Hacking de MSN

Marsh Posté le 08-04-2006 à 16:58:25

Petit problemes rencontré 2 fois:

Lors de discutions MSN dans la fenetre de converstion je me retrouve a lire des propos que je dis moi meme logiquement sauf que je n'ai rien écris mais ca s'affiche comme si je parlais (pourtant je ne dis rien).

J'aimerais savoir si quelqu'un à déja eu ce genre de problème, est ce du Hacking Pure ou l'utilisation d'un soft genre "noobhacking.exe"

Et quelle sont les mesure légale pour retrouver cette personne et déposer plainte

D'avance merci

Reply

Marsh Posté le 08-04-2006 à 16:58:25

Reply

Marsh Posté le 09-04-2006 à 13:09:40

Personne dans mon cas :??: ou qui puisse m'aider

Message édité par seba1492 le 09-04-2006 à 13:09:57

Reply

Marsh Posté le 09-04-2006 à 13:16:20

Si c'est en effet du hacking, la seul manière que tu as de retrouver ton lascar est de faire en sorte d'obtenir son adresse IP (comment?...) et le moment précis où cela t'arrive. Une fois ces infos en mains, trouve une brigade informatique et expose-leur ton problème.

Reply

Marsh Posté le 09-04-2006 à 13:26:39

J aimerais etre sur que c est du hack et pas mon interlocuteur qui utilise un soft hackfornoob.exe

Mais il est clair que je compte bien déposer plinte si c est du hacking

Reply

Marsh Posté le 09-04-2006 à 13:30:39

un ptit log avec hijackthis.exe nous fournira les informations necessaire pour te dire si tu n'as pas de merdes à trainer sur ta machine

Reply

Marsh Posté le 09-04-2006 à 14:09:57

Voilou :hello:

Si vous voyez des autre truc que je peut virer dites le moi

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 14:06:22, on 9/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\NetMeter\NetMeter.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\Samurize\Client.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\Sebastien\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Program Files\Accoona\ASearchAssist.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [C:\Program Files\NetMeter\NetMeter.exe] C:\Program Files\NetMeter\NetMeter.exe
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Startup: Client Default.lnk = C:\Program Files\Samurize\Client.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://cdn.messenger.msn.com/downl [...] loader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Reply

Marsh Posté le 09-04-2006 à 20:16:54

Anthony

Citation :

Salut,

Ton log est tres infecte donc si tu as une question ou un probleme, dis le moi.

Imprimer ces instructions, ou colle les dans un fichier texte.

Télécharge Look2Me-Destroyer.exe sur ton Bureau.

http://www.atribune.org/ccount/click.php?id=7

. Ferme toutes les fenêtres actives.
. Lance l'outil Look2Me-Destroyer.exe.
. Coche Run this program as a task
. Un message s'affichera :
"Look2Me-Destroyer will close and re-open in approximately 10 seconds"-> OK
. Il se relancera après les 10 secondes, puis appuie sur le bouton Scan for L2M.
. Les icônes de ton Bureau vont disparaître.
. Le scan termine, clique sur Remove L2M
. Un nouveau message Done Scanning apparaîtra, clique OK.
suivi de Done removing infected files! Look2Me-Destroyer will now shutdown your computer-> OK.
. Ton PC va séteindre.
. Démarre ton PC normalement.
. Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt ,
ainsi qu'un rapport HijackThis.

1/ Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.

2/ Si tu reçois un message de ton firewall disant que l'outil tente d'accéder à l'internet : Accepte ou desactive ton firewall

3/ Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX et place-le dans le dossier C:\Windows\System32.
http://www.ascentive.com/support/n [...] WINSCK.OCX

* Télécharger et installer :

- Ewido http://www.ewido.net/fr/download/
* Durant l'installation
* Sur la page Additional Options
* Décoche Install background guardet et Install scan via context menu
* Lance Ewido Security Suite. Clique sur Mise à jour mais ne t'en serts pas tout de suite.

* Enlevez les applications nocives :

Verifiez si ces programmes sont presents via Panneau de configuration / Ajout et suppresion de programmes :

Network Monitor
COMMON <= Le programme qui commence par ces lettres

S'ils sont presents, les desinstaller.

* Enlever les services :

-Maintenant on va supprimer le(s) service(s) lié(s) à l'infection

Lancer Hijackthis, choisir Open the Misc.Tools section (Ouvrir la section outils)
La fenêtre Configuration va s'ouvrir.
Cliquer sur Delete a NT service... (Enlever un service NT)
La fenêtre Delete a Windows NT service (Enlever un service NT) va s'ouvrir
Entrer dans la zone de dialogue :

C:\WINNT\QmxhcXVpZXJl\command.exe

Note : assurez-vous de ne mettre d'espace, ni avant, ni après !
Une autre fenêtre va s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer cliquer non.

Refaire de meme avec ces lignes :

C:\Program Files\Network Monitor\netmon.exe
C:\WINNT\win32ssr.exe

* Enlever les lignes nefastes :

Relancez HijackThis et cliquez sur Scan only puis cochez les lignes [ si presentes ] en gras ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

F2 - REG:system.ini: UserInit=userinit.exe

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\system32\spooIsv.exe
O4 - HKLM\..\Run: [AdobeReaderPro] lssas.exe
O4 - HKLM\..\Run: [chat] winhost32.exe
O4 - HKLM\..\Run: [Microsoft System Debug] winded.exe
O4 - HKLM\..\Run: [Windows Update Manager] C:\WINNT\taskbar.exe
O4 - HKLM\..\Run: [Microsoft Command C] mchost.exe
O4 - HKLM\..\RunServices: [AdobeReaderPro] lssas.exe
O4 - HKLM\..\RunServices: [Microsoft System Debug] winded.exe
O4 - HKLM\..\RunServices: [Windows Update Manager] C:\WINNT\taskbar.exe
O4 - HKLM\..\RunServices: [Microsoft Command C] mchost.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [chat] winhost32.exe
O4 - HKCU\..\Run: [Ciwt] "C:\PROGRA~1\COMMON~1\ASKS~1\chkdsk.exe" -vt tzt
O4 - HKCU\..\Run: [Windows Update Manager] C:\WINNT\taskbar.exe
O4 - HKCU\..\Run: [Microsoft Command C] mchost.exe
O4 - HKCU\..\RunServices: [Microsoft Command C] mchost.exe

O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - http://chat5.x-echo.com/version6/Applet
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Se [...] 4fe786b984

O20 - Winlogon Notify: H323TSP - C:\WINNT\system32\fnl0213mg.dll (file missing)

Fermez toutes les applications en cours sauf HijackThis et faites Fix .

* Supprimez les mauvais fichiers :

Supprimez les fichiers/dossiers incriminés en gras ci dessous [ s'ils sont presents ] en suivant le chemin d'acces.

C:\WINNT\system32\ spooIsv.exe <= Le fichier
C:\WINNT\ taskbar.exe <= Le fichier
C:\WINNT\system32\ fnl0213mg.dll <= Le fichier
C:\PROGRA~1\ COMMON~1 <= Le dossier qui commence par COMMON
C:\Program Files\ Network Monitor <= Le dossier
C:\WINNT\ win32ssr.exe <= Le fichier

mchost.exe
winhost32.exe
internat.exe
winded.exe
lssas.exe

Important : Pour ceux ou il n'y pas le chemin d'accés devant, faire Démarrer / Rechercher puis Taper le nom du fichier et supprimer et coche la case Inclure les fichiers caches ( etre très vigilant avec les noms !!! )

* Faire un scan avec Ewido.
* Clique sur Scanner et choisir Scan complet du système
* Si des fichiers infectés sont trouvés, toujours les supprimer
* Le scan fini, sauver le rapport et le postez ici.

* Voir les resultats de la manipulation :

Redémarrez l'ordinateur en mode normal et postez un nouveau rapport HijackThis à titre vérificatif ainsi que le rapport de Ewido.

Reply

Marsh Posté le 09-04-2006 à 20:55:07

son log n'est pas TRES infecté

il a juste à virer les lignes :
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Program Files\Accoona\ASearchAssist.dll (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s

Reply

Marsh Posté le 09-04-2006 à 21:17:45

C'est sure, je n'ai fait qu'une citation, à l'avenir je les modifirait.

Reply

Marsh Posté le 09-04-2006 à 22:25:01

faire un copier coller d'une solution qui ne correspond en aucun point au problème n'est pas très malin.

A l'avenir pense à aider en prenant soin de bien ecrire ta reponse, et ne pas faire un C/C à l'arrache qui ne correspond pas au problème

Message édité par gatsu35 le 09-04-2006 à 22:25:56

Reply

Marsh Posté le 09-04-2006 à 22:25:01

Reply

Marsh Posté le 09-04-2006 à 22:48:06

Merci je vais deja faire ca

Reply

Hacking de MSN

Sujets relatifs:

Leave a Replay