mon ordinateur a ete piraté Résolu/Fermé

Question

Bonjour, 

Je suis en Vista Famille, suis protégé par Avast 5 et Defender.

Depuis quelque temps, je n'avais plus d'accès à certaines pages de mes sites : Elles etaient bloquées par iExplorer. 
Chez certains de mes amis il y avait des alertes sur les pages de certaines et d'autres étaent bloquées par Le Navigateur. Pour d'autres, tout se passaiet bien. 
J'ai rapatrié mes sites et , au fur et à mesure que cela se faisait, Avast 5 me mettait en quarantaine un certain nombre de fichiers index.html ou index.htm qui contenaient des scripts malveillants. 
Le nom par Avast est HTML: iframe-IE qui doit être le même que celui signalé par Kaspersky Trojan-Downloader.JS.Iframe.bmk 
J'ai trouvé le script et mes 2 sites sont purges. 
Tous les scans que j'ai faits sur mon ordinateur avec différents outils, ne trouvent aucun cheval de Troie , par contre, Secunia PSI m'a signalé 2 failles sur la protection de Adobe Reader et Adobe Player. Vraisemblablement le cheval de Troie est rentré par là. 

Actuellement, mes sites sembles propres, et j'ai installé iExplorer 8 desinstallé Adobe Reader remplacé pae Fox Reader. 

Pouvez vous m'aider a voir si le cheval de Troie est encore tapi dans mon ordinateur? 
Connaissez-vous ce trojan? Quels sont ses dangers: je n'ai rien trouvé sur le Web 

Etienne

Smart91 · Accepted Answer

Bonjour,

On va analyser ton PC 
Télécharge RSIT et mets l'exécutable sur ton Bureau. ==>http://images.malwareremoval.com/random/RSIT.exe 
Ferme toutes les applications et déconnecte toi dinternet 
Lance RSIT: 
- Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 
- Devant l'option "List files/folders created ..." , tu choisis : 1 months
- Clique ensuite sur " Continue " pour lancer l'analyse ...
- Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
 
Le scan démarre et ne touche pas au PC ... 
Une fois l'analyse terminée, deux fichiers texte s'ouvriront (avec le bloc-note). 
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), 
Tu peux utiliser www.cijoint.fr pour mettre un lien vers les deux rapports 

PS: Pour info les rapports se trouvent dans C:\rsit 

Smart

eguina · Answer

J'ai fait l'opération avec ma premiere clé, mais j'ai oublié de raccorder mon disque externe. Si c'est necessaire, je recommencerai.  

http://www.cijoint.fr/cjlink.php?file=cj201004/cijYpAWHyg.txt 

http://www.cijoint.fr/cjlink.php?file=cj201004/cijPMJCfNV.jpg

http://www.cijoint.fr/cjlink.php?file=cj201004/cijLCvXOs0.jpg

Smart91 · Answer

Si le disque a été vacciné c'est OK sinon branche le et relance la procédure de désinfection et vaccination. 
D'autre part j'ai vu ceci: 
C:\Users\Etienne\Favorites\Piratage\http--doudou.net-php-crack.php.url 
Les sites de cracks sont des vecteurs d'infection importants ==> 
https://forum.malekal.com/viewtopic.php?t=893&start= 
Evite ces sites et supprime les de tes favoris. 
Refais un rapport RSIT pour vérification 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

eguina · Answer

J' ai commis la bétise d'aller 10 secondes sur le site dont tu me signalais le rique.   
Tout de suite après, j'ai passé UsbFix qui n'a pas pu vider la corbeille de H mon disque externe.    
http://www.cijoint.fr/cjlink.php?file=cj201004/cijRNIielq.jpg   

Depuis je n'ai pu accés à l'effacement de la corbeille meme en fonctionnement sans échec, et deplus, je n'ai plus de points de restauration.   

Je peux si tu en es d'accord restaurer une image systeme faite avec Acronis, mais as-t'elle été vérifiée par tes utilitaires ?   

Ci dessous le rapport d'UsbFix  et ceux de RSIT fait après l'incident.  

http://www.cijoint.fr/cjlink.php?file=cj201004/cijoQQqyVQ.txt 

http://www.cijoint.fr/cjlink.php?file=cj201004/cijj30l6t0.txt

http://www.cijoint.fr/cjlink.php?file=cj201004/cij4Xzajw5.txt

Smart91 · Answer

Le rapport RSIT ne montre rien de plus que la dernière fois. Il y a simplement des traces que je n'arrive pas à supprimer

Dans un fenêtre DOS fait la commande suivantes:
IPCONFIG /Flushdns
et refait  un rapport RSIT
Mais dis moi si par rapport au problème initial tu trouve des améliorations

Smart

eguina · Answer

Merci Smart pour ta patience

Je te rappelle que mon ordinateur marchait bien, mais que j'avais été vivtime d'un piratage de mes sites que j'avais réussi à nettoyer.
Je craignais que le Virus à l'origine du piratage soit toujours dans mon ordinateur, c'est pouquoi j'ai demendé l'aide du forum.
Depuis, j'accède à mes sites sans problème, et mon ordinateur continue à aller bien, mise à part  la Corbeille de mon disque externe à la quelle je n'ai pu accés depuis ce matin.


http://www.cijoint.fr/cjlink.php?file=cj201004/cijilBqtBr.txt

http://www.cijoint.fr/cjlink.php?file=cj201004/cijwWJ5sPE.txt

Smart91 · Answer

Est-ce que tu as fait la commande IPCONFIG /Flushdns
Je vois toujours cette ligne dans le rapport RSIT qui change l'adresse IP du serveur DNS

Smart

eguina · Answer

oui je l'avait fait

http://www.cijoint.fr/cjlink.php?file=cj201004/cijEX4uqk2.jpg

Si c'est cela qui te soucie
"O17 - HKLM\System\CCS\Services\Tcpip\..\{173FB88E-00B2-46C4-9D25-B246734AF627}: NameServer = 8.8.8.8,8.8.4.4"

Cela correspond à la DNS de Google que j'ai substitué à celle d'Orange qui serait plus lente,  sur les conseils d' un article de L'O.I.

eguina · Answer

Rien de plus inutile que de vouloir prouver quelque chose aux imbéciles." 
[Milan Kundera] Extrait de L'immortalité 

L'imbécile te salue

1 - J'ai fait le chkdsk

Microsoft Windows [version 6.0.6002]
Copyright (c) 2006 Microsoft Corporation. Tous droits réservés.

C:\Windows\system32>CHKDSK H: /F
Le type du système de fichiers est NTFS.
Le nom de volume est My Book.

CHKDSK est en train de vérifier les fichiers (étape 1 de 3)...
  80384 enregistrements de fichier traités.
La vérification des fichiers est terminée.
  35 enregistrements de grand fichier traités.
  0 enregistrements de fichier incorrect traités.
  0 enregistrements EA traités.
  0 enregistrements d'analyse traités.
CHKDSK est en train de vérifier les index (étape 2 de 3)...
  84920 entrées d'index traitées.
La vérification des index est terminée.
  0 fichiers non indexés traités.
CHKDSK est en train de vérifier les descripteurs de sécurité (étape 3 de 3)
  80384 descripteurs de sécurité traités.
La vérification des descripteurs de sécurité est terminée.
  2269 fichiers de données traités.
CHKDSK vérifie le journal USN...
99 % effectués. (10465280 octets USN sur 33677664 traités)
99 % effectués. (14290944 octets USN sur 33677664 traités)
99 % effectués. (18403328 octets USN sur 33677664 traités)
99 % effectués. (22167552 octets USN sur 33677664 traités)
99 % effectués. (26005504 octets USN sur 33677664 traités)
99 % effectués. (29736960 octets USN sur 33677664 traités)
99 % effectués. (33632256 octets USN sur 33677664 traités)
100 % effectués. (33677312 octets USN sur 33677664 traités)
  33677664 octets USN traités.
Vérification du journal USN terminée.
Windows a vérifié le système de fichiers sans trouver de problème.

 488375968 Ko d'espace disque au total.
 170159524 Ko dans 41287 fichiers.
     16764 Ko dans 2270 index.
         0 Ko dans des secteurs défectueux.
    194556 Ko utilisés par le système.
     65536 Ko occupés par le fichier journal.
 318005124 Ko disponibles sur le disque.

      4096 octets dans chaque unité d'allocation.
 122093992 unités d'allocation au total sur le disque.
  79501281 unités d'allocation disponibles sur le disque.

C:\Windows\system32>

Y a-t-il un autre solution que de récupérer mes fichiers sur un autre disque et de reformater le premier ?


2 - J'ai essaye de vacciner une cle Linux ; UsbFix l'a reconnue mais ne l'a pas vccinée Il ne l'a pas non plus vérolée.

############################## | UsbFix V6.100 |

User : Etienne (Administrateurs) # ETIENNEPORTABLE
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 10:43:04 | 05/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual  CPU  T2330  @ 1.60GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1229 [VPS 090121-0] 4.8.1229 [ Enabled | Updated ]

C:\ -> Disque fixe local # 30,01 Go (5,62 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 38,48 Go (24,85 Go free) [SAUVE] # NTFS
E:\ -> Disque fixe local # 69,52 Go (9,3 Go free) [DATA] # NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque amovible
H:\ -> Disque fixe local # 465,75 Go (303,26 Go free) [My Book] # NTFS

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | ! Fin du rapport # UsbFix V6.100 ! |


3 - Que fait éxactement la vaccination ?
Faut-il faire une piqure de rappel de temps en temps ?

Smart91 · Answer

Quelle est la taille des fichiers à sauvegarder ?, Si comme je le pense c'est ton disque Mybook, tu as près de 100 Gb, il faut que tu trouves cette place de libre sur l'ensemble de tes autres disques. Ce qui n'est pas évident. Ou alors se faire préter un autre disque pour faire la sauvegarde.

Mais ce que je te propose mailtenant c'est de purger ton PC des outils que tu as téléchargés (et on verra si CCleaner vide la corbeille du disque externe)
Donc connecte bien ton disque externe au PC

1. Désinstalle les OTILs

Télécharge Toolscleaner sur ton Bureau: 
- Double-clique sur ToolsCleaner2.exe et laisse le travailler 
- Clique sur Recherche et laisse le scan se terminer. 
- Clique sur Suppression pour finaliser. 
- Tu peux, si tu le souhaites, te servir des Options facultatives. 
- Clique sur Quitter, pour que le rapport puisse se créer. 
- Le rapport (TCleaner.txt) se trouve à la racine du disque dur (C:\)...colle le dans ta prochaine réponse. 


2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
- Lance-le. -Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....  Ensuite sur paramètres et coche le disque C et la lettre dcorrespndant au diques ecternes
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.

4. Réactive l'UAC si ce n'est déjà fait 

5. Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Smart

eguina · Answer

Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ] 

--> Recherche:  

C:\UsbFix.txt: trouvé ! 
C:\HijackThis: trouvé ! 
C:\UsbFix: trouvé ! 
C:\Rsit: trouvé ! 
C:\Ad-remover: trouvé ! 
C:\Program Files\Trend Micro\HijackThis: trouvé ! 
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé ! 
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé ! 
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé ! 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé ! 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé ! 
C:\UsbFix\Quarantine\C\$RECYCLE.BIN\S-1-5-21-1273951176-2234430513-943810201-1000.UsbFix\$RLF97JL\hijackthis.log: trouvé ! 
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé ! 
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé ! 
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé ! 
C:\Users\Etienne\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: trouvé ! 
C:\Users\Etienne\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé ! 
C:\Users\Etienne\AppData\Roaming\Microsoft\Windows\Recent\HijackThis.lnk: trouvé ! 
C:\Users\Etienne\Desktop\Logiciels\Utilitaires\HijackThis.lnk: trouvé ! 
C:\Users\Etienne\Desktop\piratage\hijackthis.log: trouvé ! 
C:\Users\Etienne\Desktop\piratage\UsbFix.txt: trouvé ! 
C:\Users\Etienne\Desktop\Securité\HijackThis.lnk: trouvé ! 
C:\Users\Etienne\Desktop\Securité\UsbFix.exe: trouvé ! 
C:\Users\Etienne\Desktop\Securité\Rsit.exe: trouvé ! 


Corbeille vidée! 
Fichiers temporaires nettoyés ! 
--------------------------------- 


--> Suppression:  
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: ERREUR DE SUPPRESSION !! 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: ERREUR DE SUPPRESSION !! 
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: ERREUR DE SUPPRESSION !! 
C:\Users\Etienne\AppData\Roaming\Microsoft\Windows\Recent\HijackThis.lnk: supprimé ! 
C:\Users\Etienne\Desktop\Logiciels\Utilitaires\HijackThis.lnk: supprimé ! 
C:\Users\Etienne\Desktop\Securité\HijackThis.lnk: supprimé ! 
C:\UsbFix.txt: ERREUR DE SUPPRESSION !! 
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé ! 
C:\UsbFix\Quarantine\C\$RECYCLE.BIN\S-1-5-21-1273951176-2234430513-943810201-1000.UsbFix\$RLF97JL\hijackthis.log: supprimé ! 
C:\Users\Etienne\Desktop\piratage\hijackthis.log: supprimé ! 
C:\Users\Etienne\Desktop\piratage\UsbFix.txt: supprimé ! 
C:\Users\Etienne\Desktop\Securité\UsbFix.exe: supprimé ! 
C:\Users\Etienne\Desktop\Securité\Rsit.exe: supprimé ! 
C:\HijackThis: supprimé ! 
C:\UsbFix: supprimé ! 
C:\Rsit: supprimé ! 
C:\Ad-remover: supprimé ! 
C:\Program Files\Trend Micro\HijackThis: ERREUR DE SUPPRESSION !! 
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !! 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: ERREUR DE SUPPRESSION !! 
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !! 
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: ERREUR DE SUPPRESSION !! 
C:\Users\Etienne\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: supprimé !



J'ai fait tout ce que tu m'as demandé mais la corbeille de H: est toujours endomagée.

J'ai 150 GO sur H:
Mais pas de problemes je comptais m'acheter un deuxieme disque extrene : j'avance un peu l'achat.

Smart91 · Answer

Ce sont les raccourcis de Hijacthis sur lesquels il ya eu une erreur de suppression. ce n'est pas très grave. Continue la procédure plus haut. On verra ensuite.
Ce qui est surprenant c'est qu'il y en ait autant !

Smart

eguina · Answer

Comme je te le disais dans mon fil précédent, j'ai fait tout ce que tu m'as demandé en fil 34 et la corbelle de H est toujours endomagée.

Smart91 · Answer

OK. je n'avais pas lu le post entier.
Je te donne ici quelques conseils de prévention quand on surfe sur Internet
Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection
Evite d'installer les toolbars:
Les Toolbars ce n'est pas obligatoires
Et évite les sites de cracks et pornographiques qui sont des vecteurs de virus
Voilà si tu as des questions, n'hésite pas.

Smart

eguina · Answer

Si je comprende bien, on est au bout de l'opération. 
Cela été intéressant pour moi de faire cette espérience et dela m'a enlevé quelques certitudes. Je pensais être bien protégé et ne pas être dangereux pour les autres ! 

Un grand merci pour tout ce que tu as fait pour moi. 

Je savais le danger des sites de cracks et de sexe que je ne fréquente que par accident, mais par contre au moment du piratage de mes sites , j'avais fréquenté des sites de téléchargerment de logiciels "portabilisés" et je me demande si mes ennuis ne viennent pas de là. 

Il me reste 2 questions à te poser  

1 - Que fait éxactement la vaccination ?  
Faut-il faire une piqure de rappel de temps en temps ? 

2 - Sur mes partition et disques externes se trouves des images systeme de ma partition C: réalisées avec Acronis True Image. 
Ces images sont compressées. 
Ont-elles été analysées par tes outils et puis-je les considérer comme propres ?

Smart91 · Answer

1. Va sur le lien ci-dessous:
http://pagesperso-orange.fr/NosTools/usbfix.html
Et si tu utilises tes disques ou clé sur d'autres PC. Je te conseille de temps de faire un un nettoyage et vaccination

2. Je te conseille  de refaire un image système complête

Smart

eguina · Answer

Merci
Peut-être à un de ces jours.
Le papy informaticien

Smart91 · Answer

Heureux de t'avoir aidé

Smart

eguina · Answer

***************
Ne pas tenir compte du fil ci-dessous : j'ai résolu le probleme en supprimant le fichier info.ini que j'avais copié de mon premier disque par erreur

***************
 
Bonjour 
J'ai encore besoin d'un peu d'aide. 

Je n'arrive pas à vacciner mon nouveau Disque externe 2 " alimentation par USB. 


############################## | UsbFix V6.102 | 

User : Etienne (Administrateurs) # ETIENNEPORTABLE 
Update on 10/04/2010 by El Desaparecido , C_XX & Chimay8 
Start at: 17:16:01 | 14/04/2010 
Website : http://pagesperso-orange.fr/NosTools/index.html 
Contact : FindyKill.Contact@gmail.com 

Intel(R) Pentium(R) Dual  CPU  T2330  @ 1.60GHz 
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2 
Internet Explorer 8.0.6001.18904 
Windows Firewall Status : Enabled 
AV : avast! antivirus 4.8.1229 [VPS 090121-0] 4.8.1229 [ Enabled | Updated ] 

C:\ -> Disque fixe local # 30,01 Go (5 Go free) [ACER] # NTFS 
D:\ -> Disque fixe local # 38,48 Go (11 Go free) [SAUVE] # NTFS 
E:\ -> Disque fixe local # 69,52 Go (10,35 Go free) [DATA] # NTFS 
F:\ -> Disque CD-ROM 
H:\ -> Disque fixe local # 465,75 Go (303,35 Go free) [My Book] # NTFS 
I:\ -> Disque fixe local # 465,76 Go (315,31 Go free) [Iomega_HDD] # NTFS 

################## | Vaccination | 

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).  
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).  
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).  
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).  

################## | ! Fin du rapport # UsbFix V6.102 ! |

Mon ordinateur a ete piraté

38 réponses

Discussions similaires