> Tous les forums > Forum Sécurité
 Piratage TeamViewer et mot de passe
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
buggas
  Posté le 08/05/2014 @ 20:56 
Aller en bas de la page 
Petit astucien

Bonsoir à tous,

un ami vient de se faire pirater son ordi sous Win 8 par une soit disant filiale de Microsoft.

La procédure a consisté à prendre le contrôle à distance de son ordi avec TeamViewer puis d'ajouter un mot de passe avant le lancement de Windows afin de lui soutirer de l'argent...

J'ai réussi à récupéré le contrôle mais un problème subsiste, à chaque redémarrage, la fenêtre ci-dessous demande un mot de passe :

Et ceci avant le mot de passe de session standard avec son adresse hotmail...

Auriez vous une solution afin d'enlever cette boite de dialogue ?

Par avance, MERCI !

Publicité
beorcs
 Posté le 08/05/2014 à 21:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir ,

Tu ne pourrais pas restaurer à une date antérieure au souci ?

buggas
 Posté le 08/05/2014 à 21:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir,

merci, j'y ai pensé mais le seul et unique point de restauration est après le piratage suite à une mise à jour...

Evasion60
 Posté le 08/05/2014 à 23:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Buggas

/!\ Essaie un démarrage en mode sans échec et prise en charge du réseau =>
*
Si vous êtes en simple boot

Sous Windows

1/
En bas à droite, cliquez sur "Paramètres", puis sur "Plus de paramètres PC"

Image

2/
Cliquez sur "Général" et "Redémarrer maintenant"

Image

3/
Cliquez sur "Résolution des problèmes"

Image

4/
Cliquez sur "Options avancées"

Image

5/
Cliquez sur "Paramètres de démarrage Windows"

Image

6/
Cliquez sur "Redémarrer"

Image

7/
Vous retrouverez la célèbre fenêtre avec différentes options proposées =>

Image

Dans ce mode applique Aide au diag d'un PC infecté (liens dans ma signature)

Reviens avec les deux premiers rapports demandé =>
- MalwareBytes AM
- AdwCleaner

buggas
 Posté le 09/05/2014 à 15:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

Connaissant très bien ces utilitaires j'ai déjà effectué les scans qui ont conduit à la suppression de plusieurs malwares mais sans relation avec la fenêtre de demande de mot de passe.

Je n'ai pas gardé les rapports, veux tu que je fasse faire quand même les manips et te confirmer les rapports (très certainement vierge...)

Ou as tu une autre piste ? MERCI !

Le Fêlé
 Posté le 09/05/2014 à 15:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Et les "images"/sauvegardes système, tu ne pratiquais pas ?

Evasion60
 Posté le 09/05/2014 à 19:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Buggas

Tu commences par RogueKiller, STP
J'ai inversé mon analyse

1/

Je veux bien ZHPDiag en Full Options (Complet)
Tu héberges son rapport, STP

Edité =>
C'est le point n°3 de Aide au diag d'un PC infecté

2/

Télécharge RogueKiller de Tigzy

RogueKiller V7 - Tutorial officiel
http://tigzyrk.blogspot.be/2012/10/fr-roguekiller-tutoriel-officiel.html
ChangeLog

http://www.sur-la-toile.com/RogueKiller/

Télécharge => RogueKiller de Tigzy sur le bureau

/!\ Prendre la version qui correspond à la machine
x86
pour une machine en 32bits ===>
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
x64
pour une machine en 64bits ===> http://www.sur-la-toile.com/RogueKiller/RogueKillerX64.exe

Comment savoir si mon pc est 32 ou 64 bits =>
Touches clavier Windows + Pause
Dans la fenêtre qui s'ouvre =>
Type de l'OS + Système d'exploitation 32 bits ou 64bits


(A partir d'une clé USB et d'un autre pc si le Rogue empêche l'accès au net ou en mode sans échec avec prise en charge réseau)


Quitte tous les programmes en cours
Lance RogueKiller.exe en cliquant sur l'icône.

image

Un pre-scan va s'effectuer rapidement.
Quand il sera terminé, clique sur le bouton Scan

image

Clique sur le bouton Suppression

image

Clique sur le bouton Rapport quand le nettoyage sera terminé.

image

Envoie une copie du rapport RKreport[1].txt qui va s'afficher.
Il sera enregistré sur le bureau.

image

/!\ Si l'affichage des icônes du bureau, seulement dans ce cas, ne se fait pas correctement, clique sur le bouton Racc. RAZ

Remarque.
Il est possible de faire un don au créateur de l'outil par le bouton PayPal - Donate.



Modifié par Evasion60 le 09/05/2014 19:34
buggas
 Posté le 09/05/2014 à 20:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Le Fêlé a écrit :

Bonjour,

Et les "images"/sauvegardes système, tu ne pratiquais pas ?

Bonjour Le Fêlé, eh bien si mais sur mon ordi perso... Pas sur celui de mon Ami... Dommage !

Merci Evasion, je demande de faire ça, je reviens dès que j'ai les rapports...

buggas
 Posté le 10/05/2014 à 14:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

buggas
 Posté le 10/05/2014 à 14:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

buggas
 Posté le 10/05/2014 à 14:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour à tous,

voici les 2 rapports ! Bonne journée !

Evasion60
 Posté le 10/05/2014 à 18:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

1/
Rends toi sur ce site => : http://www.virustotal.com/
Clique sur parcourir, cherche ce chemin C:\Windows\System32\x264vfw64.dll
Valide
Patiente, et copie/colle son rapport

2/

Applique ce correctif =>

Ouvre le bloc-notes
Sélectionne et copie les lignes en gras ci dessous =>


Script ZHPFix
ShortcutFix
[MD5.723DB99F24FBDCC8DE746D5689B20E79] - (.BitTorrent Inc. - µTorrent.) -- C:\Users\Rodolphe\AppData\Roaming\uTorrent\uTorrent.exe [1266520] [PID.5808]
G2 - GCE: Preference [User Data\Default] [dbjppichcglefgkokpihipfnhpjkhfje] Live Football Streams & Scores v.1.1 (Activé)
G2 - GCE: Preference [User Data\Default] [ncchfpbkgifhimlijbjppppcmkoahomj] HDvid Codec V7.0 v.1.26.13, (Activé)
G2 - GCE: Preference [User Data\Default] [pcoohmdcpejoeggdnihdfhohjgdbllgm] Avira SearchFree Toolbar plus Web Protection v.30.1, (Désactivé)
O4 - GS\QuickLaunch [Rodolphe]: µTorrent.lnk . (.BitTorrent Inc. - µTorrent.) -- C:\Users\Rodolphe\AppData\Roaming\uTorrent\uTorrent.exe
O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [Power2GoExpress8] Clé orpheline
O4 - HKUS\S-1-5-21-1116405644-1351350221-41389723-1001\..\Run: [Power2GoExpress8] Clé orpheline
[HKCU\Software\SecretSauce]
[HKLM\Software\Wow6432Node\SecretSauce]
O43 - CFD: 09/01/2014 - 15:20:37 - [] ----D C:\ProgramData\APN
O45 - LFCP:[MD5.BBE694E9FC0465C968E87D15DF4F066D] - 07/05/2014 - 16:17:14 ---A- - C:\Windows\Prefetch\BUBBLE DOCK BSETUP.EXE-4C456FD7.pf =>PUP.BubbleDock
O45 - LFCP:[MD5.62D6AAEFD29F9A8B46CD03D398094A8E] - 14/02/2014 - 10:18:54 ---A- - C:\Windows\Prefetch\SEARCHPROTECTINT.EXE-8AF88A9E.pf
O45 - LFCP:[MD5.0676E03F57161BE5CF82709CE6ECE6C6] - 09/05/2014 - 17:19:47 ---A- - C:\Windows\Prefetch\UTORRENT.EXE-FAC509D6.pf
O69 - SBI: SearchScopes [HKCU] {D944BB61-2E34-4DBF-A683-47E505C587DC} - (eBay) - http://rover.ebay.com
O87 - FAEL: "{F1BD0AD0-AEA6-4A1B-BFBB-4C661674B485}" | In - None - P17 - TRUE | .(.BitTorrent Inc. - µTorrent.) -- C:\Users\Rodolphe\AppData\Roaming\uTorrent\uTorrent.exe
O87 - FAEL: "{F0840AC4-C8C2-488A-8C63-1AA9313F4AF6}" | In - None - P6 - TRUE | .(.BitTorrent Inc. - µTorrent.) -- C:\Users\Rodolphe\AppData\Roaming\uTorrent\uTorrent.exe
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateSecretSauce_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateSecretSauce_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilSecretSauce_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilSecretSauce_RASMANCS
SR - | Auto 30/08/2011 462184 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
[HKLM\Software\Google\Chrome\Extensions\ncchfpbkgifhimlijbjppppcmkoahomj]
[HKLM\Software\Google\Chrome\Extensions\pcoohmdcpejoeggdnihdfhohjgdbllgm]
C:\Users\Rodolphe\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncchfpbkgifhimlijbjppppcmkoahomj
C:\Users\Rodolphe\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcoohmdcpejoeggdnihdfhohjgdbllgm
C:\Users\Rodolphe\AppData\Roaming\uTorrent\uTorrent.exe
[HKCU\Software\SecretSauce]
[HKLM\Software\Wow6432Node\SecretSauce]
FirewallRAZ
EmptyCLSID

Emptytemp
EmptyFlash

Double-clique sur le raccourci du programme "ZHPFix" qui est sur ton bureau
Pour Vista/Seven/Win8, par un clic droit et exécuter en tant qu'Administrateur

image

Dans l'interface du logiciel qui s'est ouvert, clique sur "Importer" pour coller le Script ZHPFix


image

Si le script n'est pas conforme
Un avertissement s'affiche
Le script doit comporter obligatoirement comme première ligne Script ZHPFix


image

Si le script est conforme
Le texte précédemment copié doit être maintenant affiché automatiquement dans l'interface de ZHPFix


image

Vérifie que le script dans ZHPFix correspond aux lignes précédentes

Clique sur le bouton « GO » pour lancer le nettoyage

Confirme ce nettoyage en cliquant sur "OUI" dans les deux fenêtres suivantes


image

Ce traitement peut durer jusqu'à plusieurs minutes avant le nettoyage proprement dit des lignes du script
Le nettoyage s'effectue, ne touche à rien pendant cette étape, si le programme demande un redémarrage du pc fait le
A l'issue un rapport ZHPFix.txt s'affiche dans la zone de rapport de l'interface et dans le bloc note Windows
Le rapport est aussi sauvegardé sur le Bureau Windows et dans le dossier => C:\user\nomxxx\AppData\Roaming\ZHP\ZHPDiag.txt

Poste le contenu de ce rapport par un copier/coller dans ta réponse sur le forum

Ferme ZHPFix et le bloc note par la croix rouge en haut à droite des deux fenêtres

Reviens avec les deux rapports


buggas
 Posté le 10/05/2014 à 20:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci Evasion, je demande de faire ça, je reviens dès que j'ai les rapports...

Blablato33
 Posté le 10/05/2014 à 23:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Désolé Evasion mais je n'ai pas le fichier x264vfw64.dll mais seulement x264vfw.dll .

Comment dois-je procéder merci ???

Evasion60
 Posté le 11/05/2014 à 18:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

buggas a écrit :

Merci Evasion, je demande de faire ça, je reviens dès que j'ai les rapports...

Bonjour Buggas

Tu en es ou ?

buggas
 Posté le 11/05/2014 à 20:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Evasion60 a écrit :

Bonjour Buggas

Tu en es ou ?

Bonjour Evasion, blablato33 est mon Ami qui a le souci actuel de la discussion, je pense qu'il est préférable que tu traites en direct avec lui maintenant, non ?

Blablato33
 Posté le 12/05/2014 à 08:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Evasion comme t'a dis Buggas c'est moi qui ai le problème et donc je n'ai pas le fichier rechercher comme je te l'indique ci-dessus.

Comment dois-je procéder merci ?

Evasion60
 Posté le 12/05/2014 à 11:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour tous les deux

Blablato =>

Ton Windows 8.1 est en 64bits, donc tu dois pouvoir le trouver ( C:\Windows\System32\x264vfw64.dll )
Celui que tu possèdes est donc en 32bits ( x264vfw.dll )
Cherche bien

Passe le correctif avec ZHPFix
Poste son rapport aussi, STP

Blablato33
 Posté le 12/05/2014 à 12:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

excuse moi mais je trouve bien ce dossier lorsque je fais une recherche dans mon PC mais quand je veux l'ouvrir avec virustotal.com le dossier s'affiche en 32 bits (x264vfw.dll).

Evasion60
 Posté le 12/05/2014 à 12:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Ok, soumets le à VirusTotal
Poste son rapport

Continue avec ZHPFix
Poste son rapport

Blablato33
 Posté le 12/05/2014 à 12:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : rapport virustotal.txt

Blablato33
 Posté le 12/05/2014 à 13:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

j'espère que c'est le rapport que tu souhaites pour virustotal sachant que le ratio détetction 0/52

Blablato33
 Posté le 12/05/2014 à 13:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

voici le rapport après ZHPFix

Blablato33
 Posté le 12/05/2014 à 13:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPFixReport.txt

Evasion60
 Posté le 12/05/2014 à 13:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Ok, c'est un Codec Audio/Vidéo

Pour =>

Il se lance donc au démarrage de Windows ?
As tu un Nom de ce logiciel qui s'ouvre ?
Si c'est TeamViewer, tu peux le désactiver au démarrage



Modifié par Evasion60 le 12/05/2014 13:27
Blablato33
 Posté le 12/05/2014 à 14:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ok je vais regarder mais j'ai logiquement désinstallé Teamviewer.

Sinon cela se lance au redémarrage seulement de windows avant l'identifiant et mdp de l'utilisateur.

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
104,99 €Nouvelle liseuse Amazon Kindle Paperwhite 6.8 pouces avec éclairage réglable à 104,99 €
Valable jusqu'au 22 Janvier

Boulanger fait une promotion sur la toute dernière version de la liseuse Kindle Paperwhite d'Amazon qui passe à 104,99 € au lieu de 139,99 €. 

Cette version est désormais doté d'un écran 6,8 pouces (6 pouces auparavant), de bords plus fins, d'un éclairage réglable (vous pouvez changer la teinte de l'écran d'une lumière blanche à un ambre chaud ou programmer quand changer la lumière) avec 17 Leds et d'une autonomie pouvant aller jusqu'à 10 semaines, et 20 % plus rapide pour tourner les pages. Avec une façade plane et un écran sans reflets de 300 ppp qui se lit comme une véritable page imprimée, même en plein soleil.

Elle est toujours résistante à l'eau (IPX8), afin que vous puissiez lire en toute tranquillité à la plage, au bord de la piscine ou dans le bain. Cette liseuse dispose du WiFi, d'un port de charge USB C et de 8 Go d'espace de stockage.

Formats pris en charge : Kindle Format 8 (AZW3), Kindle (AZW), TXT, PDF, MOBI non protégé, PRC natif ; HTML, DOC, DOCX, JPEG, GIF, PNG, BMP converti. Vous pouvez également les fichiers Epub avec cette astuce.


> Voir l'offre
199,99 €Ecran 28 pouces HP V28 (4K, TN, 1 ms, 60 Hz, FreeSync) à 199,99 €
Valable jusqu'au 23 Janvier

Cdiscount fait une belle promotion sur l'écran HP V28 qui passe à 199,99 €. L'écran HP V28 dispose d'une dalle TN 4K (3840x2160) de 28 pouces et d'une connectique DP et 2xHDMI. On le trouve ailleurs à partir de 235 €. Une bonne affaire pour un écran adapté à Internet, à la bureautique et au multimédia.


> Voir l'offre
59,99€Pack Gaming Corsair (clavier K55 RGB + souris Harpoon RGB Pro) à 59,99 €
Valable jusqu'au 27 Janvier

La Fnac fait une belle promotion sur un pack Gaming Corsair comprenant un clavier K55 RGB Pro et une souris Harpoon RGB Pro à 59,99 € alors qu'on le trouve ailleurs à partir de 89 €. Un ensemble de qualité pour joueurs débutants ou confirmés.


> Voir l'offre

Sujets relatifs
Piratage de mon mot de passe google ?
[info] Piratage de mot de passe sur LinkedIn
piratage mot de passe msn
Piratage via TeamViewer 4
piratage boite mail yahoo
Désinfecter par teamviewer
Mot de passe pour dossier
Piratage de ma boite Email Orange
mot de passe
Mot de passe
Plus de sujets relatifs à Piratage TeamViewer et mot de passe
 > Tous les forums > Forum Sécurité