[Résolu] E-mails malveillants envoyés à mes contacts Outlook

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

fifou79
Messages : 10
Inscription : 18 août 2015 10:43

[Résolu] E-mails malveillants envoyés à mes contacts Outlook

par fifou79 »

Bonjour,

Nouveau sur le forum, je vous sollicite pour un problème de messagerie.
Je suis sur Windows XP, et j'utilise Outlook 2003 pour gérer ma messagerie Free (pop/smtp).
Depuis 2 jours, mes contacts Outlook reçoivent des messages provenant de mon adresse mail.
Les messages sont en anglais et contiennent un lien (sans doute malveillant) vers une page PHP.

J'ai immédiatement changé mon mot de passe de messagerie.
Je ne sais pas comment localiser le problème.

En pièce jointe le log Highjackthis.

Merci pour votre aide.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 107839
Inscription : 10 sept. 2005 13:57

Re: Infection: Mails malveillants envoyés à mes contacts Out

par Malekal_morte »

Salut,

L'adresse de l'expéditeur ne veut rien dire : Mail : source expéditeur - envelope headers & message header.

Regarder au niveau des sources de l'e-mail, il est peut-être envoyé depuis des PC qui font partis d'un botnet.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fifou79
Messages : 10
Inscription : 18 août 2015 10:43

Re: Infection: Mails malveillants envoyés à mes contacts Out

par fifou79 »

J'ai vérifié le header du mail reçu par mes contacts. L'adresse de l'expéditeur est bien mon adresse de messagerie.
Pour info, Avast et Malwarebytes n'ont rien trouvé de suspect.
Malekal_morte
Messages : 107839
Inscription : 10 sept. 2005 13:57

Re: Infection: Mails malveillants envoyés à mes contacts Out

par Malekal_morte »

Peux-tu communiquer ce header.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fifou79
Messages : 10
Inscription : 18 août 2015 10:43

Re: Infection: Mails malveillants envoyés à mes contacts Out

par fifou79 »

J'ai répondu un peu vite... A priori, le message n'est pas envoyé depuis mon PC.
Pouvez-vous me confirmer ?

Header du mail en pièce jointe (un peu modifié pour cacher les IP et adresses mails persos).
Sur un vrai mail envoyé depuis mon PC, mon IP publique apparait dans le header.

Cela veut-il dire que mon PC n'est peut-être pas infecté ?
Comment savoir ?
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 107839
Inscription : 10 sept. 2005 13:57

Re: Infection: Mails malveillants envoyés à mes contacts Out

par Malekal_morte »

C'est sûr que ce n'est pas envoyé de ta machine, tu aurais probablement noté des comportements anormaux, si ton ordinateur spammait.


C'est envoyé par une machine à Honk Kong à un serveur en Autriche.
Received: from mail.chnds.fr (---) by VMAIL1.chnds.fr (---)
with Microsoft SMTP Server (TLS) id 14.2.247.3; Mon, 17 Aug 2015 00:23:06
+0200
Received: from mail.skginfo.at (213.208.138.164) by mail.chnds.fr
(192.168.20.12) with Microsoft SMTP Server id 14.3.224.2; Mon, 17 Aug 2015
00:22:51 +0200
Received: from localhost (spam [192.168.66.9]) by mail.skginfo.at (Postfix)
with ESMTP id 8F0CB39C1CC for <--->; Mon, 17 Aug
2015 00:19:27 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at spam
Received: from mail.skginfo.at ([192.168.66.3]) by localhost (mail.skginfo.at
[192.168.66.9]) (amavisd-new, port 10024) with LMTP id GZVZyVhI6-FF for
<--->; Mon, 17 Aug 2015 00:20:51 +0200 (CEST)
Received: from WORLDST-UQ3K9Q0 (058176077214.ctinets.com [58.176.77.214])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client
certificate requested) by mail.skginfo.at (Postfix) with ESMTPSA id
27BF139C17A; Mon, 17 Aug 2015 00:18:53 +0200 (CEST)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fifou79
Messages : 10
Inscription : 18 août 2015 10:43

Re: Infection: Mails malveillants envoyés à mes contacts Out

par fifou79 »

Bonjour,

Pas de mails maveillants reçus par mes contacts depuis j'ai changé le mot de passe de mon compte Free.
Cela veut-il dire que c'est mon compte Free qui a été piraté ?

Le site webmail Free https://imp.free.fr/ est inacessible depuis 2 jours (et pas seulement depuis mon domicile). coincidence ?
par contre le SMTP/POP Free fonctionne depuis mon PC.
Malekal_morte
Messages : 107839
Inscription : 10 sept. 2005 13:57

Re: Infection: Mails malveillants envoyés à mes contacts Out

par Malekal_morte »

Non aucun rapport, cf mes messages précédents.

14h53 : chez moi il fonctionne.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fifou79
Messages : 10
Inscription : 18 août 2015 10:43

Re: Infection: Mails malveillants envoyés à mes contacts Out

par fifou79 »

J'ai de nouveau accès au webmail Free.

J'ai fait quelques investigations supplémentaires car je trouve bizarre que les destinataires des mails frauduleux ne représente qu'une partie de mon carnet d'adresse Outlook. Et en regardant de plus près, il y a quelques destinataires qui ne sont pas dans mon carnet d'adresse, et même un avec lequel je n'ai jamais échangé depuis mon ordinateur !

J'utilise Outlook 2003 sur mon PC pour recevoir et envoyer les mails de mon compte Free via POP/SMTP. Donc tous mes messages sont sur mon PC, SAUF les rares messages que j'ai envoyé via le webmail Free.
Je me suis connecté à mon webmail et Eureka ! La liste des destinataires des mails frauduleux correspond exactement à la liste des messages que j'ai envoyé depuis le webmail (voir pièce jointe), qui restent sauvegardés sur les serveurs Free.

Cela me conforte dans l'idée que c'est bien mon compte Free qui a été piraté.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 107839
Inscription : 10 sept. 2005 13:57

Re: Infection: Mails malveillants envoyés à mes contacts Out

par Malekal_morte »

Alors change ton mot de passe.

Si tu veux vérifier ton PC :


Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fifou79
Messages : 10
Inscription : 18 août 2015 10:43

Re: Infection: Mails malveillants envoyés à mes contacts Out

par fifou79 »

Malekal_morte
Messages : 107839
Inscription : 10 sept. 2005 13:57

Re: Infection: Mails malveillants envoyés à mes contacts Out

par Malekal_morte »

humm Windows XP :/

Ca c'est mal :
CustomCLSID: HKU\S-1-5-21-420216945-1002718905-2748434466-1008_Classes\CLSID\{9CB572F7-8040-46B4-8201-9F7511F6868A}\InprocServer32 -> C:\Documents and Settings\All Users\Application Data\{60945143-4524-46AF-86B3-946BA3C956B0}\clfsw32.
Afficher les fichiers cachés / systèmes - vois si ce fichier existe.
Poste de travail => Disque C =>\Documents and Settings => All Users => Application Data => {60945143-4524-46AF-86B3-946BA3C956B0}

Si tu vois clfsw32
zip le et envoie le zip sur http://upload.malekal.com

~~


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar- ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

CustomCLSID: HKU\S-1-5-21-420216945-1002718905-2748434466-1008_Classes\CLSID\{9CB572F7-8040-46B4-8201-9F7511F6868A}\InprocServer32 -> C:\Documents and Settings\All Users\Application Data\{60945143-4524-46AF-86B3-946BA3C956B0}\clfsw32.
C:\Documents and Settings\All Users\Application Data\{60945143-4524-46AF-86B3-946BA3C956B0}\clfsw32.



Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fifou79
Messages : 10
Inscription : 18 août 2015 10:43

Re: Infection: Mails malveillants envoyés à mes contacts Out

par fifou79 »

Windows XP -> Oui je sais :/

Pas de fichier nommé clfsw32 dans C:\Documents and Settings\All Users\Application Data\{60945143-4524-46AF-86B3-946BA3C956B0}

J'ai suivi la procédure indiquée. Fichier fixlog.txt:
http://pjjoint.malekal.com/files.php?id ... r7y13f13l8

J'ai changé mon mot de passe de mon compte Free il y a 2 jours, mais il y a encore eu un envoi de mail frauduleux cette nuit avec mon adresse en expéditeur (toujours les mêmes destinataires).
C'est assez logique: Comme on l'a vu dans le header du message, le pirate n'a pas besoin d'utiliser les serveurs de Free pour envoyer des messages de ma part.

Heureusement, l'impact est assez limité car sur les 20 destinataires, seuls 4 ont reçu les messages.
La plupart des serveurs de mail destinataires m'ont renvoyé des messages de rejet du style:
"SMTP protocol diagnostic: 550 5.7.1 Access denied - Reverse IP with this generic domain name is considered as source of spam"
Malekal_morte
Messages : 107839
Inscription : 10 sept. 2005 13:57

Re: Infection: Mails malveillants envoyés à mes contacts Out

par Malekal_morte »

Ok, je pense que le PC 'nest pas infecté au vu du rapport.
Tu peux toujours faire un scan en ligne, ça mange pas de pain.

Fais un scan en ligne NOD32 : https://www.malekal.com/2010/11/12/scann ... e-2/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fifou79
Messages : 10
Inscription : 18 août 2015 10:43

Re: Infection: Mails malveillants envoyés à mes contacts Out

par fifou79 »

Le scan NOD32 a nettoyé 8 applications potentiellement indésirables (voir pièce jointe).

log.txt:
http://pjjoint.malekal.com/files.php?id ... 3f9x9z8d15
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »