Virus ? Mots de passes changés...Résolu/Fermé

Question

Bonjour,

Je suis parti hier chez mes grands-parents (osef de ma vie) et aujourd'hui je reviens et bam, mon compte steam et mon msn sont inaccessibles ... Raison ? Mes mots de passes ont été changés ... 

Je ne comprends pas, je ne télécharge pas (à ma connaissance) de logiciels douteux et je n'ai jamais eu de problème auparavant. Je possède Avast! et suis actuellement en train de faire un scan, mais j'aimerais surtout savoir si ce virus est toujours sur mon PC. Si je n'arrive pas à avoir la certitude que ce n'est pas le cas, je formaterais, mais je préfère m'en assurer avant.

Je vois souvent des gens faire des scans hijackthis, mais bon moi je n'y connais rien et ne comprendrai rien au charabia qu'il me sortira ...

Si il y a une bonne âme qui passe et qui pourrait m'aider à m'assurer que cette saloperie n'est plus là (si elle existe bel et bien) ce serait vraiment apprécié ...

Merci d'avance,
Dona 

Configuration: Windows 7 / Firefox 3.6.3

Dikeus · Answer

Sa sent le piratage, cherche peut être autour de toi .
Le pc était allumé lors de ton voyage ?

Kazac · Answer

Salut, peux tu faire un scan avec : A-SQUARED FREE

télécharge le, fais la mise à jour, ensuite un scan en détails

supprime tout se qui est cocher

poste le rapport ici

dona3000 · Answer

Non, le PC n'était pas allumé, et je suis que personne ne peut y accéder pendant que je suis là, personne ne connaît mes mots de passe.

Je suis en train de faire le scan A-SQUARED ...

Utilisateur anonyme · Answer

Si je n'arrive pas à avoir la certitude que ce n'est pas le cas, je formaterais, mais je préfère m'en assurer avant. 

Cela ne changera rien à ton problème : ton (tes) compte(s) est (sont) hébergé(s) sur une (des) autre(s) machine(s).

###

Voyons voir s'il n'y a pas de programmes nuisibles sur ton PC :

> Télécharge random's system information tool (RSIT) : http://images.malwareremoval.com/random/RSIT.exe
- Enregistre le programme sur ton bureau. 
- Double clique sur RSIT.exe 
- A l'écran "Disclaimer" choisis "1 months" dans le menu déroulant puis clique sur <continue>.
- Si HiJackThis n'est pas détecté sur ton PC, RSIT le téléchargera ; accepte alors la licence.
- Une fois le scanne terminé tu obtiendras un rapport log.txt. Poste le sur le forum.
NB : Il se peut que tu obtiennes un second rapport nommé info.txt. Dans ce cas poste le aussi mais dans un second message.


+

dona3000 · Answer

Je sais bien que je ne récupérerais pas mes comptes de cette façon, mais en formatant mon PC je pourrais m'assurer d'avoir éliminer le programme malveillant.

Je suis en train de télécharger et d'installer RSIT, merci pour votre aide à tous ...

dona3000 · Answer

Voici le log HiJackThis : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:38:47, on 6/04/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Virtual CD v10\System\VC10Play.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Virtual CD v10\System\VC10Tray.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32	askmgr.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\a-squared Free\a2free.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: dTPodcastBHO - {65134FDF-F8A5-4B3D-91D9-CDF273CFD578} - C:\Program Files\Common Files\doubleTwist\IEPodcastPlugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [VC10Player] C:\Program Files\Virtual CD v10\System\VC10Play.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MIF5BA~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIF5BA~1\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix: 
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Virtual CD v10 Management Service (VC10SecS) - H+H Software GmbH - C:\Program Files\Virtual CD v10\System\VC10SecS.exe

Utilisateur anonyme · Answer

Ce n'est pas forcément un programme malveillant installé sur ton PC qui permet cela.  
Ex : attaque au brute force, keylogger. 

Exemple de situation : tu vas sur MSN depuis un autre ordinateur (exemple cyber-café). 
Le propriétaire crapuleux du PC a installé un keylogger. 
Il peut alors récupérer ton pass après ton départ... 
Hack quoi bon

dona3000 · Answer

Je suis en train de passer A-SQUARED et il vient de trouver 2 fichiers à hauts risques, il les a identifiés comme "Virus.Win32.Trojan!IK". 

Est-ce-que ça pourrait être ça la source de mon problème ? Et comment pourrais-je faire pour me débarrassé de ce fichier maintenant ?

Utilisateur anonyme · Answer

Possible que oui. Poste donc le rapport A-Squared une fois achevé pour voir...

Puis-je avoir le rapport log.txt de RSIT stp (plus complet que HijackThis) ?

Tu as bien ce programme d'installé ? https://www.01net.com/telecharger/windows/Multimedia/lecteurs_audio_mp3_cd/fiches/48950.html

dona3000 · Answer

Je l'avais installé mais l'ai supprimé il n'y a pas longtemps (DoubleTwist). 

Je n'ai pas réussi à obtenir le log RSIT il m'affiche une erreur pendant le processus : 

"Line -1 

Error: Variable used without being declared." 

Et quand j'appuie sur OK, le programme se ferme.

Utilisateur anonyme · Answer

Au temps pour moi : tu es sous Win 7

Alors :
> Télécharge ZHPDiag sur ton bureau : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
- Double clique sur ZHPDiag.exe(clic droit ,"exécuter en tant qu'administrateur" pour Vista). Une fois installé le programme s'ouvre automatiquement
- Clique sur la loupe pour lancer l'analyse.
- A la fin de l'analyse clique sur la "disquette" (enregistrer sous..).
- Rend toi sur ce site : http://www.cijoint.fr/index.php puis clique sur parcourir et sélectionne le fichier ZhpDiag.txt
- Un lien va être créer, poste-le dans ta prochaine réponse.


Merci.

dona3000 · Answer

Le voici : http://www.cijoint.fr/cjlink.php?file=cj201004/cijb3yn2LW.txt

Et sinon, quel était le problème avec DoubleTwist (sachant que le fichier déclaré comme à haut risque par A-SQUARED n'avait rien à voir avec ce programme, j'en suis sur).

Encore merci pour ton aide ...

Juju_the_ouf · Answer

Euh pour le virus tu n'as pas lancé un fichier d'un GsK² (Team de hack FRANCAISE sur Steam & MSN) parce que tout leurs fichiers sont des Keylogguer ... EDIT : Ils font pas que Steam & MSN ils font aussi Skype,carte bancaire....)

dona3000 · Answer

Non, rien à voir avec ces GsK² je n'ai jamais entendu parler d'eux ...

dona3000 · Answer

Je ne sais pas comment, je me réveille ce matin et le mot de passe de ma session Windows a été modifié ...

J'ai formaté mon PC ...

Utilisateur anonyme · Answer

Ok, j'ai pas pu repasser hier soir.
Alors si tu as formaté...

Pour info, la GsK² sont de petits lamers qui jouent les fanfarons jusqu'à sur CCM: https://forums.commentcamarche.net/forum/affich-14112403-hack-mare

Bonne continuation.

Virus ? Mots de passes changés...

16 réponses

Discussions similaires

Newsletters