Piraté?

Question

Bonjour, 
nous pensons que l'ordinateur de mon ami a été piraté par quelqu'un de notre entourage, c'est comme si que cette personne voyait tout ce qui se passe sur l'ordinateur de mon ami et intervient quand ça lui chante (par exemple dès qu'il ouvre un compte sur un site - même sous un autre nom, ce dernier est désactivé). Est-ce possible? Comment en être sûrs? Que faire?
Merci de nous venir en aide.

Malekal_morte- · Accepted Answer

Vas falloir faire attention à ce que vous installez....
A supprimer : C:\Documents and Settings\Administrateur\Application Data\Search Settings 
Moovida à désinstaller.

1 023,00 Mb Total Physical Memory | 374,00 Mb Available Physical Memory | 37,00% Memory free [Attention - Mémoire libre insuffisante - désinstaller les programmes inutiles]

Du ménage s'impose...

O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Media Star Toolbar) - {dfabc5b5-039b-4865-979a-de31cdf3e351} - C:\Program Files\Media_Star	bMedi.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\WebBrowser: (Media Star Toolbar) - {DFABC5B5-039B-4865-979A-DE31CDF3E351} - C:\Program Files\Media_Star	bMedi.dll (Conduit Ltd.) 

Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut. 
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB. 
Au final, il est pas conseillé d'en utiliser. 
Lire : 
Les toolbars c'est pas obligatoire! 


~~

- Télécharge http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.

Malekal_morte- · Answer

Salut, 

Tout est possible.
Sur le PC de ton ami :

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  
Mets le à jour, fais un scan, supprime tout et poste le rapport ici.  

puis : 

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/ 

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau. 
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur) 

* Lance OTL 
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous : 
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c 
* Clique sur le bouton Analyse. 
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports. 
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

Mortiscia · Answer

Merci pour cette réponse rapide, dès que mon ami rentre on s'occupe de son ordi et je te fais suivre tous les rapports que tu m'as demandé...

Mortiscia · Answer

Bonsoir, 1ère étape de faite, voila le rapport de MalwareBytes_AntiMalware
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5895

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

27/02/2011 20:10:26
mbam-log-2011-02-27 (20-10-18).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 328942
Temps écoulé: 1 heure(s), 4 minute(s), 6 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 7
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 28

Processus mémoire infecté(s):
c:\program files\application updater\applicationupdater.exe (PUP.Dealio) -> 1348 -> No action taken.
c:\program files\fichiers communs\Spigot\search settings\searchsettings.exe (PUP.Dealio) -> 224 -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Dealio (PUP.Dealio) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Value: {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Value: {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Value: {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Value: {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings (PUP.Dealio) -> Value: SearchSettings -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\FICHIERS COMMUNS\SPIGOT\SEARCH SETTINGS\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\program files\dealio toolbar (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\IE (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\IE\4.3 (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res (PUP.Dealio) -> No action taken.

Fichier(s) infecté(s):
c:\program files\application updater\applicationupdater.exe (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\IE\4.3\dealiotoolbarie.dll (PUP.Dealio) -> No action taken.
c:\adobe.creative.suite.4.master.collection.retail\adobe cs4 master collection keygen.exe (Trojan.Agent) -> No action taken.
c:\program files\dealio toolbar\widgihelper.exe (PUP.Dealio) -> No action taken.
c:\program files\fichiers communs\Spigot\search settings\searchsettings.exe (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\IE\4.3\config.ini (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\amazon.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\apple.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\barnes.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\bestbuy.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\dealio_logo.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\dealio_logo_hover.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\ebay.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\icon_settings.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\macys.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res
ewegg.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\overstock.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\search-button-hover.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\search-button.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\search-chevron-hover.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\search-chevron.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\search_amazon.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\search_dealio.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\search_ebay.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\search_yahoo.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res	arget.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\walmart.gif (PUP.Dealio) -> No action taken.
c:\program files\dealio toolbar\Res\widgets.xml (PUP.Dealio) -> No action taken.

Mortiscia · Answer

https://pjjoint.malekal.com/files.php?id=7ec568a998810

Malekal_morte- · Answer

Relance HijackThis et coche ces lignes :

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS	snp325.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS	snp2std.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [LWS] C:\Program Files\Logitech\LWS\Webcam Software\LWS.exe -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Logitech Vid HD] "C:\Program Files\Logitech\Vid\vid.exe" -bootmode 

--> clic sur fix checked

Redémarre le PC

Vire toutes les Toolbar et les trucs Google.
Ca fera du bien.

Malekal_morte- · Answer

C'est pas des malwares que vous aviez.
Surtout des adwares, barres d'outils et autres m*rdasses qu'on installe via l'installation de programmes.
Du coup ça transforment le PC en brouette et ça ouvre des popups de pubs.

Tu peux suivre les indications du premier message et poster les rapports ici, pour l'autre PC.

Mortiscia · Answer

Bonjour, voila pour mon ordi:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

28/02/2011 14:45:03
mbam-log-2011-02-28 (14-45-03).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 243497
Temps écoulé: 4 heure(s), 29 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 11
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-is2010.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-is2010.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is10-soft-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-Internetsecurity10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-Internetsecurity10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download25.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\moi\Application Data\uTorrent\Adobe Flash CS4\adobe-master-cs4-keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{EA35B9B1-50D3-436F-8AFF-84B9BD873A6D}\RP390\A0227510.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Malekal_morte- · Answer

Supprime ça :
C:\Program Files\27.58691.exe
C:\Program Files\27.5869.exe 

ca fait pas bcp de mémoire ça... :
895,00 Mb Total Physical Memory | 119,00 Mb Available Physical Memory | 13,00% Memory free [Attention - Mémoire libre insuffisante - désinstaller les programmes inutiles]

Peut-être faire du ménage dans ce qui est au démarrage.... :

de plus :
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation [Attention - Système non à jour]

Malekal_morte- · Answer

Ton Windows n'est pas à jour, il contient des failles de sécurités, les virus passent par ces failles pour infecter ton ordinateur.
Ton Windows est donc [b]vulnérable[/b] et peut permettre l'infection de ton PC.

Pour plus d'informations sur les failles de sécurités distantes, lire l'article suivant : https://forum.malekal.com/viewtopic.php?t=3452&start=

Installe le Service Pack 3 de Windows XP : http://download.microsoft.com/download/c/3/e/c3ea9fa6-d8e6-4832-8795-06dd27be9bc9/WindowsXP-KB936929-SP3-x86-FRA.exe

Fais les mises à jour Windows Update ensuite, voir : https://www.malekal.com/mises-a-jour-windows-update/

Lyonnais92 · Answer

Bonjour,

je savais bien que j'avais déjà vu ce pseudo ailleurs qu'au cinéma.

Dis moi, tu as pu résoudre ton problème de fichiers cryptés ou tu as abandonné ?

Piraté?

11 réponses

Votre réponse

Discussions similaires

Newsletters