[résolu]J ai été hack need help

Salut cest mon premier message, voila j ai été hack , en gros j etais co sur un site, qui necessite F2A + password pour se connecter, je l ai laissé ouvert comme toujours, et j ai vaqué à mes occupations sur mes autres fenetres, quand je re dessus, j actualise la page pour me co, et je vois que je suis déco et que le password à été changé.

Je vais dans ma boite mail, le mal était fait , mes fonds transférés ....

Jai Avira, Anti malwayre byte avec qui je scan quasi tout les jours, rien du tout avant ou apres.

Jai ouvert aucun . exe suspect recemment ni de liens louches durant le hack.

La je suis un peu parano du coup ca me fait grave chi... surtout que je comprends pas trop comment le F2A Google authentificator (pour PC) à pu etre passé.

L admin ma dit pas de brute force rien.

Je voulais vérifier si mon PC est bien clean voila merci.

Bonjour, bienvenue sur le forum.

Le problème remonte à quand?
Malwarebytes n'indique aucune infection du tout?
Possible d'avoir le rapport?

Scanner le pc tous les jours ne sert pas à grand chose si les programmes ne trouve rien (ca use le disque dur inutilement).
Les infections ne viennent pas qu'avec des exe ou des liens. Beaucoup de types de fichiers peuvent être infecté, de même que les clé usb, disque externe, ou encore le réseau local peuvent permettre la transmission d'un malware

Pour faire un diagnostique du pc, fais ceci :
Télécharger ZHPDiag (de Nicolas Coolman) : ftp://zebulon.fr/ZHPDiag2.exe
Double-cliquer sur ZHPDiag.exe puis suivre les étapes de l'installation.
L'installation terminée, 2 icônes sont créées sur le bureau (ZHPDiag et ZHPFix).

Fermer les programmes en cours le temps de l'execution de ZHPDiag
Lancer ZHPDiag.exe (sous Vista/7/8, clic droit/exécuter en tant qu'admin)
Cliquer sur le bouton Complet
Pour ne pas ralentir l'analyse, éviter de se servir du pc pendant le scan.
Si le programme demande d'utiliser SIGCHECK, accepter pour un rapport plus détaillé.
A la fin de l'analyse, un rapport est créé directement sur le bureau, il se nomme ZHPDiag.txt.
Sinon, Pour XP voir dans le dossier : C:\Documents and Settings\....\Local Settings\Application Data\ZHP
Pour Vista ou supérieur voir : C:\Users\....\AppData\Roaming\ZHP
Héberger le rapport sur http://www.cjoint.com et poster le lien sur le forum.

http://cjoint.com/?3DdaApd3m3 

Salut et merci, si tu estimes qu il y a des infos confidentielles merci de supprimer mon poste.

aucune infos personnelle n'apparait sur les rapports de désinfection sauf le nom de la session ;)rien ne permet d'identifier les utilisateurs sauf si ils mettent leur nom et prenom comme identifiant de session ou nom de fichier.

Desinstalle : Anti Keylogger Elite si présent. C'est lui le responsable de ton piratage (cela ne suffira pas, tu as d'autres choses a supprimer sur le pc mais on va le faire ensemble). Quelques infos sur cette infection : http://nicolascoolman.webs.com/apps/blog/show/31226336-trojan-infostealer

Ensuite fais ceci :
Télécharger AdwCleaner (d'Xplode) sur le bureau.
http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner
Sous XP double-clic sur le fichier d’exécution.
Sous Vista et Seven, clic droit/exécuter en tant qu'admin.
Cliquer sur Scanner
Une fois le scan fini, cliquer sur Nettoyer
Un redémarrage sera effectué pour supprimer les éléments.
Le rapport est sauvegardé sous C:\AdwCleaner\Adwcleaner[S0].txt
L'héberger sur http://www.cjoint.com et poster le lien.

J'analyse le reste du rapport zhpdiag et je reviens dans quelques minutes te donner d'autres manipulations a faire.

Ah ouai cest un keylogger? pas un anti? lol . je vois pas trop comment le desinstaller il apparait pas dans ma liste de programmes installés

on va s'en occuper alors, fait le nettoyage avec Adwcleaner et poste le rapport.
Je t'ai egalement envoyé un message privé pour une question "privée"

http://cjoint.com/?3DdbahESUER Le dernier

http://cjoint.com/?3DdbaXjspPv Celui de y a un mois on sait jamais

Maintenant fais ca : Ouvrir ce lien et copier tout le texte qu'il contient (CTRL+A puis CTRL+C) : http://cjoint.com/data3/3DdbjGHnbJ_script.txt
Désactiver l'antivirus le temps de l'utilisation de ZHPFix
Fermer tous les programmes en cours d'utilisation
Double-cliquer sur l'icône ZHPFix sur le bureau.
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
Cliquer sur Importer
/!\ S'assurer que les lignes sont copiées comme dans le lien et qu'aucune n'est coupée.
Vérifier également qu'il n'y a aucune ligne en plus du script fourni
Cliquer sur GO en bas à gauche pour lancer le nettoyage.
Confirmer la suppression, et le vidage de la corbeille.
/!\ Si des fichiers importants se trouvent dans la corbeille, les enlever avant de confirmer le nettoyage, ou refuser le nettoyage de la corbeille.
Si Windows lance la désinstallation de certains programmes, faire la désinstallation jusqu'au bout.
Le bureau disparaitra peut-être et certains programmes seront fermés, c'est normal.
Note : un redémarrage sera peut-être nécessaire, si ZHPFix le demande, accepter.
Héberger le rapport ZHPFixReport.txt et poster le lien dans la prochaine réponse.
S'il ne s'ouvre pas automatiquement, il est disponible sur le bureau.
Sinon, Pour XP voir dans le dossier : C:\Documents and Settings\....\Local Settings\Application Data\ZHP\ZHPFix[R1].txt
Pour Vista ou supérieur voir : C:\Users\....\AppData\Roaming\ZHP\ZHPFix[R1].txt (les ... correspondent au nom de la session utilisée)

Note : il est possible que suite a l'utilisation de ZHPFix, les icônes de la barre de tâche ne s'affichent plus, une simple fermeture de la session règle le problème.

Ensuite, je vois que tu as 3 rapports de malwarebytes :
C:\Users\Lancien\AppData\Roaming\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-2014-04-02 (13-35-53).txt
C:\Users\Lancien\AppData\Roaming\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-2014-03-31 (17-42-14).txt
C:\Users\Lancien\AppData\Roaming\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-2014-03-31 (17-53-13).txt
Heberge les et poste les liens.

http://cjoint.com/?DDdboXoaB4      FixReport

http://cjoint.com/?DDdbtp2nWTN   < dernier rapport infecté , tout les autres sont vierges

ok, supprime ce dossier manuellement si tu le vois : c:\program files (x86)\anti keylogger elite
Malwarebytes existe maintenant en version 2, tu peux installer la dernière version : http://downloads.malwarebytes.org/file/mbam/

Ensuite fait ca :
Désactive temporairement la protection de ton antivirus et ton pare-feu
Télécharger UsbFix (de El Desaparecido) sur le Bureau : http://sosvirus.org/viewtopic.php?p=906
ou directement : http://services.service-webmaster.fr/cpt-clics/clics-30453-6505.html
Si l'antivirus affiche une alerte, désactiver l'antivirus temporairement (il n'y a aucun risque)
Brancher toutes les sources de données externes au PC (clef USB, disque dur externe, etc...) sans les ouvrir
Double-cliquer sur UsbFix.exe
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
Cliquer sur Recherche
Laisser travailler l'outil jusqu'à la fin complète du scan
À la fin du scan, un rapport va s'afficher, poster le contenu sur le forum
Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt )
Réactive tes protections, héberge le rapport et poste le lien.

je vais me coucher, je te donnerai d'autres directives demain.
Bonne nuit.

http://cjoint.com/?DDdbXGwRvG3   usb fix

Anti malwayre bit 2 installé qui n a rien trouvé de spécial

Ce *censuré* d elite anti keylogger est encore la j arrive pas à le desisntaller , et savoir que ca prend des screens et mes données ca me rend malade.

Oui etrange qu'il apparaisse encore ...

fais ca, ca devrait nous dire si le keylogger est encore actif (je ne le vois pas actif malgré une clé dans le registre qui demande son démarrage, c'est peut-être simplement ca la cause de ton message) :
Télécharger RogueKiller (de Tigzy) sur le bureau.
Pour windows 32 bits : http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
ou pour windows 64 bits : http://www.sur-la-toile.com/RogueKiller/RogueKillerX64.exe
Fermer toutes les applications en cours
Lancer RogueKiller.exe
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
Laisser le prescan se faire et accepter la licence pour permettre l'installation du programme
Cliquer sur le bouton Scan
Lorsque le scan est fini, le rapport apparaitra sur le bureau sous le nom RKreport.....txt
Sinon cliquer sur Rapport pour l'ouvrir et l'enregistrer
L'héberger sur http://www.cjoint.com et poster le lien.

Salut Hornet,

Merci de ton suivi,

http://cjoint.com/?DDdk16OvA1F

Apparemment il n'est plus actif

Passe zhpfix avec ces lignes : http://cjoint.com/data3/3DdlekvAaNy_script.txt

Heureux de l entendre j osais plus toucher mon clavier.

Non je l ai supprimé hier il restait le dossier en revanche les manipulations qu on a faites ensemble avaient supprimé le .exe du meme dossier , je touche à rien alors avec rogue killer tout est ok?

Jai key scrambler ca ma l air pas mal d autres conseils?

Ferme roguekiller oui, et passe zhpfix avec les lignes que je t'ai mis dans mon précédent message (j'ai edité en meme temps que tu envoyais ton message). Ca supprimera les traces du keylogger.

Le plus important c'est de maintenir tes programmes à jour pour corriger les failles de sécurité et empêcher les infections d'en profiter. Windows, java, flash player, etc... tous ces programmes sont susceptible de laisser passer des infections si ils ne sont pas à jour.

key scrambler est fiable dans le sens où il est legitime et non infectieux contrairement à certains programmes qui se font passer pour des protections.

http://cjoint.com/?DDdltxSL3A3 
Jai reboot et rescan post fix malheuresement il apparait encore....

poste le rapport de zhpfix
le dossier n'apparait plus sur zhpdiag c'est deja ca, il reste la clé de registre uniquement.

http://cjoint.com/?DDdlEfYbHBb
je vois rien dessus lol

moi non plus effectivement ^^
poste moi celui la pour voir : C:\Users\Lancien\AppData\Roaming\ZHP\ZHPFix[R2].txt
il date de 10 minutes avant le dernier.

========== Clés du Registre ==========
SUPPRIMÉ: HKLM\Software\Wow6432Node\AntiKeyloggerElite

========== Récapitulatif ==========
1 : Clés du Registre

Y'a ca en plus

ah voila

Pour s'en assurer, redémarre le pc et dis moi si tu as encore un message concernant ce programme.

Je sais pas ou impossible de retrouver le lien j ai lu qui il fallait que je redemarre en mode sans echec et supprimer les clés de registres machin....

http://cjoint.com/?DDdl0t4D0KZ

Ca apparait encore, je fais du zele mais je peux pas me permettre  de laisser des failles comme ca vu les sommes en jeu...

Si tu regarde le rapport, ca indique : not file, ce qui signifie que le fichier n'existe plus, la clé est donc inactive.

On va verifier si elle existe encore ou si c'est une erreur de zhpdiag.
Dans le menu démarrer, tape : regedit.exe
Fait un clic droit sur le resultat qui apparaitra et Executer en tant qu'administrateur
Une fois que l'Editeur de registre est ouvert, regarde les dossiers dans la partie gauche et ouvre ceux la :
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Clique sur le dossier Run, et dans la partie droite tu verra les programmes qui demandent a démarrer avec windows. Regarde si tu vois : C:\Program Files (x86)\Anti Keylogger Elite\AKE.exe

Si tu ne le voit pas, regarde dans ce dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Si tu as un doute tu peux faire une capture d'ecran et poster la capture sur le forum.