× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Piratage TeamViewer et mot de passe
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
buggas
  Posté le 08/05/2014 @ 20:56 
Aller en bas de la page 
Petit astucien

Bonsoir à tous,

un ami vient de se faire pirater son ordi sous Win 8 par une soit disant filiale de Microsoft.

La procédure a consisté à prendre le contrôle à distance de son ordi avec TeamViewer puis d'ajouter un mot de passe avant le lancement de Windows afin de lui soutirer de l'argent...

J'ai réussi à récupéré le contrôle mais un problème subsiste, à chaque redémarrage, la fenêtre ci-dessous demande un mot de passe :

Et ceci avant le mot de passe de session standard avec son adresse hotmail...

Auriez vous une solution afin d'enlever cette boite de dialogue ?

Par avance, MERCI !

Publicité
beorcs
 Posté le 08/05/2014 à 21:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir ,

Tu ne pourrais pas restaurer à une date antérieure au souci ?

buggas
 Posté le 08/05/2014 à 21:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir,

merci, j'y ai pensé mais le seul et unique point de restauration est après le piratage suite à une mise à jour...

Evasion60
 Posté le 08/05/2014 à 23:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Buggas

/!\ Essaie un démarrage en mode sans échec et prise en charge du réseau =>
*
Si vous êtes en simple boot

Sous Windows

1/
En bas à droite, cliquez sur "Paramètres", puis sur "Plus de paramètres PC"

Image

2/
Cliquez sur "Général" et "Redémarrer maintenant"

Image

3/
Cliquez sur "Résolution des problèmes"

Image

4/
Cliquez sur "Options avancées"

Image

5/
Cliquez sur "Paramètres de démarrage Windows"

Image

6/
Cliquez sur "Redémarrer"

Image

7/
Vous retrouverez la célèbre fenêtre avec différentes options proposées =>

Image

Dans ce mode applique Aide au diag d'un PC infecté (liens dans ma signature)

Reviens avec les deux premiers rapports demandé =>
- MalwareBytes AM
- AdwCleaner

buggas
 Posté le 09/05/2014 à 15:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

Connaissant très bien ces utilitaires j'ai déjà effectué les scans qui ont conduit à la suppression de plusieurs malwares mais sans relation avec la fenêtre de demande de mot de passe.

Je n'ai pas gardé les rapports, veux tu que je fasse faire quand même les manips et te confirmer les rapports (très certainement vierge...)

Ou as tu une autre piste ? MERCI !

Le Fêlé
 Posté le 09/05/2014 à 15:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Et les "images"/sauvegardes système, tu ne pratiquais pas ?

Evasion60
 Posté le 09/05/2014 à 19:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Buggas

Tu commences par RogueKiller, STP
J'ai inversé mon analyse

1/

Je veux bien ZHPDiag en Full Options (Complet)
Tu héberges son rapport, STP

Edité =>
C'est le point n°3 de Aide au diag d'un PC infecté

2/

Télécharge RogueKiller de Tigzy

RogueKiller V7 - Tutorial officiel
http://tigzyrk.blogspot.be/2012/10/fr-roguekiller-tutoriel-officiel.html
ChangeLog

http://www.sur-la-toile.com/RogueKiller/

Télécharge => RogueKiller de Tigzy sur le bureau

/!\ Prendre la version qui correspond à la machine
x86
pour une machine en 32bits ===>
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
x64
pour une machine en 64bits ===> http://www.sur-la-toile.com/RogueKiller/RogueKillerX64.exe

Comment savoir si mon pc est 32 ou 64 bits =>
Touches clavier Windows + Pause
Dans la fenêtre qui s'ouvre =>
Type de l'OS + Système d'exploitation 32 bits ou 64bits


(A partir d'une clé USB et d'un autre pc si le Rogue empêche l'accès au net ou en mode sans échec avec prise en charge réseau)


Quitte tous les programmes en cours
Lance RogueKiller.exe en cliquant sur l'icône.

image

Un pre-scan va s'effectuer rapidement.
Quand il sera terminé, clique sur le bouton Scan

image

Clique sur le bouton Suppression

image

Clique sur le bouton Rapport quand le nettoyage sera terminé.

image

Envoie une copie du rapport RKreport[1].txt qui va s'afficher.
Il sera enregistré sur le bureau.

image

/!\ Si l'affichage des icônes du bureau, seulement dans ce cas, ne se fait pas correctement, clique sur le bouton Racc. RAZ

Remarque.
Il est possible de faire un don au créateur de l'outil par le bouton PayPal - Donate.



Modifié par Evasion60 le 09/05/2014 19:34
buggas
 Posté le 09/05/2014 à 20:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Le Fêlé a écrit :

Bonjour,

Et les "images"/sauvegardes système, tu ne pratiquais pas ?

Bonjour Le Fêlé, eh bien si mais sur mon ordi perso... Pas sur celui de mon Ami... Dommage !

Merci Evasion, je demande de faire ça, je reviens dès que j'ai les rapports...

buggas
 Posté le 10/05/2014 à 14:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Publicité
buggas
 Posté le 10/05/2014 à 14:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

buggas
 Posté le 10/05/2014 à 14:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour à tous,

voici les 2 rapports ! Bonne journée !

Evasion60
 Posté le 10/05/2014 à 18:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

1/
Rends toi sur ce site => : http://www.virustotal.com/
Clique sur parcourir, cherche ce chemin C:\Windows\System32\x264vfw64.dll
Valide
Patiente, et copie/colle son rapport

2/

Applique ce correctif =>

Ouvre le bloc-notes
Sélectionne et copie les lignes en gras ci dessous =>


Script ZHPFix
ShortcutFix
[MD5.723DB99F24FBDCC8DE746D5689B20E79] - (.BitTorrent Inc. - µTorrent.) -- C:\Users\Rodolphe\AppData\Roaming\uTorrent\uTorrent.exe [1266520] [PID.5808]
G2 - GCE: Preference [User Data\Default] [dbjppichcglefgkokpihipfnhpjkhfje] Live Football Streams & Scores v.1.1 (Activé)
G2 - GCE: Preference [User Data\Default] [ncchfpbkgifhimlijbjppppcmkoahomj] HDvid Codec V7.0 v.1.26.13, (Activé)
G2 - GCE: Preference [User Data\Default] [pcoohmdcpejoeggdnihdfhohjgdbllgm] Avira SearchFree Toolbar plus Web Protection v.30.1, (Désactivé)
O4 - GS\QuickLaunch [Rodolphe]: µTorrent.lnk . (.BitTorrent Inc. - µTorrent.) -- C:\Users\Rodolphe\AppData\Roaming\uTorrent\uTorrent.exe
O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [Power2GoExpress8] Clé orpheline
O4 - HKUS\S-1-5-21-1116405644-1351350221-41389723-1001\..\Run: [Power2GoExpress8] Clé orpheline
[HKCU\Software\SecretSauce]
[HKLM\Software\Wow6432Node\SecretSauce]
O43 - CFD: 09/01/2014 - 15:20:37 - [] ----D C:\ProgramData\APN
O45 - LFCP:[MD5.BBE694E9FC0465C968E87D15DF4F066D] - 07/05/2014 - 16:17:14 ---A- - C:\Windows\Prefetch\BUBBLE DOCK BSETUP.EXE-4C456FD7.pf =>PUP.BubbleDock
O45 - LFCP:[MD5.62D6AAEFD29F9A8B46CD03D398094A8E] - 14/02/2014 - 10:18:54 ---A- - C:\Windows\Prefetch\SEARCHPROTECTINT.EXE-8AF88A9E.pf
O45 - LFCP:[MD5.0676E03F57161BE5CF82709CE6ECE6C6] - 09/05/2014 - 17:19:47 ---A- - C:\Windows\Prefetch\UTORRENT.EXE-FAC509D6.pf
O69 - SBI: SearchScopes [HKCU] {D944BB61-2E34-4DBF-A683-47E505C587DC} - (eBay) - http://rover.ebay.com
O87 - FAEL: "{F1BD0AD0-AEA6-4A1B-BFBB-4C661674B485}" | In - None - P17 - TRUE | .(.BitTorrent Inc. - µTorrent.) -- C:\Users\Rodolphe\AppData\Roaming\uTorrent\uTorrent.exe
O87 - FAEL: "{F0840AC4-C8C2-488A-8C63-1AA9313F4AF6}" | In - None - P6 - TRUE | .(.BitTorrent Inc. - µTorrent.) -- C:\Users\Rodolphe\AppData\Roaming\uTorrent\uTorrent.exe
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateSecretSauce_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateSecretSauce_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilSecretSauce_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilSecretSauce_RASMANCS
SR - | Auto 30/08/2011 462184 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
[HKLM\Software\Google\Chrome\Extensions\ncchfpbkgifhimlijbjppppcmkoahomj]
[HKLM\Software\Google\Chrome\Extensions\pcoohmdcpejoeggdnihdfhohjgdbllgm]
C:\Users\Rodolphe\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncchfpbkgifhimlijbjppppcmkoahomj
C:\Users\Rodolphe\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcoohmdcpejoeggdnihdfhohjgdbllgm
C:\Users\Rodolphe\AppData\Roaming\uTorrent\uTorrent.exe
[HKCU\Software\SecretSauce]
[HKLM\Software\Wow6432Node\SecretSauce]
FirewallRAZ
EmptyCLSID

Emptytemp
EmptyFlash

Double-clique sur le raccourci du programme "ZHPFix" qui est sur ton bureau
Pour Vista/Seven/Win8, par un clic droit et exécuter en tant qu'Administrateur

image

Dans l'interface du logiciel qui s'est ouvert, clique sur "Importer" pour coller le Script ZHPFix


image

Si le script n'est pas conforme
Un avertissement s'affiche
Le script doit comporter obligatoirement comme première ligne Script ZHPFix


image

Si le script est conforme
Le texte précédemment copié doit être maintenant affiché automatiquement dans l'interface de ZHPFix


image

Vérifie que le script dans ZHPFix correspond aux lignes précédentes

Clique sur le bouton « GO » pour lancer le nettoyage

Confirme ce nettoyage en cliquant sur "OUI" dans les deux fenêtres suivantes


image

Ce traitement peut durer jusqu'à plusieurs minutes avant le nettoyage proprement dit des lignes du script
Le nettoyage s'effectue, ne touche à rien pendant cette étape, si le programme demande un redémarrage du pc fait le
A l'issue un rapport ZHPFix.txt s'affiche dans la zone de rapport de l'interface et dans le bloc note Windows
Le rapport est aussi sauvegardé sur le Bureau Windows et dans le dossier => C:\user\nomxxx\AppData\Roaming\ZHP\ZHPDiag.txt

Poste le contenu de ce rapport par un copier/coller dans ta réponse sur le forum

Ferme ZHPFix et le bloc note par la croix rouge en haut à droite des deux fenêtres

Reviens avec les deux rapports


buggas
 Posté le 10/05/2014 à 20:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci Evasion, je demande de faire ça, je reviens dès que j'ai les rapports...

Blablato33
 Posté le 10/05/2014 à 23:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Désolé Evasion mais je n'ai pas le fichier x264vfw64.dll mais seulement x264vfw.dll .

Comment dois-je procéder merci ???

Evasion60
 Posté le 11/05/2014 à 18:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

buggas a écrit :

Merci Evasion, je demande de faire ça, je reviens dès que j'ai les rapports...

Bonjour Buggas

Tu en es ou ?

buggas
 Posté le 11/05/2014 à 20:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Evasion60 a écrit :

Bonjour Buggas

Tu en es ou ?

Bonjour Evasion, blablato33 est mon Ami qui a le souci actuel de la discussion, je pense qu'il est préférable que tu traites en direct avec lui maintenant, non ?

Blablato33
 Posté le 12/05/2014 à 08:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Evasion comme t'a dis Buggas c'est moi qui ai le problème et donc je n'ai pas le fichier rechercher comme je te l'indique ci-dessus.

Comment dois-je procéder merci ?

Publicité
Evasion60
 Posté le 12/05/2014 à 11:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour tous les deux

Blablato =>

Ton Windows 8.1 est en 64bits, donc tu dois pouvoir le trouver ( C:\Windows\System32\x264vfw64.dll )
Celui que tu possèdes est donc en 32bits ( x264vfw.dll )
Cherche bien

Passe le correctif avec ZHPFix
Poste son rapport aussi, STP

Blablato33
 Posté le 12/05/2014 à 12:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

excuse moi mais je trouve bien ce dossier lorsque je fais une recherche dans mon PC mais quand je veux l'ouvrir avec virustotal.com le dossier s'affiche en 32 bits (x264vfw.dll).

Evasion60
 Posté le 12/05/2014 à 12:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Ok, soumets le à VirusTotal
Poste son rapport

Continue avec ZHPFix
Poste son rapport

Blablato33
 Posté le 12/05/2014 à 12:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : rapport virustotal.txt

Blablato33
 Posté le 12/05/2014 à 13:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

j'espère que c'est le rapport que tu souhaites pour virustotal sachant que le ratio détetction 0/52

Blablato33
 Posté le 12/05/2014 à 13:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

voici le rapport après ZHPFix

Blablato33
 Posté le 12/05/2014 à 13:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPFixReport.txt

Evasion60
 Posté le 12/05/2014 à 13:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Ok, c'est un Codec Audio/Vidéo

Pour =>

Il se lance donc au démarrage de Windows ?
As tu un Nom de ce logiciel qui s'ouvre ?
Si c'est TeamViewer, tu peux le désactiver au démarrage



Modifié par Evasion60 le 12/05/2014 13:27
Blablato33
 Posté le 12/05/2014 à 14:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ok je vais regarder mais j'ai logiquement désinstallé Teamviewer.

Sinon cela se lance au redémarrage seulement de windows avant l'identifiant et mdp de l'utilisateur.

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
4,99 €Housse Case Logic EHDC101K de protection de disque dur externe 2.5 pouces à 4,99 €
Valable jusqu'au 15 Juillet

Amazon fait une promotion sur la housse de protection de disque dur externe 2.5 pouces Case Logic EHDC101K qui passe à 4,99 € au lieu de 7 €. La housse est semi-rigide et possède un élastique intérieure qui maintient le disque dur en place pendant le transport. Vous pourrez ranger vos câbles USB dans la fine poche en maille.


> Voir l'offre
GratuitJeu PC The Escapists 2 gratuit
Valable jusqu'au 16 Juillet

Epic Game Store offre actuellement le jeu PC The Escapists 2. Risquez tout en vous échappant des pires prisons du monde. Explorez les plus grandes prisons jamais conçues ! Vous devrez respecter les règles de la prison, vous présenter à l'appel, travailler et suivre des routines strictes, tout en planifiant votre fuite en secret ! PEGI 7. Le jeu est en français.


> Voir l'offre
104,84 €Disque dur externe portable Seagate Backup Plus 5 To USB 3.0 + 2 mois Adobe CC à 104,84 € livré
Valable jusqu'au 14 Juillet

Amazon Allemagne propose actuellement le disque dur externe portable 2.5 pouces Seagate 5 To Backup Plus USB 3.0 à 99,84 €. Comptez 5 € pour la livraison en France soit un total de 104,84 € livré. On le trouve habituellement à partir de 150 €. Grâce à la connectique USB 3.0 (compatible USB 2.0), ce disque dur vous offrira d'excellents débits pour vos transferts et vos sauvegardes. Notez que le disque à l'intérieur n'est pas soudé (vous pouvez le récupérer pour le mettre dans un portable) et qu'il est compatible PS4. De plus, retouchez, gérez et partagez des photos avec un abonnement gratuit d'un an à Mylio Create et un abonnement de deux mois à Adobe Creative Cloud pour la photo (Lightroom, Photoshop, ...).

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre

Sujets relatifs
Piratage de mon mot de passe google ?
[info] Piratage de mot de passe sur LinkedIn
piratage mot de passe msn
Piratage via TeamViewer 4
piratage boite mail yahoo
Désinfecter par teamviewer
Mot de passe pour dossier
Piratage de ma boite Email Orange
mot de passe
Mot de passe
Plus de sujets relatifs à Piratage TeamViewer et mot de passe
 > Tous les forums > Forum Sécurité