[résolu]Ordi piraté et mots de passe volés

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[résolu]Ordi piraté et mots de passe volés

Messagepar macalistair » 02 Jan 2012 14:43

Bonjour à tous et à toutes,


tout est dit dans le titre... entre 28 décembre et 1er janvier, j'ai subi plusieurs attaques :
-Sur mon blog overblog, le hacker m'a lui même averti sur le tchat que j'avais intégré à mon site, et en effet, lorsque je me suis rendu sur le panneau de configuration du blog : dans les informations personnelles, l'adresse email était remplacée par hack.
-Mon compte Habbo, (je m'en suis aperçu en me rendant sur mon adresse email, car on me proposait de changer mon mot de passe et je n'ai pas fait la demande!). En me rendant sur le site habbo et en me connectant, la mise en page du profil perso indiquait bien un piratage.
-Et enfin mon compte Facebook. J'ai changé le mot de passe, suis passé en https, et j'ai changé l'email. Vraisemblablement, le hacker semble avoir trouvé une faille pour ouvir une backdoor sur ma machine à jour niveau windows update, j'ai windows 7 64 bits avec antivir free.

J'ai fait jusqu'à présent un scan malwarebyte complet qui ne devrait plus tarder à être terminé...
Dernière édition par macalistair le 03 Jan 2012 21:02, édité 2 fois.
Avatar de l’utilisateur
macalistair
 
Messages: 37
Inscription: 22 Juil 2007 16:15

Re: Ordi piraté et mots de passe volés

Messagepar macalistair » 02 Jan 2012 15:33

Malwarebyte n'a rien trouvé de spécial, que puis je faire ?
Avatar de l’utilisateur
macalistair
 
Messages: 37
Inscription: 22 Juil 2007 16:15

Re: Ordi piraté et mots de passe volés

Messagepar nardino » 03 Jan 2012 11:40

Bonjour,
Nous allons établir un rapport pour analyser ton pc.
Image ZHPDiag de Nicolas Coolman sur ton bureau, à partir du lien suivant

Image Clique sur le fichier ZHPDiag2.exe pour installer l'outil et suis la routine.
Image Coche Installer une icône sur le bureau quand cela te sera proposé.

Image Lance l'icône ZHPDiag affichée sur le bureau
Image
Image Dans l'interface, clique sur la loupe en haut dans la barre d'outil à gauche, laisse faire le scan jusqu'à ce que la barre de progression soit à 100%.
Image
Image Tu refermes ZHPDiag en cliquant sur la croix rouge en haut à droite.
Image Un fichier ZHPDiag.txt sera enregistré sur le bureau.
Image
Image Tu l'héberges sur Cjoint en cochant 4 jours dans la ligne Et pour quelle durée ?
Image Tu me communiques le lien obtenu dans ta réponse.
Deux tutos si nécessaire.
ZHPDiag
Cjoint
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Ordi piraté et mots de passe volés

Messagepar macalistair » 03 Jan 2012 18:24

Bonjour, merci pour votre aide.
Je joins le lien du rapport demandé : http://cjoint.com/?3Adsww2J1N2
Autre précision, j'ai deux ordinateurs (un portable, celui dont je joins le rapport) et un autre, de bureau (malheureusement, je n'ai pour l'instant pas accès, étant en déplacement professionnel pour ce mois)
Avatar de l’utilisateur
macalistair
 
Messages: 37
Inscription: 22 Juil 2007 16:15

Re: Ordi piraté et mots de passe volés

Messagepar nardino » 03 Jan 2012 19:34

Bonsoir,

Désinstalle cette version de Java : Java 6 Update 27
Image AdwCleaner de Xplode sur ton bureau

Image Lance l'outil en cliquant sur adwcleaner.exe.
ImageChoisis Suppression

Image

ImagePoste le rapport qui s'ouvre en fin de nettoyage après avoir redémarré l'ordinateur.
Il sera enregistré sous C:\AdwCleaner[S1].txt

(Si tu as choisis Recherche le rapport sera C:\AdwCleaner[R1].txt
Chaque nouvelle utilisation de l'outil implémentera la numérotation des rapports [S2] [S3] [R2] [R3], etc.
R= Recherche, S=Suppression.
)
Image Malwarebytes Anti-Malware
Clique sur Télécharger maintenant et installe-le une fois sur ton ordinateur.

Image Double-clique sur le fichier mbam-setup-1.60.0.1800.exe
(Sous Vista et 7 autorise les modifications)
A la fin de l'installation, veille à ce que les options suivantes soient cochées
    -Mettre à jour Malwarebytes' Anti-Malware
    -Exécuter Malwarebytes' Anti-Malware
Image Clique sur Terminer
Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
Le programme s'ouvre sur l'onglet Recherche.
Coche Image, clique sur le bouton Image

Image A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

Image Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc si cela est demandé
Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

Pour supprimer les programmes potentiellement dangereux, PUP, règle comme indiqué sur l'image ci-dessous, avant de faire le scan.
    Image
@=
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Ordi piraté et mots de passe volés

Messagepar macalistair » 03 Jan 2012 20:36

J'ai fait comme demandé, voici donc le rapport Adwcleaner

# AdwCleaner v1.403 - Rapport créé le 03/01/2012 à 20:20:22
# Mis à jour le 24/12/11 à 14h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Damien - DAMIEN-PC (Administrateur)
# Exécuté depuis : C:\Users\Damien\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Fichier Supprimé : C:\Users\Damien\errorlog.tmp
Fichier Supprimé : C:\Program Files (x86)\Windows live\messenger\msimg32.dll

***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\OpenCandy NSIS SDK
Clé Supprimée : HKLM\SOFTWARE\Messenger Plus!\OpenCandy
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow [*.chat-land.org]

***** [Registre (x64)] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v9.0.1 (fr)

Profil : y5umvjna.default
Fichier : C:\Users\Damien\AppData\Roaming\Mozilla\Firefox\Profiles\y5umvjna.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [2423 octets] - [03/01/2012 20:16:05]
AdwCleaner[S1].txt - [326 octets] - [03/01/2012 20:18:07]
AdwCleaner[S2].txt - [1852 octets] - [03/01/2012 20:20:22]

*************************

Dossier Temporaire : 357 dossier(s)et 2743 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S2].txt - [2076 octets] ##########


Et celui de Malwarebyte qui ne trouve rien :

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.03.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Damien :: DAMIEN-PC [administrateur]

03/01/2012 20:32:34
mbam-log-2012-01-03 (20-32-34).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 173661
Temps écoulé: 2 minute(s), 33 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
Avatar de l’utilisateur
macalistair
 
Messages: 37
Inscription: 22 Juil 2007 16:15

Re: Ordi piraté et mots de passe volés

Messagepar nardino » 04 Jan 2012 00:16

Bonsoir,
Je ne vois plus rien à dire sinon que par prudence tu peux changer tes mots de passe importants.
Image DelFixsur ton bureau en cliquant sur Télécharger.
Il ne nécessite pas d'installation
Il va supprimer les outils utilisés pour cette désinfection.

Image Clique sur le fichier delfix.exe pour lancer l'outil

Image Clique sur le bouton Suppression puis sur le bouton Désinstallation
Copie/colle le contenu du rapport sauvegardé sous C:\DelFixSuppr.txt

Image
Conseils pour la sécurisation et l'entretien de l'ordinateur.

*Tenir à jour le système d'exploitation
En activant les mises à jour automatiques de Windows.
Il est possible de choisir le moment où elles seront installées.

*Tenir à jour la suite bureautique
Microsoft Office ou Open Office, par exemple.

*Tenir à jour le ou les navigateurs
Internet Explorer 9 - Mozilla Firefox - Opéra - Chrome - Safari , etc.
Faire un clic sur le navigateur pour ouvrirla page de téléchargement.
Pour Windows XP Internet Explorer version 8 est la dernière disponible. Choisir la langue du système et cliquer sur Télécharger

*Tenir à jour les programmes antivirus et antimalwares
En activant les mises à jour automatique ou en lançant régulièrement une recherche pour les logiciels comme Malwarebytes en version gratuite.

*Java Runtime Environment
Image Ouvre cette page
Coche Accept License Agreement
Clique sur Windows x86 Offline - 16.1 MB -Imagejre-6u30-windows-i586.exe
Installe le fichier téléchargé.
Lis les clauses en cours d'installation. (Il n'est pas nécessaire d'installer les programmes tiers proposés).
Il existe une version pour les programmes 64bits du système.
Il existe aussi une version 7u2.
Pourquoi la version 7 de Java n'est-elle pas encore disponible sur java.com ? (dixit le site java.com)
La nouvelle version de Java est la toute première version mise à la disposition des développeurs pour garantir qu'aucun problème majeur ne survienne avant que nous la lancions sur le site Web java.com pour permettre aux utilisateurs finaux de télécharger la dernière version.


*Acrobat Reader X
Image Ouvre cette page
Choisis ton système d'exploitation, la langue souhaitée, la version Reader 10.1.1
Décoche Image Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur ImageTélécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_reader10_fr_mssd_aih.exe

*Adobe Flash Player
Image Ouvre cette page
Décoche Image Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur ImageTélécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_flashplayer11x64_mssa_aih.exe

*Un travail collectif à lire attentivement pour une bonne sensibilisation aux problèmes posés sur Internet.
Image Prévention et sécurité

*L'installation de logiciels sans les sponsors ou barres d'outils
Attention lors de l'installation d'un programme, gratuit ou même commercial, de ne pas installer les barres d'outils, de ne pas changer la page d'accueil du navigateur et/ou le moteur de recherche.
Prendre le temps de lire chaque message lors de l'installation. Le plus souvent ces "options" sont pré-cochées.
Liste maintenue à jour régulièrement

*Les comportements à risque
Les dangers du P2P
Le P2P et ses conséquences
Le danger des cracks
Le danger des cracks

*Les programmes d'optimisation et nettoyeurs de registre
Problème avec CCleaner 1
Problème avec CCleaner 2
Article de Mikiemoes
Article de Stephane Ruscher
Article de Malekal
Généralités
Microsoft
Témoignage 1
Témoignage 2
Et bien d'autres en cherchant sur Internet.

*Les programmes d'installation et les sponsors
Il n'est pas nécéssaire à de rares exceptions près d'installer les sponsors avec un logiciel gratuit, d'essai ou commercial.
Dans la grande majorité où l'installation est pré-cochée, il suffit de décocher et pour cela de bien lire toutes les pages qui se succédent lors de l'installation.
Lire le CLUF (Contrat de licence à l'utilisateur final) est hautement conseillé afin d'éviter certains désagréments.
Exemple de CLUF
Liste des programmes et de leurs sponsors

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Ordi piraté et mots de passe volés

Messagepar macalistair » 05 Jan 2012 22:04

Merci pour ton aide, j'effectuerai la même manœuvre sur mon poste fixe lorsque je rentrerai, dans la mesure ou les deux postes ont été utilisé dans la période ou j'ai été attaqué, et qu'il est peut être contaminé (mais j'en doute, à l'exception du service sfr tv dans le navigateur, je ne l'ai pratiquement pas utiliser durant les quelques jours ou j'étais rentré à la maison).
Avatar de l’utilisateur
macalistair
 
Messages: 37
Inscription: 22 Juil 2007 16:15


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités