Hack Keylogger + Shell dans le fai

Rqm Messages postés 6 Date d'inscription   Statut Membre Dernière intervention   -  
 g3n-h@ckm@n -
Bonjour , hier je me suis embrouillé avec un hackeur . il a voulu donc me hacké .
Il m'a dit qu'il savait mon ip fixe car j"étais dans sa team et donc inscrit sur son forum et m'étais connecté sur son mumble . Je pense qu'il l'a eu car il a une grande connaissance informatique.

Il m'a dit qu'il avait upload un shell dans le port 80 réseau => FAI
et qu'il avait mit un keylogger.

J'ai pu changer mes mdp depuis un autre pc , mais je me suis fais hacké certains compte de jeu que je vais tenter de récupérer avec le support.

Bon donc je cherche à enlever ces merdes qu'il m'a envoyé et me protéger pour l'avenir.

Le formatage serait utile ?

Sinon je cherche quelqu'un de très expérimenté pour m'aider !

Merci d'avance pour vos réponses détaillées.

13 réponses

  1. M@thew
     
    Bonjour, des fois, il vaut mieux ne rien dire que dire n'importe quoi,
    le formatage ne garantie pas du tout la disparition complète d'une
    quelconque infection.

    :o(

    3
    1. rafit jad kuldinger Messages postés 9193 Statut Membre 1 155
       
      en dehors d une infection du boot et du bios ou d une partions non Windows caché.

      je ne vois pas comment une infection pourrai survivre a un effacement complet du disque.

      donc je suis preneur d explication dans le cas contraire.

      d ailleur je vais voir de mon cote comment une infection peu survire a un formatage ...
      0
    2. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Lut'

      d ailleur je vais voir de mon cote comment une infection peu survire a un formatage ...
      Comme les voitures d'occasion avec les vices cachés.


      Faudrait stopper de répondre quand on ne sait pas.
      0
    3. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Hello,

      S'il y a une faille de sécurité sur l'IP publique, tu seras en effet de nouveau infecté :
      Une redirection de port vers ta machine (NAT), des ports ouverts, un serveur Web qui tourne avec des failles, des exploits,...

      C'est un autre niveau de V/S qu'habituellement... !
      0
  2. g3n-h@ckm@n
     
    salut

    le MBR infecté par TDSS tu peux formater ce que tu veux avec ton cd windows , il y reste
    Virut tu peux formater ce que tu veux , il y reste

    ===================

    @rqm :

    uploader un shell dans le 080 ? mdr

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ¤¤¤¤¤¤¤¤¤¤ g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    3
    1. Utilisateur anonyme
       
      enfin de bon conseil dans cette discution ^^

      +1
      0
    2. rafit jad kuldinger Messages postés 9193 Statut Membre 1 155
       
      boot, bios et mdr infecter, je comprend.

      donc si âpres une restauration du system avec une image disque la bestiole reviens, je serai a quoi m en tenir...

      ca deviens déjà plus ciblé comme recherche.

      autre chose :

      comment être sur q une bestiole supprimes , n en a pas appelle pas une autres ?
      je supprime le troyen x, mais a installer le troyen y.

      ensuite y install z ..

      sachant que chaque log de nettoyage supprime que certain type d infection (sinon il en existerai pas autant).. comment être sur q une infection non supprimé ne remette pas celle déjà enlevé ?
      étant donner que les scan se font chacun leur tour ...
      a moin bien sur de ne pas laisse le pc relier au net tous le temp du nettoyage.( mais dur a faire vu la nécessite des maj des log de nettoyages).



      je parle de ca car, je suis tombe sur un cas comme cela...
      je virai z, mais y mettait x, qui remetai z ...
      ca date de 2001 ..aussi. ou alor j ai pas eu de chance ..

      voila pourquoi je préfère le formatage.

      depuis quelque temp je suis passez a l image disque ( les maj sont devenu trop longue pour windows).
      0
    3. g3n-h@ckm@n
       
      comment être sur q une bestiole supprimes , n en a pas appelle pas une autres ?

      en faisant une formation appropriée pour connaitre le fonctionnement des infections , ce qu'elles font au systeme et ou elles se placent
      0
  3. Rqm Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
     
    Voilà le pre_scan : http://www.cijoint.fr/cjlink.php?file=cj201106/cijECWtODl.txt
    0
  4. g3n-h@ckm@n
     
    fais glisser une icone n'importe laquelle sur Pre_scan , pre_script va apparaitre

    selectionne ce texte sans les lignes , en une seule fois en le mettant en surbrillance :
    ___________________________________________________
    processes::
    SweetIM.exe
    pctuto.exe

    folder::
    C:\Program Files (x86)\PCTuto
    C:\Users\Jo The King\AppData\Roaming\EoRezo
    C:\Users\Jo The King\AppData\Roaming\moovida-1
    C:\Users\Jo The King\AppData\Roaming\OfferBox
    C:\Users\Jo The King\AppData\Roaming\PCtuto
    C:\Users\Jo The King\AppData\Roaming\teamspeak2
    C:\ProgramData\regid.1986-12.com.adobe
    C:\Users\Jo The King\AppData\Local\Conduit
    C:\Users\Jo The King\AppData\Local\PCTuto
    C:\Program Files (x86)\Common Files\Plasmoo

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Setwallpaper"=-
    "FBSSA"=-
    "SweetIM"=-
    "QuickTime Task"=-
    "SunJavaUpdateSched"=-
    "iTunesHelper"=-
    "PCTuto"=-
    "facemoods"=-
    "EoEngine"=-
    "EoWeather"=-
    "eorezo"=-

    Host::

    ___________________________________________________

    copie-le (ctrl+c ou clique droit sur la selection puis => copier) puis lance Pre_Script qui est sur ton bureau

    colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Rqm Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
     
    voilà j'ai tout fais http://www.cijoint.fr/cjlink.php?file=cj201106/cijO03mM4L.txt

    est-ce normal que mon bureau ne revient pas je suis obligé d'éteindre et ré allumer mon pc ?
    0
  7. Rqm Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
     
    même le premier ça ma fait ça je dois le refaire ?
    0
  8. g3n-h@ckm@n
     
    desactive la sandbox d'avast

    desactive le parefeu :

    Pare-feu windows : Actif

    0
  9. Rqm Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
     
    pour le pre_scan je dois le refaire où juste le pre_script ?
    0
  10. Rqm Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
     
    j'ai attendu plus de 30 min puis je me suis dis qu'il y avait un problème mon bureau n'est pas revenu , je te passe le pre script j'ai du relancer le pc http://www.cijoint.fr/cjlink.php?file=cj201106/cijUJVjd0y.txt
    0
  11. g3n-h@ckm@n
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
  12. rafit jad kuldinger Messages postés 9193 Statut Membre 1 155
     
    ben avec le formatage tu sera sur d avoir tous enlevé ...
    -6