Sujet Précédent Sujet Suivant

Hack sur wow, mais je ne comprends pas pourqu

Résolu/Fermé
vincentvv - 7 mai 2008 à 09:40
dabigben Messages postés 1890 Date d'inscription vendredi 23 novembre 2007 Statut Membre Dernière intervention 13 octobre 2023 - 11 juin 2009 à 14:36
Bonjour,
Récemment je me suis fait hacké mon compte wow comme beaucoup (beaucoup trop) sur ce jeu.
J'ai scanné mon PC pour virus, trojan, keylogger etc... mais je ne toruve rien, donc je me demande comment cela est possible.
Pourriez vous m'indiquer si un truc cloche dans mon PC, voici un log de Hijackthis 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:38:16, on 7/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Option\GlobeTrotter Connect\GtDetectSc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCWLIcon.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Option\GlobeTrotter Connect\GlobeTrotter Connect.exe
C:\WINDOWS\TEMP\MC6DC2.EXE
C:\WINDOWS\system32\acs.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntupd.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [QCWLIcon] C:\PROGRA~1\ThinkPad\CONNEC~1\QCWLIcon.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Global Startup: GlobeTrotter Connect.lnk = C:\Program Files\Option\GlobeTrotter Connect\GlobeTrotter Connect.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\IBM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://204.79.242.193:4343/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - http://204.79.242.193:4343/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://204.79.242.193:4343/officescan/console/ClientInstall/setup.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - http://204.79.242.193:4343/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://204.79.242.193:4343/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {8EF2D3FA-F530-426B-9F63-01902E58D7C3} (RAViewer Control) - http://heires.app.intra.heidelberg.com:8443/qss/assets/RAViewer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupSP1 Control) - https://access.ceu.heidelberg.com/dana-cached/setup/JuniperSetupSP1.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = plantin.grp
O17 - HKLM\Software\..\Telephony: DomainName = plantin.grp
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = plantin.grp
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: GtDetectSc - OptionNV - C:\Program Files\Option\GlobeTrotter Connect\GtDetectSc.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Integrated Software Installation Service (ISIS) - Heidelberger Druckmaschinen AG - C:\WINDOWS\System32\hc_isis.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 10243 bytes


D'avance, merci
A voir également:

4 réponses

Réponse 1 / 4
win32_virut
7 mai 2008 à 14:16
lu
si la faute n'est pas du centre de securité de wow, alors verifie que personne ne possede ton mot de passe et ton login, sinon sa pourrait etre un cheval de troie (d'apres se que je sais smss.exe1 ligne est connu sous le nom de "WIN32.ONLINE GAMES" {UN CHEVAL DE TROIE}. essaie un scan avec kasperskey antivirus 6 ou 7 non perrimé. n'essaie pas de le supprimer manuellement.

le trj collecte le max d'info sur ton pc et l'envoie a son createur grace a l'IP programme en lui.
:) tu joue sur quel serveur, t'es h2 ou a2 ;)
1
Réponse 2 / 4
dabigben Messages postés 1890 Date d'inscription vendredi 23 novembre 2007 Statut Membre Dernière intervention 13 octobre 2023 179
7 mai 2008 à 10:32
contact WOW il doivent te le récup
0
Utilisateur anonyme
7 mai 2008 à 13:53
Wow a déjà été contacté par moi et beaucoup d'autres. Le silence est de mise :(

Je le récupererai, je suppose mais ne sachant pas comment j'ai été hacké, j'aimerais savoir si cela vient de moi ou de wow et leur sécurité. C'est pourquoi j'aimerais avoir une analyse de mon log de hijackthis.

Merci
0
Réponse 3 / 4
Utilisateur anonyme
7 mai 2008 à 16:15
Tout d'abord, non, je n'ai refiler mon pass a personne, donc ce coté la peut très certainement être mis a part
En ce qui concerne le fichier de la ligne 1 "smss.exe", si je me réfère a ce site, cela n'est pas un cheval de troie, mais bien un fichier Windows pour la gestion des utilisateurs.
voir http://www.commentcamarche.net/processus/smss exe.php3

Si tu as d'autres infos pouvant appuyer tes dires, elles sont les bienvenue.

Conernant wow , je suis sur nerz'hul côté ally j'avais 1 hunt 70, Wawa 40. Maintenant, j'ai plus rien et ce pour encore environs minimum 4-5 semaines. C'est trop cool de se faire hacker sans savoir pourquoi, sans aucune raison et c'est pas du côté de wow qu'on obtient de plus amples informations, malgré que je pense que le problème vient bien de chez eux ou alors un tout nouveaux virus, trojan, keylogger etc... encore non référencé. Joueur de wow, soyez bien prudent (a quoi, je ne sais pas, mais bon...)
0
alemel
8 mai 2008 à 11:09
bonjour verifie si tu n'a pas cette merde sur ton pc
widpwsdrv.dll
c'est un keylogger ...

bon courage
0
Réponse 4 / 4
Utilisateur anonyme
9 juin 2009 à 20:46
Après avoir scanné mon desktop, mon portable, j'ai trouvé une saloperie sur un HDD externe que j'ai utilisé 2 fois.
Donc effectivement, je me suis bien choppé une crasse sur un lecteur externe que j'ai utilisé que très peu mais bien assez pour qu'il se soit fait infecté.
0
dabigben Messages postés 1890 Date d'inscription vendredi 23 novembre 2007 Statut Membre Dernière intervention 13 octobre 2023 179
11 juin 2009 à 14:36
il existe des outils gratuit qui "vaccine" les volumes amovibles contre les eventuelles menaces repertoriées

par exemple : vaccin usb (que je n'ai pas retrouvé :-/)mais il est pas mal, il crée des dossiers conçu pour isoler les virus genre start.exe adobeR.exe et tout le bordel mais pas moyen de trouver ou le mettre a jour donc vite obsolète

ou celui ci :

http://www.blogsya.net/fiches/logiciels/1598

il est effectivement prudent de désactiver les autorun qui pourraient lancer une appli non désirée depuis votre clé : pour ce faire :

http://www.aidoforum.com/tutoriaux-281-activer-desactiver-lautorun-sous-windows-xp.html

PS : je viens de me rendre compte que Panda usb vaccine ne vaccine QUE les systeme de fichier FAT...Sinon il désactive les autorun aussi
0

Discussions similaires

La difference entre les serveurs jdr et les Normaux (dans wow)
ZORRO467 -
Mstr -

4 réponses
probleme pour lancer WOW
mathiasktm -
lolipop -

22 réponses
Simpson springfield hack : avoir des donut infinis
zidedu73 -
Nico1339 -

31 réponses
Comment changer le realmlist ?
wal -
Sokuttt -

7 réponses
Probleme avec le launcher wow
Siniie -
MinouSh -

26 réponses