Victime d'un hack Résolu/Fermé

Question

Bonjour , je vous expose mon probleme (assez gros je trouve )  bon tout d'abord je ne suis pas un as en informatique j'ai quelques notions mais pas dans ce domaine précis . Donc voilà j'étais sur mon pc et je vois dans la barre de status qu'un logiciel se lance ( un programme qui n'est pas installé sur mon PC ) c'est une fenêtre qui s'ouvre , sans croix pour la fermée , et le programme en question n'apparaît pas dans le gestionnaire des tâches ,  c'est une fenêtre intitulée " service client chat ) qui ressemble assez a un terminal , le hackeur écrit en vert , et je ne peux que lui répondre. Il contrôle entièrement mon PC , ouvre / ferme les fenêtres , je suppose qu'il a également accès a ma webcam . il me demande de lui payer 2 allopass ou ils s'attaque a mon pc , bien entendu je ne compte pas lui obéir j'ai donc éteint mon PC , rallumé , il était encore la . J'ai donc éteint mon PC je l'ai rallumer en mode avion car je suppose qu'un tel hack ne peux venir que d'une connexion internet , je lance windows defender , il scanne , il ne trouve rien , je supprime alors deux fichiers en quarantaine datants de deux jours , je désinstalle tout les programmes dont le développeur n'est pas certifié ( même certains jeux ) . Je me crois alors en sécurité , mais 10 min plus tard après avoir désactivé le mode avion , la fenêtre réapparût avec un message du bandit ( ^^) me disant qu'il est toujours la , je lui répond que je n'est rien a lui donner il a alors fermé toute mes fenetres et je me suis empressé de rééteindre mon pc , que faire ? Je pense que j'ai du installer un programme malveillant pas inadvertance mais il doit être caché , je dois aussi avoir un bon petit keylogger d'installer donc je n'ose plus trop l'allumer , voilà j'espère que vous pourrez m'aider assez vite c'est mon PC pour les études ( a oui j'oubliais , je suis dans une residance étudiante ou tout le monde est connecter sur le même réseau wifi peut être que l'attaque vient de quelqu'un dans le bâtiment ) Vraiment je ne sais pas quoi faire , merci

Malekal_morte- · Answer

Salut,

Ca ressemble à un malware de type RAT (Remote Access Tools).

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter. 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Malekal_morte- · Answer

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 


HKU\S-1-5-21-2410802138-1843743717-2592594231-1001\...\RunOnce: [Adobe Reader] => C:\Users\Mattéo\AppData\Roaming\plugin.exe [994816 2015-09-13] ()
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://search.certified-toolbar.com/?si=41460&home=true&tid=592","hxxp://www.trovi.com/?gd=&ctid=CT3318522&octid=EB_ORIGINAL_CTID&ISID=M65B5789D-B679-436B-9C8C-AFEC1B5E9798&SearchSource=55&CUI=&UM=6&UP=SPA73219B6-C7D5-4B77-8BAF-B3DDA538F2AA&SSPV=","hxxp://www.mystartsearch.com/?type=hppp&ts=1422559123&from=wpc&uid=TOSHIBAXMK3276GSX_Y2L3P19JTXXY2L3P19JT","hxxp://www.","hxxp://www.?type=hppppppppppppppppppppppppppppppppppp","hxxp://www.istartsurf.com/?type=hp&ts=1426963047&from=smt&uid=TOSHIBAXMK3276GSX_Y2L3P19JTXXY2L3P19JT","hxxp://www.istartsurf.com/?type=hppp&ts=1426963084&from=smt&uid=TOSHIBAXMK3276GSX_Y2L3P19JTXXY2L3P19JT","hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp"
2015-09-15 13:03 - 2015-09-13 11:22 - 00994816 __RSH C:\Users\Mattéo\AppData\Roaming\plugin.exe

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur 
 

Ensuite Ouvre Mon Ordinateur 
puis le disque C 
Ouvre le dossier FRST. 
Dedans se trouve, le dossier Quarantine 
Fais un clic droit dessus puis envoyer vers le dossier compressé. 
Envoie le zip sur http://upload.malekal.com

Malekal_morte- · Answer

Reçu merci,

Pas terrible la détection : https://www.virustotal.com/gui/file/138c7afd9f221bd9b310175eccc9d56a6db9ea311eb502795fd9010d78b62b21

SHA256: 138c7afd9f221bd9b310175eccc9d56a6db9ea311eb502795fd9010d78b62b21
Nom du fichier : plugin.exe.xBAD
Ratio de détection : 5 / 56
Date d'analyse : 2015-09-15 19:33:01 UTC (il y a 1 minute) 

Antivirus Résultat Mise à jour
Bkav W32.HfsAtSTIL.877F 20150915
CMC Trojan.Win32.Generic!O 20150910
Jiangmin Trojan/Generic.blxop 20150914
Symantec SAPE.Heur.97BE7 20150915
nProtect Trojan-PWS/W32.Fareit.994816 20150915


Le mec est à Amiens :

adwarddns.no-ip.org has address 109.219.144.104 (AAmiens-652-1-281-104.w109-219.abo.wanadoo.fr
port 1114 


~~

Change tous tes mots de passe
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Matteoz · Answer

l'écran de dialogue ne s'affiche plus et je ne suis plus embêté par ses fermetures / ouvertures de fenêtres intempestives depuis le scan , étrange , tu crois qu'il a toujours accès a mon ordi , mots de passes etc ? en tout cas merci beaucoup

Matteoz · Answer

non il s'amusait a ouvrir sans arrêt des pages internet et fermé les pages que j'ouvrais , il ouvrait internet explorer en boucle

Malekal_morte- · Answer

Pour moi y a rien d'anormal,

Change tes mots de passe,


Ce que tu peux faire :

installe Avast! : https://www.malekal.com/tutoriel-antivirus-avast/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


et demain,

Télécharge et installe Malwarebyte.
Il existe une version gratuite qui permet de nettoyer son ordinateur (décoche bien la proposition d'essai de la version Premium à la fin de l'installation) :

 Tutorial Malwarebytes version gratuite
 Tutorial Malwarebytes version payante 

Et fais des scans ces prochains jours avec.
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Matteoz · Answer

ok en tout cas merci pour tout , ta patiente ta vitesse de réponses et ton efficacité , bonne soirée encore merci ciao ;)

Malekal_morte- · Answer

PS : Vu ici RatDecoders  - la copie vers les médias amovibles est active.
On a bien fait de ne pas utiliser de clef USB =)

Tu as deux liens pour signaler aux autorités, je t'invite à le faire.
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Matteoz · Answer

ok merci , j'aurais du faire un screen mais je ny ai penser sur le moment , donc je leur explique et je donne le lien d'ici ça marche

--

Victime d'un hack

9 réponses

Discussions similaires