Victime d'un hack [Résolu/Fermé]

Signaler
Messages postés
17
Date d'inscription
mardi 15 septembre 2015
Statut
Membre
Dernière intervention
19 septembre 2015
-
Matteoz
Messages postés
17
Date d'inscription
mardi 15 septembre 2015
Statut
Membre
Dernière intervention
19 septembre 2015
-
Bonjour , je vous expose mon probleme (assez gros je trouve ) bon tout d'abord je ne suis pas un as en informatique j'ai quelques notions mais pas dans ce domaine précis . Donc voilà j'étais sur mon pc et je vois dans la barre de status qu'un logiciel se lance ( un programme qui n'est pas installé sur mon PC ) c'est une fenêtre qui s'ouvre , sans croix pour la fermée , et le programme en question n'apparaît pas dans le gestionnaire des tâches , c'est une fenêtre intitulée " service client chat ) qui ressemble assez a un terminal , le hackeur écrit en vert , et je ne peux que lui répondre. Il contrôle entièrement mon PC , ouvre / ferme les fenêtres , je suppose qu'il a également accès a ma webcam . il me demande de lui payer 2 allopass ou ils s'attaque a mon pc , bien entendu je ne compte pas lui obéir j'ai donc éteint mon PC , rallumé , il était encore la . J'ai donc éteint mon PC je l'ai rallumer en mode avion car je suppose qu'un tel hack ne peux venir que d'une connexion internet , je lance windows defender , il scanne , il ne trouve rien , je supprime alors deux fichiers en quarantaine datants de deux jours , je désinstalle tout les programmes dont le développeur n'est pas certifié ( même certains jeux ) . Je me crois alors en sécurité , mais 10 min plus tard après avoir désactivé le mode avion , la fenêtre réapparût avec un message du bandit ( ^^) me disant qu'il est toujours la , je lui répond que je n'est rien a lui donner il a alors fermé toute mes fenetres et je me suis empressé de rééteindre mon pc , que faire ? Je pense que j'ai du installer un programme malveillant pas inadvertance mais il doit être caché , je dois aussi avoir un bon petit keylogger d'installer donc je n'ose plus trop l'allumer , voilà j'espère que vous pourrez m'aider assez vite c'est mon PC pour les études ( a oui j'oubliais , je suis dans une residance étudiante ou tout le monde est connecter sur le même réseau wifi peut être que l'attaque vient de quelqu'un dans le bâtiment ) Vraiment je ne sais pas quoi faire , merci

9 réponses

Messages postés
174091
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 janvier 2020
19022
Salut,

Ca ressemble à un malware de type RAT (Remote Access Tools).

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Matteoz
Messages postés
17
Date d'inscription
mardi 15 septembre 2015
Statut
Membre
Dernière intervention
19 septembre 2015

Merci mais le lien vers votre site ne fonctionne pas chez moi :/
Malekal_morte-
Messages postés
174091
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 janvier 2020
19022
sûr ?

et celui là : http://http://www.malekal.com/download/FRST.zip ?
Tu peux lire le tuto depuis un autre PC ?
Matteoz
Messages postés
17
Date d'inscription
mardi 15 septembre 2015
Statut
Membre
Dernière intervention
19 septembre 2015

c'est bon merci l'analyse est lancée
Malekal_morte-
Messages postés
174091
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 janvier 2020
19022
Les rapports sont à donner via pjjoint.
Messages postés
174091
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 janvier 2020
19022
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: http://www.malekal.com/2013/06/15/tutorial-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


HKU\S-1-5-21-2410802138-1843743717-2592594231-1001\...\RunOnce: [Adobe Reader] => C:\Users\Mattéo\AppData\Roaming\plugin.exe [994816 2015-09-13] ()
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://search.certified-toolbar.com/?si=41460&home=true&tid=592","hxxp://www.trovi.com/?gd=&ctid=CT3318522&octid=EB_ORIGINAL_CTID&ISID=M65B5789D-B679-436B-9C8C-AFEC1B5E9798&SearchSource=55&CUI=&UM=6&UP=SPA73219B6-C7D5-4B77-8BAF-B3DDA538F2AA&SSPV=","hxxp://www.mystartsearch.com/?type=hppp&ts=1422559123&from=wpc&uid=TOSHIBAXMK3276GSX_Y2L3P19JTXXY2L3P19JT","hxxp://www.","hxxp://www.?type=hppppppppppppppppppppppppppppppppppp","hxxp://www.istartsurf.com/?type=hp&ts=1426963047&from=smt&uid=TOSHIBAXMK3276GSX_Y2L3P19JTXXY2L3P19JT","hxxp://www.istartsurf.com/?type=hppp&ts=1426963084&from=smt&uid=TOSHIBAXMK3276GSX_Y2L3P19JTXXY2L3P19JT","hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp"
2015-09-15 13:03 - 2015-09-13 11:22 - 00994816 __RSH C:\Users\Mattéo\AppData\Roaming\plugin.exe

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com

Matteoz
Messages postés
17
Date d'inscription
mardi 15 septembre 2015
Statut
Membre
Dernière intervention
19 septembre 2015

c'est fait "quarentaine.zip"
Messages postés
174091
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 janvier 2020
19022
Reçu merci,

Pas terrible la détection : https://www.virustotal.com/fr/file/138c7afd9f221bd9b310175eccc9d56a6db9ea311eb502795fd9010d78b62b21/analysis/1442345581/

SHA256: 138c7afd9f221bd9b310175eccc9d56a6db9ea311eb502795fd9010d78b62b21
Nom du fichier : plugin.exe.xBAD
Ratio de détection : 5 / 56
Date d'analyse : 2015-09-15 19:33:01 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
Bkav W32.HfsAtSTIL.877F 20150915
CMC Trojan.Win32.Generic!O 20150910
Jiangmin Trojan/Generic.blxop 20150914
Symantec SAPE.Heur.97BE7 20150915
nProtect Trojan-PWS/W32.Fareit.994816 20150915



Le mec est à Amiens :

adwarddns.no-ip.org has address 109.219.144.104 (AAmiens-652-1-281-104.w109-219.abo.wanadoo.fr
port 1114


~~

Change tous tes mots de passe

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
17
Date d'inscription
mardi 15 septembre 2015
Statut
Membre
Dernière intervention
19 septembre 2015

l'écran de dialogue ne s'affiche plus et je ne suis plus embêté par ses fermetures / ouvertures de fenêtres intempestives depuis le scan , étrange , tu crois qu'il a toujours accès a mon ordi , mots de passes etc ? en tout cas merci beaucoup
Malekal_morte-
Messages postés
174091
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 janvier 2020
19022
fenêtre intempestives de quoi ?
Quel programme ?
Des pubs ?
Messages postés
17
Date d'inscription
mardi 15 septembre 2015
Statut
Membre
Dernière intervention
19 septembre 2015

non il s'amusait a ouvrir sans arrêt des pages internet et fermé les pages que j'ouvrais , il ouvrait internet explorer en boucle
Malekal_morte-
Messages postés
174091
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 janvier 2020
19022
refais un scan FRST et donne les rapports via pjjoint.
Messages postés
174091
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 janvier 2020
19022
Pour moi y a rien d'anormal,

Change tes mots de passe,


Ce que tu peux faire :

installe Avast! : http://www.malekal.com/tutorial-antivirus-avast/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


et demain,

Télécharge et installe Malwarebyte.
Il existe une version gratuite qui permet de nettoyer son ordinateur (décoche bien la proposition d'essai de la version Premium à la fin de l'installation) :

Et fais des scans ces prochains jours avec.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
17
Date d'inscription
mardi 15 septembre 2015
Statut
Membre
Dernière intervention
19 septembre 2015

ok en tout cas merci pour tout , ta patiente ta vitesse de réponses et ton efficacité , bonne soirée encore merci ciao ;)
Messages postés
174091
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 janvier 2020
19022
PS : Vu ici RatDecoders - la copie vers les médias amovibles est active.
On a bien fait de ne pas utiliser de clef USB =)

Tu as deux liens pour signaler aux autorités, je t'invite à le faire.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Matteoz
Messages postés
17
Date d'inscription
mardi 15 septembre 2015
Statut
Membre
Dernière intervention
19 septembre 2015

merci , je dois leur expliquer comme je l'ai fais avec toi ? je devrais leur transmettre les rapports aussi ?

--
Malekal_morte-
Messages postés
174091
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 janvier 2020
19022
Explique leur ce qui sest passé (fenêtre de tâches et tentative d'exhortation de fond avec du chantage [allopass] et tu leurs donnes le lien ici]
Messages postés
17
Date d'inscription
mardi 15 septembre 2015
Statut
Membre
Dernière intervention
19 septembre 2015

ok merci , j'aurais du faire un screen mais je ny ai penser sur le moment , donc je leur explique et je donne le lien d'ici ça marche

--