Posez votre question Signaler

Mon ordi est piraté à distance [Résolu]

Galatée - Dernière réponse le 10 juil. 2010 à 09:02
Bonjour,
Mon ordi a été piraté par un ami qui y a eu un accès physique (ainsi qu'à tous mes codes, puisqu'il m'a dit l'avoir reformaté en mon absecnce (!!!).
On m'a conseillé de sécuriser ma connexion puis de formater mon disque dur. Avant cela, en lisant des sujets sur ce forum, j'ai lancé Malewarebytes, puis un RSIT exe... que je ne parviens pas à interpréter correctement car mes connaissances en informatiques sont insuffisantes (surtout intuitives et augmentées par de nombreuses recherches sur internet où j'essaie de regrouper des informations fiables).
J'ai vu que ce forum permettait des conseils plus personnalisés. Peut-on m'aider : je ne sais plus quoi faire !
Merci d'avance à qui voudra bien me répondre.
Lire la suite 
Réponse
+0
moins plus
bjr
a tu un par feu autre que que celui de Windows ,comme PC Tools Firewall Plus ou Comodo Firewall for Windows
Ajouter un commentaire
Réponse
+0
moins plus
il dit avoir formaté ton ordinateur en absence? impossible car il dois mettre un CD bootable dans ton lecteur pour pouvoir y formaté. Et tu prétend dire que c'est ton ami?
De plus ta question n'est pas du tout claire; tu veux qu'on t'aide a trouvé ce que tu dois faire... Ou c'est que tu veux qu'on t'aide a régler ce probleme?
Ajouter un commentaire
Réponse
+0
moins plus
Aucun... et le parasitage des ".dll" , à ce que j'ai compris, m'empêche de télécharger Zone alarm !
Ajouter un commentaire
Réponse
+0
moins plus
Pardon, j'ai omis de dire bonjour... mais ça fait depuis deux heures ce matin que je cherche une solution, et je suis un peu embrumée. :-)
Ajouter un commentaire
Réponse
+0
moins plus
Depuis quand faut un CD bootable pour formater ? :o
Ajouter un commentaire
Réponse
+0
moins plus
Attends qu'un Contributeur Sécurité passe pour voir si ton PC est infecté.

En attendant, "si tu peux", débranche le PC infecté, et suis le forum sur un autre.

Prends un minimum de recul sur ce que les gens te disent, il y a une recrudescence de n'importe quoi en ce moment.
Ajouter un commentaire
Réponse
+0
moins plus
Bonjour galatée

Poste moi les deux rapports du RSIT;merci
Ils sont là:C:\rsit

@+
Mstr 10085Messages postés lundi 11 janvier 2010Date d'inscription Contributeur sécuritéStatut 2 février 2015Dernière intervention - 9 juil. 2010 à 08:15
Salut Guillaume ! ;)

Pour suivre.
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Je viens de telecharger pctools firewalls plus, avec succès !
Mais je ne comprends pas son instruction : il me signale un réseau avec une connexion ip masquée dont il me donne l'adresse MAC et me demande de lui sélectionner un niveau de confiance : que faire ?

A Mstr : Merci pour ce conseil, mais je n'ai pas accès à un autre ordi chez moi, il faut que je change de quartier. :-)
Et aussi, j'ai longtemps pensé faire preuve de parano, mais j'ai fait appel à WIFI SECURITE. COM en détaillant mon histoire, ils pensent eux aussi que mon ordi et / ou ma connexion sont piratés. J'aurais aimé en avoir le coeur net et, surtout, ne pas réinfecter mon ordi quand je l'aurai réinstallé après formatage. Mais j'apprécie que tu veuilles me rassurer et je t'en remercie.
Mstr 10085Messages postés lundi 11 janvier 2010Date d'inscription Contributeur sécuritéStatut 2 février 2015Dernière intervention - 9 juil. 2010 à 08:24
Tu peux suivre les conseils de Guillaume5188 les yeux fermés, tu sera débarrassé de tes problèmes. :)
Répondre
Guillaume5188 47129Messages postés samedi 21 mars 2009Date d'inscription Contributeur sécuritéStatut 28 mars 2015Dernière intervention - 9 juil. 2010 à 08:26
Re Galatée

Si tu te connectes en Wifi cette adresse MAC est certainement celle de ta box.
Sinon;fait ce que je t'ai demandé dans mon précédent post;merci
@+
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Bonjour à tous, et merci d'être là mais les choses se compliquent.
1. je n'arrive pas à envoyer le rapport dans le message, alors que j'appuie sur "valider" après un copier coller
2. L'adresse mac proposée par pc tools ne correspond pas à celle d'ipconfig
Ajouter un commentaire
Réponse
+0
moins plus
Re

Avec Ip config ;tu obtiens les adresses IP et non une adresse MAC

Pour me transmettre les deux rapports clique sur ce lien :

http://www.cijoint.fr/index.php

Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier
Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ces liens dans ta réponse.


@+
Ajouter un commentaire
Réponse
+0
moins plus
Type d'ouverture de session : 0

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x3e7
GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x4
Nom du processus :

Informations sur le réseau :
Nom de la station de travail : -
Adresse du réseau source : -
Port source : -

Informations détaillées sur l'authentification :
Processus d'ouverture de session : -
Package d'authentification : -
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
Record Number: 13382
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091115165310.904930-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Laure
Event Code: 4608
Message: Windows démarre.

Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d'audit est initialisé.
Record Number: 13381
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091115165310.904930-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Intel\WiFi\bin\;C:\Program Files\QT Lite\QTSystem;C:\Program Files\QT Lite\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 14 Stepping 12, GenuineIntel
"PROCESSOR_REVISION"=0e0c
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------
Ajouter un commentaire
Réponse
+0
moins plus
j'ai envoyé les doc par ton lien.
Sinon, l'adresse que j'ai relevée dans ipconfig est l'adresse physique d'une série de 6 paires de chiffres et de lettres. Celles de mon ordi commencent par 00-19-XX ..., celle relevée par pc tools est 00- 24-XX....
Ajouter un commentaire
Réponse
+0
moins plus
Re

Je n'ai aucun lien.
Relis bien la procédure.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php

Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier
Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


@+
Ajouter un commentaire
Réponse
+0
moins plus
http://www.cijoint.fr/cjlink.php?file=cj201007/cijmMrGolv.txt

Désolée, j'avais mal fait la manip, mais ça fait bientôt 7 heures d'affilée que je suis sur mon ordi... et ce n'est pas la première fois depuis quelques jours.
(D'où, aussi, les fautes d'orthographe !)
J'envoie un lien pour l'autre.
Ajouter un commentaire
Réponse
+0
moins plus
Re

Rien de particulier.

Tu te connectes bien en Wifi?
Donc il faut que tu acceptes que ton PC "discute" avec la box.
Et ensuite tu laisses les réglages par défaut de ton pare feu.

Pourquoi penses tu être piraté?
As tu constaté des changements ou un fonctionnement anormal?

@+
Ajouter un commentaire
Réponse
+0
moins plus
Oui, je suis connectée en wifi.
C'est pourquoi j'ai fait appel à wi.fi.securite.com. dans le cas où je garderais ma connection wi fi (ils désactiveraient le hotspot, activeraient le filtrage MAC...).
Mais dans le meme temps, un informaticien m'a conseillé d'utiliser des prises CPL. Je ne sais quelle option choisir.

Je pense être piratée parce que la camera (que j'ai réussi à désactiver) et le micro s'allument systématiquement au démarrage, et que l'ami en question a accès à des informations qu'il ne peut avoir eues qu'en écoutant ce qui se passe chez moi. (Il habite à 400 km et n'est plus venu chez moi depuis 4 mois).

A cela s'ajoutent des communications téléphoniques déclenchées quand je manifeste, seule devant mon ordi mon ras-le-bol d'avoir le sentiment d'être épiée, ou, par exemple, la première communication téléphonique avec wifi secuite.com coupée presque aussitôt... drôle de "hasard", n'est-ce pas ?
Beaucoup d'autres détails encore, mais je ne veux pas être trop longue, je le suis bien assez déjà. ;-)
Ajouter un commentaire
Réponse
+0
moins plus
Re

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

http://telechargement.zebulon.fr/zhpdiag.html

Ou

http://www.commentcamarche.net/telecharger/download-34066799-zhpdiag

Serveur N°2

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

A+
Ajouter un commentaire
Réponse
+0
moins plus
C'est en route...

Je précise également un point important : le signe le plus patent du piratage est que depuis une semaine, je n'ai plus aucun accès aux sites https, ni ssl... (banque, accès à mon compte free, adresse mail de mon fils laposte.net... etc) et qu'apparemment, il y a une corruption au des fichiers .dll (impossible de télécharger le dossier init(je ne sais plus quoi...).
Ajouter un commentaire
Ce document intitulé «  Mon ordi est piraté à distance  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.