Malekal's forum

[Petitechose]

Bonjour.

Un problème assez énervant me permet de penser que ma machine est plus ou moins compromise. En effet, il y a de cela deux mois, mon compte d'un MMORPG bien connu a été « volé ». Le mot de passe a été changé etc... Ceci me fais donc à première vue penser à une infection, et je vous laisse imaginer que c'est assez énervant de taper tous ses mots de passes au clavier virtuel de Kaspersky...

Le vol de mon compte est le seul symptôme (mais quel symptôme !) que j'ai. A première vue, pas de redirection Google, pas de pubs, rien de rien...

Ainsi je viens donc vous voir, étant donné que je ne sais pas quoi pensé. Ce serait super que vous puissiez m'aider à analyser mon système pour voir si il y a un truc méchant qui rôde !

Alors, quelques infos

- Windows XP Media center SP3
- Kaspersky Internet security 2011
- J'utilise Opera comme navigateur

Je considère mes habitudes de surf comme bonnes, j'essaye de faire tout ce que vous dites ! Jamais de Crack, de P2P, ou de trucs tordus...

Malwarebyte ne détecte rien, Kaspersky non plus... Mais bon, un compte ne se pirate pas tout seul !

Voilà donc, merci d'avance pour votre aide (et félicitations pour ce site de la mort !)

[hackinginterdit]

Bonjour Petitechose

Si rien avec Kis et Mbam, bof enfin fait ce qui suit

Désactive ton antivirus

Tu peux suivre les indications de cette page pour t'aider : http://www.malekal.com/2010/11/12/tutorial-otl/

Télécharge OTL sur ton Bureau.

Lance OTL
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
%systemroot%\System32\config\*.sav
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
SAVEMBR:0
%systemroot%\system32\*.dll /lockedfiles
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
/md5start
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
iexplore.exe
wuauclt.exe
/md5stop

* Clique sur le bouton Analyse.

Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports, et poste les liens dans ta prochaine réponse
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

[Petitechose]

Bonjour, merci de votre réponse.

Alors, je n'ai pas eu de "Extras.txt", voici le raport "OTL.txt" : http://pjjoint.malekal.com/files.php?id=a495b5e72b51410

Voilà

[angelique]

Je fais juste un apparté hackinginterdit \o_

Ton MMorpg , WOW ? http://www.f-secure.com/weblog/archives/00001778.html ... certes pas tout jeune mais le principe doit être le meme nop?

[Petitechose]

Bonjour Angelique

WoW est en effet le must du must au niveau des tentatives de vols, mais si toutes ont un point commun, c'est leur grossièreté (Enfin, ca dépend pour qui, évidemment, si on ne sait pas...). Il y a de faux mails de Blizzard, et pleins de bêtises du genre, avec des thèmes bien définis (Get free $$$ FOR FREE !!! ; Get xxx/yyy for free...). Enfin bon, c'est limite moins crédible que les faux logiciels de sécurité leurs trucs ^^

Enfin bref, je peux dire avec certitude que je ne me suis jamais fais avoir par un truc du genre, car la seule fenêtre qui ai vu mes identifiants, c'est la fenêtre pour se connecter au jeu, je n'ouvre même pas les mails de Blizzard, sauf ceux que j'attends (et j'en attend jamais), je vérifie toujours, pour n'importe quel sîte, que c'est bien sur le vrai que je rentre mon mdp etc... La paranoïa c'est la vie !!!

Voilà, c'est un peu ce qui m'inquiète en fait, comment il a fait le gars pour me voler mon compte sans ça...

[hackinginterdit]

Hello Angélique merci

Ton affaire ressemble effectivement a du phishing

comment il a fait le gars pour me voler mon compte sans ça...

Je ne sais pas mais un mauvais clic est si vite arrivé une chose est sur ton rapport OTL ne présente rien d'inquiétant

ReLance OTL et clique sur purge outils.
Le PC va redémarrer pour supprimer l'outil et sa quarantaine.

Télécharge TFC par OldTimer impérativement sur ton Bureau:

• Faites un double clic sur TFC.exe pour le lancer.
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours avant de commencer.
  
• Cliquez sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laissez le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système.

Pour moi C’est OK, ton PC n’est pas infecté

Il faut modifier tous les mots de passe importants.
De nos jours, la plupart des nuisibles sont créés dans le seul but de voler des informations personnelles et/ou des mots de passe.
Je te conseille de modifier tous les mots de passe importants comme ceux concernant la banque, les sites marchands, les réseaux sociaux, etc...
Il est très important de créer des mots de passe solides et d'utiliser un mot de passe différent pour chaque site.

- Sécurise la navigation avec Firefox Sécurité (NoScript + AdBlock) : http://www.malekal.com/securiser_Firefox.php

- Désactive puis réactive la restauration du système http://www.malekal.com/2010/11/14/resta ... istaseven/
- Mode d’emploi Windows XP – http://www.malekal.com/2010/11/12/la-re ... dows-xp-2/

Mode d’emploi pour désactiver/réactiver la restauration système pour Windows Vista
http://www.malekal.com/2010/11/14/resta ... istaseven/

Quelques points essentiels sur la sécurité de ton PC :

- La sécurité, c’est ton problème et non les programmes que tu installes (Antivirus , anti spywares etc etc,)

- Il ne faut pas ouvrir n’importe quel fichier quelque soit le prétexte. Un malware peut s'y cacher.

Proscrire l'utilisation de cracks, keygens et autres warez!
Proscrire l'utilisation de P2P illicite comme:
Azureus, BitTorrent, uTorrent etc!!!!!

- On maintient son système à jour et TOUS ses logiciels à jour pour combler les vulnérabilités : logiciels-pour-maintenir-ses-programmes-a-jour-t15960.html

Sécuriser son ordinateur securiser-son-ordinateur-version-courte-t381.html

Petitechose, Bon wek end

[Petitechose]

Merci de votre réponse

Me voilà rassuré pour ma machine.

C'est vrai que ça ressemble à du phishing, mais je suis certain que non (je jouais plus vraiment au jeu, et c'est pas vraiment moi qui paye, puis j'accepte !jamais! d'offres sur internet, c'est toujours plus ou moins louche...). Ce dernier était associé à un vieux mail que je n'utilise qu'une fois tous les 6 mois, et le mdp de ce mail avait lui aussi été changé. Du coup je pense que c'est une connaissance qui m'a pris le mdp de mon adresse avant de changer bêtement le mot de passe du jeu normalement. Avec du phishing, le méchant aurai pas eu le mdp de mon adresse mail, et aurai certainement fait plus de dégâts au compte.

M'enfin, du moment que mon PC est comme il faut, je m'en moque de WoW :p

Merci de votre aide, et bon week-end à vous aussi !!!

[compte-supprime666]

http://www.malwarecity.fr/blog/votre-cy ... u-628.html