Un Hackeur Insite à me hacké mon pc Fermé

Question

Bonjour, 



Configuration: Windows 7 / Firefox 26.0

J'ai eu il y à quelque jours un gros soucis. En effet mon compte steam à été piraté, une première fois, par la suite steam ma redonné mon compte. 3 jours plus tard la même personne ma piraté de nouveau et cette fois à été plus loin car il à pris le contrôle de mon pc, en effet il pouvait fermé firefox, l'ouvrir, éteindre mon pc (ce qu'il à fait), et même ouvrir un chat pour dialoguer en anglais. 

Bref j'ai pris chère. Par la suite j'ai installer Anti Virus Avast, j'ai fait un scan minutieux hors internet. j'avait DL aussi le par feu Zone Alarm, et DL aussi SpyBot Search & Destroy.

Bref j'ai fait toute les analyses en approfondi etc, je pensait être de nouveau en sécurité. Sauf que encore 3 jours plus tard, (la actuellement au moment ou j'écris ce topic) je pense que celui ci tente une nouvelle fois de s'infiltré sur mon pc, car mon processeur est à chaque fois entre 80 et 100% alors qu'il n'y à que Skype d'ouvert et fire fox et quelque processus, au total sa dépasse pas les 15 processus et rien ne consomme énormément.

Je pense donc que cette personne insiste en ouvrant toute sorte de chose caché derrière les processus SVCHOST.exe, j'en ai à peu près 14/15 d'ouvert, service réseau, service local, et système. Depuis que mon pc est plus sécurisé qu'avant je pense qu'il à du mal à faire ce qu'il veut mais n'empêche qu'il arrive quand même à me ralentir puisqu'il met le processeur à 100%, ce qui cause l'effet suivant : Je peine à ouvrir un site internet, voir je n'y arrive pas du tout. La le processeur est à 50% à 70% alors qu'il n'y à que fire fox d'ouvert avec 2 onglets et c'est tout. j'ai arrêter skype et la plupart des applications qui me servent pas.

Ne connaissant rien en piratage, je ne sais pas comment faire pour me défendre contre cette personne qui de toute évidence insiste et ne veut pas me lâché...

Je doit faire des paiement sur mon compte en banque et je ne peut rien faire de peur qu'il puissent avoir accès à mon compte.

Comment détecté les problèmes ? Sachant que j'ai fait des scan minutieux d'avast, zone alarm est sencé bloqué tout, bref je ne voit pas quoi faire de plus moi...

Merci d'avance.

Malekal_morte- · Answer

Salut,

Désinstalle Spybot, pas efficace.


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

jecth · Answer

Merci beaucoup pour ta réponse, 

Voici les liens demandé^^ Ne t'inquiète pas j'ai 26 ans et je sais lire :p

Je sais qu'il y doit beaucoup y avoir d'idiot qui font des C/C du rapport parce qu'ils savent pas réfléchir une minute^^

Bref voici les liens :

https://pjjoint.malekal.com/files.php?id=20140113_o5w13p5l8s10

et extras.txt

https://pjjoint.malekal.com/files.php?id=20140113_e13o6w13n7x13

Merci d'avance pour ton aide, je sais qu'il est la, il essaye de passé !

Malekal_morte- · Answer

Ca doit faire depuis fin novembre que ton PC est infecté par un RAT.

 Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  


:OTL
O4 - HKU\S-1-5-21-1715158599-4015917274-281541343-1000..\Run: [Animated Wallpaper] C:\Users\Yuuji\AppData\Local\Temp\Calm-Before-Storm.exe ()  
[2013/12/28 22:50:04 | 000,002,412 | ---- | C] () -- C:\Users\Yuuji\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Search.lnk
O4 - HKU\S-1-5-21-1715158599-4015917274-281541343-1000..\Run: [DarkComet RAT] C:\Users\Yuuji\Documents\DCSCMIN\IMDCSC.exe (Microsoft Corporation)
 
* poste le rapport ici 

~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.


~~

Suis ce tutorial https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Aide en vidéo : https://www.youtube.com/watch?feature=player_embedded&v=xx_y4PEr1eU

Vas sur le lien, télécharge AdwCleaner comme indiqué.
Lance AdwCleaner, clique sur [Scanner]. 
Le scan peux durer plusieurs minutes, patienter. 
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller. 
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt



puis :

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse. 
!!! Malwarebyte doit être à jour avant de faire le scan !!! 
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer. 

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.

jecth · Answer

https://pjjoint.malekal.com/files.php?id=20140113_x7t7x6n12i6

Le rapport de la correction.

Rien oublie c'est expliquer en dessous^^ je fait toute les modif sur ce poste ;)