Quelqu'un controle ma souris Fermé

Question

Bonjour, 

Récemment, il est arrivé plusieurs fois que msn messenger se ferme sans aucune raison puis que quelqu'un prenne le contrôle de ma souris (il ouvre des fichiers, fouille dans mon pc

dernièrement, après un combat acharné, j'ai pus redémarrer msn et là : la souris et de nouveau normale .

Donc je pense qu'un trojan se sert des ports de msn pour contrôler mon ordinateur ....


Que faire?

merci d'avance

PS: les scans avast, spybot mabam, trojan killer sont negatifs!


Configuration: Windows 7 / Firefox 3.6.18

XDamienX007 · Answer

Essaye ZHPDiag...

probleme · Answer

lien du rapport (cijoint.fr) 

http://www.cijoint.fr/cjlink.php?file=cj201107/cijmeSec1w.txt

J'ajouterai que pendant mon combat j'ai ouvert le gestionnaire des tache et il y avait des services du style port TCP ouvert en écoute (que des trucs qui ne sont jamais la, et qui prouve bien la présence d'un RAT )

Utilisateur anonyme · Answer

Bonsoir
Ton PC a plein de cochonneries

Télécharge USBFix (de El Desaparecido, C_XX)  sur ton bureau
http://teamxscript.changelog.fr/too/UsbFix.exe

# Double clic sur UsbFix présent sur ton bureau, et clique sur 
exécuter pour lancer l'installation qui se fera automatiquement 

# Clique sur Suppression 

# Branche toutes tes sources et données externes (clé USB, disque dur
externe...) sans les ouvrir sur ton PC, et clique sur OK

# La suppression est lancée. Le bureau va disparaitre, c'est normal

# Ensuite poste le rapport UsbFix.txt qui est apparu avec le bureau .

# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

probleme · Answer

lien du rapport usb fix: 

http://www.cijoint.fr/cj201107/cijV6WyeAl.txt

Utilisateur anonyme · Answer

Télécharge ComboFix de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

tutoriel pour bien utiliser l'outil 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 
---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 
Surtout, accepte d'installer la console de récupération 
---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt 


O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

probleme · Answer

lien: http://www.cijoint.fr/cj201107/cijvKxPLOu.txt

probleme · Answer

j'attends donc la suite de tes précieux conseils!

merci du temps que tu consacre à m'aider!

Utilisateur anonyme · Answer

Bonjour
Relance ZHPDiag, clique sur l'icône représentant le tournevis
Coche les lignes O61, et O82, puis clique sur la loupe pour lancer le scan
Héberge le rapport, et donne moi le lien

probleme · Answer

ok (ça fixera quoi?)

probleme · Answer

liens du rapport n°2 : http://www.cijoint.fr/cj201107/cijykWY6qC.txt

polux125 · Answer

Bonjour,

Moi je pense que c'est un chat... ! Non plus sérieusement n'as tu pas laissé l'accès de ton PC à un "ami" qui t'aurais installé un logiciel de prise de main à distance et qui s'amuse à tes dépends ?

probleme · Answer

Non, personne ne s'approche de mon PC à moins de vingts mètres, (ça me fait penser que je devrais désinstaller netcat, dans le doute)

Utilisateur anonyme · Answer

Tu as plein de cracks, et tu t'étonnes pourquoi ton PC est vérolé, déjà, un conseil,
supprime ces cochonneries, si tu as un comportement à risque, ton PC sera
tout le temps vérolé

Je vais analyser le rapport

g3n-h@ckm@n · Answer

salut je prends la suite avec accord de Jawaryinti ================================ desinstalle spybot il est pourri desinstalle trojan remover c'est de la daube desinstalle trojankill c'est de la daube desinstalle conduit c'est du ramasse spyware desinstalle Messenger Plus FR toolbar , meme chose =================================== est-ce que tu sais ce que c'est ca ? c:\program files (x86)\q3ut4 et ca : c:\program files (x86)\ophcrack ================================== __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Folder:: c:\program files (x86)\Conduit c:\windows\SysWow64\ConduitEngine.tmp c:\program files (x86)\Messenger_Plus_FR c:\programdata\Spybot - Search & Destroy c:\program files (x86)\Spybot - Search & Destroy c:\program files (x86)\ConduitEngine Registry:: [-HKEY_CLASSES_ROOT\CLSID\{3d4d238c-9c48-47cd-a95c-53259acf9e56}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3d4d238c-9c48-47cd-a95c-53259acf9e56}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{3d4d238c-9c48-47cd-a95c-53259acf9e56}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{3d4d238c-9c48-47cd-a95c-53259acf9e56}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{3d4d238c-9c48-47cd-a95c-53259acf9e56}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks] "{3d4d238c-9c48-47cd-a95c-53259acf9e56}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3d4d238c-9c48-47cd-a95c-53259acf9e56}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{3d4d238c-9c48-47cd-a95c-53259acf9e56}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{3d4d238c-9c48-47cd-a95c-53259acf9e56}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{3d4d238c-9c48-47cd-a95c-53259acf9e56}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{3d4d238c-9c48-47cd-a95c-53259acf9e56}"=- [-HKEY_CLASSES_ROOT\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{30F9B915-B755-4826-820B-08FBA6BD249D}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{30F9B915-B755-4826-820B-08FBA6BD249D}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks] "{30F9B915-B755-4826-820B-08FBA6BD249D}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{30F9B915-B755-4826-820B-08FBA6BD249D}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{30F9B915-B755-4826-820B-08FBA6BD249D}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{30F9B915-B755-4826-820B-08FBA6BD249D}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{30F9B915-B755-4826-820B-08FBA6BD249D}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{30F9B915-B755-4826-820B-08FBA6BD249D}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"=- DDS:: uInternet Settings,ProxyOverride = ;*.local RegLock:: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

probleme · Answer

Le lien du rapport : http://www.cijoint.fr/cj201107/cijSsy1VMn.txt

Zaey · Answer

petite question, ta souris est sans fil ou pas ?

probleme · Answer

up!

tu as analysé le rapport? je suis guéris docteur?

Utilisateur anonyme · Answer

Bonjour
Tu ne suis pas ce qu'on te demande
Pourrais tu refaire ZHPDiag

probleme · Answer

liens du rapport : http://www.cijoint.fr/cj201107/cijF5D5NfJ.txt


gen? enfait sa à fait quoi ce que tu m'as fait faire?

Utilisateur anonyme · Answer

Je t'ai fait faire USBFix, ComboFix en scan, et un script ZHPFix
Un conseil, ne garde pas de logiciel crackés, car tu as de fortes
chances de te réinfecter plus facilement

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier 

[HKLM\Software\Classes\Conduit.Engine]   =>Toolbar.Conduit
[HKLM\Software\Wow6432Node\Classes\Conduit.Engine]   =>Toolbar.Conduit
[HKLM\Software\Classes\Toolbar.CT2905330]   =>Toolbar.Agent
[HKLM\Software\Wow6432Node\Classes\Toolbar.CT2905330]   =>Toolbar.Agent
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]   =>Toolbar.Conduit
[HKLM\Software\Wow6432Node\Conduit]   =>Toolbar.Conduit
[HKCU\Software\AppDataLow\Software\PriceGong]   =>Adware.PriceGong
C:\Users	héo\AppData\Local\Conduit   =>Toolbar.Conduit
C:\Users	héo\AppData\LocalLow\Conduit   =>Toolbar.Conduit
C:\Users	héo\AppData\LocalLow\PriceGong   =>Adware.PriceGong
C:\Users	héo\AppData\Local\Conduit   =>Toolbar.Conduit
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Messenger Plus FR Customized Web Search) - http://search.conduit.com
[HKCU\Software\Softonic]
[HKLM\Software\Babylon]
[HKLM\Software\Conduit]
[MD5.00000000000000000000000000000000] [APT] [{29FE255E-389D-4D15-84F3-6BF36E47FF11}] (...) -- F:\LaunchU3.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{6F350F3D-2E95-4F6B-A5C3-F5D598B846CA}] (...) -- F:\LaunchU3.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{851923FD-26F7-4AE7-B67B-16E97F784F90}] (...) -- G:\LaunchU3.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{99D5063A-25E3-4744-A8DE-9011F78860E5}] (...) -- F:\LaunchU3.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{99FCA1FB-6086-474F-B529-90CFE10C0152}] (...) -- F:\LaunchU3.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{9A6B85C3-5533-49B1-B3AA-C2194BA7095C}] (...) -- F:\LaunchU3.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{B02434B7-E609-4ECB-9616-D803F1ECFDA1}] (...) -- F:\LaunchU3.exe (.not file.)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell: Modified
O2 - BHO: (no name) [64Bits] - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} Clé orpheline
SysRestore
HiddenFix
EmptyTemp
EmptyFlash

* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Met Java à jour
Télécharge et installe la nouvelle version de Java
https://java.com/fr/
Attention, prend le temps de lire les informations,
décoche la case Yahoo toolbar


Redémarre ton PC

Ensuite, poste moi un nouveau rapport ZHPDiag

probleme · Answer

Rapport de ZHPFix 1.12.3336 par Nicolas Coolman, Update du 07/07/2011
Fichier d'export Registre : C:\ZHPExportRegistry-09-07-2011-15-19-35.txt
Run by théo at 09/07/2011 15:19:35
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Classes\Conduit.Engine
ABSENT Key: HKLM\Software\Wow6432Node\Classes\Conduit.Engine
SUPPRIME Key: HKLM\Software\Classes\Toolbar.CT2905330
ABSENT Key: HKLM\Software\Wow6432Node\Classes\Toolbar.CT2905330
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
SUPPRIME Key: HKLM\Software\Wow6432Node\Conduit
SUPPRIME Key: HKCU\Software\AppDataLow\Software\PriceGong
ABSENT SearchScopes :{afdbddaa-5d3f-42ee-b79c-185a7020515b}
SUPPRIME Key: HKCU\Software\Softonic
ABSENT Key: HKLM\Software\Babylon
ABSENT Key: HKLM\Software\Conduit
SUPPRIME Key: CLSID BHO: {318A227B-5E9F-45bd-8999-7F8F10CA4CF5}

========== Elément(s) de donnée du Registre ==========
REMPLACE Value EnableLUA :   Good (1) - Bad (0)
SUPPRIME Winlogon Shell: Bad ("Explorer.exe"), Good ("Explore.exe")

========== Dossier(s) ==========
SUPPRIME Folder: c:\users	héo\appdata\local\conduit
SUPPRIME Folder: c:\users	héo\appdata\locallow\conduit
SUPPRIME Folder: c:\users	héo\appdata\locallow\pricegong
SUPPRIME Temporaires Windows: : 83
SUPPRIME Flash Cookies: 7

========== Fichier(s) ==========
ABSENT Folder/File: c:\users	héo\appdata\local\conduit
SUPPRIME Temporaires Windows: : 163
SUPPRIME Flash Cookies: 4

========== Tache planifiée ==========
SUPPRIME Task: {29FE255E-389D-4D15-84F3-6BF36E47FF11}
SUPPRIME Task: {6F350F3D-2E95-4F6B-A5C3-F5D598B846CA}
SUPPRIME Task: {851923FD-26F7-4AE7-B67B-16E97F784F90}
SUPPRIME Task: {99D5063A-25E3-4744-A8DE-9011F78860E5}
SUPPRIME Task: {99FCA1FB-6086-474F-B529-90CFE10C0152}
SUPPRIME Task: {9A6B85C3-5533-49B1-B3AA-C2194BA7095C}
SUPPRIME Task: {B02434B7-E609-4ECB-9616-D803F1ECFDA1}

========== Dossiers/Fichiers cachés restaurés ==========
Mes images (My Pictures) : 10 Restauré(s) avec succès
Ma musique (My Music) : 174 Restauré(s) avec succès
Ma Video (My Video) : 1 Restauré(s) avec succès
Mes Favoris (My Favorites) : 3 Restauré(s) avec succès
Mes Documents (My Documents) : 59 Restauré(s) avec succès
Mon Bureau (My Desktop) : 58 Restauré(s) avec succès
Menu demarrer (Programs) : 8 Restauré(s) avec succès
Dossier utilisateur (AppData) : 6447 Restauré(s) avec succès
Programmes (Program Files) : 0

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
12 : Clé(s) du Registre
2 : Elément(s) de donnée du Registre
5 : Dossier(s)
3 : Fichier(s)
7 : Tache planifiée
6760 : Dossiers/Fichiers cachés restaurés
1 : Restauration Système


========== Chemin du fichier rapport ==========
C:\Program Files (x86)\ZHPDiag\ZHPFixReport.txt



End of the scan in 03mn 55s

Quelqu'un controle ma souris

21 réponses

Discussions similaires