[Résolu] Piratage compte Hotmail ?

[gepetto38]

Bonjour,

voici mon probléme...je reçois depuis quelques temps des notifications de non distribution de courriers. Je me suis vite aperçu que celà venait d'adresses de mes contacts qui était obsolètes. Puis j'ai reçu des messages d'autres contacts me demandant pourquoi je leur envoyait des liens bizarres. Il semble donc que quelqu'un ait piraté mes contacts...pourtant je fais très attention à ne rien ouvrir dans mes courriers qui soit suspect surtout que tout va dans ma boite courrier indésirable. J'ai scanné avec mailwarebit antimailware et avec spybot mais il semble que cela continue.

ma question est : celà peut il venir d'une autre personne qui aurait été piraté donnant ainsi accès à mes contacts?

Si c'est moi qui ait été piraté comment puis-je faire pour m'en débarasser et quelles mesures prendre dans l'immédiat?

Merci beaucoup de votre aide...

Modifié le 6 juin 2012 par gepetto38

[tomtom95]

Bonjour gepetto38

 

• 
  Quelques conseils avant de commencer
   
  Pendant la désinfection: n'utilise pas d'autre outils ou ne désinstalle pas des programmes
  seulement ceux qui te sont notifier pour éviter tout problème .
   
  Enregistre :toujours les outils sur ton bureau
   
  Bien lire les indications: et si tu rencontre des problèmes n'hésiter pas à me le signaler avant d'effectuer une manip.
  
• Ne laisse pas ton sujet, Va jusqu'au bout avant d'être informé(e) que tout est OK.
  
• Sans réponse dans les 7 jours, le sujet sera supprimé de mes suivis.
   
  IMPORTANT héberger les fichiers contenant les rapports sur http://cjoint.com/
  
• Sur la page du site Clique sur parcourir va jusqu'au rapport
  
• Puis Clique sur ouvrir ce qui va te ramène sur le site cjoint
  
• Ensuite en bas Clique sur Créer le lien Cjoint
  
• Une nouvelle fenêtre apparait avec un lien en bleu
  
• Surligne le lien pour le Copier et colle le lien sur le Forum pour que je puisse le télécharger et analyser.

 

 

• 
  Télécharge

ZHPDiag de Nicolas Coolman sur ton Bureau
 
Double-cliquer sur ZHPDiag.exe pour installer l'outil
Aprés sur ton bureau tu auras 3 icônes

Lance l'outil : double-clique sur ZHPDiag pour XP
Pour Vista et seven fais un clique droit sur l'icône et exécute en tant qu'administrateur.
A Droite en haut
clique sur le bouton option
 
Puis a gauche le bouton TOUS
 
Clique sur la Loupe [/url]en haut
à gauche pour débuter l'analyse
Le rapport généré par l'outil se nomme ZHPDiag.txt
Poste le rapport ZhpDiag.txt VIA Cjoint qui apparait sur le bureau.

 

A+

[gepetto38]

Bonjour,

tout d'abord merci de prendre du remps pour tenter de résoudre mon problème...Alors, j'ai bien lancé ZHPdiag mais j'ai dû recommencer 2 fois car il a bloqué..dès que je lle lance il me dit "problème connexion internet..je sais pas si c'est normal..enfin bref, la 3eme fut la bonne et voici le rapport mis sous c-joint comme tu me l'as demandé :

Lien CJoint.com BFdsPlVeM82

Merci et à bientôt...

Frédéric

[tomtom95]

Bonsoir gepetto38

 

Ton ordinateur est infecté,

A supprimer du pc si encore présent, les programmes de P2P,les cracks,et les toolbars.

Azureus PeerToPeer

TvAnts PeerToPeer

eMule PeerToPeer

OneSwarm PeerToPeer

Toolbar.Conduit

Toolbar.Babylon

C:\Program Files\JDownloader\jd\img\favicons\cracked.com.png

 

 

 

 

• Pour commencer Désactiver TeaTimer de spybot qui ne sert à rien et peut faire échouer une désinfection:!
  Affiche d'abord le Mode Avancé dans Spybot
  
• Options Avancées :
  
• menu Mode
  -Mode Avancé. Une colonne de menus apparaît dans la partie gauche :
  
• clique sur Outils
  
• clique sur Résident
  -Dans Résident :
  
• décoche Résident "TeaTimer" pour le désactiver.
  
• Si dans Spybot S&D tu as vacciné Sur l'onglet "vaccination"
  
• Clique sur "Vaccination" dans la colonne sur la gauche :
  
• Clique sur annuler (la flèche bleue) pour annuler la vaccination.
   
  IMPORTANT Il faut aussi savoir que Spybot utilise une technologie dépassée.
  
• Si tu ajoute à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection..... je te conseil de le désinstaller de ton ordinateur

 

 

• Télécharge sur cette page :

RogueKiller (par tigzy). sur le bureau
IMPORTANT:Quitte tous tes programmes en cours
Désactive tes défenses (anti-virus et anti-spyware)
Lance RogueKiller.exe.
Attendre que le Prescan soit fini ...
Cliquer sur Scan. Cliquer sur Rapport et post le contenu dans la réponse (utilise Cjoint)

 

• Télécharge Sur cette page AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
  
• Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
   
  
• Sur le menu principal
  
• clique sur SUPPRESSION et patiente le temps de l'analyse
   
  
  
• A la fin du scan
  un rapport AdwCleaner.txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner.txt

 

A+

[gepetto38]

Bonsoir,

j'ai bien retiré spybot de l'ordinateur et voici les 2 scans demandés :

Lien CJoint.com BFdxEJC2Znn et

Lien CJoint.com BFdxF1o75HY

merci et à bientôt...

[tomtom95]

Bonsoir gepetto38

 

Ok trés bien

 

• Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus et anti-spyware)
  
• Relance RogueKiller.exe.
  
• Attendre que le Prescan soit fini ...
  
• Cliquer sur Scan.
  
• Cliquer sur Suppression.
  
• Ensuite Cliquer sur Host RAZ.
  
• Cliquer sur Rapport et copier coller le contenu dans ta prochaine réponse

 

 

 

• Télécharge

SFT.exe de pierre13 sur ton bureau
Lance l'outil : double-clique sur SFT.exe pour XP
Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer Un rapport va s'ouvrir à la fin.
Ne poste pas ce rapport sur le forum.
Le rapport est parfois trés long
l'héberger le sur http://cjoint.com/
Le rapport se trouve sur le bureau (SFT.txt)

 

 

• Télécharge

MalwareByte's sur ton Bureau
 
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Pour l'installation Choisir la version gratuit et non celle d'essai pro
Une fois l'installation et la mise à jour effectuées :
 
Branche tes supports externes sur le pc (Clé USB,Disque Dur,etc..)
Allumé Sans les ouvrirs
Exécute maintenant MalwareByte's Anti-Malware.
Sélectionne "Exécuter un examen complet".
Afin de lancer la recherche clique sur"Rechercher".
Coche toutes les cases de tes lecteurs
Une fois le scan terminé une fenêtre s'ouvre clique sur OK.
 
Si des infections sont présentes
Clique sur "Afficher les résultats" puis sur "Supprimer la sélection".
Enregistre le rapport sur ton Bureau.
poste le rapport dans ta prochaine réponse.
 
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression accepte en cliquant sur Ok.

 

A+

[gepetto38]

Bonjour,

voiciles rapports demandés :

 

RogueKiller V7.5.2 [30/05/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/54)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: fred [Droits d'admin]

Mode: Recherche -- Date: 04/06/2012 15:09:20

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 2 ¤¤¤

[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x805B1D78 -> HOOKED (Unknown @ 0xF7CBE164)

SSDT[41] : NtCreateKey @ 0x8061ABE2 -> HOOKED (Unknown @ 0xF7CBE11E)

SSDT[50] : NtCreateSection @ 0x805A0800 -> HOOKED (Unknown @ 0xF7CBE16E)

SSDT[53] : NtCreateThread @ 0x805C735E -> HOOKED (Unknown @ 0xF7CBE114)

SSDT[63] : NtDeleteKey @ 0x8061B07E -> HOOKED (Unknown @ 0xF7CBE123)

SSDT[65] : NtDeleteValueKey @ 0x8061B24E -> HOOKED (Unknown @ 0xF7CBE12D)

SSDT[68] : NtDuplicateObject @ 0x805B398C -> HOOKED (Unknown @ 0xF7CBE15F)

SSDT[98] : NtLoadKey @ 0x8061CE06 -> HOOKED (Unknown @ 0xF7CBE132)

SSDT[122] : NtOpenProcess @ 0x805C13E2 -> HOOKED (Unknown @ 0xF7CBE100)

SSDT[128] : NtOpenThread @ 0x805C166E -> HOOKED (Unknown @ 0xF7CBE105)

SSDT[177] : NtQueryValueKey @ 0x80618E06 -> HOOKED (Unknown @ 0xF7CBE187)

SSDT[193] : NtReplaceKey @ 0x8061CCB6 -> HOOKED (Unknown @ 0xF7CBE13C)

SSDT[200] : NtRequestWaitReplyPort @ 0x805981A4 -> HOOKED (Unknown @ 0xF7CBE178)

SSDT[204] : NtRestoreKey @ 0x8061C5C2 -> HOOKED (Unknown @ 0xF7CBE137)

SSDT[213] : NtSetContextThread @ 0x805C8FB6 -> HOOKED (Unknown @ 0xF7CBE173)

SSDT[237] : NtSetSecurityObject @ 0x805B60FE -> HOOKED (Unknown @ 0xF7CBE17D)

SSDT[247] : NtSetValueKey @ 0x80619154 -> HOOKED (Unknown @ 0xF7CBE128)

SSDT[255] : NtSystemDebugControl @ 0x8060EB2C -> HOOKED (Unknown @ 0xF7CBE182)

SSDT[257] : NtTerminateProcess @ 0x805C866A -> HOOKED (Unknown @ 0xF7CBE10F)

S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xF7CBE196)

S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xF7CBE19B)

IRP[iRP_MJ_CREATE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF73C6B40)

IRP[iRP_MJ_CLOSE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF73C6B40)

IRP[iRP_MJ_DEVICE_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF73C6B40)

IRP[iRP_MJ_INTERNAL_DEVICE_CONTROL] : Unknown -> HOOKED ([MAJOR] sfsync02.sys @ 0xF76718B4)

IRP[iRP_MJ_SYSTEM_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF73C6B40)

IRP[iRP_MJ_DEVICE_CHANGE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF73C6B40)

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST3160812AS +++++

--- User ---

[MBR] c9ce21aa786fc7cb176abbc877be2443

[bSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 146310 Mo

1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 299660445 | Size: 6306 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: WD 3200BEV External USB Device +++++

--- User ---

[MBR] dee37660ce2374b1df9d8af122a9bcd5

[bSP] 02fc58dd3e7d98cbe95e6d7513b33037 : Windows XP MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 305244 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

Voici le rpport SFT :

 

 

Lien CJoint.com BFerd15I6l0

 

 

 

Et Malwarebytes :

 

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.06.04.03

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

fred :: NOM-EB85C523610 [administrateur]

 

04/06/2012 15:17:32

mbam-log-2012-06-04 (15-17-32).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 484981

Temps écoulé: 1 heure(s), 27 minute(s), 33 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 6

C:\Documents and Settings\maison\Mes documents\Téléchargements\SetupPoker.exe_d18eb1(1).exe (PUP.Casino) -> Mis en quarantaine et supprimé avec succès.

C:\Documents and Settings\maison\Mes documents\Téléchargements\SetupPoker.exe_d18eb1.exe (PUP.Casino) -> Mis en quarantaine et supprimé avec succès.

C:\Documents and Settings\maison\Mes documents\Téléchargements\SoftonicDownloader_pour_jdownloader.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.

C:\Poker\Turbopoker.fr\_SetupPoker.exe_d18eb1(1).exe (PUP.Casino) -> Mis en quarantaine et supprimé avec succès.

C:\RECYCLER\S-1-5-21-674535550-3954930648-1683900500-1009\Dc4.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.

K:\Office 2007\KeyGen Microsoft Office Pro Professionnel 2007 Fr - By Mélinda - Activation 100% Validé par Microsoft - A@RICIA\KeyGen Microsoft Office Professionnel 2007\KeyGen Microsoft Office Professionnel 2007.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

Merci et à bientôt...

[tomtom95]

Bonjour gepetto38

 

• Tu as refait l'option Recherche de RogueKiller.
   
  Revoir la procédure demander stp
  Lancer RogueKiller
  •Cliquer sur Suppression.
  •Ensuite Cliquer sur Host RAZ
   
  Aprés refaire une analyse avec ZHPDiag comme la procédure du post #2
   
  IMPORTANT héberger les fichiers contenant les rapports sur

http://cjoint.com/Sur la page du site Clique sur parcourir va jusqu'au rapport
Puis Clique sur ouvrir ce qui va te ramène sur le site cjoint
Ensuite en bas Clique sur Créer le lien Cjoint
Une nouvelle fenêtre apparait avec un lien en bleu
Surligne le lien pour le Copier et colle le lien sur le Forum pour que je puisse le télécharger et analyser.

 

A+

[gepetto38]

Bonsoir,

oups! je me suis trompé de rapport...Voici le bon :

 

Lien CJoint.com BFesd21YqZt

et ZP :

 

Lien CJoint.com BFeseMZ1BvP

 

Voilou...

 

A +

[tomtom95]

RE

 

• Télécharger

TDSSkiller de Kaspersky sur le Bureau
 
Ferme toutes les applications ouvertes
Désactive tes défenses (anti-virus et anti-spyware)
 
Faire un double clique sur TDSSkiller pour le lancer.
Cliquer sur Start scan pour lancer l'analyse
 

 
Lorsque l'outil a terminé son travail d'inspection
si des nuisibles ("Malicious objects") ont été trouvés
vérifier que l'option (Cure) est sélectionnée
 

 
Si des objects suspects ("Suspicious objects") ont été détectés
sur l'écran de demande de confirmation
modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip)
 
Puis cliquer sur le bouton (Continue) puis sur [Reboot Now]
 
Attendre l'affichage du fichier rapport.
Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage
cliquer sur le bouton (Reboot computer).
 
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Rootkit Win32.ZAccess est détecté assure toi que Cure est bien cochée.
 
Si Suspicious file est indiqué laisse l'option cochée sur Skip
 
Clique sur Continue puis sur Reboot now pour redémarrer le PC.
 
Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil HH.MM.SS heure de passage).

 

A+

Modifié le 4 juin 2012 par tomtom95