> Tous les forums > Forum Sécurité
 Me suis-je fait hacker mon PC?Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
erkyldidou
  Posté le 06/10/2013 @ 19:35 
Aller en bas de la page 
Petit astucien

Bonjour,

une personne à qui je ne sais pas si je peux avoir confiance et essayant de pratiquer le hacking (je le suspecte de ne pas être encore hyper doué, mais ne suis sur de rien) à eu accès à mon PC et l'a surement utilisé sans m'en parler alors que ça lui est interdit (j'avais débranché l'alim mais en la laissant sur "on", je l'ai retrouvé débranché le cable positionné différement et sur "off", plus d'autre évènements qui mettent ma confiance en doute).

Lorsque j'ai redémaré mon pc, j'ai eu ce message qui s'est affiché :

que je n'avais jamais eu, et ne suis pas sensé avoir. J'aimerais du coup savoir quelle est l'application en question et faire aussi un check complet des application qui tournent sur mon ordinateur. J'aurais aussi aimé savoir s'il y a quelque part un log me permettant de savoir quand mon ordinateur a été utilisé dans la journée, qui me permettrait d'être sur que mon PC a été utilisé ou non lorsque j'étais abscent.

Pouvez-vous me guider pour tout ça?

Merci !

Publicité
Evasion60
 Posté le 06/10/2013 à 20:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir

/!\ Quelle idée de laisser sa machine, à une personne dont tu n'as pas confiance !
Les mots de passe existent pour contrer ce genre d'intrusion d'une personne non autorisée

Pour une meilleure réponse, clique dans ma signature Aide au diag d'un PC infecté
Reviens dans ta réponse avec les deux premiers rapports demandés =>
- MalwareBytes AM
- AdwCleaner

A te lire

txuku
 Posté le 06/10/2013 à 20:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour

En dehors de toute infection ( je laisse faire Evasion60 )

Pour savoir si le pc a ete utilise :

Dans l " Observateur d evenements "

Demarrer/Outils d administration/Observateur d evenements

Tu regardes les journaux Windows et dans Systeme surtout ( sans t affoler devant les erreurs possibles ! ) tu auras les heures de fonctionnement.

Papounet17000
 Posté le 06/10/2013 à 20:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Salut,

Comme son nom l'indique, netshrink est un soft de compression avec mot de passe.

". Netshrink est un compresseur exécutable pour les fichiers gérés. Il utilise la bibliothèque compression LZMA et peut diminuer la taille de votre fichier de 50%. Il peut aussi protéger vos fichiers avec un mot de passe.. Netshrink utilise la bibliothèque de compression LZMA pour atteindre des taux de compression maximum. Mot de passe de protection utilise la vérification basée sur SHA256 fonction de hachage et 256 bit AES / Rijndael."

Je pense que ce monsieur s'est amusé à compresser certains de tes fichiers pour te les voler.

Bien sur comme ce qui a été compressé à un mot de passe, il est le seul à pouvoir les ouvrir.

J'espère que tu n'avais rien de sensible sur ton PC car en général c'est pas le film des bisounours qui les intéresse.

erkyldidou
 Posté le 06/10/2013 à 21:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci à tous pour vos réponses ! En effet, grâce à l'observateur d'évènements, j'ai pu voir des erreurs pendant les heures ou je n'étais pas là.

En fait il s'agit du compagnon de la personne qui garde(ait...) mes enfants (3 ans et 2 ans), donc le fait qu'il est touché à mon ordinateur, voir qu'il ait pu essayer de me voler par là (je suis joueur de poker pro, tous ce que je gagne vient de ce PC. Les seules données qui ont de la valeur sont mes mots de passe qui ne sont enregistrés nulle part) est un moindre mal, si ça me permet d'éviter de les laisser entre les mains de quelqu'un qui serait pret à faire ça... Merci de me dire s'il y avait effectivement des logiciels qui pourraient avoir été installés dans le but de me voler.

voici le log malwarebyte :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.10.06.04

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
vincent-I5
VINCENT-I5-PC [administrateur]

06/10/2013 21:29:39
mbam-log-2013-10-06 (21-29-39).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 224526
Temps écoulé: 1 minute(s), 35 seconde(s)

Processus mémoire détecté(s): 1
C:\Users\vincent-I5\AppData\Local\Temp\crypter_infinitie(1).exe (Trojan.Agent) -> 2112 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Google\Chrome\Extensions\ifohbjbgfchkkfhphahclmkpgejiplfo (PUP.Optional.Elex.A) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|1 (Trojan.Agent) -> Données: C:\Users\vincent-I5\AppData\Local\Temp\crypter_infinitie(1).exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Users\vincent-I5\AppData\Local\Temp\ct2504091 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 26
C:\Users\vincent-I5\AppData\Local\Temp\is42483369\PlusHD_TC.exe (Adware.Packed.Ranver) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\is42483369\6351065_Setup.EXE (Keylogger.Logixoft) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\E6A18C2A-BAB0-7891-AEA0-CB2EADA5F5EC\Latest\ccp.exe (PUP.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\2C847407-BAB0-7891-B4BE-F53FDE5087EF\Latest\ccp.exe (PUP.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\2C847407-BAB0-7891-B4BE-F53FDE5087EF\Latest\Setup.exe (PUP.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\E6A18C2A-BAB0-7891-AEA0-CB2EADA5F5EC\Latest\Setup.exe (PUP.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\2C847407-BAB0-7891-B4BE-F53FDE5087EF\Latest\MyDeltaTB.exe (PUP.Delta.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\2C847407-BAB0-7891-B4BE-F53FDE5087EF\Latest\BabMaint.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\2C847407-BAB0-7891-B4BE-F53FDE5087EF\Latest\MntrDLLInstall.dll (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\2C847407-BAB0-7891-B4BE-F53FDE5087EF\Latest\BExternal.dll (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\2C847407-BAB0-7891-B4BE-F53FDE5087EF\Latest\CrxInstaller.dll (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\E6A18C2A-BAB0-7891-AEA0-CB2EADA5F5EC\Latest\BabMaint.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\2C847407-BAB0-7891-B4BE-F53FDE5087EF\Latest\NTRedirect.dll (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\E6A18C2A-BAB0-7891-AEA0-CB2EADA5F5EC\Latest\CrxInstaller.dll (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\is42483369\DeltaTB.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\E6A18C2A-BAB0-7891-AEA0-CB2EADA5F5EC\Latest\BExternal.dll (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\E6A18C2A-BAB0-7891-AEA0-CB2EADA5F5EC\Latest\NTRedirect.dll (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\E6A18C2A-BAB0-7891-AEA0-CB2EADA5F5EC\Latest\MyBabylonTB.exe (PUP.Optional.BabylonToolBar.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\ct2504091\ism.exe (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\User Data\Default\Extensions\newtab.crx (PUP.Optional.Elex.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\Downloads\daemon_tools_lite_daemon_tools_lite_4_47_1_fr_10729.exe (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\nslEBED.tmp (PUP.Optional.Somoto.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\nsa826C.tmp (PUP.Optional.Somoto.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\is42483369\wajam_download.exe (PUP.Optional.Wajam) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\is42483369\wajam_validate.exe (PUP.Optional.Wajam.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\vincent-I5\AppData\Local\Temp\crypter_infinitie(1).exe (Trojan.Agent) -> Suppression au redémarrage.

(fin)


je reviens dans 3 minutes avec l'adwcleaner !

erkyldidou
 Posté le 06/10/2013 à 21:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le rapport AdwCleaner :

# AdwCleaner v3.006 - Rapport créé le 06/10/2013 à 21:51:15
# Mis à jour le 01/10/2013 par Xplode
# Système d'exploitation : Windows 7 Ultimate (64 bits)
# Nom d'utilisateur : vincent-I5 - VINCENT-I5-PC
# Exécuté depuis : C:\Users\vincent-I5\Downloads\adwcleaner(1).exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v8.0.7600.16385

Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]

-\\ Mozilla Firefox v24.0 (fr)

[ Fichier : C:\Users\vincent-I5\AppData\Roaming\Mozilla\Firefox\Profiles\viksuc0d.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [6702 octets] - [07/09/2013 00:09:39]
AdwCleaner[R1].txt - [1450 octets] - [06/10/2013 21:49:51]
AdwCleaner[S0].txt - [4298 octets] - [07/09/2013 00:10:21]
AdwCleaner[S1].txt - [1029 octets] - [06/10/2013 21:51:15]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1089 octets] ##########


erkyldidou
 Posté le 06/10/2013 à 21:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Papounet17000 a écrit :

Salut,

Comme son nom l'indique, netshrink est un soft de compression avec mot de passe.

". Netshrink est un compresseur exécutable pour les fichiers gérés. Il utilise la bibliothèque compression LZMA et peut diminuer la taille de votre fichier de 50%. Il peut aussi protéger vos fichiers avec un mot de passe.. Netshrink utilise la bibliothèque de compression LZMA pour atteindre des taux de compression maximum. Mot de passe de protection utilise la vérification basée sur SHA256 fonction de hachage et 256 bit AES / Rijndael."

Je pense que ce monsieur s'est amusé à compresser certains de tes fichiers pour te les voler.

Bien sur comme ce qui a été compressé à un mot de passe, il est le seul à pouvoir les ouvrir.

J'espère que tu n'avais rien de sensible sur ton PC car en général c'est pas le film des bisounours qui les intéresse.

Je n'ai trouvé aucune trace de netshrink sur mon PC, comment ça se fait que j'ai eu ce popup en redémarrant? Ne devrait-il pas toujours être installé pour m'envoyer ce popup? J'ai l'impression que ça dit plutot qu'un programme qui est sur mon PC a été compressé par Netshrink, non?

Encore merci pour tout!

Anonyme
 Posté le 06/10/2013 à 22:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonsoir

erkyldidou

en attendant le retour d'Evasion60, procéder à la partie 3 du lien de sa signature. (ZHPDiag) Aide au diagnostic d'un PC infecté

votre machine porte la trace d'outils de Hacks ( un crypter infinitie ou Trojan-PSW et un Keylogger)....le malveillant veut absolument vos passwords !!!

je sort du sujet et vous laisse aux bons soins d'Evasion60.

Australien



Modifié par Anonyme le 06/10/2013 22:20
erkyldidou
 Posté le 06/10/2013 à 22:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le rapport :

Fichier joint : ZHPDiag.txt

Australien a écrit :

votre machine porte la trace d'outils de Hacks ( un crypter infinitie ou Trojan-PSW et un Keylogger)....le malveillant veut absolument vos passwords !!!

je sort du sujet et vous laisse aux bons soins d'Evasion60.

Australien

--> j'avais des logiciels (tel pokerstars) avec les mots de passe enregistrés dedans, y'a moyen qu'il les ait décrypté et qu'il faille donc mieux que je les change tous?



Modifié par erkyldidou le 06/10/2013 22:25
Publicité
Papounet17000
 Posté le 06/10/2013 à 22:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

erkyldidou a écrit :

je suis joueur de poker pro, tous ce que je gagne vient de ce PC. Les seules données qui ont de la valeur sont mes mots de passe qui ne sont enregistrés nulle part)

Et oui mais un keylogger enregistre tout ce que tu tapes sur le clavier et qui n'est pas enregistré sur le PC, c'est pour ça que ce mosieur en a mis un sur ton PC.

Pas besoin de revenir sur ta machine pour récupérer les résultats si c'est un bon hacker, ça passe directement par internet de ton PC au sien sinon il est obligé de se connecter de nouveau sur ton PC pour les avoirs.

Je serai toi, après la désinfection par notre cher évasion, mets un bon mot de passe sur la machine (pas de date de naissance ou prénom c'est trop facile) et surtout personne d'autre que toi ne doit s'en servir, même pour dix minutes.

Mefies toi aussi de certains sites de poker en ligne, certains te disent d'installer un plugin, c'est un keyloger pour te prendre tes données persos.



Modifié par Papounet17000 le 06/10/2013 22:37
Evasion60
 Posté le 06/10/2013 à 23:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re Erkyldidou

Effectivement il y a une très méchants => crypter infinitie

Je regarde ton log ZHPDiag et reviens

Edité =>
Oui, tu changes tous tes mots de passe (note les dans un endroit sûr et donc pas sur le PC)



Modifié par Evasion60 le 06/10/2013 23:13
Evasion60
 Posté le 06/10/2013 à 23:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

1/

Applique ce correctif =>

Ouvre le bloc-notes
Séléctionne et copie les lignes en gras et bleu ci dessous =>

Script ZHPFix
O3 - Toolbar: (no name) [64Bits] - [HKLM]{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} Clé orpheline => Toolbar.Avast
O4 - GS\Desktop [Public]: eMule.lnk . (.http://www.emule-project.net - eMule.) -- C:\Program Files (x86)\eMule\emule.exe
O4 - GS\Program [Public]: Vuze.lnk . (...) -- C:\Program Files (x86)\Vuze\Azureus.exe (.not file.) =>P2P.Azureus
O4 - GS\Startup [Public]: rvlkl.lnk . (...) -- C:\ProgramData\rvlkl\rvlkl.exe (.not file.) => Infection PUP (Adware.RelevantKnowledge)
[MD5.00000000000000000000000000000000] [APT] [Desk 365 RunAsStdUser] (...) -- C:\Program Files (x86)\Desk 365\desk365.exe (.not file.) [0] =>Hijacker.22Find
[MD5.00000000000000000000000000000000] [APT] [{56038F9D-355B-4B05-982A-9A5271B48088}] (...) -- C:\Users\vincent-I5\Downloads\SetupPoker_27252d.exe (.not file.) [0] => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{7E539346-28E1-4DC0-957D-527F98F04A7B}] (...) -- C:\Users\vincent-I5\Downloads\epson373032eu.exe (.not file.) [0] => Fichier absent
O69 - SBI: SearchScopes [HKCU] {E0505013-AF45-464A-9064-9D20AFEECBB4} - (Search the web) - http://search.genieo.com
=>Adware.IMBooster
[MD5.30E68C26F642E5242672240D93245541] [SPRF][04/07/2013] (.-ollpo-i-l---p - Pas de description.) -- C:\Users\vincent-I5\AppData\Local\Temp\LollipopInstaller_somoto_14693.exe [305664] =>Adware.Lollipop
[MD5.A8437C402779D06BFB7E5958640347BD] [SPRF][03/08/2013] (.Babylon Ltd. - Babylon Client Setup.) -- C:\Users\vincent-I5\AppData\Local\Temp\mybabylontb.exe [796752] =>Toolbar.Babylon
[MD5.681A102F479ED965D006B5E825884A66] [SPRF][31/07/2013] (.Babylon Ltd. - Uninstaller Application.) -- C:\Users\vincent-I5\AppData\Local\Temp\uninst1.exe [339536] =>Toolbar.Babylon
O87 - FAEL: "TCP Query User{FAF2BFB9-F95E-456A-A2C5-3E39CC77E7ED}C:\users\vincent-i5\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\vincent-i5\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.) =>PUP.CacaoWeb
O87 - FAEL: "UDP Query User{9DC97AAD-9B96-41A7-9524-C8B451A06F25}C:\users\vincent-i5\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\vincent-i5\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.) =>PUP.CacaoWeb
O87 - FAEL: "{F509B346-AC82-4C03-BA1B-6FCCBA791E2E}" |In - Public - P6 - TRUE | .(...) -- C:\ProgramData\eSafe\eGdpSvc.exe (.not file.) =>PUP.eSafeSecurity
C:\Users\vincent-I5\AppData\Local\Temp\LollipopInstaller_somoto_14693.exe =>Adware.Lollipop^
C:\Users\vincent-I5\AppData\Local\Temp\mybabylontb.exe =>Toolbar.Babylon^
C:\Users\vincent-I5\AppData\Local\Temp\uninst1.exe =>Toolbar.Babylon^
EmptyCLSID
Emptytemp
EmptyFlash
Sysrestore

Double-clique sur le raccourci du programme "ZHPFix" qui est sur ton bureau

image

Dans l'interface du logiciel qui s'est ouvert, clique sur "Importer" pour coller le Script ZHPFix


image

Si le script n'est pas conforme
Un avertissement s'affiche
Le script doit comporter obligatoirement comme première ligne Script ZHPFix


image

Si le script est conforme
Le texte précédemment copié doit être maintenant affiché automatiquement dans l'interface de ZHPFix


image

Vérifie que le script dans ZHPFix correspond aux lignes précédentes

Clique sur le bouton « GO » pour lancer le nettoyage

Confirme ce nettoyage en cliquant sur "OUI" dans les deux fenêtres suivantes


image
image

Ce traitement peut durer jusqu'à plusieurs minutes avant le nettoyage proprement dit des lignes du script
Le nettoyage s'effectue, ne touche à rien pendant cette étape, si le programme demande un redémarrage du pc fait le
A l'issue un rapport ZHPFix.txt s'affiche dans la zone de rapport de l'interface et dans le bloc note Windows
Le rapport est aussi sauvegardé sur le Bureau Windows et dans le dossier : C\ZHP\ZHPFix.txt

Poste le contenu de ce rapport par un copier/coller dans ta réponse sur le forum

Ferme ZHPFix et le bloc note par la croix rouge en haut à droite des deux fenêtres

2/
Mises à jour à effectuer
MSIE: Internet Explorer v8.0.7600.16385 => Microsoft Internet Explorer // en IE10 via Windows UpDate
MFIE: Mozilla Firefox 24.0 (Defaut) // OK
---\\ Informations sur les produits Windows
~ Langage: Français
Windows 7 Ultimate Edition, 64-bit (Build 7600) => Microsoft Corporation // Grosse failes en Sécurité // Installer le SP1 via Windows UpDate
Windows Server License Manager Script : OK => Windows Server License Manager Script Accessible
~ Windows 7, RETAIL channel

3/
Vide tes fichiers temporaires de navigation Web avec CCleaner => http://www.piriform.com/ccleaner/builds

A te lire



Modifié par Evasion60 le 06/10/2013 23:42
erkyldidou
 Posté le 06/10/2013 à 23:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut, merci encore pour tout ça, voici le rapport de ZHP :

Rapport de ZHPFix 2013.10.6.3 par Nicolas Coolman, Update du 06/10/2013
Fichier d'export Registre :
Run by vincent-I5 at 06/10/2013 23:44:41
High Elevated Privileges : OK
Windows 7 Ultimate Edition, 64-bit (Build 7600)

Corbeille vidée

========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\Users\vincent-I5\AppData\Local\Temp\LollipopInstaller_somoto_14693.exe
SUPPRIMÉ: Memory Process: C:\Users\vincent-I5\AppData\Local\Temp\mybabylontb.exe
SUPPRIMÉ: Memory Process: C:\Users\vincent-I5\AppData\Local\Temp\uninst1.exe

========== Clés du Registre ==========
SUPPRIMÉ: [HKLM\SOFTWARE\Classes\CLSID\{318A227B-5E9F-45bd-8999-7F8F10CA4CF5}]
SUPPRIMÉ: SearchScopes :{E0505013-AF45-464A-9064-9D20AFEECBB4}

========== Valeurs du Registre ==========
SUPPRIMÉ: Toolbar: {318A227B-5E9F-45bd-8999-7F8F10CA4CF5}
SUPPRIMÉ: TCP Query User{FAF2BFB9-F95E-456A-A2C5-3E39CC77E7ED}C:\users\vincent-i5\appdata\roaming\cacaoweb\cacaoweb.exe
SUPPRIMÉ: UDP Query User{9DC97AAD-9B96-41A7-9524-C8B451A06F25}C:\users\vincent-i5\appdata\roaming\cacaoweb\cacaoweb.exe
SUPPRIMÉ: {F509B346-AC82-4C03-BA1B-6FCCBA791E2E}

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichiers ==========
SUPPRIMÉ: c:\users\public\desktop\emule.lnk
SUPPRIMÉ: c:\program files (x86)\emule\emule.exe
SUPPRIMÉ: c:\programdata\microsoft\windows\start menu\programs\vuze.lnk
SUPPRIMÉ: c:\programdata\microsoft\windows\start menu\programs\startup\rvlkl.lnk
SUPPRIMÉ:* c:\users\vincent-i5\appdata\local\temp\lollipopinstaller_somoto_14693.exe
SUPPRIMÉ:* c:\users\vincent-i5\appdata\local\temp\mybabylontb.exe
SUPPRIMÉ:* c:\users\vincent-i5\appdata\local\temp\uninst1.exe
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Tache planifiée ==========
SUPPRIMÉ: Desk 365 RunAsStdUser
SUPPRIMÉ: {56038F9D-355B-4B05-982A-9A5271B48088}
SUPPRIMÉ: {7E539346-28E1-4DC0-957D-527F98F04A7B}

========== Restauration Système ==========
Aucun Point de restauration du système crée


========== Récapitulatif ==========
3 : Processus mémoire
2 : Clés du Registre
4 : Valeurs du Registre
3 : Dossiers
9 : Fichiers
3 : Tache planifiée
1 : Restauration Système


End of clean in 00mn 10s

========== Chemin de fichier rapport ==========
C:\Users\vincent-I5\AppData\Roaming\ZHP\ZHPFix[R1].txt - 06/10/2013 23:44:43 [2357]


Je vazis faire toutes els mises à jour que tu conseille.

Au vu de ce qu'il y avait sur la machine est ce que c'est posssible de croire qu'il a juste cherché à utiliser ma bécane pour faire ses hacks, ou est-ce bien plus probable que j'étais sa cible? C'est possible à dire?

Merci !

Evasion60
 Posté le 07/10/2013 à 00:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Je vazis faire toutes els mises à jour que tu conseille. // Oui à faire en urgence !

/!\ Ne pas oublier de vider tes caches de nav Web

Au vu de ce qu'il y avait sur la machine est ce que c'est posssible de croire qu'il a juste cherché à utiliser ma bécane pour faire ses hacks, ou est-ce bien plus probable que j'étais sa cible? C'est possible à dire // Il n'y a que toi qui connait ce type // Moi perso je lui casse la gle !!!

Quand cela est complété, tu reviens me faire coucou, nous n'avons pas terminé

Edité =>
De plus comme c'est ton gagne pain, tu peux crypter tes dossiers sensibles liés aux jeux de Poker, sur ton volume C:\
Médite aussi sur la réflection de Papounet, via les codecs imposés sur certains sites de jeux en lignes (très dangereux)



Modifié par Evasion60 le 07/10/2013 00:06
Anonyme
 Posté le 07/10/2013 à 00:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

ou est-ce bien plus probable que j'étais sa cible?

Aprés tests de l'échantillon que j'ai recueillis....vous étiez sa cible. (suivez les conseils d'evasion60...changez tous vos password quand il vous le diras)

bonne nuit a vous deux.

Evasion60, j'ai fait remonter le sample aux éditeurs qui ne le détecte pas encore.

https://www.virustotal.com/fr/file/e0f7d2d3901903a221e60461e43bd8ae5765f95e3ea047d4b9ea6036d84b1044/analysis/



Modifié par Anonyme le 07/10/2013 00:05
Evasion60
 Posté le 07/10/2013 à 00:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité


Merci Patrick, pour la remontée

erkyldidou
 Posté le 07/10/2013 à 01:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Coucou (tout devrait être à jour / nettoyé ) !


Quand cela est complété, tu reviens me faire coucou, nous n'avons pas terminé

Edité =>
De plus comme c'est ton gagne pain, tu peux crypter tes dossiers sensibles liés aux jeux de Poker, sur ton volume C:\
Médite aussi sur la réflection de Papounet, via les codecs imposés sur certains sites de jeux en lignes (très dangereux)

Oui, pour les logiciels de poker, je ne passe que par les sites de confiance. Crypter mes dossiers, comment je peux trouver où le faire, et ça implique quoi?



Modifié par erkyldidou le 07/10/2013 01:21
Publicité
Evasion60
 Posté le 07/10/2013 à 08:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

/!\ Contrôle bien, via le panneau de configuration que tu as bien le SP1 et IE10 validés sur ton Seven !

Passe ce scanner en ligne =>
https://forum.pcastuces.com/eset_online_scanner___tutoriel-f31s56.htm
Poste son rapport

Pour Crypter, une procédure complète =>
http://www.pcastuces.com/pratique/securite/crypter_disque_dur/page1.htm
A noter qu'il faut impérativement mettre/renregistrer tous les mots de passe d'accès, ailleurs sous peine de ne plus pouvoir récupérer les dossiers

somebodyone
 Posté le 07/10/2013 à 08:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour tout le monde ........................ et Re. erkyldidou:

Juste une petite incruste pour un avis perso et c'est promis je

Très indélicat ce Monsieur Hacker pour ne pas dire plus et grossier ! ! ! ! ! !
en même temps que crypter tout ce qui est lourd à gérer, je mettrai un Password
pour le chargement du BIOS afin d'empécher le démarrage du PC , bien sur c'est
outrepassable/contournable aussi ce Password mais ça laisse des sérieuses traces
de plus il faudrait qu'il apporte sa boite à outils.

Car si il veut te nuire ou profiter de toi, bien que certains fichiers soient cryptés tu ne
pourras pas tous les cryptés et il pourra toujours trouver des informations qu'il pourrait
utiliser pour te nuire ou bien te poser des problèmes voir techniques.

Tu imagines qu'il amène un CD Live d'Image COPY et qu'il récupère/pompe l'intégralité
de ta/tes partition/s ton Disk pour bricoler/fouiller tous tes fichiers chez lui tranquillement
car vu le niveau tecnique probable de ce connard/bandit Monsieur il pourrait le faire.



Modifié par somebodyone le 07/10/2013 18:02
erkyldidou
 Posté le 07/10/2013 à 12:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour bonjour,

vous commencez tôt :p!

Je n'ai pas trouver où on check si SP1 est installé, et pour IE j'ai avast qui me dit qu'il est à jour avec la version 9.0, pas la 10??

@somebodyone : il n'est plus question que cette personne ait accès à mon PC maintenant, mais merci pour ces conseils, je pense que je vais en effet augmenter malgré tout mes sécurités.

Je lance le scan !

erkyldidou
 Posté le 07/10/2013 à 13:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re !

Voici le rappport d'ESET :

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=108b1424e355ae478f1e32f9a43d6b21
# engine=15383
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-10-07 11:16:40
# local_time=2013-10-07 01:16:40 )
# country="France"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=774 16777213 85 91 55649 157854472 0 0
# compatibility_mode=5893 16776573 100 94 1576193 133559552 0 0
# scanned=263179
# found=2
# cleaned=0
# scan_time=2766
sh=846663DF44665A68EAEA7BD339D42786D6671AD9 ft=1 fh=1c49031d79431e7d vn="a variant of Win32/Adware.Lollipop.P application" ac=I fn="C:\Users\vincent-I5\AppData\Roaming\ZHP\Quarantine\lollipopinstaller_somoto_14693.exe.VIR"
sh=76A3BCF381C3D6DF72652105B0E159B7E37B7044 ft=1 fh=f73562da1fb8fb95 vn="a variant of MSIL/Packed.NetShrink.B trojan" ac=I fn="C:\Windows\Logs\HomeGroup\crypter_infinitie(1).exe"


Je me demandais : si j'ai bien compris, le crypter sert à rendre indetectable par les antivirus ce qu'il a fait sur mon PC, non? Est-ce que tout ceci sera vraiment fiable et qu'il ne vaut pas mieux tout réinstaller?

Merci, a bientot

Anonyme
 Posté le 07/10/2013 à 13:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
erkyldidou a écrit :

Je me demandais : si j'ai bien compris, le crypter sert à rendre indetectable par les antivirus ce qu'il a fait sur mon PC, non? Est-ce que tout ceci sera vraiment fiable et qu'il ne vaut pas mieux tout réinstaller?

Merci, a bientot

Bonjour

sans préjuger de la suite que vous donne ou donnera Evasion60.

  • le logiciel utilisé "crypter infinitie" (sans trop m'étendre) sert à cela...et entre autres, car il permet aussi d'envoyer des informations volées sur le pc victime a son attaquant.
  • Un keylogger a été installé en paralléle " Revealer Keylogger" (le keylogger est connu des antivirus), ce keylogger n'a pas été detecté par votre antivirus....donc....
  • Keylogger = enregistreur de frappes clavier.
  • Le formatage n'est pas nécessaire, les informations (mot de passe et autres) ont déjà été volées...ou étaient dans l'attente de l'être.

je vous laisse avec Evasion60



Modifié par Anonyme le 07/10/2013 13:39
Papounet17000
 Posté le 07/10/2013 à 17:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Reste à savoir combien de temps s'est écoulé au moment ou il a mis les main sur le PC et le moment ou tu t'es rendu compte de quelque chose.

Evasion60
 Posté le 07/10/2013 à 19:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir

1/
Cherche et supprime si présent =>
C:\Windows\Logs\HomeGroup\crypter_infinitie(1).exe
Vide ta corbeille

2/

image DelFix (d'Xplode)

Citation
DelFix va supprimer les outils utilisés pour cette désinfection.(quarantaines comprises)
DelFix va purger la restauration systéme potentiellement infectée et créer un nouveau point de restauration propre.
Ce point de restauration sera nommé "Fin de désinfection"
A l'issue Delfix s'auto-supprime.



  • Téléchargez et enregistrez DelFix sur votre bureau.
  • Cliquez sur Delfix pour le lancer.
  • Vista/ 7 et 8, faites un clic droit et choisissez "Exécuter en tant qu'administrateur"
  • Cochez les cases : "Supprimer les outils de désinfections" et "Purger la restauration système"


    image
  • Cliquez sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
  • Pour avoir le rapport de l'outils qui est enregistré dans le presse papier Windows.
  • Faites un clic droit de souris dans votre bloc notes (Notepad) ouvert et sélectionnez "Coller".
  • Ou Appuyez simultanément sur les touches CTRL et V pour coller le contenu du presse-papier.

    Le rapport ressemblera à ceci....

    Code
    # DelFix v10.0 - Rapport créé le 28/01/2013 à 18:18:59
    # Mis à jour le 04/01/2013 par Xplode
    # Nom d'utilisateur : Patrick - PORTABLE

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\ZHP
    Supprimé : C:\PhysicalDisk0_MBR.bin

    ~ Purge de la restauration système ...

    Supprimé : RP #20 [Fin de désinfection | 01/28/2013 17:18:29]

    Nouveau point de restauration créé !

    ########## - EOF - ##########
Vous pouvez maintenant l'enregistrer et poster son contenu.
Ensuite, nous faisons le point =>
A/
As-tu changé tous tes mots de passe (à tout niveau)

B/
As-tu contrôlé niveau banque, tes débits CB

C/
Pour voir si le SP1 et IE10 sont installés =>
Via le panneau de configuration // Mises à jour installées => Tu vas les voir !
Pour IE10, si il n'est pas passé, il te faut relancer Windows UpDate, pour le choper
* Pour info d'un Seven basic, et obtenir toutes les mises à jour il y en a pour + de 400 à choper (cela ne se fait pas du premier coup)
D/
As-tu imprimé la procédure pour crypter tes données sensibles
Et as-tu l'intension de le faire
En attente de tes réponses


erkyldidou
 Posté le 07/10/2013 à 20:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

BONSOIR §

1/ --> Trouvé et supprimé !

2/ --> voici le log :

# DelFix v10.4 - Rapport créé le 07/10/2013 à 20:10:33
# Mis à jour le 19/07/2013 par Xplode
# Nom d'utilisateur : vincent-I5 - VINCENT-I5-PC
# Système d'exploitation : Windows 7 Ultimate (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\vincent-I5\Desktop\adwcleaner(1).exe
Supprimé : C:\Users\vincent-I5\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\vincent-I5\Desktop\ZHPDiag.txt
Supprimé : C:\Users\vincent-I5\Desktop\ZHPFix.lnk
Supprimé : C:\Users\vincent-I5\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\vincent-I5\Downloads\adwcleaner(1).exe
Supprimé : C:\Users\vincent-I5\Downloads\adwcleaner.exe
Supprimé : C:\Users\vincent-I5\Downloads\esetsmartinstaller_enu.exe
Supprimé : C:\Users\vincent-I5\Downloads\ZHPDiag2.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #42 [Point de contrôle planifié | 09/18/2013 10:06:36]
Supprimé : RP #43 [DirectX est installé | 09/18/2013 14:35:06]
Supprimé : RP #44 [Point de contrôle planifié | 09/26/2013 18:34:26]
Supprimé : RP #45 [Point de contrôle planifié | 10/04/2013 14:46:25]
Supprimé : RP #46 [Installed Java 7 Update 40 | 10/06/2013 19:26:00]
Supprimé : RP #47 [Windows Update | 10/06/2013 21:56:46]
Supprimé : RP #48 [Windows Update | 10/06/2013 22:07:39]
Supprimé : RP #49 [Windows Update | 10/07/2013 01:00:10]

Nouveau point de restauration créé !

########## - EOF - ##########


3/ A/ --> Je n'ai pas encore changé mes MDP, j'attendais la corfirmation comme quoi tout était safe et que je pouvais le faire, je m'y met dès que j'ai fini ce message.

B/ Pareil, je voulais ne pas me logguer tant que je ne savais pas si je risquer d'envoyer quelque chose via un keylogger avan de faire quoi que ce soit, vu qu'il faut de toute manière 3-4 jours pour pouvoir faire un transfert d'argent avec juste mes mots de passe que ce soit de ma banque ou de mes room de poker cvu qu'elles sont sécurisées en plus par des clef physique qu'il n'a pas pris.

C/ J'ai été voir la liste de ce qui a été installé / liste des mises à jours, installées, j'en ai 119 et aucune ligne concernant l'installation d'un service pack. Cependant lorsque je vais dans windows update, il est vert en me disant qu'il n'y a pas de mise à jour disponible pour mon ordinateur. j'ai aussi quelques lignes concernant des correctifs apporté a un Microsoft XML core Service 4.0 Service pask 2, par exemple :

Mise à jour pour Microsoft XML Core Services 4.0 Service Pack 2 pour les systèmes x64 (KB973688)

Date d'installation : ‎07/‎10/‎2013 03:00

État de l'installation : Réussite

Type de mise à jour : Important

Installez cette mise à jour pour empêcher les applications d'envoyer trop de requêtes HTTP alors qu'une Définition du type de document (DTD) connue est incluse. Une fois cette installation terminée, vous serez peut-être amené à redémarrer l'ordinateur. Après son installation, l'élément ne peut pas être supprimé.

Plus d'informations :
http://support.microsoft.com/kb/973688

Aide et support :
http://support.microsoft.com


mais je ne sais aps s'il y a un lien. En tous cas pendant l'installation j'ai eu 3 reboots qu'il m'a fait tout seel, et comme je disait plus rien en liste dans le windows update.

D / Là aussi

j'attendais d'être propre avant de faire ça, maintenant que c'est le cas je vais changer mes mots de passe puis me pencher là dessus.

Merci pour tout !

Evasion60
 Posté le 07/10/2013 à 22:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

... C/ J'ai été voir la liste de ce qui a été installé / liste des mises à jours, installées, j'en ai 119 et aucune ligne concernant l'installation d'un service pack ...

Il te faut relancer Windows UpDate pour y arriver (je sais c'est long, et il faut des Arrêts/Redémarrages // Perso, j'ai mis 3 jours pour arriver au SP1, et plus pour IE10 )
C'est le seul moyen de les obtenir, et de mettre à jour ton Seven

Au niveau Sécurité, tu es clean (KeyLogger shooté dès le départ + actions avec crypter infinitie)

Tu mets ton sujet en "Résolu" quand tu veux
Bonne continuation, et bon surf (jeux)

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Je me suis fait avoir comme un bleu
lop.com me suis fait avoir aussi
JE ME FAIT HACKER EN WIFI
Kaspersky Lab s'est fait attaqué par duqu
delta-homes Enigma spyhunter.... ça fait beaucoup
Avast fait encore un caprice...^__^
Avast fait planter l'ordinateur...
je suis envahi de pub et programmes suite a un téléchargement
Suis-je infecté ?
Pc qui fait que de redemarée
Plus de sujets relatifs à Me suis-je fait hacker mon PC?
 > Tous les forums > Forum Sécurité