Se connecter / S'enregistrer
Votre question

un mec menace de ddos et keylogg mon ordi - résolu

Tags :
  • probleme
  • Adresse IP
  • Sécurité
Dernière réponse : dans Sécurité et virus
23 Janvier 2013 18:18:39

bonjour a tous, voila je vous explique mon probleme.
j'ai cliqué par megarde sur un faux lien qui etait en fait un iplogger, et un mec m'a envoyé un message en me disant qu'il avait mon adresse ip, decimal, hostname, et qu'il pouvait ddos mon ordi ou y installer un keylogger pour voler mes données personnelles, bancaires et autres.
1- Est-ce possible?
2-Si oui, que faire?

merci de votre aide, je ne m'y connait pas beaucoup en informatique et j'avoue que je flippe un peu...

Autres pages sur : mec menace ddos keylogg ordi resolu

a c 547 8 Sécurité
23 Janvier 2013 22:14:19

Bonsoir,

La menace est un peu exagérée, mais le fait d'avoir installé un exécutable étranger peut effectivement avoir installé un spyware/keylogger.
Soyez plus vigilant et réfléchissez avant de cliquer !

On va vérifier cela :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    cdaudio.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    usbscan.sys
    usbprint.sys
    sfloppy.sys
    changer.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    a c 547 8 Sécurité
    24 Janvier 2013 18:29:27

    Re,

    Déjà premier gros point noir :
    Citation :
    Drive C: | 187,88 Gb Total Space | 2,11 Gb Free Space | 1,12% Space Free | Partition Type: NTFS


    Ton disque dur système est au bord de l'implosion si on peut dire, saturé !
    Cela peut provoqué plantage et ralentissements ...
    Tu dois absolument supprimer les programmes et fichiers inutiles, et archiver tes documents personnels sur un autre support : vidéo, photos, musique, etc ...

    Puis, à faire :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Complitly (adware : logiciel publicitaire)

    - Adobe Flash Player 9 ActiveX (version obsolète et vulnérable)

    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/splitcam/{76EA573F-C20E-4526-91E1-31364896E3F3}
    IE - HKU\S-1-5-21-3695262760-3533904789-3596426937-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cherche.us
    IE - HKU\S-1-5-21-3695262760-3533904789-3596426937-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/
    IE - HKU\S-1-5-21-3695262760-3533904789-3596426937-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.cherche.us
    IE - HKU\S-1-5-21-3695262760-3533904789-3596426937-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = cherche.us
    IE - HKU\S-1-5-21-3695262760-3533904789-3596426937-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
    IE - HKU\S-1-5-21-3695262760-3533904789-3596426937-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/splitcam/{76EA573F-C20E-4526-91E1-31364896E3F3}
    IE - HKU\S-1-5-21-3695262760-3533904789-3596426937-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.cherche.us
    IE - HKU\S-1-5-21-3695262760-3533904789-3596426937-1003\..\SearchScopes,DefaultScope = {96bd48dd-741b-41ae-ac4a-aff96ba00f7e}
    IE - HKU\S-1-5-21-3695262760-3533904789-3596426937-1003\..\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}: "URL" = http://www.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}+&meta=
    IE - HKU\S-1-5-21-3695262760-3533904789-3596426937-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/splitcam/{76EA573F-C20E-4526-91E1-31364896E3F3}?q={searchTerms}
    [2010/05/13 09:02:19 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
    [2010/08/13 22:13:27 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
    [2010/10/23 23:39:29 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
    [2011/01/12 00:44:40 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
    [2011/03/10 18:23:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
    CHR - Extension: Complitly plugin for chrome = C:\Users\Christophe\AppData\Local\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk\1.1_0\
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
    O2 - BHO: (Complitly) - {D27FC31C-6E3D-4305-8D53-ACDAEFA5F862} - C:\Users\Christophe\AppData\Roaming\Complitly\Complitly.dll (SimplyGen)
    O4 - HKU\S-1-5-21-3695262760-3533904789-3596426937-1003..\Run: [SplitCam] C:\Program Files\SplitCam\SplitCam.exe File not found
    O15 - HKU\S-1-5-21-3695262760-3533904789-3596426937-1003\..Trusted Domains: chat-land.org ([]* in Trusted sites)
    [2011/06/19 21:58:36 | 000,000,000 | ---D | M] -- C:\Users\Christophe\AppData\Roaming\Complitly
    @Alternate Data Stream - 104 bytes -> C:\ProgramData\TEMP:D1B5B4F1

    :Files
    ipconfig /flushdns /c

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Pour info, il n'y a pas de trace d'un quelconque keyloger ou spyware.
    Soit c'était un exécutable qui n’envoie qu'une fois des infos et se supprime, soit c'était du vent ...

    Malwarebyte's, tu l'as utilisé ?
    m
    0
    l
    24 Janvier 2013 18:37:00

    oui j'ai utilisé malwarebytes qui n'a rien trouvé.
    et je pense qu'effectivement, c'etait du vent. un vrai hacker ne m'aurait pas menacé et aurai agit directement et discretement, la ca doit etre un petit con qui a voulu me faire peur.
    je vais essayer de supprimer des fichiers pour liberer de la place sur mon disque dur.
    merci beaucoup.
    m
    0
    l
    24 Janvier 2013 18:54:29

    par contre j'utilise avast!, qu'appellez vous "mode sandbox"?
    m
    0
    l
    a c 547 8 Sécurité
    24 Janvier 2013 18:56:38

    Re,

    Lorsque tu lanceras OTL.exe, Avast! peut déclencher une alerte indiquant qu'il va mettre l'exécutable dans un environnement protégé pour éviter des interactions avec le système, c'est ce qu'on appel la sandbox (bac à sable)

    Il faut le refuser s'il en fait la demande.

    :jap: 
    m
    0
    l
    24 Janvier 2013 18:58:21

    et, désolé du double post, mon disque dur est séparé en 2 parties, l'une nomée C: avec 1,92Go libres sur 187Go, et l'autre nomée D: avec 20,4Go libres sur 34,9Go. donc il reste suffisemment de place non? sachant que je n'enregistre rien sur la partie D: qui est reservée a la sauvegarde du systeme.
    m
    0
    l
    a c 547 8 Sécurité
    24 Janvier 2013 19:02:56

    Re,

    Tu peux effectivement copier vers la partition D: quelques documents, mais cela ne résoudra pas ton problème.

    Ce n'est pas une obligation de le faire à l'instant, mais tu dois t'en occuper rapidement, c'est tout ;) 
    Tu peux graver sur DVD des photos, vidéo, pour gagner de la place et les archiver
    Tu peux acheter un disque dur externe pour y stocker des choses aussi, etc ...
    m
    0
    l
    24 Janvier 2013 19:19:26

    j'ai supprimé complitly et adobe flash player 9 activex.
    et le rapport de suppression donne ca :


    Files\Folders moved on Reboot...

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
    m
    0
    l
    a c 547 8 Sécurité
    24 Janvier 2013 21:27:45

    Re,

    C'est réellement tout ce que contient le rapport ?

    On va vérifier alors que le script ai fonctionné :

    Relance OTL :
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.


    msconfig
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    a c 547 8 Sécurité
    25 Janvier 2013 10:22:27

    Re,

    Ok, l'outil a fait son travail.

    On va terminer par du nettoyage et des mises à jour :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    -------

    Mise à jour du système et des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

    /!\ Désactive Avast! le temps de cette manipulation : clic-droit sur l'icône dans la barre des tâches -> arrêter les protections résidente /!\

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java(TM) 6 Update 26

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Adobe Reader 8.1.3 - Français

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    ----------

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    N'oublie pas aussi de faire de la place sur ce disque dur qui est saturé !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    m
    0
    l
    25 Janvier 2013 20:41:13

    ok, merci pour cette aide précieuse et je tacherai d'être plus prudent a l'avenir :D 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS