Sujet Précédent Sujet Suivant

Piratage compte mail envoi massif de spam

Résolu/Fermé
markaz Messages postés 331 Date d'inscription mercredi 18 avril 2007 Statut Membre Dernière intervention 16 septembre 2015 - 23 janv. 2013 à 15:59
markaz Messages postés 331 Date d'inscription mercredi 18 avril 2007 Statut Membre Dernière intervention 16 septembre 2015 - 25 janv. 2013 à 10:44
Bonjour, Bonjour, depuis un moment quelqu'un se sert de mon compte email pour envoyer massivement des spam. Mon hébergeur dit que c'est mon côté le problème et ça due soit à un piratage de mail, une machine locale contenant un virus d?émission des mais en masse a partir de l'une de vos adresse.

De procéder à une analyse de mon ordinateur. J'ai fait plusieurs nettoyage mais le problème est toujours là. Il me donne aussi comme solution de faire une analyse réseau interne et voir s'il a détectez d'utilisation fréquente du port 25.

Comment détecter cette utilisation fréquente du port 25?
Et quelles autres solution pour y remédier?



A voir également:

4 réponses

Réponse 1 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 23/01/2013 à 16:09
Salut,

C'est quoi comme mail ?
Un webmail ?
C'est sur un serveur à toi ?


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
markaz Messages postés 331 Date d'inscription mercredi 18 avril 2007 Statut Membre Dernière intervention 16 septembre 2015 5
23 janv. 2013 à 17:03
Webmail, non le serveur n'est pas à moi. En vérifiant mes fichiers sur ftp, j'ai trouer des fichiers mailer . Ils ont été supprimé. J'attend d'autre astuce au cas où sur mon pc il aurait un fichier malvaillant.
0
Réponse 2 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 23/01/2013 à 17:13
On peux vérifier si ton PC est infecté.
Mais ton histoire c'est pas clair.
Le fait que ton compte envoie des mails, ça veut pas dire que ça vienne de ton PC.
Donc faut donner plus d'infos, sur quel genre de compte c'est etc.
Si le SMTP y a une authentification.


~~

Sur ton PC :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
markaz Messages postés 331 Date d'inscription mercredi 18 avril 2007 Statut Membre Dernière intervention 16 septembre 2015 5
23 janv. 2013 à 17:45
J'explique plus clairement mon problème. J'ai mis un site en ligne, l'hébergeur m'a évidemment donnée tous les paramètres d'accès (SMTP, POP) pour mon compte webmail.
Il se trouve que depuis un moment, l'hébergeur suspend mon compte email (à 3 reprises avant de le réactivé) pour envoi abusif de spam depuis mon compte.
Après la 3ème suspension, je lui ai demandé de mon donnée les causes ainsi que les solutions pour éviter car le changement de mot passe de mon compte n'a rien changé.

C'est sous ses conseils que j'ai vérifié mon espace d'hébergement et découvert des fichiers mailler (lorsque j'ai transféré le fichier sur mon pc et ouvert pour voir le code source)

Donc au délà ce cet aspect je voudrais vérifier s'il d'autres raisons de cet envoi massif de spam?

Voilà toute l'histoire. Malekal_morte

Merci pour ton aide.
0
markaz Messages postés 331 Date d'inscription mercredi 18 avril 2007 Statut Membre Dernière intervention 16 septembre 2015 5
23 janv. 2013 à 17:51
le lien du fichier OTL:

https://pjjoint.malekal.com/files.php?id=20130123_x12r11s13k9c7
0
Réponse 3 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 janv. 2013 à 18:15
Beaucoup de programmes parasites :

Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1QzutDtDtC0FtA0CtDtCyBtC0FyCtCyDtDtAtN0D0Tzu0CtByBtBtN1L2XzutBtFtCtFtCtFtAtCtB&cr=925273568
IE - HKU\S-1-5-21-499665506-3147993481-1768242907-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.babylon.com/?affID=112555&tt=031012_ccp_4012_1&babsrc=HP_ss&mntrId=602d1503000000000000001e37b2bdae
IE - HKU\S-1-5-21-499665506-3147993481-1768242907-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: URL = http://isearch.babylon.com/?q={searchTerms}&affID=112555&tt=031012_ccp_4012_1&babsrc=SP_ss&mntrId=602d1503000000000000001e37b2bdae
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox
O2 - BHO: (Funmoods Helper Object) - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\PROGRA~1\Funmoods\1.5.23.22\bh\escort.dll File not found
[2013/01/17 18:19:25 | 000,000,000 | ---D | C] -- C:\Users\RASSOUL63\AppData\Roaming\DriverCure
[2013/01/17 18:19:24 | 000,000,000 | ---D | C] -- C:\Users\RASSOUL63\AppData\Roaming\SpeedMaxPc
[2013/01/17 18:17:15 | 000,000,000 | ---D | C] -- C:\Users\RASSOUL63\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpeedMaxPc
[2013/01/17 18:17:05 | 000,000,000 | ---D | C] -- C:\ProgramData\SpeedMaxPc
[2013/01/17 18:17:05 | 000,000,000 | ---D | C] -- C:\Program Files\SpeedMaxPc
[2013/01/17 18:17:05 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\SpeedMaxPc
[2012/11/05 10:08:28 | 000,000,000 | ---D | C] -- C:\Users\RASSOUL63\AppData\Roaming\OpenCandy
[2012/10/06 11:13:03 | 000,000,000 | ---D | C] -- C:\Users\RASSOUL63\AppData\Roaming\eType
[2012/10/06 11:11:39 | 000,000,000 | ---D | C] -- C:\Users\RASSOUL63\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker
[2012/10/06 11:11:37 | 000,000,000 | ---D | C] -- C:\Program Files\FilesFrog Update Checker
[2012/10/03 16:45:09 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
[2012/10/03 16:45:08 | 000,000,000 | ---D | C] -- C:\Users\RASSOUL63\AppData\Roaming\Babylon
[2012/10/03 16:44:57 | 000,000,000 | ---D | C] -- C:\Users\RASSOUL63\AppData\Roaming\YourFileDownloader

* redemarre le pc sous windows et poste le rapport ici


~~


Par contre, tu n'as pas fait le scan avec le script.
Donc recommence et suis les instructions.

0
markaz Messages postés 331 Date d'inscription mercredi 18 avril 2007 Statut Membre Dernière intervention 16 septembre 2015 5
23 janv. 2013 à 18:41
Reprise 1ere etape: lien
https://pjjoint.malekal.com/files.php?id=20130123_r9t11z15y12x12
0
markaz Messages postés 331 Date d'inscription mercredi 18 avril 2007 Statut Membre Dernière intervention 16 septembre 2015 5
23 janv. 2013 à 18:56
Rapport:

========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKU\S-1-5-21-499665506-3147993481-1768242907-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-499665506-3147993481-1768242907-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{336D0C35-8A85-403a-B9D2-65C292C39087}\ not found.
File C:\Program Files\Web Assistant\Firefox not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}\ deleted successfully.
C:\Users\RASSOUL63\AppData\Roaming\DriverCure folder moved successfully.
C:\Users\RASSOUL63\AppData\Roaming\SpeedMaxPc\SpeedMaxPc folder moved successfully.
C:\Users\RASSOUL63\AppData\Roaming\SpeedMaxPc folder moved successfully.
C:\Users\RASSOUL63\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpeedMaxPc\SpeedMaxPc folder moved successfully.
C:\Users\RASSOUL63\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpeedMaxPc folder moved successfully.
C:\ProgramData\SpeedMaxPc\SpeedMaxPc folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images\Tabs folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images\Scan\animation folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images\Scan folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images\list\recommendations folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images\list\process folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images\list folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images\Icons folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images\headers folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images\group folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images\general folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images\Frame folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images\defrag folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images\buttons folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images\Audio folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\Images folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\HTML\uninstall folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\HTML\images folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc\HTML folder moved successfully.
C:\Program Files\SpeedMaxPc\SpeedMaxPc folder moved successfully.
C:\Program Files\SpeedMaxPc folder moved successfully.
C:\Program Files\Common Files\SpeedMaxPc\UUS3\Images folder moved successfully.
C:\Program Files\Common Files\SpeedMaxPc\UUS3 folder moved successfully.
C:\Program Files\Common Files\SpeedMaxPc folder moved successfully.
C:\Users\RASSOUL63\AppData\Roaming\OpenCandy\7AB5049E48CE44CDAB7F6328E143D380 folder moved successfully.
C:\Users\RASSOUL63\AppData\Roaming\OpenCandy\03E7A4D62FE74A9FB5868C95E00B2707 folder moved successfully.
C:\Users\RASSOUL63\AppData\Roaming\OpenCandy folder moved successfully.
C:\Users\RASSOUL63\AppData\Roaming\eType folder moved successfully.
C:\Users\RASSOUL63\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker folder moved successfully.
C:\Program Files\FilesFrog Update Checker folder moved successfully.
C:\ProgramData\Babylon folder moved successfully.
C:\Users\RASSOUL63\AppData\Roaming\Babylon folder moved successfully.
C:\Users\RASSOUL63\AppData\Roaming\YourFileDownloader folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 01232013_175001
0
Réponse 4 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 janv. 2013 à 21:16
Pas infecté.

Ton compte/serveur tu y vas depuis d'autres PC ?
Tu vas sur des réseaux wifis publics ?
0
markaz Messages postés 331 Date d'inscription mercredi 18 avril 2007 Statut Membre Dernière intervention 16 septembre 2015 5
25 janv. 2013 à 10:44
Depuis mon PC et mon ordi portable.
Oui j'ai réseau wifi publics de ma structure.
0

Discussions similaires

2 comptes facebook avec même mail et même nom
sarabi21 -
MICHEL69220 -

12 réponses