (début de piste)

Get-ScheduledTask | Select-Object TaskName,State,Actions | Out-Host

# Services non Microsoft en auto

Get-CimInstance Win32_Service | Where-Object { $*.StartMode -eq 'Auto' -and $*.PathName -notmatch 'Windows\System32' } |
Select-Object Name, DisplayName, StartMode, State, PathName | Out-Host

Réinitialiser Edge/Chrome (profil utilisateur) : sauvegardez vos favoris, puis utilisez les options « Réinitialiser les paramètres » dans chaque navigateur. Après nettoyage, reconnectez‑vous et réactivez la synchronisation.

Bonnes pratiques de mots de passe

Utilisez des phrases longues (4–6 mots aléatoires) plutôt que des chaînes courtes complexes.
Un mot de passe unique par service, stocké dans un gestionnaire de mots de passe.
Privilégiez les passkeys (si disponible) pour réduire l’exposition.

Récapitulatif des points clés

Ne payez pas la sextorsion ; concentrez‑vous sur la remédiation.
Analysez les en‑têtes pour qualifier l’attaque.
Isoler & scanner (Defender complet + hors‑ligne, second avis).
Changer les mots de passe depuis un appareil sain + MFA avec secours.
Fermer sessions / révoquer tokens et purger règles/redirections.
Éradiquer la persistance « npm install winreg » (tâches, services, registre, caches npm).
Mises à jour et durcissement (SmartScreen, accès contrôlé aux dossiers).
Vérifier comptes liés et sauvegardes 3‑2‑1.
En cas de doute persistant, réinstallation propre.

Informations complémentaires utiles

Microsoft Defender Offline (clé USB bootable ou option intégrée) est efficace contre les RAT comme DCRat.
Le pop‑up npm install winreg indique qu’un script Node.js touche au Registre : fouillez %AppData%\npm, ...Roaming\npm-cache, le Planificateur de tâches et les services.
Adoptez un gestionnaire de mots de passe (Bitwarden, KeePass…) pour des codes uniques et forts.
Mettez en place une surveillance de fuites (équivalents « Have I Been Pwned », Firefox Monitor) et activez les alertes SmartScreen.
Trois habitudes gagnantes : mises à jour automatiques, sauvegardes hors ligne régulières, MFA partout.

Foire aux erreurs fréquentes (et comment les éviter)

Changer les mots de passe depuis la machine infectée : évitez absolument. Toujours utiliser un appareil sain.
Négliger les redirections : un transfert discret vers un compte externe peut vider votre boîte sans bruit.
Oublier la synchronisation : remettre en marche une synchro non réinitialisée peut ré‑installer l’extension malveillante.
Supprimer un fichier sans traiter la tâche planifiée : la tâche recrée le binaire au prochain démarrage. Traitez la persistance en premier.
Réutiliser des mots de passe : c’est le meilleur ami des attaquants. Un service compromis en entraîne un autre.

Conclusion

En combinant assainissement local (scans, suppression de la persistance « npm/winreg ») et sécurisation du compte (MFA, fermeture des sessions, audit des règles et consentements), vous coupez à la fois le vol d’identifiants et la capture d’e‑mails. Poursuivez avec des mises à jour, un gestionnaire de mots de passe et une hygiène numérique rigoureuse. Vous regagnerez la maîtrise d’Outlook et réduirez durablement le risque de nouvelle compromission.