Bonjour à tous
Je cherche une aide et des conseils en urgence car mon réseau freebox a été piraté à plusieurs reprises. Je suis relativement peu compétent en informatique. J’ai déposé plainte et contacté Free mais ils ne peuvent rien faire dans l’immédiat. Je compte faire venir un spécialiste informatique à domicile mais au préalable je vous demande votre avis et vos conseils.
J’explique en résumé en quoi consiste le piratage : au départ c’est quand j’ai activé la wifi temporairement (pour relier l’ipad de mon petit fils en séjour pour les vacances) que les pirates qui sont donc dans mon voisinage en ont profité pour cracker le réseau. Je ne m’en suis pas rendu compte tout de suite. J’ai bien sûr désactivé la wifi et je me suis remis en ethernet sur les 2 ordinateurs de mon domicile. Malgré cela le pirate a pris la main sur le réseau et fait apparemment ce qu’il veut sur nos pc et il va même jusqu’à faire de la provocation (en montrant qu’il pilote a distance les ordinateurs). Je ne suis pas spécialiste mais apparemment il se sert notamment d’un serveur proxy et a totalement rendu impossible pour moi le nettoyage de mes pc. J’ai utilisé différents programmes (malwarebyte, roguekiller, zhpcleaner, adwcleaner…) qui n’ont pas permis d’empêcher l’intrusion sur le réseau de continuer. J’ai mis ci dessous le dernier rapport d’adwcleaner.  
Merci de votre aide.
 
# AdwCleaner v4.208 - Rapport créé le 20/07/2015 à 14:30:02
# Mis à jour le 09/07/2015 par Xplode
# Base de données : 2015-07-15.1 [Serveur]
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (x64)
# Nom d'utilisateur : Administrateur - LUCIEN-PC
# Exécuté depuis : C:\Users\Administrateur\Desktop\adwcleaner_4.208.exe
# Option : Scanner
 
***** [ Services ] *****
 
 
***** [ Fichiers / Dossiers ] *****
 
Fichier Trouvé : C:\Users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\nxjdjtiv.default\user.js
 
***** [ Tâches planifiées ] *****
 
 
***** [ Raccourcis ] *****
 
 
***** [ Registre ] *****
 
Donnée Trouvée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyServer] - hxxp=;ftp=;hxxps=;
Valeur Trouvée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [DefaultConnectionSettings]
Valeur Trouvée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [SavedLegacySettings]
 
***** [ Navigateurs ] *****
 
-\\ Internet Explorer v0.0.0.0
 
 
-\\ Mozilla Firefox v39.0 (x86 fr)
 
 
*************************
 
AdwCleaner[R0].txt - [13698 octets] - [04/10/2014 18:30:26]
AdwCleaner[R10].txt - [1876 octets] - [14/07/2015 22:23:32]
AdwCleaner[R11].txt - [3935 octets] - [14/07/2015 22:43:57]
AdwCleaner[R12].txt - [2057 octets] - [18/07/2015 11:23:58]
AdwCleaner[R13].txt - [1351 octets] - [20/07/2015 14:30:02]
AdwCleaner[R1].txt - [2017 octets] - [04/10/2014 19:12:06]
AdwCleaner[R2].txt - [1216 octets] - [10/10/2014 14:12:11]
AdwCleaner[R3].txt - [5356 octets] - [01/02/2015 17:25:44]
AdwCleaner[R4].txt - [2677 octets] - [18/04/2015 11:16:45]
AdwCleaner[R5].txt - [2737 octets] - [18/04/2015 11:46:06]
AdwCleaner[R6].txt - [3060 octets] - [28/04/2015 18:33:15]
AdwCleaner[R7].txt - [3897 octets] - [21/06/2015 16:49:15]
AdwCleaner[R8].txt - [1647 octets] - [11/07/2015 09:02:49]
AdwCleaner[R9].txt - [1814 octets] - [14/07/2015 10:33:30]
AdwCleaner[S0].txt - [13482 octets] - [04/10/2014 18:31:15]
AdwCleaner[S1].txt - [2541 octets] - [04/10/2014 19:18:42]
AdwCleaner[S2].txt - [5414 octets] - [01/02/2015 17:28:37]
AdwCleaner[S3].txt - [2760 octets] - [18/04/2015 11:48:52]
AdwCleaner[S4].txt - [3130 octets] - [28/04/2015 18:35:14]
AdwCleaner[S5].txt - [2458 octets] - [06/07/2015 15:11:19]
AdwCleaner[S6].txt - [2001 octets] - [14/07/2015 22:44:52]
 
########## EOF - C:\AdwCleaner\AdwCleaner[R13].txt - [2373 octets] ##########

de toute évidence, tu t'ai fais piraté ton clavier, il a écrit le titre du topic en full majucules

Bonjour lucien1932,
 
 
Vous êtes tombé sur un sérieux client là ! Pour rappel, ça coûte très cher ce genre d'infraction !  
 
Je vais voir ce que je peux faire et notamment voir si je trouve un Cheval de Troie suspect, mais il faudrait me faire parvenir un rapport de ZHPDiag pour chaque PC (soit 2 si j'ai bien compris). Cette recherche serait fructueuse dans la mesure où le pirate aurait installer un programme mais on peut très bien imaginer qu'il se connecte à vos PC maintenant par le réseau internet cablé... Cela dit, il est possible aussi que vous ayez téléchargé et installé un programme infectieux et que ce ne soit pas le fait d'un pirate qui passe dans le coin. Est-ce que les 2 PC sont piratés ? Qu'est-ce qui se passe concrètement ?
 
 
 
Tous les rapports demandés doivent être postés sur le forum sous la forme d'un lien.
 
 
Comment créer et poster le lien d'un rapport :
 

• Se rendre sur le site http://www.cjoint.com/
• Cliquer sur le bouton Parcourir, sélectionner le rapport demandé et valider par Ouvrir
• Puis, en bas de la page du site Cjoint, cliquer sur Créer le lien Cjoint
• Faire un clic droit avec la souris sur le lien créé qui apparaît sous cette forme http://cjoint.co/Exemple et sélectionner l'option copier l'adresse du lien  
• Coller ce lien (à l'aide du clic droit) dans ta prochaine réponse sur le forum.

 
Rappel sur les envois des rapports:  
Les fichiers générés par ce programme peuvent inclure des données personnelles (nom d'utilisateur par exemple). Assurez-vous de les nettoyer si vous ne souhaitez pas qu'elles soient accessibles à tous.
 
 
 
==> ZHPDiag - programme de diagnostic
 
 

• Télécharger ZHPDiag (de Nicolas Coolman)

       Note: le programme est téléchargé en principe dans la rubrique Téléchargements de l'explorateur de                        fichiers                          
 
 

• Lancer l'installation en cliquant sur le fichier ZHPDiag3.exe  

• A partir du bureau, faire un clic droit de la souris sur l'icône de ZHPDiag et choisir "Exécuter en tant qu'administrateur" (pour Windows Vista, 7/8)

• Accepter la lettre d'information

• Cliquer sur Scanner

       Note: ne pas fermer le programme même si il est indiqué qu'il ne répond plus
 
 
   
 
 

• Une fois le scan terminé, le fichier ZHPDiag.txt a été créé sur le bureau

• Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

merci de votre aide
voila le dernier rapport roguekiller pour le premier pc
il ne ressort rien de zhp aujourdhui
 
RogueKiller V10.9.0.0 [Jul  6 2015] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com
 
Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en  : Mode normal
Utilisateur : JOHAN [Administrateur]
Démarré depuis : F:\RogueKiller.exe
Mode : Scan -- Date : 07/23/2015 13:47:36
 
¤¤¤ Processus : 0 ¤¤¤
 
¤¤¤ Registre : 2 ¤¤¤
[PUM.Policies] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0  -> Trouvé(e)
[PUM.Policies] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0  -> Trouvé(e)
 
¤¤¤ Tâches : 0 ¤¤¤
 
¤¤¤ Fichiers : 0 ¤¤¤
 
¤¤¤ Fichier Hosts : 2 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost
[C:\Windows\System32\drivers\etc\hosts] ::1             localhost
 
¤¤¤ Antirootkit : 0 (Driver: Non chargé [0xc000036b]) ¤¤¤
 
¤¤¤ Navigateurs web : 0 ¤¤¤
 
¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: ST500DM0 02-1BD142 SATA Disk Device +++++
--- User ---
[MBR] a4ef7e2aa799cd8629a53c981899f312
[BSP] ce75538a2984f5465fa4cffd0efde08d : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 63 | Size: 476929 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK
 
+++++ PhysicalDrive1: JetFlash Transcend 16GB USB Device +++++
--- User ---
[MBR] 99cb34c108abe8f0e8dd08fdc47ad292
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 32 | Size: 15479 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )
 
 

Il n' y a pas d'infection dans RogueKiller.
 
J'aimerais pouvoir juger de moi-même ce qu'il y a dans ZHPDiag. Ne vous inquiétez pas sur le message du forum concernant le nettoyage des rapports, vérifiez simplement que n'apparait pas votre nom et votre prénom.

merci de votre aide
je vous précise que le pirate fait tout son possible apparemment pour faire obstacle et il m'a "démontré" qu'il sait exactement ce que je fais lorsque je suis en ligne
pour éventuellement certainement me compliquer la tache et ne pas laisser d'éventuelles traces gênantes peut etre...

Merci encore

Edit Modo : pas de rapports !!

S'il vous plait, poster un lien du rapport comme indiqué plus haut, le forum interdit cet affichage. Je regarde.  
 
Une question: les phénomènes se produisent sur les 2 PC ?

voila le lien vers le rapport zhpdiag
merci
http://www.cjoint.com/c/EGxmR5WdXqP

Est-il possible que vous me fassiez passer un rapport de ZHPDiag du second PC ?  
 
N'ayez pas peur mais ne faites pas d'achat sur le net.  

pour votre question : le 2d pc a été moins affecté peut etre parce qu on l utilise très peu
toutefois je vous joins quand meme des que possible le lien zhpdiag
une précision : la commande netstat -a montre semble montrer également une activité anormal sur le réseau

oui merci pour cette précision et en effet je ne fais plus aucun achat sur le net

Et bien, je ne vois aucun processus actif suspect.  
Je suppose que vous avez installé My Wifi Zone ?

c'est pas un voisin qui aurait une longue vue et regarderait par ta fenetre ?
 
concrètement, il fait quoi ?

 
Question posée plusieurs fois, à laquelle il est urgent de répondre.  
 
Factuellement, pas des "je pense qu'il utilise des serveurs proxy machin".

Le fait que la modération ait fermé le 1er topic ne peut signifier qu'une seule chose: Tes voisins ont infiltré la modération !!!
De plus comment expliquer que la modération (encore, comme par hasard) t'ai interdit de publier les rapports sur le forum ? tout simplement pour t'empêcher de trouver de l'aide !!
Certains t'ont répondu qu'il est normal que dans les périphériques tu voies une souris virtuelle qui est apparue comme par hasard juste après le piratage de ton wifi: c'est faux !!! Sur un PC normal équipé d'une souris il y a juste une souris dans le gestionnaire de périphériques, pas 2 !!! Il est possible que ce soit la souris du pirate lorsqu'il utilise remote desktop pour prendre le contrôle de la machine à ton insu !!! As-tu essayé de supprimer ces périphériques que tu n'as pas installé ? Je suis prêt à parier que tu ne pourras pas, comme par hasard, puisque le pirate a modifié les droits des utilisateurs pour se protéger !!!

 
Techniquement, c'était plutôt le 5°.
 
Celui sur lequel on est est le 2° je crois.

je suis tombé par hasard sur un autre topic déjà fermé.
cette qualitance mes voisins !
 
J'espère qu'il a conservé le contrôle de son clavier pour pouvoir poster ici !