Votre question

"résolu" Vol de données

Tags :
  • Nettoyage
  • Sécurité
Dernière réponse : dans Sécurité et virus
Anonyme
19 Juillet 2012 15:16:24

Bonjour à tous !

J'ai un léger problème qui dure depuis quelques mois et je me décide à poster pour, si possible , m'en débarrasser définitivement.
Voilà, en gros, une personne que je connais m'envoie des sms expliquant de manière plutôt précise mes activités sur internet, et malgré quelques tentatives, apparemment infructueuses, de nettoyage de mon ordinateur (le problème se situe peut être ailleurs) le souci persiste. C'est pourquoi je me tourne vers vous pour m'aider dans la mesure du possible à comprendre et résoudre cette situation.

Merci d'avance à tous ceux qui m'apporteront leurs conseils et leur expertise =)

Autres pages sur : resolu vol donnees

a c 628 8 Sécurité
19 Juillet 2012 16:46:34

Bonjour,

C'est quel genre de renseignements qu'il donne sur tes activités ?
Tu as quel lien avec cette personne ? Il a déjà eu accès "physiquement" à ce pc ?

Pour voir :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Anonyme
    20 Juillet 2012 15:29:53

    Bonjour et merci beaucoup de prêter attention à mon sujet !

    Alors , pour faire court, cette personne était ma copine il y a un moment. Cependant , elle n'a jamais eu accès physiquement , à cet ordinateur que j'ai acheté après notre rupture.

    Pour autant elle n'en ait pas à son premier coup puisque auparavant elle m'a piraté ma boîte mail,preuves à l'appui dans ses messages ....boîte que j'ai par la suite continué à utiliser.

    Pour le problème qui me concerne actuellement, disons que plusieurs fois j'ai eu le droit à des messages me montrant qu'elle était au courant des forums sur lesquels j'étais inscrits, de certaines recherches faites sur un souci de santé que j'ai (développé après l'avoir quitté, donc pas un hasard de sa part) et de nombreuses autres choses...

    Voilà mon lien pour OTL , cependant , je n'ai pas réussi à obtenir le doc extras :s
    http://pjjoint.malekal.com/files.php?id=20120720_g13u6s...

    Merci encore de votre aide !
    Contenus similaires
    a c 628 8 Sécurité
    20 Juillet 2012 16:07:48

    Re,

    Y'a pas le rapport extra parce que l'outil à déjà été passé de nombreuses fois sur ce pc ! (11 fois)
    Tu t'es déjà fait aider pour des infections ?

    C'est toi qui a installé un proxy sur ta connexion ?
    Citation :
    FF - prefs.js..network.proxy.autoconfig_url: "http://localhost:9000/proxy.pac"
    FF - prefs.js..network.proxy.type: 2


    Ton "amie" ne connaitrait pas des mot de passes habituels par hasard aussi ?

    Tu as deux antivirus actif sur le pc, Norton Internet Security et Avast! : multiplier les protection ne fait qu'en gendrer de possible conflit et ralenti le système.
    Désinstalle l'un es deux.

    Tu peux aussi virer Spybot, complètement obsolète te inefficace

    :jap: 
    Anonyme
    21 Juillet 2012 16:02:55

    re !

    Oki pour le doc extra . En effet, un pote avait tenté de m'aider ,mais il avait eu du mal à lire correctement les rapports. Ensuite j'ai refait seul quelques analyses pour jeter un coup d’œil, au cas ou une ligne suspecte me saute aux yeux ^^

    Concernant le proxy, si il a été installé par mes soins, ce n'est pas volontairement... (J’admets, je suis pas d'une grande aide ).

    Sinon, mon ex n'était pas sensée connaitre les mdp au moment du piratage (changés suite à la rupture et sans aucun lien avec moi, ni mes habitudes , ni quoi que ce soit de devinable (mélange de majuscules, minuscules, chiffres, long, et sans sens)) .

    En effet , j'avais pas fait gaffe pour Norton , la dernière fois que j'ai regarder dans la partie sécurité de l'ordi, seul avast fonctionnait .
    a c 628 8 Sécurité
    21 Juillet 2012 16:47:52

    Re,

    Suis ce tutoriel pour enlever ce proxy alors :
    http://forum.security-x.fr/tutoriels-317/(tutoriel)-desactiver-un-proxy/

    Pour Norton si tu as des problèmes pour la désinstallation, tu peux utiliser cet outil :
    http://www.inforumatique.fr/index.php/utilitaires/netto...

    Pour le reste il faut voir, si tu as de nouveau des "fuites", on cherchera plus profondément, mais je ne pense pas qu'un logiciel soit installé pour espionner sur ce pc.

    :jap: 
    Anonyme
    21 Juillet 2012 17:48:14

    Ca y est, j'ai désinstallé le proxy , et accessoirement Norton.

    J’espère que le problème se situe bien là ^^ Même si j'ai du mal à comprendre comment mon ex aurait pu installer un proxy sans passer par mon ordi ou ma box :o 

    En tout cas , merci pour votre aide , c'est vraiment sympa de m'avoir accorder du temps =)
    a c 628 8 Sécurité
    21 Juillet 2012 18:58:15

    Re,

    Sans accès direct ou manipulation de ta part (ouverture de fichier inconnu, etc), c'est impossible donc ...

    à voir pour la suite ...
    Anonyme
    22 Juillet 2012 15:59:03

    Oki, donc j'ai certainement fais une erreur à un moment donné.

    Peut être lié à ma boîte mail ou ma box, à laquelle mon ex a eu un accès direct pendant qu'on était ensemble, puisque c'est les seuls lien indirects que j'ai encore avec elle concernant internet.

    Sinon, pour le proxy , j'ai vu qu'il s'était automatiquement remis, apparemment ça le fait à chaque redémarrage de FF :s
    J'ai cherché un peu mais personne n'a la même réponse sur ce proxy... Y en a qui pensent qu'il est utilisé par des logiciels de sécurité pour prévisualiser la validité des sites et d'autres voient plutôt un malware, donc ça reste très flou .

    Désolé d'insister autant =/
    a c 628 8 Sécurité
    22 Juillet 2012 19:14:00

    Re,

    Le proxy tu l'avais supprimé avant ou après avoir désinstaller Norton ?

    Il est possible qu'il soit lié au programme de contrôle parental easybits

    Fais ceci, on va voir si cela le supprime ou non :

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    SRV - [2009/08/25 00:49:41 | 000,126,392 | R--- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files (x86)\Norton Internet Security\Engine\17.0.0.136\ccSvcHst.exe -- (NIS)
    DRV:64bit: - [2010/11/26 16:26:05 | 000,173,104 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SYMEVENT64x86.SYS -- (SymEvent)
    DRV:64bit: - [2009/08/30 02:17:21 | 000,450,608 | R--- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\NISx64\1100000.088\symtdiv.sys -- (SYMTDIv)
    DRV:64bit: - [2009/08/30 02:17:20 | 000,217,136 | R--- | M] (Symantec Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\NISx64\1100000.088\SymEFA64.sys -- (SymEFA)
    DRV:64bit: - [2009/08/30 02:17:18 | 000,433,200 | R--- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\NISx64\1100000.088\SymDS64.sys -- (SymDS)
    DRV:64bit: - [2009/08/30 02:16:50 | 000,146,992 | R--- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\NISx64\1100000.088\Ironx64.sys -- (SymIRON)
    DRV:64bit: - [2009/08/30 02:16:41 | 000,504,880 | R--- | M] (Symantec Corporation) [File_System | System | Running] -- C:\Windows\SysNative\drivers\NISx64\1100000.088\srtsp64.sys -- (SRTSP)
    DRV:64bit: - [2009/08/30 02:16:41 | 000,032,304 | R--- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\NISx64\1100000.088\srtspx64.sys -- (SRTSPX) Symantec Real Time Storage Protection (PEL)
    DRV:64bit: - [2009/08/25 00:50:33 | 000,615,040 | R--- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\NISx64\1100000.088\ccHPx64.sys -- (ccHP)
    DRV - [2009/08/30 02:16:46 | 000,467,504 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\IPSDefs\20090828.002\IDSVia64.sys -- (IDSVia64)
    DRV - [2009/08/30 02:16:41 | 000,641,584 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\BASHDefs\20090829.001\BHDrvx64.sys -- (BHDrvx64)
    DRV - [2009/08/29 11:00:00 | 001,742,896 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20090829.019\EX64.SYS -- (NAVEX15)
    DRV - [2009/08/29 11:00:00 | 000,116,272 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20090829.019\ENG64.SYS -- (NAVENG)
    IE - HKU\S-1-5-21-723686941-2505421015-3621624257-1000\..\SearchScopes\{973AF065-0D04-4440-A65F-2FB56176C9BF}: "URL" = http://vachercher.lycos.fr/cgi-bin/pursuit?query={searchTerms}&tld=com&family=off&inpcatvalue=loc&cat=loc
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
    FF - prefs.js..network.proxy.autoconfig_url: "http://localhost:9000/proxy.pac"
    FF - prefs.js..network.proxy.type: 2
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{BBDA0591-3099-440a-AA10-41764D9DB4DB}: C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPlgn\
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{4C0766D3-67A7-45a3-85A2-752F77312F32}: C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\coFFPlgn\
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
    O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files (x86)\Norton Internet Security\Engine\17.0.0.136\CoIEPlg.dll (Symantec Corporation)
    O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files (x86)\Norton Internet Security\Engine\17.0.0.136\IPSBHO.dll (Symantec Corporation)
    O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton Internet Security\Engine\17.0.0.136\CoIEPlg.dll (Symantec Corporation)
    @Alternate Data Stream - 95 bytes -> C:\ProgramData\Temp:5C321E34

    :Files
    C:\Program Files (x86)\NortonInstaller
    C:\Program Files (x86)\Norton Internet Security
    C:\ProgramData\Norton

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    Anonyme
    23 Juillet 2012 14:52:03

    Bonjour,

    Je suis finalement tombé sur un forum, hier aprem, dans lequel une personne ayant le même souci de proxy parlait de Bywifi.

    Du coup , comme j'avais installé ce logiciel il y a plus d'un an , et mal désinstallé par la suite, j'ai téléchargé "Revo uninstaller...." et j'ai fini le ménage en passant par la base de registre, puis j'ai fait ca pour les deux trois autres logiciels qui avaient laissé des traces à la désinstallation.

    En me reconnectant dans la soirée je suis allé faire un tour dans les paramètres de connexion FF et là, la case cochée était bien "pas de proxy" .. et après plusieurs redémarrage , toujours pareil, le proxy ne se remet plus automatiquement oO
    Bref, coïncidence ou coup de chance.... ???

    Là, je viens de faire ce que vous m'avez demandé et le proxy à disparu contrairement à avant ou il était toujours dans les propositions de configuration automatique de proxy.
    Voici le lien demandé : http://pjjoint.malekal.com/files.php?id=20120723_x1310o...

    Merci !


    a c 628 8 Sécurité
    23 Juillet 2012 15:03:24

    Re,

    Ok, donc on devrait plus voir de proxy maintenant, et c'était pas lié à un quelconque vol de donnée.

    Maintenant faut surveiller voir si de nouvelles "infos" apparaissent de la part de "l'amie"

    :jap: 
    Anonyme
    23 Juillet 2012 16:08:15

    C'est toujours ça de fait ^^

    En attendant, si ce proxy n'avait bel et bien rien à voir avec mon "amie" , je ne peux rien faire de mon côté ? pour orienter la traque...

    Si non, dois je mettre le sujet en "résolu" et en recréer un plus tard ? merci

    a c 628 8 Sécurité
    23 Juillet 2012 19:43:51

    Re,

    Citation :
    En attendant, si ce proxy n'avait bel et bien rien à voir avec mon "amie" , je ne peux rien faire de mon côté ? pour orienter la traque...


    Il faut cibler d'où proviennent les fuites, si c'est navigation, ou seulement des mails reçu, ou des messages échangé sur WLM/Skype, etc ...
    Et si tu estimes qu'il y a vraiment piratage/intrusion, déposer plainte ça fonctionne aussi !

    En France tout détournement d'information via les système informatisé peut couter 2 ans de prison et 30000 euros d'amende.
    Citation :
    Article 323-1
    Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende.
    Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende.


    :jap: 
    Anonyme
    24 Juillet 2012 15:42:36

    Re,

    personnellement, je dirais surtout la navigation, car un forum sur lequel j'étais inscrit et dont elle m'a fait part n'était pas lié à la boîte mail piratée, mais à une créée après la rupture, donc qu'elle n'avait normalement pas à connaître.

    Je n'utilise aucun tchat ni réseau social, juste la boîte mail( celle piratée) mais pour ce piratage , je ne m'en suis pas fait pirater cette boîte mail est assez simple il paraît ...


    Et pour cibler ces fuites , qu'est ce que je peux faire ? (surveiller réseau, activité de l'ordi ? ) quels logiciels peuvent m'aider ?

    Dans tous les cas, je suis certain qu'il y a quelques chose , même si je ne connais pas l'emplacement de la faille, pour moi y a pas moyen qu'elle connaisse autant de choses , dont certaines informations ne sont pas passées par ma boîte mail...

    Merci pour les renseignements légaux, je suis déjà allé voir les gendarmes lors du piratage de ma boîte et suite à des appels masqués et sms de sa part qui sont passés comme appels malveillants ils ont appelé cette "amie" en lui disant qu'elle risquait gros légalement (150k € amende je sais plus combien de prison (3 ans je crois) ) . Ça a marché, plus rien pendant un moment ... puis me voilà. - -"

    Cette solution que vous me proposez est donc efficace, c’est sûr, mais j'aurais préféré si possible juste me débarrasser sans vagues de ce souci (si keylogger,...trucs basiques) , d'où ma présence ^^

    M'enfin si on trouve rien , je vais tenter de formater , peut être changer ma LB et selon la situation , je pense que je ferai comme vous me le recommandez.

    Encore merci pour votre aide !



    a c 628 8 Sécurité
    24 Juillet 2012 16:19:54

    Re,

    Non je ne crois pas au piratage/keylogger, rien de visible, et il faut de solide connaissance pour s'en servir correctement.

    Pour le reste, la plainte est possible si les sms ont été conservé, là où elle donne les renseignement.
    Sachant qu'elle a déjà été averti une fois, cela peut mener plus loin et l'inciter à réellement arrêter.

    Pour moi ça doit tourner autour du piratage de la boite mail, genre les mails d'inscription aux forums, etc ...
    Après il est facile de remonter vers les forums et les discussions.

    Je voudrais bien regarder dans les autorisations de parefeu pour voir, il me faudra donc le rapport Extra de l'outil OTL, fais ceci pour l'obtenir :

    Relance OTL :
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Anonyme
    26 Juillet 2012 16:37:34

    Bonjour ,

    désolé je n'ai pas pu me connecter au site hier !

    Oui, je comprends votre façon de voir les choses , le piratage de la boîte mail est sans doute le trucs le plus utilisé pour recueillir des infos, et c'est pour ça que j'avais précisé que certains messages était basés juste sur des recherches web et non sur sites inscriptions :/  ( entre autre mon problème de santé et une recherche sur le blocage de numéros masqués,.. qu'elle a su quand même).

    Enfin, désolé de raconter ma vie à chaque fois =s

    Donc , voilà les rapports OTL: http://pjjoint.malekal.com/files.php?id=20120726_d11z5i...
    Extras: http://pjjoint.malekal.com/files.php?id=20120726_k9r9t1...


    Merci, une fois de plus pour votre ténacité, face à mon acharnement ! =)

    a c 628 8 Sécurité
    26 Juillet 2012 17:28:14

    Re,

    Non, rien dans les autorisation parefeu, en re-regardant, toujours rien de plausible dans le rapport, donc pour moi peu de chance que ce soit sur le pc le souci ...

    Je re-dis que la meilleur solution reste le dépôt de plainte si elle persévère ...
    Anonyme
    27 Juillet 2012 15:17:44

    Bonjour,

    D'accord , là je pense qu'il n'y à rien d'autre à faire pour vérifier mon pc alors ^^

    Je vais tenter un petit formatage, ça peut pas faire trop de mal , sinon je me tournerai vers la LB ... puis voilà ..
    De toute façon les données partent bien de quelque part.

    En tous cas merci bien pour les vérifications et les conseils... et encore désolé de vous avoir ennuyé aussi longuement avec ce problème :s

    Bonne continuation =)

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS