Vol d'identifiant, virus?
draelax
Messages postés
13
Statut
Membre
-
draelax Messages postés 13 Statut Membre -
draelax Messages postés 13 Statut Membre -
Bonjour,
Je me suis fait "hacké" 2 comptes sur un jeu en ligne il y a 2 jours mais je viens de le voir. J'ai du coup fait une analyse de mon pc avec Malwarebytes j'ai supprimer les éléments détecter ,mais est ce que quelqu'un peut me dire si il voit ce qui peut avoir causé ces vols de comptes (je mes le rapport en dessous du message) ?
Par contre je ne sais pas comment ça fonctionne mais je tient juste à préciser que j'ai pu voir que le hack à eu lieu le samedi à 8h mais sur ces 2 comptes j'en avais connecté un le vendredi soir et chaque jour de la semaine précédente en revanche le second je ne l'avais pas connecté depuis le samedi une semaine avant le hack et j'avais connecté au même moment 6 autres comptes qui eux ne se sont pas vu voler, est ce que c'est normal ?
En plus de ça , excepté pour le compte qui a été hack et que je connectais vendredi soir et un autre que j'ai connecté une ou 2 fois dans la semaine mais qui n'a pas été hack, lorsque je me connecte en jeu je ne rentre pas mes identifiant manuellement, j'utilise un logiciel qui le fait à ma place (qui est relativement sur, en tout cas que j'utilise depuis plus d'un an sans problème comme bcp de monde). Je ne tape donc les identifiants manuellement que lorsque je me connecte sur le site soit pour m'abonné soit éventuellement pour aller sur la forum. Or j'ai vérifié je ne suis pas allé sur le forum avec le 2éme compte hacké depuis plus de 2 mois donc la dernière fois que j'ai tapé ses identifiants remonte à la dernière fois où je me suis abonné ce qui correspond après vérification au 27 octobre donc presque que deux semaine avant le hack ce que je trouve bizarre .
Pouvez vous me dire si il y a des choses suspects dans le rapport en dessous, et me dire si cette analyse + suppression suffit ou si je dois faire autre chose svp.
Voici le rapport :
Version de la base de données: v2013.11.10.06
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16618
Cyrus :: CYRUS-PC [administrateur]
11/11/2013 01:13:46
mbam-log-2013-11-11 (01-13-46).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 260320
Temps écoulé: 6 minute(s), 59 seconde(s)
Processus mémoire détecté(s): 1
C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe (PUP.Optional.SoftwareUpdater.A) -> 3032 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 5
HKLM\SYSTEM\CurrentControlSet\Services\SrvUpdater (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
HKCR\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17} (PUP.Optional.Wajam.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdater (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\SOFTWAREUPDATER (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 3
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Données: 0Z1N1J -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\SoftwareUpdater|partner_keyword (PUP.Optional.SoftwareUpdater.A) -> Données: TELECH -> Mis en quarantaine et supprimé avec succès.
HKLM\SYSTEM\CurrentControlSet\Services\SrvUpdater|ImagePath (PUP.Optional.SoftwareUpdater.A) -> Données: C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 1
C:\Program Files (x86)\SoftwareUpdater (PUP.Optional.SoftwareUpdater.A) -> Suppression au redémarrage.
Fichier(s) détecté(s): 10
C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe (PUP.Optional.SoftwareUpdater.A) -> Suppression au redémarrage.
C:\Users\Cyrus\AppData\Local\Temp\is42483369\wajam_download.exe (PUP.Optional.Wajam) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Cyrus\Downloads\TeamSpeak3-Client-win32-3.0.10.exe (PUP.Optional.InstallCore) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\KeyGen.dll (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\AppsUpdater.exe (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\AppsUpdater.exe.config (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\config.xml (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\Interop.Shell32.dll (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\translations.xml (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\uninstall.exe (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
(fin)
Je me suis fait "hacké" 2 comptes sur un jeu en ligne il y a 2 jours mais je viens de le voir. J'ai du coup fait une analyse de mon pc avec Malwarebytes j'ai supprimer les éléments détecter ,mais est ce que quelqu'un peut me dire si il voit ce qui peut avoir causé ces vols de comptes (je mes le rapport en dessous du message) ?
Par contre je ne sais pas comment ça fonctionne mais je tient juste à préciser que j'ai pu voir que le hack à eu lieu le samedi à 8h mais sur ces 2 comptes j'en avais connecté un le vendredi soir et chaque jour de la semaine précédente en revanche le second je ne l'avais pas connecté depuis le samedi une semaine avant le hack et j'avais connecté au même moment 6 autres comptes qui eux ne se sont pas vu voler, est ce que c'est normal ?
En plus de ça , excepté pour le compte qui a été hack et que je connectais vendredi soir et un autre que j'ai connecté une ou 2 fois dans la semaine mais qui n'a pas été hack, lorsque je me connecte en jeu je ne rentre pas mes identifiant manuellement, j'utilise un logiciel qui le fait à ma place (qui est relativement sur, en tout cas que j'utilise depuis plus d'un an sans problème comme bcp de monde). Je ne tape donc les identifiants manuellement que lorsque je me connecte sur le site soit pour m'abonné soit éventuellement pour aller sur la forum. Or j'ai vérifié je ne suis pas allé sur le forum avec le 2éme compte hacké depuis plus de 2 mois donc la dernière fois que j'ai tapé ses identifiants remonte à la dernière fois où je me suis abonné ce qui correspond après vérification au 27 octobre donc presque que deux semaine avant le hack ce que je trouve bizarre .
Pouvez vous me dire si il y a des choses suspects dans le rapport en dessous, et me dire si cette analyse + suppression suffit ou si je dois faire autre chose svp.
Voici le rapport :
Version de la base de données: v2013.11.10.06
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16618
Cyrus :: CYRUS-PC [administrateur]
11/11/2013 01:13:46
mbam-log-2013-11-11 (01-13-46).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 260320
Temps écoulé: 6 minute(s), 59 seconde(s)
Processus mémoire détecté(s): 1
C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe (PUP.Optional.SoftwareUpdater.A) -> 3032 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 5
HKLM\SYSTEM\CurrentControlSet\Services\SrvUpdater (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
HKCR\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17} (PUP.Optional.Wajam.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdater (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\SOFTWAREUPDATER (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 3
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Données: 0Z1N1J -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\SoftwareUpdater|partner_keyword (PUP.Optional.SoftwareUpdater.A) -> Données: TELECH -> Mis en quarantaine et supprimé avec succès.
HKLM\SYSTEM\CurrentControlSet\Services\SrvUpdater|ImagePath (PUP.Optional.SoftwareUpdater.A) -> Données: C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 1
C:\Program Files (x86)\SoftwareUpdater (PUP.Optional.SoftwareUpdater.A) -> Suppression au redémarrage.
Fichier(s) détecté(s): 10
C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe (PUP.Optional.SoftwareUpdater.A) -> Suppression au redémarrage.
C:\Users\Cyrus\AppData\Local\Temp\is42483369\wajam_download.exe (PUP.Optional.Wajam) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Cyrus\Downloads\TeamSpeak3-Client-win32-3.0.10.exe (PUP.Optional.InstallCore) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\KeyGen.dll (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\AppsUpdater.exe (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\AppsUpdater.exe.config (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\config.xml (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\Interop.Shell32.dll (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\translations.xml (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\SoftwareUpdater\uninstall.exe (PUP.Optional.SoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
(fin)
A voir également:
- Vol d'identifiant, virus?
- Identifiant et mot de passe - Guide
- Virus mcafee - Accueil - Piratage
- Freewifi secure identifiant ✓ - Forum Réseau
- Shein cdg vol arrivée - Forum Consommation & Internet
- Problème identifiant livebox ✓ - Forum Réseaux sociaux
12 réponses
* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ou https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin
https://www.cjoint.com/13sp/CIvuQfap3YY_zhpdiag.png
* A l'ouverture du logiciel il te sera proposé deux options "rechercher" et "configurer"
* Cliques sur configurer
* Options puis tous
* Clique sur l'icône représentant une loupe + (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Pour héberger le rapport, rends toi sur cjoint.com
* Clique sur choisissez un fichier va chercher le rapport dans ton PC.
* Le rapport est sauvegardé dans C:\ZHP\ZHPDiag.txt
* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir
* Choisis le type de diffusion(je te conseille privée 4 jours il sera détruit)
* Puis cliques sur créer le lien cjoint
* Une fois que tu auras obtenu le lien copies colle dans ta prochaine réponse
* Pour t'aider http://www.pc-infopratique.com/forum-informatique/tutoriel-heberger-rapport-vt-67934.html
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ou https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin
https://www.cjoint.com/13sp/CIvuQfap3YY_zhpdiag.png
* A l'ouverture du logiciel il te sera proposé deux options "rechercher" et "configurer"
* Cliques sur configurer
* Options puis tous
* Clique sur l'icône représentant une loupe + (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Pour héberger le rapport, rends toi sur cjoint.com
* Clique sur choisissez un fichier va chercher le rapport dans ton PC.
* Le rapport est sauvegardé dans C:\ZHP\ZHPDiag.txt
* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir
* Choisis le type de diffusion(je te conseille privée 4 jours il sera détruit)
* Puis cliques sur créer le lien cjoint
* Une fois que tu auras obtenu le lien copies colle dans ta prochaine réponse
* Pour t'aider http://www.pc-infopratique.com/forum-informatique/tutoriel-heberger-rapport-vt-67934.html
Salut,
Apparemment ca vient d'une boîte espagnole, ce pup la est proposé avec gimp.
pour avancer fais ceci,
installe ceci :
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner
Lance le scan et ensuite "supprimer" tout les éléments parasyte, ton pc devrai redemarrer tout seul.
Je ne pense pas que tu est de keylogger ... Malwarebytes les détéctes.
Apparemment ca vient d'une boîte espagnole, ce pup la est proposé avec gimp.
pour avancer fais ceci,
installe ceci :
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner
Lance le scan et ensuite "supprimer" tout les éléments parasyte, ton pc devrai redemarrer tout seul.
Je ne pense pas que tu est de keylogger ... Malwarebytes les détéctes.
Quelqu'un peut il simplement m'indiquer si il voit les traces d'un keylogger là dedans svp, et si malwarebytes ne suffit pas pour les détecter quel logiciel utiliser?
Merci de ton intervention voici le lien : http://cjoint.com/data3/3Klolo6ORV1.htm
Mais je suis allé voir les liens donnés dans le récapitulatif, j'utilise internet explorer et je n'ai aucune toolbar d'installé.
Et pour pup.vittalia est ce qu'il peut servir de keylogger? En tout cas je ne l'ai jamais téléchargé directement comme sur le screen qu'ils mettent par exemle.
Mais je suis allé voir les liens donnés dans le récapitulatif, j'utilise internet explorer et je n'ai aucune toolbar d'installé.
Et pour pup.vittalia est ce qu'il peut servir de keylogger? En tout cas je ne l'ai jamais téléchargé directement comme sur le screen qu'ils mettent par exemle.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut, merci.
Voici le rapport adwcleaner après suppression et redémarrage du pc http://cjoint.com/data3/3KlrV19Nixa.htm
Donc ça n'a rien avoir avec mon hack? est ce que avec l'ip du hackeur je peux faire quelque chose pour le retrouver , avec des sites pour localiser les ip ça me dit qu'il habite vers montpelier ce qui n'est pas du tout mon cas. Et je n'ai fais preuve d'aucune négligence envers aucun site de phishing ni envers personne.
Voici le rapport adwcleaner après suppression et redémarrage du pc http://cjoint.com/data3/3KlrV19Nixa.htm
Donc ça n'a rien avoir avec mon hack? est ce que avec l'ip du hackeur je peux faire quelque chose pour le retrouver , avec des sites pour localiser les ip ça me dit qu'il habite vers montpelier ce qui n'est pas du tout mon cas. Et je n'ai fais preuve d'aucune négligence envers aucun site de phishing ni envers personne.
Lorsque l'on se connecte sur un compte il est indiqué la date et l'heure ainsi que l'ip de la dernière connexion (il y a aussi un moyen pour voir l'historique de toute les connexions avec l'ip publique de celle-ci mais vu que je ne l'avais pas activé avant je peux voir seulement celle à partir du vol (dont la connexion qui a eu lieu pour le vol) .J'ai testé l'ip que le jeu indique pour la mienne ça m'indique une grande ville proche de chez moi à 25 km.
En fait je n'ai jamais perdu mon compte, je me suis juste fait volé tout ce qu'il y avait dessus, j'ai contacté le support mais en général ils ne font rien car ils ont beaucoup trop de demande et ne veulent pas générer de nouveaux objets donc si les objets ont été mis en circulation ils ne vont pas les récupérés (et vu que il y a beaucoup de demande quand ils verront ma requête il sera trop tard).
Par contre j'aimerais tout de même savoir comment le voleur a eu mes identifiants pour éviter que ça ne se reproduise et si grâce à l'ip je peux contacter le voleur (si il est français car ça peut très bien être quelqu'un travaillant pour les sites de ventes d'argent ig dans un autre pays utilisant un proxy je supposes) ça me permettrait par exemple de négocier pour lui racheter mes objets à prix un peu réduit ou d'essayer de faire du chantage, lui dire que je ne le dénonce pas si il me rend mes objets. Mais bon vu que tu as dis que ce n'était que l'ip publique je suppose que l'on ne peut rien faire avec.
En fait je n'ai jamais perdu mon compte, je me suis juste fait volé tout ce qu'il y avait dessus, j'ai contacté le support mais en général ils ne font rien car ils ont beaucoup trop de demande et ne veulent pas générer de nouveaux objets donc si les objets ont été mis en circulation ils ne vont pas les récupérés (et vu que il y a beaucoup de demande quand ils verront ma requête il sera trop tard).
Par contre j'aimerais tout de même savoir comment le voleur a eu mes identifiants pour éviter que ça ne se reproduise et si grâce à l'ip je peux contacter le voleur (si il est français car ça peut très bien être quelqu'un travaillant pour les sites de ventes d'argent ig dans un autre pays utilisant un proxy je supposes) ça me permettrait par exemple de négocier pour lui racheter mes objets à prix un peu réduit ou d'essayer de faire du chantage, lui dire que je ne le dénonce pas si il me rend mes objets. Mais bon vu que tu as dis que ce n'était que l'ip publique je suppose que l'on ne peut rien faire avec.
* Télécharge Junkware Removal Tool à cette adresse (ne clique pas sur télécharger, le téléchargement va débuter automatiquement) : https://www.bleepingcomputer.com/download/junkware-removal-tool/dl/131/
* Enregistre-le sur ton bureau.
* Ferme toutes les applications en cours.
* Ouvre JRT.exe et appuie sur Entrée : si tu es sous Windows Vista, 7 ou 8, ouvre-le en faisant : clic droit => Exécuter en tant qu'administrateur.
* Patiente le temps que l'outil travaille : le bureau va disparaître quelques instants, c'est tout à fait normal.
* À la fin de l'analyse, un rapport nommé JRT.txt va s'ouvrir. Héberge-le comme ceci et poste le lien obtenu dans ta prochaine réponse.
Tutoriel : http://www.forum-entraide-informatique.com/support/junkware-removal-tool-tutoriel-t8260.html
* Enregistre-le sur ton bureau.
* Ferme toutes les applications en cours.
* Ouvre JRT.exe et appuie sur Entrée : si tu es sous Windows Vista, 7 ou 8, ouvre-le en faisant : clic droit => Exécuter en tant qu'administrateur.
* Patiente le temps que l'outil travaille : le bureau va disparaître quelques instants, c'est tout à fait normal.
* À la fin de l'analyse, un rapport nommé JRT.txt va s'ouvrir. Héberge-le comme ceci et poste le lien obtenu dans ta prochaine réponse.
Tutoriel : http://www.forum-entraide-informatique.com/support/junkware-removal-tool-tutoriel-t8260.html
Voici le rapport JRT : http://cjoint.com/data3/3KlximiYc8N.htm
Ah mince par contre je n'ai pas fait enregistrer puis exécuter mais directement exécuter au moment de télécharger.
Ah mince par contre je n'ai pas fait enregistrer puis exécuter mais directement exécuter au moment de télécharger.
