Ordure de hacker

Oula visiblement je ne suis pas seul dans ce cas... Kalendrack, j'ai envoyé un message à NC Soft par l'intermediaire de leur site PlayNC en leur expliquant le problème. J'espère que ça servira et je pense que tu devrais faire de même, sait-on jamais :s

Je ne suis pas sûr non plus d'avoir lier mon compte GW à un compte PlayNC un jour...

EDIT : Kaspersky m'a trouvé un Keylogger, hier après-midi, à plusieurs instants de l'après-midi. Je suis infiltré aussi... Je ne pense pas que ce soit une coincidence !!! Je pense qu'il serait mieux de m'ejecter temporairement de la guilde, ainsi que Aube...
Si quelqu'un pouvait me donné la date de ma dernière connexion via la fenêtre de guilde, ça serait sympa, merci !

Non mais ça va pas le bocal, sans déconner ? Vous éjecter de la guilde ? Tu t'es mis au joint ou quoi ?^^ Ta dernière connexion remonte à 4 jours.

Ok, si ma connexion remonte à 4 jours, c'est bon signe déjà... toujours est-il que j'ai un Keylogger sur mon PC et que c'est la première fois que Kaspersky m'avertit d'une intrusion. Donc ce n'est pas une simple coincidence... je fais le nécessaire pour nettoyer mon PC...

Pour être clair : Kaspersky me rapporte 234 tentatives d'intrusion par le même Keylogger, hier de 15h à 17h et de 20h à 22h. Il recommence ce soir depuis que j'ai allumé le PC.

Une question : si Kaspersky me met "Pas terminé", en face de chaque tentative d'intrusion, à votre avis c'est que l'intrusion n'a pas aboutit ou que Kaspersky n'a pas terminé de l'éradiqué ??

A priori je suppose que ça veut dire que l'intrusion a échouée. Maintenant y'a quelques inquiétudes à avoir

1. S'il sagit de la même personne quelles seraient ses raisons ?
2. Comment a t-elle obtenu ton adresse IP ? ( ça en revient à un forum à mon avis )
3. As tu scanné ton disque pour savoir si tu étais infecté ? Car pour envoyer un keylogger il faut déjà pouvoir entrer chez toi et poser une backdoor via un trojan en général ( le trojan pouvant bien entendu faire office de keylogger ). En gros quel message exact t'affiche Kaspersky ?
4. Peux tu nous donner les nom de cette merde ? que je fasse des vérifs sue les différentes bases de données virales ?

Attention, Maîtresse Selene débarque, ça rigole pas. On sort le fouet, la combi en cuir, les clous, l'acide, les tenailles, la perceuse et le stylo, et on charge !
Pétez leur la gueule à ces saletés !

J'ai fais quelques recherches hier soir, et en fait il se peut que ce soit un faux positif


1. S'il sagit vraiment d'une personne déjà, j'ai du mal à voir quelles pourraient en être les raisons... à part GW, je ne joue à rien d'autre, et y a rien d'autre qui pourrait intéresser quelqu'un sur mon PC...


2. Comment a t-elle obtenu mon adresse IP ? J'utilise pas de P2P, ni de client torrent. A priori je ne suis passé sur aucun site douteux. Et on a rien pu me faire passer par MSN vu que je n'y suis jamais.
Par contre, une de mes adresses MSN reçoit souvent du spam, dont je n'arrive pas à me débarasser. Mais je n'ouvre jamais les mails et je bloque les adresses systématiquement. Mais bon, j'en reçois toujours... Là aussi, peut-être un vers caché quelque part sur le PC, mais Kaspersky ne me signale rien là-dessus. Et ce problème là remonte à plus longtemps que celui du Keylogger.


3. Sinon, j'ai scanné mon disque dur avec Kaspersky et Malwerebytes, rien de trouvé d'autre de spécial. Malwerebytes ne réagit même pas d'ailleurs...

Dès que je serai rentré chez moi (dans l'aprem), je pourrai télécharger un anti-trojan plus spécifique, pour voir s'il peut me trouver quelque chose. Mais là pour l'instant je peux pas télécharger sur le réseau de l'école...


4. Voilà ce que me retourne Kaspersky, dans les rapparts d'intrusion :
06/02/2009 13:13:43 Enregistreur de frappes C:\WINDOWS\SYSTEM32\DRIVERS\SYNTP.SYS Pas terminé: Keylogger

J'en ai 251 comme ça, toujours avec le même chemin. Et d'autres s'ajoutent réguliérement.
Mais quand je vais voir le fichier directement, et que je demande à l'antivirus de me scanné précisément ce fichier là, il ne me dit rien.


Mais le truc c'est que j'ai un peu bidouillé mon antivirus mardi soir, ce qui me laisse espérer que ce soit un faux positif de Kaspersky, vu que cette alerte à commencé depuis là à peu près.

Je vais essayer de voir ce que ça peut être ce "syntp.sys".

Merci beaucoup Selene En espérant que je m'inquiète (trop ^^) pour rien.

Oui vu le chemin du fichier et du nom du fichier, il s'agit à 99% d'un faux positif. Enfin ça c'est si tu as un portable. En gros syntp.sys gère le pad de ton portable.

Je penche donc fortement pour cette conclusion.

Après il est vrai que certains virus aiment utiliser ce nom pour tromper les gens, mais leur chemin est généralement différent ce qui permet de les identifier.

Oui j'ai bien un portable !

Donc visiblement c'est un simple faux positif. Pour être sûr, j'ai fait analyser un rapport HijackThis, je verrai bien ce qu'il en est.
Sinon, à part ce "keylogger", mon ordi est clean d'après Kaspersky, Malwerebytes et Trojan remover...

Merci du coup de main


Aube, comment avance la récupération de ton compte ?

olala tous vos messages ne sont pas pour me rassurer, je crois que je deviens parano d'ailleurs.
J'ai installé Avast pour seconder mon Antivir personel et un antisyware (Spyware Terminator) qui a trouvé 16 trucs dangeureux dont 3 trojans.
J'ai fais du ménage sur mon pc et augmenté toutes les sécurités au maximum, ce qui est tres peu pratique mais bon...
Malgré ca je n'ai pas comfiance en mon pc, j'ai voulu aujourdhui de chez une amie envoyer mes preuves à PlayNC mais il me manquait un renseignement donc c'est partie remise pour récupérer mon compte.
J'espère demain avoir un nouveau pc tout propre.
Merci pour les conseils et continuez à en donner, il faut à tout prix avoir des pc "forterrese".
A bientôt.

Courage

Après pour avoir un PC propre le meilleur moyen resterai un reformatage, mais bonjour le temps que tu vas perdre...

Antivir personnel est un très bon antivirus. Sa capacité de détection est performante, son seul défaut étant le fait qu'il ne puisse pas venir à bout de certaines menaces qu'il a pourtant détectées. Bien entendu , c'est tout à fait possible de virer les merdes quand même mais il faut parfois quelques manips. Avec Avira ce sont probablement deux des meilleurs antivirus gratuits du marché, sinon les 2 meilleurs. 90% des dévirussages de postes que j'ai effectués ont été effectués avec Antivir en conjonction avec HijackThis.

Quant à Avast, ben là c'est plus mitigé. Je ne l'ai jamais testé moi même, mais la plupart de ceux qui y connaissent un peu en informatique et qui l'ont testé me disent qu'il vaut mieux éviter car ses règles de blocages sont parfois foireuses. Après c'est à chacun de voir si il en est satisfait. Si tu n'as aucun soucis avec tant mieux.

Au fait, tant que nous y sommes, peux tu nous poster le rapport de ton antivirus ou antispyware pour qu'on puisse avoir les noms des bêtises ?

Au fait, qu'est-ce qu'il advient de ton problème Aube après une semaine ?

J'ai posté depuis plusieurs jours toutes les preuves demandées par PlayNC pour la récupération de mon compte. J'ignore combien de temps prend le traitement d'une telle demande mais si demain j'ai pas de news je les recontact.
De mon coté je suis près avec un pc neuf sur lequel j'ai installé Kaspersky Internet Sécurity 2009 en plus d'autres changements privés pour une meilleur sécurité.

On peut en tout cas t'assurer qu'il n'y a pas eu une seule connexion sur ton compte depuis entre une et deux semaines (une semaine affichée dans le registre).

Le fait que le hacher ne m'ai pas éjecté de la guilde veut peut être dire que mon compte a été" juste" pillé et non vendu.
Voilà qui est peut être une bonne nouvelle, à moins qu'il ai saboté mes persos de rage car je lui ai fais le maximum de misères en mon pouvoir du style:
On s"éjectait du jeu a tour de rôle, et il fini par gagner en me prenant de vitesse dans le changement de mon passe.
J'ai eu le temps de donner mes matériaux précieux au seul ami en ligne à ce moment là et celà à la barbe du pirate qui n'a pas du apprécier connaissant sa mentalité.

Je me suis fais hacker deux fois à intervalle serrés et le type m'a prit tout ce que je pouvais avoir de valeur (runes Sup Vigueur, mini-pet rare, pièces d'armures rare (masques GWEn), armes rare old school, teintures et j'en passe... c'était la période où j'étais le plus riche d'ailleurs...) les deux fois mais ne m'a jamais kické de ma guilde.
Donc...

Je suis de retour
C'est un miracle, merci Melandru
Je viens de vérifier tous mes persos et rien a l'air de manquer, tout est resté comme je l'avais laissé.
C'est incompréhensible peut être que le hacher se sachant pris en flagrant déli avec le témoin a préferé tout arrêter.
Je peux pas exprimer ce que je ressent a part des frissons depuis 1 heure, il est tard mais ca valait le coup.

ps. les choses ne sont pas vraiment simple avec plaync, il en faut des heures pour s'y retrouver dans leur jargon et en plus il ont vite fait de classer les dossiers contrairement à ce qu'ils disent, ce qui d'ailleurs m'a fait perdre une bonne semaine.

( monosmiley )

Aube a écrit:

Je suis de retour
C'est un miracle, merci Melandru
Je viens de vérifier tous mes persos et rien a l'air de manquer, tout est resté comme je l'avais laissé.
C'est incompréhensible peut être que le hacher se sachant pris en flagrant déli avec le témoin a préferé tout arrêter.
Je peux pas exprimer ce que je ressent a part des frissons depuis 1 heure, il est tard mais ca valait le coup.

ps. les choses ne sont pas vraiment simple avec plaync, il en faut des heures pour s'y retrouver dans leur jargon et en plus il ont vite fait de classer les dossiers contrairement à ce qu'ils disent, ce qui d'ailleurs m'a fait perdre une bonne semaine.

Victoiiiire !

Aube a écrit:

ps. les choses ne sont pas vraiment simple avec plaync, il en faut des heures pour s'y retrouver dans leur jargon et en plus il ont vite fait de classer les dossiers contrairement à ce qu'ils disent, ce qui d'ailleurs m'a fait perdre une bonne semaine.

L'essentiel c'est que tu aies récupéré ton compte. Maintenant c'est vrai que ça m'intrigue cette histoire... Ton explication se tient en partie mais j'aimerais juste te poser une petite question qui sera sans doute sans intérêt : As tu une imprimante connectée en réseau chez toi ?

Bref bon retour parmi nous et cette fois fais bien attention

Bien ça ! ça aurait été vraiment dur de perdre tes persos !
A bientôt !

En v'là une bonne nouvelle Content que tout soit correctement rentré dans l'ordre !