Boîte mail piratée

[cotes du rhone]

Bonjour à tous

Voici ce qu'il m'arrive, et c'est la panique:

 

Panique dans ma boîte de réception depuis qu'une connaissance m'a fait parvenir de la documentation de "id-reseaux.over-blog.com relative au trojan Cryzip.

Voici ce que je reçois : < http://img135.imageshack.us/my.php?image=s...nshot1104nj.gif >

et voici mes indésirables :< http://img507.imageshack.us/my.php?image=s...nshot1115pq.gif >.

 

C'est-à-dire que le spammer a pris connaissance du contenu de ma boite de réception !!!!

 

Que dois-je faire ????? SOS Help.

Comment déposer une plainte, et chez qui ?

Quelle est la procédure complète pour modifier mon adresse?

Faudra-t-il que je change de compte?

Puisque ce spammer a pénétré mon système, ces mesures citées ci-avant servent-elles à quelque-chose?

 

Merci de m'entourer pour résoudre ce problème. SVP.

Je n'étais pas préparé à cette attaque, désolé

SVP MERCI

Modifié le 19 avril 2012 par Yann

[horus agressor]

Bonjour,

 

Je vous propose d'abord de lire cela : http://forum.zebulon.fr/index.php?showtopic=64246 et ensuite d'appliquer ceci : http://forum.zebulon.fr/index.php?showtopic=83986

 

Je ne suis pas un spécialiste de l'analyse de rapport HiJackThis, mais vous pourriez lire http://www.zebulon.fr/articles/HijackThis.php , cela pourrait vous intéresser vu votre rage lors de l'éradication d'Adobe Reader .

 

Une autre mine d'or : http://assiste.free.fr/tree/assiste.com.html , fouillez un peu et trouvez la rubrique "Pirates", entre autres rubriques.

 

Cela en attendant les spécialistes.

 

Amicalement.

[pitcat]

bonjour cotes du rhone

quel est ton client de messagerie et ton fai et comment releve tu ton courrier?

sur ton pc ou chez ton fai.

regarde precisement ici:

http://assiste.free.fr/ à spam

à+

Modifié le 22 mars 2006 par pitcat

[horus agressor]

http://assiste.free.fr/ à spam

Salut Pitcat,

 

Merci de ta rectification, le spam, c'était pourtant clair comme de l'eau de roche

 

J'ai suivi la mauvaise piste avec mes pirates et autres hackers, il se fait vite des scénarios hollywoodiens le tit Horus

 

Amicalement.

[cotes du rhone]

Salut horus agressor,

Un grand merci pour tes liens; je pourrais ne pas les connaître, mais je possède en complet les trois premiers.

Ce matin j'ai encore scanné mon PC en mode sans échec ( après avoir fait les mises à jour de mes logs) avec SpyBot S&D, Ad-Aware, Ewido et, après avoir désactivé la restauration système, avec a²-Squared. Bilan: 8 cookies insignifiants sous Ad-Aware (supprimés).

Pour ton info, je viens de passer HJT; en voici le rapport:

 

Logfile of HijackThis v1.99.1

Scan saved at 15:55:17, on 22/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Albert\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planet Internet

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Startup: Online Support.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

 

J'ai souligné ce qui peut être un trojan.

 

Je vais m'appliquer à ceci, maintenant que je suis dans la m..:< http://assiste.free.fr/tree/assiste.com.html > Merci.

[cotes du rhone]

Salut Pitcat et merci pour ton lien;

< quel est ton client de messagerie et ton fai et comment releve tu ton courrier?

sur ton pc ou chez ton fai >

REPONSE:

Mon client messagerie "pitatée" est MSN Hotmail ( mon adresse se terminant par "msn.com").

Mon FAI est skynet.be ( avec mon abonnement chez Belgacom.be).

Je relève ma boîte de réception sur mon PC ( je n'en ai pas ailleurs).

Mais à noter que celui qui réceptionne réellement et qui décide de faire le facteur vers ma boîte MSN je ne sais pas si c'est Skynet ou MSN ou Hotmail ( j'avoue que je m'y perd !) .

C'est une connaissance qui m'avait ouvert un compte chez MSN en même temps qu'il avait configuré la messagerie instantanée MSN Messenger. Je ne suis plus en rapport avec cette connaissance.

Merci pour ton intervention

Modifié le 22 mars 2006 par cotes du rhone

[pitcat]

re

deja il ne faut surtout pas cliquer sur les liens (cela prouve la validite de ton adresse mail)et tu supprimme direct tous les spam sans les ouvrir

ensuite il faudrait que tu fasse un hjt mais avec le minimum de prog ouvert pour y voir plus clair et tu as beaucoup de programme au demarrage qui à mon sens sont inutiles des ce meme demarrage.

donc tu ouvre tes mails par outloock?et pas sur msn.com ou autres.

à+

[Médicus 33]

Hello

Voir sur comment ça marche pour le processus normal

C:\WINDOWS\system32\wuauclt.exe

et la maniére de ne pas le confondre avec le trojan "Troj/Cult-B."

[pitcat]

re

Médicus 33 salut

dans un premier temps je ferrait ceci,fixer ces lignes avec hjt apres l'avoir bien installer:

 

C:\Documents and Settings\Albert\Bureau\HijackThis.exe

ton hjt est mal placer le mettre dans C:\hijackthis sinon tu perd tes sauvegardes

 

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Startup: Online Support.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

ces lignes servent à rien au demarrage sauf ralentir ta machine

 

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

si tu utilise msn 7.5 cette ligne est legitime il me semble

 

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

tu peut arreter et mettre en manuel ses services(perso je les desactiverait mais bon!!)

voila apres le spam n'est pas forcemment dangereux ni signe d'infection

c'est genant parcequ'il remplit ta boite mail inutilement

à+

[horus agressor]

re

deja il ne faut surtout pas cliquer sur les liens (cela prouve la validite de ton adresse mail)et tu supprimme direct tous les spam sans les ouvrir

ensuite il faudrait que tu fasse un hjt mais avec le minimum de prog ouvert pour y voir plus clair et tu as beaucoup de programme au demarrage qui à mon sens sont inutiles des ce meme demarrage.

donc tu ouvre tes mails par outloock?et pas sur msn.com ou autres.

à+

Bonjour Côte du Rhône,

 

- Suivre les bons conseils de Pitcat en attendant qu'un pro se penche sur votre log.

 

- Commencer à gamberger pour créer une adresse sous Yahoo et commencer à penser à migrer vers Thunderbird

 

Je ne suis pas un spécialiste de l'analyse, mais je suis presque certain que votre PC doit trainer de la patte arrière, il doit être lent au démarrage et à la fermeture vu le nombre de lignes 04 (qui représentent les programmes qui se lancent au démarrage), mais cela est de la musique d'avenir, chaque chose en son temps.

 

Se serait bien de suivre ce qui est là en bas, précédé d'un nettoyage de votre PC (CCleaner, ...) , puisqu'il ne semble pas y avoir d'infection selon la procédure que vous avez suivie en mode sans échec, mise à part quelques cookies :

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

=> or vous avez installé HijackThis dans un dossier temporaire comme nous le montre cette ligne de votre log :

 

C:\Documents and Settings\Albert\Bureau\HijackThis.exe

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip ( http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

----------

Manière d'utiliser cette procédure au sein d'une discussion :

- cliquer sur le bouton "Répondre" (à côté de "Citer" en bas à droite du message)

- Sélectionner la partie utile du texte (entre les lignes de tirets)

- Ctrl-C pour copier dans le Presse-papier

- annuler la réponse en cliquant sur la flèche "Retour arrière" (fonction du navigateur en haut à gauche de la fenêtre)

- Ctrl-V pour coller la procédure dans un post de la nouvelle discussion

- ajouter l'information "(Source : http://forum.zebulon.fr/index.php?act=ST&f=40&t=69176 )"

- (de cette manière, vous conserverez liens et mise en page)

- (vous pouvez aussi conserver la procédure dans un fichier texte -avec les balises- sur votre disque dur).

http://forum.zebulon.fr/index.php?showtopic=83986

Modifié le 22 mars 2006 par horus agressor