[Résolu] Email spoofing, y'a t'il une possible infection ?

[wcxd]

Bonjour,

Tout d'abord je ne suis pas sûr d'être infecté, donc je poste peut-être au mauvais endroit.

Voici le problème :

Il y a environ 1 mois, j'ai été victime d'un email spoofing : je recevais énormément de mails d'erreur, soit disant envoyés via mon adresse.

Après recherches j'apprends qu'il n'y a pas grand chose à faire, et que j'ai juste "joué de malchance" pour que mon adresse finisse par être utilisée.

Cependant, depuis ce matin, une deuxième de mes adresses a été victime d'email spoofing.

La coincidence me parait étonnante, et je me demande donc s'il se pourrait que je sois infecté, et que le pirate ait accès à mes adresses email (via un keylogger peut-être ?)

J'ai passé Avast et Malewarebytes, aucun soucis n'a été relevé.

Qu'en pensez-vous ?

[ѠOOT]

Bonjour,

Aviez-vous le même mot de passe sur les deux comptes ?
Quels { étaient / sont } les messages d'erreurs reçus ?

[wcxd]

Bonjour,

Non les MDP étaient différents. De plus une des adresses est une adresse Gmail, et d'après l'historique des connexions, personne ne s'est connecté dessus à part moi.

Voici des exemples de messages :

We're sorry. You replied to a TripAdvisor address that does not accept incoming e-mail.
If you have questions or need assistance, please visit this page:

http://www.tripadvisor.com/help

TripAdvisor LLC 141 Needham Street, Newton, MA 02464 USA

Message du : 20/10/2015 05:52
De : "Mail Delivery System " <[email protected]>
A : [email protected]
Copie à :
Sujet : Undelivered Mail Returned to Sender


This is the mail system at host smtprelay-h13.telenor.se which is relaying
messages sent by customers to Telenor Sverige AB and its subsidiaries
Bredbandsbolaget and Glocalnet.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.


: host mx2.hotmail.com[207.46.8.199] said: 550 Requested
action not taken: mailbox unavailable (in reply to RCPT TO command)

Hi. This is the qmail-send program at hermes.ate.tm.fr.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<[email protected]>:
User and password not set, continuing without authentication.
<[email protected]> 66.102.1.26 failed after I sent the message.
Remote host said: 550-5.7.1 [194.213.30.17 12] Our system has detected that this message is
550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail,
550-5.7.1 this message has been blocked. Please visit
550 5.7.1 https://support.google.com/mail/answer/188131 for more information. q10si26395828wiz.85 - gsmtp

[ѠOOT]

Bonjour,

Votre compte de messagerie doit être utilisé pour envoyer des pourriels.

Pour voir, comme dirait Malekal.. faire un scan FRST :

Suivre le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharger et lancer le scan FRST, cela va générer 3 rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoyer, comme expliqué, ces 3 rapports sur le site http://pjjoint.malekal.com
En retour donner les 3 liens pjjoint qui mènent aux rapports dans votre prochaine réponse.

[wcxd]

Voici les rapports :

FRST :
http://pjjoint.malekal.com/files.php?id ... 13w8e10g11

Addition :
http://pjjoint.malekal.com/files.php?id ... 8e9u8f8f14

Shortcut :
http://pjjoint.malekal.com/files.php?id ... 10p715t5d5

[Malekal_morte]

Pas infecté.

Tes amis en reçoivent ?
Si oui, ce serait bien d'avoir un exemple d'en-tête de mail.

[wcxd]

Merci pour le diagnostic.

Effectivement, les gens de mon carnet d'adresse ont reçu des emails provenant de mon adresse. Je vais essayer de trouver quelques entêtes.