Aucune de mes connaissance n'a eut un jour accès à mon compte WoW.

Je viens de faire une mise à jour Avast + scan complet au boot : 0 virus.

J'ai fais un scan complet (après MAJ) de Ad-aware SE et de Spybot : rien trouvé de mauvais.


Ca m'intrigue que quelqu'un ait pu changer mon MDP sans que je sache comment...

[Tzioup]

Citation :

Publié par Zodh

Aucune de mes connaissance n'a eut un jour accès à mon compte WoW.

Je viens de faire une mise à jour Avast + scan complet au boot : 0 virus.

J'ai fais un scan complet (après MAJ) de Ad-aware SE et de Spybot : rien trouvé de mauvais.


Ca m'intrigue que quelqu'un ait pu changer mon MDP sans que je sache comment...

question secrète? Quelqu'un qui a accès à ta boîte email?

Non plus, et je ne laisse jamais de mail important dans ma boite mail.


J'ai tel au service Blizzard Europe mais on m'a dit qu'il n'est pas possible de joindre par tel le service administration des comptes, obligé d'attendre une réponse par mail de leur part.

Je vais quand même leur signaler ce second petit soucis...

[Kaenma]

hum ca sent la merde là

Je te conseille d'envoyer un nouveau mail en expliquant que visiblement ton compte a été hacké, vu que ton mot de passe avait été changé, et que de fait tu n'étais pas responsable de l'utilisation de programme tiers.

Et essayes un autre antivirus, voir plusieurs. Beaucoup peuvent se télécharger avec une période d'essai de 30 jours .

Avast est très bien, mais il y a certains trucs qu'il ne voit pas

[Tzioup]

Oui, Kaenma a eu une bonne idée : essaye avec la version d'essai de Nod32

Est-ce que tu pourrais aussi poster un log hijackthis?

Citation :

Publié par Kaenma

Je te conseille d'envoyer un nouveau mail en expliquant que visiblement ton compte a été hacké, vu que ton mot de passe avait été changé, et que de fait tu n'étais pas responsable de l'utilisation de programme tiers.

C'est fait, je leur ais même précisé qu'avant de cliquer sur "mot de pass oublié" j'ai tapé 3 fois le pass, donc c'est sur, quelqu'un à modifié le pass sans que je le sache.


Voici le log d' HijackThis :

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 17:35:12, on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Looknstop\looknstop.exe
C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\devldr32.exe
D:\Mozilla\Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [Look 'n' Stop] "D:\Looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1184149294656

Je n'y vois rien de louche à priori.

[Grisous]

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Looknstop\looknstop.exe
C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\devldr32.exe
D:\Mozilla\Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\hijackthis_199\HijackThis.exe

Perso la ligne que j'ai mis en rouge je la trouve plutot bizarre.

[Tzioup]

Citation :

Publié par Zodh

C'est fait, je leur ais même précisé qu'avant de cliquer sur "mot de pass oublié" j'ai tapé 3 fois le pass, donc c'est sur, quelqu'un à modifié le pass sans que je le sache.


Voici le log d' HijackThis :



Je n'y vois rien de louche à priori.

Tout est OK dans ton log

edit : ah oui en effet tu as 2 explorer.exe oO

Upload les sur http://www.virustotal.com et voit les résultats

[Tool]

1/vire avast et oublie Nod32 trop lourd en analyse
je te conseille Kaspersky

2/ si tu as le pack xp2 , il me semble que c'est "iExplorer.exe" et non "explorer.exe"(j'ai un doute)

3/laisses- tu msn activer longtemps? si oui , 80% de chance que ton hack vienne de là si tu utilises l'explorer microsoft en meme temps que tu joues et avec msn en plus, ma probabilité monte à 99%

Etrange, dans l'explorateur Windows, je ne vois qu'un seul "explorer.exe" dans le dossier Windows, idem en faisant une recherche de fichier, en faisant ctrl+alt+supp j'en ai 2... un de 24000ko et un autre de 4000ko que j'ai fermé et ce fu sans conséquence sur le système.

Sinon je vais voir pour Kaspersky et oui j'ai MSN toujours activé, sinon je n'utilise jamais IE7 sauf pour lire les mails d'hotmail (et ce n'est pas ma boite mail pour WoW).

[Llewn]

Pour couper court à tout délire :

1) Explorer.exe = Windows Explorer = Explorateur Windows

Processus qui gère entre autres la barre démarrer, le bureau et toutes les fenêtres d'exploration du système de fichier.

Par défaut, toutes les demandes sont normalement traités par un processus unique mais il se peut que plusieurs soient lancés tout de même.

2) Iexplore.exe = Internet Explorer.

En gros ces deux processus sont innocents sauf si les executables sont infectés.

Le fait que je cite "je ne vois qu'un seul "explorer.exe" dans le dossier Windows, idem en faisant une recherche de fichier, en faisant ctrl+alt+supp j'en ai 2..." est normal.
En effet tu peux executer plusieurs fois le même executable.

[Eno]

Lance Process Explorer et fais moi un screen, envoie ça par mp =)

Kaspersky n'a rien trouvé. ^^

Sinon le second "explorer.exe" n'est pas toujours là (voir même rarement) quand je fais ctrl+alt+supp.


Je vais essayer Process Explorer.

[Phenix Noir]

Citation :

Publié par Llewn

Pour couper court à tout délire :

1) Explorer.exe = Windows Explorer = Explorateur Windows

Explorer.exe ne se trouve t'il pas normalement dans program files plutot que dans le rep windows ?...

[Tzioup]

Citation :

Publié par Phenix Noir

Explorer.exe ne se trouve t'il pas normalement dans program files plutot que dans le rep windows ?...

non

explorer c'est le shell graphique de windows, l'interface quoi.

[Canard bleu]

Citation :

Publié par Zodh

Kaspersky n'a rien trouvé. ^^

Sinon le second "explorer.exe" n'est pas toujours là (voir même rarement) quand je fais ctrl+alt+supp.


Je vais essayer Process Explorer.

essaie aussi Rootkit Revealer, ça veut mettre en évidence une merde bien planquée.

Citation :

Publié par Canard bleu

essaie aussi Rootkit Revealer, ça veut mettre en évidence une merde bien planquée.

C'est fait, il m'a trouvé 2 .dll et une entrée de registre mais j'ignore ce que c'est :

http://img70.imageshack.us/my.php?image=image2ir6.jpg

[Eno]

Rien d'important là :/

[Kedare]

Citation :

Publié par Tool

1/vire avast et oublie Nod32 trop lourd en analyse
je te conseille Kaspersky

kaspersky est bien plus lourd que nod32 ....

[Kayless]

A l'époque sous Wi,daube j'avais la ligne complète de PC Tools : Spyware doctor, Register Mechanic et Antivirus je sais plus quoi. Et ca tourné plutot pas mal

Sinon... vive mac et bon courage pour ton souci.

Adium à la place de msn messenger et Firefox à la place de IE pour commencer.

[Eno]

J'attends de savoir la réponse qu'ils vont de donner, sincèrement ton pc est clean.

[Emyldea]

J'ai plus l'impression que blizzard a du se gourer non pas dans son analyse technique mais plutôt de personne à qui envoyer le mail.

Exemple, ils suivent "Zod" pendant je sais pas combien de temps, ils vérifient si il a déjà utilisé des programmes tiers - ce qui est le cas. Puis viens l'heure de la conclusion mais, manque de bol c'est une autre personne qui s'en charge et l'envoie à "Zodh".
Pour ton mot de passe il s'agit peut être d'une procédure automatique, sinon ça me parait suspect

En tous les cas ils ont fait une erreur je ne vois pas d'autre solution au vue des logs de différents antivirus

[Sin / Speculoos]

si c'est un pote qui a les logs ?

Citation :

Publié par Eno

J'attends de savoir la réponse qu'ils vont de donner, sincèrement ton pc est clean.

Toujours sans nouvelles...

[Le Nain Disco]

Peut-être que c'est la procédure comme ça de demander un nouveau mot de passe après une fermeture de compte ?