Mon pc portable est piraté

Statue0065 -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Après avoir utilisé SPYBOT, j'ai découvert qu'il y avait un "mouchard" sur mon pc. J'ai réussi (du moins je l'espère) à le supprimer, il était dans le registre.
Dans la série ça continue, c'est ensuite mon compte facebook qui a été piraté, j'ai donc modifié le mot de passe d'n autre ordinateur et j'ai demandé la suppression.... ce qui m'étonne c'est que la suppression devait intervenir le 22 décembre, et en vérifiant il y a quelques instants, la suppression est maintenant prévue pour le 23 décembre....

Ce qui m'inquiète c'est plus mon PC, je ne suis pas sûre d'avoir réussi à le "nettoyer", quelqu'un peut-il m'aider, s'il vous plaît???

D'avance merci.

10 réponses

Résumé de la discussion

Plusieurs éléments signalent la détection puis la suppression partielle d’un mouchard après l’utilisation de Spybot, et l’inquiétude porte sur le nettoyage du PC sous Windows Vista et Firefox 3.6.12. Le récit évoque en parallèle le piratage d’un compte Facebook, la modification de mots de passe sur un autre ordinateur et une suppression annoncée qui évolue du 22 au 23 décembre, renforçant l’inquiétude sur l’infection. Des conseils techniques émergent, notamment l’usage d’un outil dédié à l’adware comme Ad-Remover et l’analyse, puis la vérification avec Malwarebytes Anti-Malware pour compléter le nettoyage et le registre, compte tenu de l’obsolescence des versions.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonjour

    @clemtheboss : évites de répondre si tu ne prends pas en charge l'infecté.
    @statue0065 : on continue à deux.

    J'ai constaté une trace d'adware.

    * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    https://www.androidworld.fr/ ( Miroir )
    /!\ Ferme toutes applications en cours /!\

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « Nettoyer »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    @+
    En formation avancée chez Helper-Formation.
    7
    1. clemtheboss413 Messages postés 782 Statut Membre 7
       
      euh je précise qu'un MBAM est en cours
      De plus je te laisse la main
      0
    2. statue0065 Messages postés 40 Statut Membre
       
      Bonjour,

      Tout d'abord merci pour ton aide. Ensuite, avant des faire ce que tu me demandes, j'arrête le scan Malwarebyte?
      Autre question, clemtheboss m'a fait supprimer spybot, était ce utile?
      C'est quoi un adware?
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Désolé, je n'avais pas vu cette réponse.
      Spybot = obsolète.
      Un antivirus fait depuis longtemps anti spy.
      Adware = https://fr.wikipedia.org/wiki/Publiciel
      0
    4. statue0065 Messages postés 40 Statut Membre
       
      Ce n'est pas grave, merci pour ces renseignements, je vais regarder ça.
      0
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    MBAM : en fin de désinfection, ou pour les rogues. C'est pas un outil miracle mais généraliste.

    Sur son rapport ZHP : [HKLM\Software\Winsudate]

    Total RAM: 1013 MB (18% free) (peu d'espace restant)

    Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001) vista pas à jour

    ;-) @+

    3
    1. statue0065 Messages postés 40 Statut Membre
       
      ok, bon j'arrête le scan et posterai le rapport après.
      0
    2. statue0065 Messages postés 40 Statut Membre
       
      ======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

      Mis à jour par TeamXscript le 08/12/10 à 10:40
      Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
      Site web: http://www.teamxscript.org

      C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:16:16 le 09/12/2010, Mode normal

      Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 1 (X86)
      vivi@PC (Hewlett-Packard Presario C500 (GF851EA#ABF))

      ============== ACTION(S) ==============



      (!) -- Fichiers temporaires supprimés.
      juju666,
      Voici le rapport :

      Clé supprimée: HKLM\Software\Winsudate


      ============== SCAN ADDITIONNEL ==============

      ** Mozilla Firefox Version [3.6.12 (fr)] **

      -- C:\Users\vivi\AppData\Roaming\Mozilla\FireFox\Profiles\5lkcum6r.default\Prefs.js --
      browser.search.selectedEngine, Search the Web
      browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
      browser.startup.homepage_override.mstone, rv:1.9.2.12
      keyword.URL, hxxp://search.freecause.com/search?fr=freecause&ourmark=3&type=61101&p=
      privacy.popups.showBrowserMessage, false
      sweetim.toolbar.previous.keyword.URL, hxxp://search.freecause.com/search?fr=freecause&ourmark=3&type=61101&p=

      ========================================

      ** Internet Explorer Version [8.0.6001.18975] **

      [HKCU\Software\Microsoft\Internet Explorer\Main]
      AutoHide: yes
      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Do404Search: 0x01000000
      Enable Browser Extensions: yes
      Local Page: C:\Windows\system32\blank.htm
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      Show_ToolBar: yes
      Start Page: hxxp://fr.msn.com/

      [HKLM\Software\Microsoft\Internet Explorer\Main]
      AutoHide: yes
      Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Delete_Temp_Files_On_Exit: yes
      Local Page: C:\Windows\System32\blank.htm
      Search bar: hxxp://search.msn.com/spbasic.htm
      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Start Page: hxxp://fr.msn.com/

      [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
      Tabs: res://ieframe.dll/tabswelcome.htm
      Blank: res://mshtml.dll/blank.htm

      ========================================

      C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
      C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

      C:\Ad-Report-CLEAN[1].txt - 09/12/2010 (2482 Octet(s))

      Fin à: 19:19:06, 09/12/2010

      ============== E.O.F ==============
      0
    3. statue0065 Messages postés 40 Statut Membre
       
      Y a t il toujours des risques?

      merci.
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Je vérifie quelque chose, je te dis ce qu'il faut faire dans un instant
      0
    5. statue0065 Messages postés 40 Statut Membre
       
      Oui d'accord,merci. J'avoue que j'ai pas vraiment envie de perdre ce pc, sachant qu'il a déjà planté il y a quelques mois lors d'une simple mise à jour....
      0
  3. statue0065 Messages postés 40 Statut Membre
     
    J'ai vraiment besoin d'un coup de main, spybot viens de découvirir un trojan WIN quelque chose... que dois je faire SVP???
    0
  4. clemtheboss413 Messages postés 782 Statut Membre 7
     
    Je ne te prend pas en charge j'avance juste pour le autre

    Télécharge ZHP diag
    instale et démarre le
    Clique sur la loupe
    A la fin sur la disquette
    enregistre le rapport sur ton bureau
    Met le sur http://cijoint.fr
    copie colle le lien ici
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. statue0065 Messages postés 40 Statut Membre
     
    Tout d'abord merci pour ta réponse, je vais faire ces manips et je mettrai le lien après.
    0
  7. statue0065 Messages postés 40 Statut Membre
     
    Impossible de l'exécuter, je l'ai bien télécharger mais il ne veut pas se lancer?? comment dois je faire??
    Il m'indique erreur 740. L'opération demandée nécessite une élévation. ????
    0
    1. clemtheboss413 Messages postés 782 Statut Membre 7
       
      clic droit ---> éxecuter en tant q'admin
      0
    2. statue0065 Messages postés 40 Statut Membre
       
      J'ai réussi à l'enregistrer par contre sur le site non, il y à la mention "le fichier avec extension ne peut pas être télécharger" ?? dois je le rendre public (cocher la case) ou pas??
      0
    3. clemtheboss413 Messages postés 782 Statut Membre 7
       
      Donne le nom du fichier puis réessaie en le mettant public !
      0
    4. statue0065 Messages postés 40 Statut Membre
       
      Voilà, c'est fait.
      Désolée pour toutes ces questions, plus que débutante...
      0
    5. clemtheboss413 Messages postés 782 Statut Membre 7
       
      le lien ?
      0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    parti manger :D

    démarre en mode sans échec AVEC PRISE EN CHARGE RESEAU: http://www.forum-vista.net/forum/

    Affiche les fichiers et dossiers cachés : https://www.micro-astuce.com/Forum/afficher-les-fichiers-caches-t1607.html

    Rends toi dans ce dossier : C:\Program Files\Flyos

    Donnes moi en le contenu.

    @+
    0
    1. statue0065 Messages postés 40 Statut Membre
       
      Ouf!! pas de souci ;)
      Bon je redémarre l'ordi...
      0
    2. statue0065 Messages postés 40 Statut Membre
       
      Alors le chemin d'accès est quelque peu différent :
      C:\Utilisateurs\vivi\AppData\Local\VirtualStore\Program Files\Flyos (dossier du 26 11 2009)
      A l'intérieur de ce fichier :
      Keylogger Detector
      KeyLogger2
      spy.log

      C est tout.
      Veux tu que j'essaie d'ouvrir ce fichier? est ce que je peux redémarrer l'ordi normalement?
      0
    3. statue0065 Messages postés 40 Statut Membre
       
      T'es reparti?
      J'attends tes instructions, pour l'instant je suis toujours en mode sans échec, que dois-je faire? merci ;)
      0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    OK, keylogger. C'est bien ce que je croyais. En gros depuis le 26/11/09 tu es espionné.

    [*] Télécharge SEAF (de C_XX) sur ton Bureau.
    [*] Lance SEAF
    [*] Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre"
    [*] Tape Keylogger dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
    [*] Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.

    En formation avancée chez Helper-Formation.
    0
    1. statue0065 Messages postés 40 Statut Membre
       
      avant je redémarre l ordi normalement ou pas?
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Excuse moi. Oui redémarre en normal. SEAF devrait tout voir...
      0
    3. statue0065 Messages postés 40 Statut Membre
       
      ok merci je fais ca, mais il y a un moyen de savoir par qui? et que sait il exactement?
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      mots de passe. Regarde dans le fichier: spy.log
      0
    5. statue0065 Messages postés 40 Statut Membre
       
      Pourquoi moi? bref... il y a un moyen de savoir qui????
      le rapport est en cours par contre ton lien "list" n'est pas valide,
      merci de ton aide.
      0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Voilà ;)

    Tu possèdes déjà MBAM j'espère que c est la dernière version (1.5) si pas télécharge le.

    [*] Télécharge Malwarebytes'

    [*] Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

    [*] Lance une analyse complète en cliquant sur "Exécuter un examen complet"

    [*] Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"

    [*] L'analyse peut durer un bon moment.....

    [*] Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"

    [*] Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"

    [*] Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
    * MBAM peut être très long !

    Je reviens demain. Il est à présent l'heure pour moi de rejoindre Morphée.

    Bonne nuit

    Juju
    0
    1. statue0065 Messages postés 40 Statut Membre
       
      Merci, je posterai ça demain, ou cette nuit....
      Bonne nuit.
      Dernière question STP, peux tu me confirmer qu il s agit d'un keylogger? merci d'avance
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Sans aucun doute !
      voir les 2 liens:
      https://www.symantec.com?md5=fe6321a8e004c171a56d98b1f14a04d2
      https://www.symantec.com?md5=51fbf3bd783710cf51cd11aaf36e3592


      Bonne nuit
      0
    3. statue0065 Messages postés 40 Statut Membre
       
      merci encore, bonne nuit. A demain
      0
    4. statue0065 Messages postés 40 Statut Membre
       
      Malwarebytes' Anti-Malware 1.50
      www.malwarebytes.org

      Version de la base de données: 5281

      Windows 6.0.6001 Service Pack 1 (Safe Mode)
      Internet Explorer 8.0.6001.18975

      09/12/2010 23:55:21
      mbam-log-2010-12-09 (23-55-21).txt

      Type d'examen: Examen complet (C:\|D:\|)
      Elément(s) analysé(s): 283974
      Temps écoulé: 1 heure(s), 18 minute(s), 56 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
    5. statue0065 Messages postés 40 Statut Membre
       
      J'ai regardé le fichier en question. Je pense qu'avant le 26 novembre 2009, j'étais effectivement espionnée, car le fichier contient une conversation que j'ai eu avec un ami, qui m'aidait à installer le logiciel keylogger detector... j'ai mal du le désinstaller par la suite.
      Le rapport ci-dessus a été fait en mode sans échec et sans connexion a internet.
      Bon je tiens plus,
      re merci,
      A demain.
      0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonjour,

    * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie/colle les lignes suivantes en gras et place les dans ZHPFix :

    ----------------------------------------------------------
    [HKCU\Software\GIT]
    [HKLM\Software\GIT]
    O43 - CFD: 26/11/2009 - 23:42:16 ----D- C:\Program Files\Flyos

    ----------------------------------------------------------

    - Clique sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    Tuto :
    http://www.premiumorange.com/zeb-help-process/zhpfix.html

    Pourrais tu me refaire un zhpdiag STP?

    @+
    En formation avancée chez Helper-Formation.
    0