[Hack] Victime d'un Hack complet: Que faire ?

Pakito -  
crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Je vous expose le problème, si quelqu'un pouvait m'aider ce serait bien sympathique.

Un copain bossant dans un entreprise familiale s'est fait hacker son PC brancher sur le réseau (config traditionnelle avec routeur).

Il est certain qu'il s'est fait hacker car:

- des prgrammes ont été installés sur son PC comme par exemple un logiciel de tchat, il a pas su me dire excatement mais j'ai cru comprendre que c'était un truc IRC.

- un personne a utiliser son compte MSN car certain de ces contacts se sont fait insulté en Anglais alors qu'il n'était pas sur son PC;

- Lorsqu'il à voulu sauvegarder un fichier sous word, par défaut le chemin d'accès était SYSTEM32 (bizarre je me demande si on lui a pas foutu un trojan en dll ou du style).

- Il me dit avoir été hacqué par son VPN présent sur sa machine;

- Il a NORTON Antivirus (dommage pour lui perso je le trouve nul) mais norton fait une erreur, impossible de scanner. L'assitacen Norton n'a pas pu l'aider LOL. Je coirs que c'est classique ça de neutraliser l'antivirus.

- il doit avoir un trojan et je ne sais quoi d'autre

Bon voila je crois que j'en oublie mais il flippe maintenant car c'est un ordi d'entreprise avec des informations ultraconfidentielles.

Je doit passer dans l'entreprise demain regarder tout ça mais d'après vous, qu'est -ce que je peu faire si ce n'est essayer d'installer NOD32 ou Kaspersky (je ne sais pas si ça marchera si norton marche pas) et faire une analyse ne mode sans echec? Plus faire une analyse en mode sans echec avec AVG Anti spyware de EWIDO? Et supprimer le VPN?

Pensez vous que ça ira? faut-il faire d'autres choses?

Ou bien me conseillez vous de lui dire de sauvegarder ses données utiles (fichiers words, excel, messageries outlooks, contacts,...) et de formater le PC?

Par ailleurs pensez vous que par ce PC le réseau ai pu être atteint et ainsi d'autres PC de l'entreprise?

Merci grandement par avance pour votre aide.

10 réponses

  1. marwanted Messages postés 13 Statut Membre 2
     
    pour bien proteger de c'est trojan il faut comprendre leur phenomene pour plus d'information et des toturial+help visiter

    www.mafiaroot.com
    2
  2. Qc001 Messages postés 256 Statut Membre 17
     
    Salut Pakito :-)

    Difficile, à distance, de te dire si le réseau entier est affecté. C'est possible par contre..

    Voici, en gros, ce que j'en pense (humblement, et sous toutes réserves) :

    Il s'agit probablement d'une infection par IRCBot, et non d'un hack direct (qui sont plutôt rares..). Ces infections peuvent être extrêment bien protégées et coriaces. De plus, elles peuvent dérober les infos confidentielles et les transmettre via serveurs IRC (ou autre méthode, selon le Bot).

    Une désinfection sur forum peut s'étaler sur plusieurs jours, selon la disponibilité des bénévoles et du visiteur. Selon l'habileté du visiteur également. Si tu ne penses pas avoir un accès prolongé sur cette bécane, faudrait peut-être penser au plan B (ouais..). Si tu veux tenter l'expérience d'identification et ensuite de désinfection, alors ça nous prendra des analyses avec logs. Norton n'est pas si mauvais en tant qu'antivirus ; les détections et fonctionnalités sont Ok. Ce que je déteste de Norton : il s'incruste PARTOUT dans l'OS et il est donc quasi impossible de le désinstaller proprement. Kaspersky et NOD32 (BitDefender aussi) sont supérieurs par contre. AVG-AntiSpy en Sans Échec aussi ? Oui. Il faudra également un rapport HijackThis! Tuto ici :

    https://www.malekal.com/tutoriel-hijackthis/

    Faut juste faire un scan et sauvegarder le rapport.
    =======================

    Si tu n'as pas le temps... Il faut que ce PC soit débranché du réseau pronto de toute façon. Formater demeure une option viable et sûre dans de tels cas.

    Faudrait scanner les autres PCs du réseau également.

    Voilà..

    Nous serons là si tu veux attaquer ;-)
    1
  3. Pakito
     
    Salut Qc001,

    Merci pour ta réponse super rapide ;)

    Je regarde tout ça demain et vous tiens au courant. Comme ce n'est pas mon PC et mon entreprise je vais discuter avec mon pote a sa famille et voir ce qu'ils acceptent que je fasse.

    S'ils refusent le formatage (qui a mon avis serait plus simple et plus sure et surtout plus rapide pour moi lol, je bosse moi aussi :-) ) je vous posterai le rapport Hijackthis.

    Encore merci c'est super sympa ;)
    1
  4. Pakito
     
    Bonjour,

    Bon, je suis passé dans la société de mon copin ce midi comme c'était prévu mai sje n'ai pas eu le temps de faire grand chose en une heure.

    Donc effeecctivement il avait mIRC d'installé sur son ordi (il m'avait fait un imprim écran pour voir ce que c'était) mais il l'avait supprimé. Jusque la rien d'anormal je ocnnait le programme pour l'avoir utilisé il y'a quelques années.

    Mais au démarrage une fenêtre DOS avec l'intitulé A"dobe Gamma Loader" s'ouvre super rapidement et se referme sans avoir le temps de voir ce que c'est. J'ai donc fait un imprim écran au bon moment pour lire ce qu'il y'avait dedans. Donc il s'agit de PSYBNC en version 2.3.2-5: il y est marqué:

    Configuration File: psybnc.conf
    Language File: psyBNC Language File - English
    No Logfile specified, logging to log/psybnc.log
    Listening on: 0.0.0.0 port 31337

    J'ai scanné l'ordi en mode sans echec avec AVG Anti spyware qui a décelé 3 trojans. J'ai donc selectionné l'option de "suppression" (je me demande s'il n'aurait pas fallu selectionner "suppression après redémarrage" ??)

    Je suis ensuite revenu en mode normal et j'ai géneré le LOG Hijackthis suivant:

    Logfile of HijackThis v1.99.1
    Scan saved at 14:09:57, on 07/11/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    C:\WINDOWS\System32\CAPRPCSK.EXE
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\InstantTimeZone\InstantTimeZone.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\dllcache\msidev.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Documents and Settings\Laurent\Bureau\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://outlook.live.com/owa/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://support.norton.com/sp/en/us/home/current/info
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
    O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
    O4 - Startup: Adobe Gamma Loader.lnk = C:\WINDOWS\system32\dllcache\msidev.exe
    O4 - Startup: Mise à jour Antivirus.lnk = C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\VPDN_LU.exe
    O4 - Global Startup: InstantTimeZone.lnk = C:\Program Files\InstantTimeZone\InstantTimeZone.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://cracnaman.spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,912,0
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098196333671
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1064481.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E2322F71-0D08-4B78-8672-3C806FE62F43}: NameServer = 193.252.19.3,193.252.19.4
    O17 - HKLM\System\CS1\Services\Tcpip\..\{E2322F71-0D08-4B78-8672-3C806FE62F43}: NameServer = 193.252.19.3,193.252.19.4
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

    Donc on voit encore:

    O4 - Startup: Adobe Gamma Loader.lnk = C:\WINDOWS\system32\dllcache\msidev.exe

    alors que j'avais en principe supprimé toutes les anomalies décelés par AVG dont les 3 trojans.

    Pour l'instant comme il en peu se passer de la connection réseau pour bosser je lui ai dit de tuer toutes l'aroborescence du processus msidev.exe

    Mais que faire faut-il le supprimer manuellement cela suffira-t-il?

    Par ailleur le LOG fait-il apparaître d'autres anomalies?

    L'attaque a bien du être un IRCBot comme tu m'avais dit QC001 ;)

    Je lui ai dit que tous ses mots de pass ont du être piqué du gren MSN pouisque le type qui l'a hacké s'est seri de son compte pour insulter des contacts (il a également un compte sur un messagerie outlook express et un autre sur outlook). J e lui ai dit qu'il pouvait changer tous ses mots de pass par le futur.

    Par ailleur il se demande comme il consulte ses comptes bancaires sur cet ordi si le type à pu voir lorsqu'il saisissait par clique avec la souris (c un comte BNP, c comme la Société Générale, c'est des chiffre qui change de place dans un carré pas de saisie manuelle du mote de pass)?

    Voila, que faut 'il faire en fait maintenant?

    Par ailleur si le problème est résolu, il risque de se faire hackr à nouveau non? le Mec a du trouver un port ouvert? je me dit aussi que vu qu'il est branché sur le réseau, le hacker est passé par l'adresse IP Fixe de la connection que tout le monde utilise?

    Et pour finir le prestataire informatique par lequel passe la société n'avait activé sur aucun ordi les mises à jour Windows; tous les postes étaient en XP SP1 sans mise à jour de sécurité; on a donc sur les 6 postes de la société fait les updates windows et réalisé un scan avec AVG en mode sans écher sans rien déceler.

    Voila, si une personne arrive à m'aider, je la remerci egrandement d'avance.
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Paski
     
    Excusez moi j'ai oublié (désolé pour les fautes de frappe au fait) de demander comment est-ce possible au départ que le hacker ai pu installer mIRC sur le poste?
    1
  7. Qc001 Messages postés 256 Statut Membre 17
     
    Salut Pakito :-)

    D'après mes recherches, ce msidev.exe est plus que louche, effectivement. J'aurais bien aimé pouvoir le faire analyser par contre... Si tu y retournes et que le fichier existe toujours, prière de visiter ce site :
    http://www.virustotal.com/en/virustotalx.html

    - Clique "Parcourir" au haut, puis recherche le fichier suivant :

    C:\WINDOWS\system32\dllcache\msidev.exe

    - Sélectionne-le puis clique sur "Send".
    - Un rapport d'analyse apparaîtra. Copie/colle ce rapport dans un fichier texte.
    -----------------------------

    Voici un gros méchant :

    O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"

    ..Cette peste est un keylogger de la pire espèce... qui pique les infos bancaires (# de comptes, mots de passe, # de cartes de crédits, etc..). C'est lui qui donne le contrôle à distance au pirate.

    Petite note : ce "hack" n'était pas ciblé, mais plutôt le résultat d'une infection. Chopée comment ? Hmmm... Fichier infecté probablement (crack, fichier d'un Peer-to-peer, etc..). Pour mIRC, je ne sais pas qui et comment... je soupçonne que ce soit quelqu'un dans la société qui l'ait installé par contre... mais pas de preuve ! Le keylogger installe ses propres fichiers de propagation/communication.

    En général, avec ce type d'infection, je suggère un formatage, mais je suis ouvert à la désinfection - sans pouvoir garantir la propreté par la suite. Ces keyloggers sont souvent protégées par Rootkit, qui peuvent être quasi indétectables.

    Autre truc : ton copain devra revoir tous les mots de passe et # de compte avec la banque, peu importe l'option choisie. Note importante : ne pas modifier les mots de passe et # de comptes avant que la bécane ne soit propre !!

    Alors je te laisse le choix :-)

    Si tu veux attaquer, fais-moi signe. Si tu as conservé le rapport d'AVG Antispy, j'aimerais bien le voir s'il te plaît.

    @+
    1
  8. Pakito
     
    Salut QC001 ;-)

    Bon je suis repasse après mon boulot ce soir dans la boite d emon copain.

    Concernant le rapport AVG je ne l'avais pas sauvegardé mais jai refait une nouvelle analyse et il reste toujours un trojan (au final je l'ai mis en quaratiane et au redémarrge en mode normal je l'ai supprimé par AVG, néanmoins j'ai pas refait un nouveau scan pour voir s'il est bien parti...). Je te met le rapport, mais c clair c'est dommage que je n'ai pas le 1er:

    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 18:00:37 08/11/2006

    + Résultat de l'analyse:

    C:\Documents and Settings\Laurent\Cookies\laurent@adbrite[2].txt -> TrackingCookie.Adbrite : Aucune action entreprise.
    C:\Documents and Settings\Laurent\Cookies\laurent@adtech[2].txt -> TrackingCookie.Adtech : Aucune action entreprise.
    C:\Documents and Settings\Laurent\Cookies\laurent@advertising[2].txt -> TrackingCookie.Advertising : Aucune action entreprise.
    C:\Documents and Settings\Laurent\Cookies\laurent@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
    C:\Documents and Settings\Laurent\Cookies\laurent@bluestreak[2].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
    C:\Documents and Settings\Laurent\Cookies\laurent@doubleclick[2].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
    C:\Documents and Settings\Laurent\Cookies\laurent@serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
    C:\Documents and Settings\Laurent\Cookies\laurent@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
    C:\Documents and Settings\Laurent\Cookies\laurent@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.
    C:\System Volume Information\_restore{93BC6AF1-6480-4849-8F6E-C1F617E61D34}\RP326\A0012310.exe -> Trojan.Diamin.j : Aucune action entreprise.

    Fin du rapport
    ________________________________________________________

    Ensuite pour ton info, je t'ai scanné sur le site comme tu m'avais demandé le fichier "msidev.exe"

    je te rapelle qu'il s'agit en réalité du programme PSYBNC (d'après mes recherche il rentre bien dans un procédure de hack jumelé avec un client IRC comme mIRC qui s'était installé, mais je n'y comprends rien).

    Donc voila l'analyse, il semble que tous les antivirus ne détectent rien, c pas normal:

    STATUS: FINISHEDComplete scanning result of "msidev.exe", received in VirusTotal at 11.08.2006, 18:24:08 (CET).

    Antivirus Version Update Result
    AntiVir 7.2.0.39 11.08.2006 no virus found
    Authentium 4.93.8 11.07.2006 no virus found
    Avast 4.7.892.0 11.07.2006 no virus found
    AVG 386 11.08.2006 no virus found
    BitDefender 7.2 11.08.2006 no virus found
    CAT-QuickHeal 8.00 11.08.2006 no virus found
    ClamAV devel-20060426 11.08.2006 no virus found
    DrWeb 4.33 11.08.2006 no virus found
    eTrust-InoculateIT 23.73.49 11.08.2006 no virus found
    eTrust-Vet 30.3.3182 11.08.2006 no virus found
    Ewido 4.0 11.08.2006 no virus found
    Fortinet 2.82.0.0 11.08.2006 no virus found
    F-Prot 3.16f 11.07.2006 no virus found
    F-Prot4 4.2.1.29 11.07.2006 no virus found
    Ikarus 0.2.65.0 11.08.2006 no virus found
    Kaspersky 4.0.2.24 11.08.2006 no virus found
    McAfee 4890 11.07.2006 no virus found
    Microsoft 1.1609 11.08.2006 no virus found
    NOD32v2 1.1859 11.08.2006 no virus found
    Norman 5.80.02 11.08.2006 no virus found
    Panda 9.0.0.4 11.08.2006 no virus found
    Sophos 4.11.0 11.07.2006 no virus found
    TheHacker 6.0.1.114 11.08.2006 no virus found
    UNA 1.83 11.07.2006 no virus found
    VBA32 3.11.1 11.08.2006 no virus found
    VirusBuster 4.3.15:9 11.08.2006 no virus found

    Aditional Information
    File size: 242176 bytes
    MD5: 279b0b9067e89ae9b8c9bb3150a04ce5
    SHA1: 2a62b30578520c0024ce89070f59c8d8d6a9e891

    __________________________________________________________

    Enfin par sécurité j'ai rescanné avec Hijackthis tous les PC de l'entreprise pour voir s'il n'ya avait pas le fichier "msidev.exe" ou "IBM00007.exe"; ils n'étaient pas présents.

    _________________________________________________________

    Voila donc ce que j'ai eu le temps de faire.

    Merci de me donner des conseils sur la démarche à suivre maintenant; faut-il supprimer manuellement les 2 fichiers? que faire par la suite?

    Merci d'avance de ton aide.
    1
  9. Qc001 Messages postés 256 Statut Membre 17
     
    Me revoilà...

    Ok, rapidement. Oui, il faudra virer ces deux fichiers, et possiblement d'autres. Le "msidev.exe" est lancé du répertoire dllcache, ce qui est 100% louche. Ce répertoire est un dossier système, donc il te faudra modifier quelques options des dossiers afin de le repérer (via l'Explorateur). Voici comment :

    Afin de voir tous les fichiers/dossiers cachés :

    * Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau.
    * Double-clique sur le "Poste de Travail"
    <gra* Du menu "Outils", clique Options des dossiers...
    * De la nouvelle fenêtre, choisis l'onglet Affichage
    * Sous "Fichiers et dossiers", coche la case Afficher le contenu des dossiers système
    * Sous "Fichiers et dossiers cachés", clique le bouton Afficher les fichiers et dossiers cachés
    * Décoche la case Masquer les extensions des fichiers dont le type est connu
    * Décoche la case Masquer les fichiers protégés du système d'exploitation (recommendé). Clique "Ok" à l'invite.
    * Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail.
    ------------------------------

    Imprime ces intructions, ou colle-les dans un fichier texte pour lecture en mode Sans Échec ;

    Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes :

    O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
    O4 - Startup: Adobe Gamma Loader.lnk = C:\WINDOWS\system32\dllcache\msidev.exe


    Clique "Fix checked", puis ferme HijackThis!

    Toujours en Sans Échec, recherche et supprime ces fichiers :

    C:\WINDOWS\system32\dllcache\msidev.exe

    C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe

    **Regarde bien dans le répertoire ci-dessus ("Web Folders"), et si tu vois des fichiers comme ceci :

    ibm0000*.dll ou ibm000**.dll >> supprime-les. (les * sont des chiffres)
    ------------------------

    Redémarre en mode Normal.

    Ceci peut être long, mais j'aimerais bien que tu fasses un scan en ligne chez Kaspersky, ici :

    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    Scanne le C:, et sauvegarde le rapport s'il te plaît.

    Poste un nouvreau log HijackThis!, ainsi que le rapport de Kaspersky quand tu le pourras.

    Autre petit truc... Faudra revoir la sécurité de ce réseau avec ton copain. Parefeu, Service Pack 2 pour Windows, etc... Sinon ce sera à recommencer tôt ou tard ;-)

    À bientôt..
    1
  10. Utilisateur anonyme
     
    O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - [hxxp://deposito.hostance.net/dialer/*1*0*6*4*4*8*1*.exe]

    virus :)
    1
  11. anthonice Messages postés 1560 Statut Membre 131
     
    Petit conseil, changer de prestataire informatique de l'entreprise : il ont pas assuré c'est n'importe quoi par-feu désactivés, maàj désactivé

    Il vous ont même installé des PC avec des copies illégales s'il faut !
    1
    1. Utilisateur anonyme
       
      omg 2 ans après...
      0
    2. anthonice Messages postés 1560 Statut Membre 131
       
      Mince j'avais pas vu la date :(

      Désolé lol

      En même temps il était pas mis "RESOLU" donc voilà....
      0
    3. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Bonsoir,

      Ce n'est pas forcément résolu :-).
      C'est juste un déserteur :D

      ++
      0