HELP ME [Je crois etre hacker !] Résolu/Fermé

Question

Bonjour, S'il vous plait aidez moi ! J'ai tres peur.
Alors, je vous expose mon probleme ou plutot mes craintes :

Sur ce meme site, j'ai lu recement (hier pour etre exact) que lorsque la souris faisait un mouvement sans qu'on la touche, ou bien lorsque un programme se lancer tout seul ou bien lorsque des fichiers vennait a disparaitre, on etait peut etre infecter par un trojan qui avait ouvert une backdoor quii permettait a un PC exterieur de s'infiltrer dans le miens.

Et puis, ma soeur (qui est un peu beaucoup noob) a choper pleinde virus, heuresement norton etait la pour les stopper et il a meme stopper par deux fois l'intrusion de personnes dont j'ai encore l'IP. Mais il se trouve qu'hier soir ma soeur a choper  SIX FOIS le trojan Trojan.wimad et nortaon en a "suprimer" un, "bloquer deux", "Echec" deux et "non transmis" deux egalement. 

Sur le coup je me suis dis que norton avait fait son boulot. Jusqu'a ce matin. Je surfer sur le net, tranquil quand tout d'un coup l'invite de commande (je crois que c'est sa vous savez cette fennetre avec fond noir et ecriture blanche qui gere le system) s'est ouvert ! Surpris je deplace ma souris dessus et Hop ! A peine quelques mili secondes apres avoir bouger ma main il se referme. Je n'est meme pas eu le temps de lire ce qu'il y avait ecris mais il y avait environs 3-5 lignes. 

J'ai tres tres peur, pensez vous que quelqu'un s'est intruser dans mon ordi???

S'il vous plait repondez moi vite !

PS: J'ai windos vista
PS*: Je trouve sincerement ce site genial, je trouve sa remarquable et respectable que des gens donne leur aide sans rien attendre en retour.

Utilisateur anonyme · Answer

Salut,
tu est surement infecter.
téléchrage hijackthis et faits un rapport (do a system scan and save a logfile) ensuite, notepad vas s'ouvrir, tu vas copier so contenu sur le site et tu ne touche a rien.
Ensuite, tu redémarre en mode sans échec (F8 ou F5 au démarrage) et tu faits un scan complet avec Norton de ton ordi.
Ensuite, a la fin du scan complet, tu reviens sur ce site nous dire ce que Norton a trouver et tu suis les instructions.
...

lord-pi · Answer

" Salut, 
tu est surement infecter. 
téléchrage hijackthis et faits un rapport (do a system scan and save a logfile) ensuite, notepad vas s'ouvrir, tu vas copier so contenu sur le site et tu ne touche a rien. 
Ensuite, tu redémarre en mode sans échec (F8 ou F5 au démarrage) et tu faits un scan complet avec Norton de ton ordi. 
Ensuite, a la fin du scan complet, tu reviens sur ce site nous dire ce que Norton a trouver et tu suis les instructions. 
... "

Tu veux dire que je reposte un msg avec ce que hijackthis m'a transmis? Et que veux tu dire par ne touche a rien? (Desoler mais j'ai trop peur de faire une erreur mdrr)

lord pi · Answer

Desoler, je suis un peu bete! xD apres avoir relu j'ai piger! ><"

Donc voici le rapport :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:49:13, on 19/02/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\SysMonitor.exe
C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\System32\mobsync.exe
C:\Windows\system32\WpcUmi.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\HijackThis\HijackThis.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "c:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Windows\system32\SysMonitor.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [PCMService] "C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix: 
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: CLKERN.DLL
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

Utilisateur anonyme · Answer

J'ai des doutes sur 
C:\Windows\System32\SysMonitor.exe 
et C:\Program Files\Windows Sidebar\sidebar.exe 
et O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe 
Alors, tu vas relancer hijackthis en démarrage normal et fixer ces lignes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O4 - HKCU\..\Run: [?????????] ??????????????e 


Il n'y a pas grand choses...bon, tu vas ensuite redémarrer pour nous dire si c'est bon, et si ce n'est pas le cas, essaye de nous dire le nom de la fenêtre MS-DOS qui s'ouvre.
merci

^^Marie^^ · Answer

O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe 
Demande lui la marque du PC

C:\Program Files\Windows Sidebar\sidebar.exe 
C'est Vista

lord pi · Answer

Mon PC est un acer, alors que dois je faire? Je redemare mon ordi et vous renvois une annalyse?

(Et desoler pour le doubple poste)

lord pi · Answer

Non la fenetre n'est plus revennu, mais cette fois si un autre truc m'est arriver : Lorsque je click sur un lien (d'une page web, d'msn ou n'importe ou) l'a fenetre s'ouvre en trente fois ! Mais sa ne me le fait pas toujours.
Par contre, je ne comprend pas ce que tu veux dire par :

"fixer ces lignes : 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O4 - HKCU\..\Run: [?????????] ??????????????e "

Merci encore de votre aide !

lord pi · Answer

J'ai fixer les deux lignes que vous m'avez dites, mais le logiciel affiche un message d'erreur :

http://img443.imageshack.us/img443/6426/sanstitre2it4.png

lord pi · Answer

J'ai fermer toute les fennetres, et meme arretter le processus explorer.exe masi rien ni fait, le message persiste.

lord pi · Answer

Non, j'ai regarder il n'y a qu'adobe raider et acer technologie launcher.
Je refais l'annalyse, et fixe la ligne, ensuie je vous dis les resultats.

lord pi · Answer

alors, deja desoler du retard mais j'ai du partir une semaine a lyon pour voir ma soeur.

Bref, ceci etant dis : Je vous fait part de la situation.

J'ai fait ce que vous m'avez dit : Faire un scan et fixer le 04 HKCU. Apres quoi j'ai redemarer l'ordi en mode sans echec et fait une analyse norton. Ce dernier me dit que tout va bien. Seulment lorsque je re scanne avec hijackthis, le HCKU est toujours la ! ! !! ! Que faire??

lord pi · Answer

arrête le processus du même nom de l'executable que la valeur de l'entrée du registre.

J'ai un doute sur cette phrase, que veux tu dire exactement (je suis aps vraiment un boss niv informatique) ^^

lord-pi · Answer

Bon alors, ayant peur de faire une fausse manip jvous montre ce que je pense etre les intrus

http://img502.imageshack.us/img502/416/sansechecnh4.jpg

Merci encore de votre aide!

lord pi · Answer

Okay, jle fait, et apres jvous refais une annalyse hijackthis? Ou ce serra bon?

lord pi · Answer

tout va bien, merci encore ! ! !

HELP ME [Je crois etre hacker !]

15 réponses

Discussions similaires