Mon ordi est piraté à distance [Résolu]

bjr
a tu un par feu autre que que celui de Windows ,comme PC Tools Firewall Plus ou Comodo Firewall for Windows

Aucun... et le parasitage des ".dll" , à ce que j'ai compris, m'empêche de télécharger Zone alarm !

Pardon, j'ai omis de dire bonjour... mais ça fait depuis deux heures ce matin que je cherche une solution, et je suis un peu embrumée. :-)

Attends qu'un Contributeur Sécurité passe pour voir si ton PC est infecté.

En attendant, "si tu peux", débranche le PC infecté, et suis le forum sur un autre.

Prends un minimum de recul sur ce que les gens te disent, il y a une recrudescence de n'importe quoi en ce moment.

Bonjour galatée

Poste moi les deux rapports du RSIT;merci
Ils sont là:C:\rsit

@+

Je viens de telecharger pctools firewalls plus, avec succès !
Mais je ne comprends pas son instruction : il me signale un réseau avec une connexion ip masquée dont il me donne l'adresse MAC et me demande de lui sélectionner un niveau de confiance : que faire ?

A Mstr : Merci pour ce conseil, mais je n'ai pas accès à un autre ordi chez moi, il faut que je change de quartier. :-)
Et aussi, j'ai longtemps pensé faire preuve de parano, mais j'ai fait appel à WIFI SECURITE. COM en détaillant mon histoire, ils pensent eux aussi que mon ordi et / ou ma connexion sont piratés. J'aurais aimé en avoir le coeur net et, surtout, ne pas réinfecter mon ordi quand je l'aurai réinstallé après formatage. Mais j'apprécie que tu veuilles me rassurer et je t'en remercie.

Bonjour à tous, et merci d'être là mais les choses se compliquent.
1. je n'arrive pas à envoyer le rapport dans le message, alors que j'appuie sur "valider" après un copier coller
2. L'adresse mac proposée par pc tools ne correspond pas à celle d'ipconfig

Re

Avec Ip config ;tu obtiens les adresses IP et non une adresse MAC

Pour me transmettre les deux rapports clique sur ce lien :

http://www.cijoint.fr/index.php

Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier
Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ces liens dans ta réponse.


@+

Type d'ouverture de session : 0

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d'ouverture de session : 0x3e7
GUID d'ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x4
Nom du processus :

Informations sur le réseau :
Nom de la station de travail : -
Adresse du réseau source : -
Port source : -

Informations détaillées sur l'authentification :
Processus d'ouverture de session : -
Package d'authentification : -
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
Record Number: 13382
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091115165310.904930-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Laure
Event Code: 4608
Message: Windows démarre.

Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d'audit est initialisé.
Record Number: 13381
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091115165310.904930-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Intel\WiFi\bin\;C:\Program Files\QT Lite\QTSystem;C:\Program Files\QT Lite\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 14 Stepping 12, GenuineIntel
"PROCESSOR_REVISION"=0e0c
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

j'ai envoyé les doc par ton lien.
Sinon, l'adresse que j'ai relevée dans ipconfig est l'adresse physique d'une série de 6 paires de chiffres et de lettres. Celles de mon ordi commencent par 00-19-XX ..., celle relevée par pc tools est 00- 24-XX....

Re

Je n'ai aucun lien.
Relis bien la procédure.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php

Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier
Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


@+

http://www.cijoint.fr/cjlink.php?file=cj201007/cijmMrGolv.txt

Désolée, j'avais mal fait la manip, mais ça fait bientôt 7 heures d'affilée que je suis sur mon ordi... et ce n'est pas la première fois depuis quelques jours.
(D'où, aussi, les fautes d'orthographe !)
J'envoie un lien pour l'autre.

http://www.cijoint.fr/cjlink.php?file=cj201007/cijPZ15TVh.txt

et de deux !

Re

Rien de particulier.

Tu te connectes bien en Wifi?
Donc il faut que tu acceptes que ton PC "discute" avec la box.
Et ensuite tu laisses les réglages par défaut de ton pare feu.

Pourquoi penses tu être piraté?
As tu constaté des changements ou un fonctionnement anormal?

@+

Oui, je suis connectée en wifi.
C'est pourquoi j'ai fait appel à wi.fi.securite.com. dans le cas où je garderais ma connection wi fi (ils désactiveraient le hotspot, activeraient le filtrage MAC...).
Mais dans le meme temps, un informaticien m'a conseillé d'utiliser des prises CPL. Je ne sais quelle option choisir.

Je pense être piratée parce que la camera (que j'ai réussi à désactiver) et le micro s'allument systématiquement au démarrage, et que l'ami en question a accès à des informations qu'il ne peut avoir eues qu'en écoutant ce qui se passe chez moi. (Il habite à 400 km et n'est plus venu chez moi depuis 4 mois).

A cela s'ajoutent des communications téléphoniques déclenchées quand je manifeste, seule devant mon ordi mon ras-le-bol d'avoir le sentiment d'être épiée, ou, par exemple, la première communication téléphonique avec wifi secuite.com coupée presque aussitôt... drôle de "hasard", n'est-ce pas ?
Beaucoup d'autres détails encore, mais je ne veux pas être trop longue, je le suis bien assez déjà. ;-)

Re

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

http://telechargement.zebulon.fr/zhpdiag.html

Ou

http://www.commentcamarche.net/telecharger/download-34066799-zhpdiag

Serveur N°2

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

A+

C'est en route...

Je précise également un point important : le signe le plus patent du piratage est que depuis une semaine, je n'ai plus aucun accès aux sites https, ni ssl... (banque, accès à mon compte free, adresse mail de mon fils laposte.net... etc) et qu'apparemment, il y a une corruption au des fichiers .dll (impossible de télécharger le dossier init(je ne sais plus quoi...).

Re

Je ne vois rien de particulier.

Quel est le message exact ?(il y a une corruption au des fichiers .dll (impossible de télécharger le dossier init(je ne sais plus quoi...).


Peut être est ce à l'origine de l'accès au https et ssl?

@+

Je suis allée là :
http://www.commentcamarche.net/...

J'ai fait cela :
Cliquer sur Démarrer, puis Exécuter et saisir les commandes suivantes :
regsvr32 softpub.dll
regsvr32 Mssip32.dll
regsvr32 Initpki.dll => c'est cette dernière qui n'a pu s'exécuter