Piratage de web cam

Utilisateur anonyme -  
 Utilisateur anonyme -
Bonjour,

Depuis plusieurs semaines, des fenêtres apparaissent sur mon ordinateurs avec des messages divers (parfois porno et parfois non), en même temps apparaissent parfois des pages pornographiques. J'ai remarqué qu'en même temps que je recevais ces messages, me souhaitant parfois un bon appetit quand j'étais en train de manger devant mon ordi, que ma web cam était activée sans raison.
Aujourd'hui, j'étais avec une copine quand c'est arrivé a nouveau. Les messages étaient cette fois beaucoup plus précis. Ils disaient que ça faisait un moment qu'il m'observait, qu'il arrivait aussi a m'entendre, et dans un de ses messages il a même cité mon prénom.
J'ai lancé de multiples scan avec mon antivirus (microsoft security essential) ainsi qu'avec spybot sans succès.
Que dois-je faire maintenant ? Aider moi s'il vous plaît, je commence a avoir un peu peur.

Merci

Audrey

12 réponses

  1. Toxic78 Messages postés 269 Statut Membre 33
     
    On y est presque.

    * Télécharge sur le bureau RogueKiller (par Tigzy)
    ( https://www.luanagames.com/index.fr.html )

    ** Sous Windows XP, double clic gauche

    *** Sous Vista/Seven, clique droit, lancer en tant qu'administrateur

    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Un scan se lance, puis tu verra d'indiqué dans la fenêtre
    * 1. Scan (écrit en vert)
    * 2. Delete (écrit en rouge)
    * 3. Hosts RAZ (écrit en rouge)
    * 4. Proxy RAZ (écrit en rouge)
    * 5. DNS RAZ (écrit en rouge)
    * 6. Raccourcis RAZ (écrit en rouge)
    * A ce moment tape 2 et valide
    Note: s'il te demande de supprimer le proxy, tape 4
    * Un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe

    Puis sa:

    # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Télécharge et installe UsbFix de l'équipe TeamXscript.
    Ici http://www.teamxscript.org/usbfixTelechargement.html

    Tutoriel de la TeamXscript si besoin, merci à eux : http://www.teamxscript.org/usbfixScan.html

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    # Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau.

    # Choisi Recherche

    # Laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaîtra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

    (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    2
  2. gen-hackman
     
    bonjour Malwarebytes se passe en dernier et non en premier
    2
  3. Toxic78 Messages postés 269 Statut Membre 33
     
    Tu est officielement infecté par un spy-net.

    MBAM <-- Clique sur MBAM pour le télécharger
    * Télécharge Malwarebytes' Anti-Malware
    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    * Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
    0
  4. Utilisateur anonyme
     
    Bonsoir,

    Donc j'ai fais ce que vous m'avez dit et le logiciel a trouvé 10 fichiers infectés.
    Voici le rapport :
    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 6506

    Windows 6.1.7601 Service Pack 1
    Internet Explorer 9.0.8112.16421

    04/05/2011 21:46:33
    mbam-log-2011-05-04 (21-46-33).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 357331
    Temps écoulé: 1 heure(s), 6 minute(s), 29 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{80Y1Y1VD-73AF-LXK3-8S2A-PUW3X4QTR21S} (Trojan.VirTool) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{80Y1Y1VD-73AF-LXK3-8S2A-PUW3X4QTR21S} (Trojan.VirTool) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (http://www.helpmeopen.com/?n=app&ext=%s) Good: (http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\Audrey\AppData\Roaming\microsoft\Windows\templates\aclui.dll (Trojan.FakeMS) -> Quarantined and deleted successfully.
    d:\documents\aclui.dll (Trojan.FakeMS) -> Quarantined and deleted successfully.
    c:\Windows\Windows\svchost.exe (Trojan.VirTool) -> Quarantined and deleted successfully.
    c:\Windows\System32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\Windows\SysWOW64\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.

    Dois-je faire autre chose ensuite ?

    Merci de votre aide
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Bonjour,

    J'ai donc fais ce que vous m'avez dit
    Voici le rapport de RogueKiller :
    RogueKiller V4.3.12 [30/04/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Audrey [Droits d'admin]
    Mode: Suppression -- Date : 05/05/2011 21:02:40

    Processus malicieux: 2
    [APPDT/TMP/DESKTOP] cacaoweb.exe -- c:\users\audrey\appdata\roaming\cacaoweb\cacaoweb.exe -> KILLED
    [APPDATA/TEMP/DESKTOP] gcswf32.dll -- C:\Users\Audrey\AppData\Local\Google\Chrome\APPLIC~1\110696~1.60\gcswf32.dll -> KILLED

    Entrees de registre: 4
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : OEjstrwhahMZYorumLaTElnIkpDNivjVwTStbseiJjuoHEavVN (C:\Users\Audrey\AppData\Roaming\Microsoft\Windows\Templates\ClientJava.exe) -> DELETED
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : cacaoweb ("C:\Users\Audrey\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED
    [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
    [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)

    Fichier HOSTS:
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    [...]

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    Et le rapport de UsbFix :
    ############################## | UsbFix 7.044 | [Recherche]

    Utilisateur: Audrey (Administrateur) # ASUS-K52 [ASUSTeK Computer Inc. K52Jc]
    Mis à jour le 25/04/2011 par TeamXscript
    Lancé à 21:07:45 | 05/05/2011
    Site Web: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Intel(R) Core(TM) i3 CPU M 350 @ 2.27GHz
    CPU 2: Intel(R) Core(TM) i3 CPU M 350 @ 2.27GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-Bit) # Service Pack 1
    Internet Explorer 9.0.8112.16421

    Pare-feu Windows: Activé
    RAM -> 3878 Mo
    A:\ -> Disque amovible # 1 Mo (0 Mo libre(s) - 4%) [] # FAT
    C:\ (%systemdrive%) -> Disque fixe # 116 Go (42 Go libre(s) - 36%) [OS] # NTFS
    D:\ -> Disque fixe # 333 Go (31 Go libre(s) - 9%) [DATA] # NTFS
    E:\ -> CD-ROM
    F:\ -> CD-ROM
    H:\ -> Disque amovible # 974 Mo (958 Mo libre(s) - 98%) [ABMI KEY] # FAT32

    ################## | Éléments infectieux |

    Présent! A:\sys
    Présent! C:\windows.bat
    Présent! E:\autorun.inf
    Présent! E:\autorun.exe
    Présent! H:\FDSFDS

    ################## | Registre |

    Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|google update

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{14ff66c3-3125-11e0-8be6-bb8562dd62f6}
    Shell\AutoRun\Command = G:\AutoRun.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{14ff66d3-3125-11e0-8be6-bb8562dd62f6}
    Shell\AutoRun\Command = G:\AutoRun.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{6eaeab6d-67c4-11df-8331-806e6f6e6963}
    Shell\AutoRun\Command = E:\AutoRun.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{aa4f8cfc-c3d3-11df-91de-485b398127c6}
    Shell\AutoRun\Command = F:\Autorun.exe

    ################## | Vaccin |

    E:\Autorun.inf -> Vaccin créé par Panda USB Vaccine

    ################## | E.O.F |

    La situation s'améliore-t-elle ?

    Merci énormément pour votre aide
    0
  7. Toxic78 Messages postés 269 Statut Membre 33
     
    Oui, oui c'est presque fini ;)
    Relance roguekiller en 3.

    Puis sa:

    * Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    ou :
    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    * Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
    http://pjjoint.malekal.com/

    Si indispo:
    http://www.cijoint.fr/
    ou :
    http://ww38.toofiles.com/fr/documents-upload.html
    ou :
    https://www.cjoint.com/
    ou :
    https://www.casimages.com/

    * Tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Hébergement de rapport sur pjjoint.malekal.com

    * Rends toi sur pjjoint.malekal.com
    * Clique sur le bouton Parcourir
    * Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
    * Clique sur le bouton Envoyer
    * Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/index.php*********) Copie le lien dans ta prochaine réponse.
    0
  8. Toxic78 Messages postés 269 Statut Membre 33
     
    Alors lance zhpfix et met ses lignes:

    O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe (.not file.)
    O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe (.not file.)
    O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe (.not file.)
    [HKCU\Software\AppDataLow\Software\toolbar]
    [HKCU\Software\AppDataLow\Toolbar]
    [HKCU\Software\AppDataLow\Software\Conduit]
    O43 - CFD: 21/12/2010 - 18:38:14 - [17290] ----D- C:\Users\Audrey\AppData\Roaming\CrazyLoader
    O87 - FAEL: {6E908246-4013-428A-889E-351597B3F72B} |In - Public - P6 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.) [Rules 7]
    O87 - FAEL: {9CD83E25-CEF5-4FCC-AA17-0DAFD001FB84} |In - Public - P17 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.)
    O87 - FAEL: {AC7E00CF-3AB7-45CB-94AB-CC3984986A08} | In - Public - P6 - TRUE | .(.Musiccity Co.Ltd. - MUZAoDApp Module.) -- C:\Windows\SysWOW64\muzapp.exe
    O87 - FAEL: {14FBE4FA-8D6A-425C-8BDF-F2DB700043C7} | In - Public - P17 - TRUE | .(.Musiccity Co.Ltd. - MUZAoDApp Module.) -- C:\Windows\SysWOW64\muzapp.exe
    O87 - FAEL: {3CCC7470-97A9-4DEA-9971-1041383EEAC8} | In - Private - P6 - TRUE | .(.Musiccity Co.Ltd. - MUZAoDApp Module.) -- C:\Windows\SysWOW64\muzapp.exe
    O87 - FAEL: {1ECE1451-8E36-422F-B57C-69DEAE06C843} | In - Private - P17 - TRUE | .(.Musiccity Co.Ltd. - MUZAoDApp Module.) -- C:\Windows\SysWOW64\muzapp.exe
    [HKLM\Software\Classes\Toolbar.CT2613520] =>Adware.Hotbar
    [HKLM\Software\Wow6432Node\Classes\Toolbar.CT2613520] =>Adware.Hotbar
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO
    [HKCU\Software\cacaoweb] =>Adware.Agent
    [HKCU\Software\AppDataLow\Software\Conduit] =>Toolbar.Conduit
    [HKLM\Software\Conduit] =>Toolbar.Conduit
    [HKLM\Software\Wow6432Node\Conduit] =>Toolbar.Conduit
    [HKCU\Software\Spointer] =>Adware.SPointer
    [HKCU\Software\AppDataLow\Toolbar] =>Toolbar.Conduit
    [HKCU\Software\AppDataLow\Software\Toolbar] =>Toolbar.Conduit
    C:\Users\Audrey\AppData\Roaming\cacaoweb =>Adware.Agent
    C:\Users\Audrey\AppData\Roaming\Crazyloader =>Adware.SPointer
    C:\Users\Audrey\Appdata\Local\Conduit =>Toolbar.Conduit
    C:\Documents and Settings\Audrey\Local Settings\Application Data\Conduit =>Toolbar.Conduit
    C:\Program Files (x86)\Conduit =>Toolbar.Conduit
    C:\Program Files (x86)\Common Files\Nosibay =>Adware.SPointer

    clique sur tous, puis nettoyer si tu y arrive pas regarde ici:
    http://www.premiumorange.com/zeb-help-process/zhpfix.html

    Puis sa:

    * Télécharge AD-Remover (de la TeamXscript) sur ton Bureau. <--- Clique sur AD-Remover pour le télécharger
    * Ou là http://www.teamxscript.org/adremoverTelechargement.html
    Déconnecte toi et ferme toutes les applications en cours
    * Double-clique sur l'icône AD-Remover
    * Au menu principal, clique sur Nettoyer
    * Confirme le lancement de l'analyse et laisse l'outil travailler
    * Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

    Puis encore sa:

    * Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau
    https://support.kaspersky.com/downloads/utils/tdsskiller.exe
    * Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit
    dessus, et sur exécuter en tant qu'administrateur)
    * Clique sur Start Scan

    * # Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
    * # Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    * # Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
    * # Si Suspicious file est indiqué, laisse l'option cochée sur Skip

    ? A la fin clique sur Reboot Now
    ? Le PC va redémarrer, et un rapport va s'ouvrir
    ? Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer
    N° de version_Date_Heure_log.txt)
    0
  9. gen-hackman
     
    Adieu les fichiers Intel ^^
    0
    1. Toxic78 Messages postés 269 Statut Membre 33
       
      O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe (.not file.)
      0
  10. Toxic78 Messages postés 269 Statut Membre 33
     
    Bon c'est bon, fais ceci pour finir:

    ---> Télécharge DelFix sur ton Bureau.
    * Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
    * Clique sur le bouton Suppression.
    * Poste le rapport (C:\DelFixSuppr.txt).
    * Supprime DelFix.

    2/

    ---> Télécharge et installe CCleaner.
    * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.

    3/

    ---> Il est nécessaire de supprimer les points de restauration.
    ( https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/ )

    Bon ba normalement c'est fini.
    0
    1. gen-hackman
       
      bonjour et le rapport zhpfix il est où ?
      0