Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Bon grâce à Hiren Boot Cd, j'ai trouvé 2 logicieils qui détecte mes ports... Sur 3 port , j'ai la fameuse adresse ipv6
port 546, 1900 et 3960... Je voulais savoir si il est possible de fermer les ports à partir de mon routeur Dlink Dir 815... Il est en anglais et je comprends rien
J'ai d'ailleurs recu l'appel que j'attendais mais il ne veut pas intervenir car c'est au dessus de ses fonctions...
Tu as fais tes tests depuis le réseau interne ? C'est normal que certains ports soit ouvert dans ce sens. Surtout le 546 qui est le port DHCP.port 546, 1900 et 3960... Je voulais savoir si il est possible de fermer les ports à partir de mon routeur Dlink Dir 815... Il est en anglais et je comprends rien
Pour tester les ports ouverts tu peux le faire sur ce site : http://www.self-audit-my-server.net/
Tu auras une vue externe de ton réseau.
J'aurais plutôt conseillé Ubuntu, mais bon pourquoi pas...Bon, autant te le dire tout de suite : c'est juste pour savoir si tu continues de te faire hacker ou non, ce n'est pas une solution pérenne car je doute que tu puisses jouer à ton jeu dessus (mais ce n'est pas impossible, certains jeux fonctionnent sous linux moyennant un peu de bidouille).
Après linux n'est pas infaillible non plus, loin de là, mais au moins tu seras certaine que tu ne te feras pas contaminer par d'un logiciel préalablement installé qui était vérolé et il y'a peu de chance que tu sois contaminée par une donnée vérolée que tu aurais conservée (même si ce n'est pas impossible).
Quant à la distribution à utiliser, là je peux pas vraiment t'aider... Linux Mint est relativement simple à utiliser ceci dit.
Pour son jeu apparement c'est un ejeu sur le web ? Avec Firefox ca devrais marcher normalement
Chlochlo : Tu devrais éssayer en installant Linux (Ubuntu ou Mint, au choix) à la place de Windows.
Est-ce que tu a éssayé de changer ton mot de passe Wifi au fait ?
Oui, j'ai changer mes passes au moins 6 fois...
je crois qu'il passe par le port 1900 celui du controle a distance...
Bloque ce port sur ta box et enlève le wifi si tu as un doute.Envoyé par Chlochlo
Le probleme c'est que je ne peux pas bloquer les port sur ma box ni sur mon routeur...
Et j'ai confirmation qu'il a un acces facile a mon facebook, jeu et autres meme si je change les passes...
Donc je dois avoir un keylogger caché mais mon anti-virus ne le trouve pas ni mon pare-feu
Formate ton pc.
Le formatage complet, pas le rapide, ni une réparation.
Et ensuite, bah tout ce qu'on a déjà dit..
Soit tu mets Ubuntu, soit tu mets Windows.
Mais si tu choisies Windows, alors tu ne remets "aucune" donnée d'avant de formatage.
Ni cd, ni clef usb, ni dvd (à part le dvd de Windows pour lorsque tu réinstalles bien entendu).
Ne fait aucun jeux en partage sur msn ou autre.
Et le deuxième pc a formater également, sinon ça ne sert "à rien du tout".
Il n'y a pas de solution miracle. Après on ne va faire que se répéter.
N'empêche que la police refuse d'intervenir s'il n'y a pas menace de mort, c'est un peu abusé. Style :
- Il m' a menacé de dévoiler ma vie privée sur Internet !
- Ah mais c'est pas une menace de mort ma p'tite dame. On peut rien faire.
- Il m' a menacé de me voler sur mon compte en banque !
- Ah mais c'est pas une menace de mort ma p'tite dame. On peut rien faire.
- Il m'a menacé de bruler ma maison !
- Ah mais c'est pas une menace de mort ma p'tite dame. On peut rien faire.
- Il m'a menacé de me pendre haut et court !
- Il vous a dit "jusqu'à ce que mort s'en suive" ?
- Non, pourquoi ?
- Ah mais c'est pas une menace de mort ma p'tite dame. On peut rien faire.
Retourne les voir, plusieurs fois s'il le faut et insiste. Demande à voir leur supérieur si nécessaire. La Police est le garant de l'ordre public et doit protéger toutes les personnes contre les actes illégaux. À partir du moment où il y a atteinte à ta sphère privée avec insistance au point que ça peut compromettre tes libertés, c'est leur job de s'en occuper. Ils peuvent pas te dire non sur de simples interprétations. C'est à toi à montrer que c'est effectivement une atteinte à ta personne voire à ta famille, faut pas y aller avec des fleurs, mais te dire non parce que c'est pas une menace de mort, ça sent soit l'incompétence, soit le refus de te venir en aide, soit la corruption.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
A propos de la police, dit leur que s'il ne prennent pas ta plainte tu en referrera au tribunal de grande instance. Celui ci a tendance à ne pas trop apprécier que ces messieurs ne fassent pas leur travail consciencieusement et leur "tape sur les doigts". Comme personne n'aime se faire passer un savon, s'il pouvait effectivement faire quelque chose, ils sont plus enclins à le faire. Sinon le tribunal t'informera qu'effectivement ce n'était pas dans leurs attributions (mais j'en doute...).
Peut-être existe-t-il une brigade spécialisée dans l'informatique ?
Je ne connais pas du tout le fonctionnement québecquoi ...
Sinon je suis plutôt d'accord avec Loceka, essaye une distribution Linux.
Ubuntu et mint sont assez simple d'accès, mais pour ce type de probleme j'aurais plutot penché pour un backtrack, ca tient plus de l'audit sécurité.
Bonjour,
Il y a forcément un ou des fichiers infectés qui lui envoient des données en TCP ou UDP, ou par mail régulièrement.
En surveillant tes connexions tu dois pouvoir repérer si un programme espion est présent sur ton poste.
Pour qu'il se relance à chaque démarrage, ce programme doit être inscrit dans HKLM/Software/Microsoft/Windows/CurrentVersion/Run en tant que clé registre, ou tu dois pouvoir repérer son chemin.
Question importante : As-tu un mdp sur ta box FAI ?
Sinon tu peux regarder mon petit article sur mon blog :
http://www.fortisfio.com/?p=284
N'hésites pas a nous dire si quelque chose de suspect est reperé, je sais que c'est compliqué pour les gens qui ne connaissent pas trop ...
En tout cas il y a moyen de se débarrasser de ce parasite sans formater ...
J'ai installer le keylogger detector ... et un coup installer il ne fonctionne pas chez moi
Voici ce que qu'il y a :
Voici le résultat de mon scan avec malwarebytes :
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Database version: v2012.10.27.04
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.10.9200.16635
wesh :: WESH-PC [administrator]
2013-08-12 09:37:52
mbam-log-2013-08-12 (09-37-52).txt
Scan type: Full scan (C:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 397090
Time elapsed: 42 minute(s), 1 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 0
(No malicious items detected)
(end)
Voici ce que Hijackthis à vu :
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:25:09, on 2013-08-12
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v10.0 (10.00.9200.16635)
Boot mode: Normal
Running processes:
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files (x86)\Online Armor\oaui.exe
C:\Program Files (x86)\NewTech Infosystems\Gateway MyBackup\BackupManagerTray.exe
C:\Program Files (x86)\Gateway\Hotkey Utility\HotkeyUtility.exe
C:\Program Files (x86)\Gateway Photo Frame\ButtonMonitor.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Online Armor\OAhlp.exe
C:\Program Files (x86)\KeyScrambler\KeyScrambler.exe
C:\Program Files (x86)\Hotspot Shield\bin\hsscp.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
D:\HBCD\HBCDMenu.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_8_800_94.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_8_800_94.exe
C:\Users\wesh\AppData\Local\Temp\HBCD\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.gateway.com/rdr.aspx...5v155k45k1r309
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSour...ctid=CT3298581
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [BackupManagerTray] "C:\Program Files (x86)\NewTech Infosystems\Gateway MyBackup\BackupManagerTray.exe" -h -k
O4 - HKLM\..\Run: [Hotkey Utility] C:\Program Files (x86)\Gateway\Hotkey Utility\HotkeyUtility.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Gateway Photo Frame] C:\Program Files (x86)\Gateway Photo Frame\ButtonMonitor.exe -A
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [KeyScrambler] C:\Program Files (x86)\KeyScrambler\keyscrambler.exe /a
O4 - HKLM\..\RunOnce: [SpUninstallCleanUp] REG delete HKEY_CURRENT_USER\Software\SearchProtect /f
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\RunOnce: [SpUninstallDeleteDir] rmdir /s /q "C:\Users\wesh\AppData\Roaming\SearchProtect"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\Gateway Games\Gateway Game Console\GameConsoleService.exe
O23 - Service: GRegService (Greg_Service) - Acer Incorporated - C:\Program Files (x86)\Gateway\Registration\GregHSRW.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Service (hshld) - AnchorFree Inc. - C:\Program Files (x86)\Hotspot Shield\bin\cmw_srv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Ma-Config Agent (MaConfigAgent) - Unknown owner - C:\Program Files\ma-config.com\MaConfigAgent.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NTI IScheduleSvc - NewTech Infosystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\Gateway MyBackup\IScheduleSvc.exe
O23 - Service: Online Armor Helper Service (OAcat) - Unknown owner - C:\Program Files (x86)\Online Armor\OAcat.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Riverbed Technology, Inc. - C:\Program Files (x86)\WinPcap\rpcapd.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: Online Armor (SvcOnlineArmor) - Unknown owner - C:\Program Files (x86)\Online Armor\oasrv.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Updater Service - Acer Group - C:\Program Files\Gateway\Gateway Updater\UpdaterService.exe
O23 - Service: USBS3S4Detection - Unknown owner - C:\OEM\USBDECTION\USBS3S4Detection.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 11678 bytes
Je suis pas un expert sécurité et tout particulièrement quand on en vient à devoir interpréter ce genre de rapport, donc commentaire à prendre en compte que si personne ne propose mieux.
Je dirais qu'au niveau des services trouvés par Hijackthis, il serait bon de savoir à quoi correspond chaque élément, en particulier ceux stipulés "Unknown owner".
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Alors KeyScrambler c'est de l'anti keylogger c'est bien
Online Armor je connais pas, mais ça à l'air d'être un pare-feu sérieux.
Pour ce qui est des services, comme l'a dit Matthieu il faudrait vérifier leur provenance. ceux que je vérifierais à ta place :
- GameConsoleService.exe
- C:\Program Files\ma-config.com\MaConfigAgent.exe
- %systemroot%\system32\Locator.exe
- C:\OEM\USBDECTION\USBS3S4Detection.exe
Dans tes processus qui tournent, j'ai l'impression que ButtonMonitor est suspect, sauf si le mec qui t'espionnes utilise un nom d'un processus Systeme pour son virus (comme BackupManagerTray, qui normalement est le processus de Backup de Acer).
Bon je vais essayer de voir ce qui vas pas, et tu me diras ce que ça a donné.
Déjà liste les processus de tous les utilisateurs qui tournent, et clique droit sur BackupManagerTray puis fais propriétés. et regarde le chemin de l’exécutable.
Ensuite, va dans l'onglet Performances dans le gestionnaire de tâches, et clique sur moniteur de ressources. Puis va dans l'onglet réseau. Et dans les 4 parties, essaye de prendre un screenshot et de nous l'envoyer. Pour les processus qu'on voit pas et qui sont pas affichés dans ton screenshot, liste les ici stp.
Si on ne trouve rien, c'est peut-être du keylogging par envoi de mail, il faudra faire autre chose je t'expliquerais.
ou je t'explique en partie maintenant :
Je vois aussi que tu as un sniffer réseau WinPcap d'installé. Il te sera utile, car rien n'échappe au sniffer. Si la moindre donnée est envoyée depuis ton PC à un serveur distant, tu pourras le voir. Les protocoles sont diverses mais il faut commencer je pense avec du SMTP, UDP et TCP.
Alors KeyScrambler c'est de l'anti keylogger c'est bien
Online Armor je connais pas, mais ça à l'air d'être un pare-feu sérieux.
Pour ce qui est des services, comme l'a dit Matthieu il faudrait vérifier leur provenance. ceux que je vérifierais à ta place :
- GameConsoleService.exe
- C:\Program Files\ma-config.com\MaConfigAgent.exe
- %systemroot%\system32\Locator.exe
- C:\OEM\USBDECTION\USBS3S4Detection.exe
Dans tes processus qui tournent, j'ai l'impression que ButtonMonitor est suspect, sauf si le mec qui t'espionnes utilise un nom d'un processus Systeme pour son virus (comme BackupManagerTray, qui normalement est le processus de Backup de Acer). Comment je pourrais avoir un processus de Acer quand mon pc c'est un Gateway
Bon je vais essayer de voir ce qui vas pas, et tu me diras ce que ça a donné.
Déjà liste les processus de tous les utilisateurs qui tournent, et clique droit sur BackupManagerTray puis fais propriétés. et regarde le chemin de l’exécutable. C:\Program Files (x86)\NewTech Infosystems\Gateway MyBackup
Ensuite, va dans l'onglet Performances dans le gestionnaire de tâches, et clique sur moniteur de ressources. Puis va dans l'onglet réseau. Et dans les 4 parties, essaye de prendre un screenshot et de nous l'envoyer. Pour les processus qu'on voit pas et qui sont pas affichés dans ton screenshot, liste les ici stp.
Si on ne trouve rien, c'est peut-être du keylogging par envoi de mail, il faudra faire autre chose je t'expliquerais.
ou je t'explique en partie maintenant :
Je vois aussi que tu as un sniffer réseau WinPcap d'installé. Il te sera utile, car rien n'échappe au sniffer. Si la moindre donnée est envoyée depuis ton PC à un serveur distant, tu pourras le voir. Les protocoles sont diverses mais il faut commencer je pense avec du SMTP, UDP et TCP.
On touche au but
Dans l'écran "Connexions TCP" que tu m'as envoyé, tu vois il y a deux processus nommés "svhost.exe" communiquant avec les adresses IP :
24.200.246.33
64.4.11.42
Repère leur PID (ici 1196) et va dans le gestionnaire de tâches, dans l'onglet "Services". Puis clique droit sur le svhost avec ce PID 1196 et clique sur "Acceder aux services".
Regardes les services selectionnés et envoie un screen ou écris les moi.
Je sens que c'est ca snif snif
J'ai 4 truc avec le PID 1196
Et quand je clique sur ''go to process'' car c'est en anglais chez moi... je vois ca pour les 4!
Est-ce que tu es chez le FAI Vidéotron pour ta connexion Internet ?
oui c'est ca
Je me souviens plus des détails et j'ai aps envie de relire toute la discussion donc je pose la question {'^_^}.
Est-ce que ton attaquant connait des trucs qui restent sur ton ordi où c'est surtout des activités en ligne qu'il divulgue ?
S'il a accès à des trucs qui sont exclusivement sur ton PC et dont tu ne parles pas online, alors pas la peine de lire la suite de mon post. Mais s'il ne semble pas y avoir accès alors ce pourrait être un simple man-in-the-middle. Auquel cas tu pourras chercher autant que tu voudras sur ton PC tu ne trouveras rien. Ça serait bien de confirmer qu'il a effectivement accès au contenu de ton PC. S'il n'a rien de ton PC mais qu'il en a du PC de ton mari, il se pourrait qu'il utilise le PC de ton mari pour faire son man-in-the-middle, auquel cas c'est sur le sien qu'il faut chercher.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager