[Résolu]Tentative de hack pc ou vol de données carte bleue ?

Statut
La discussion n'est pas ouverte à d'autres réponses
L

legalize

Dieu Vivant
Je m'explique,j'ai reçu un mail dans la journée dont voici le contenu:

Chère Client(e),

Pour faire suite à notre précédent mail, nous avons le plaisir de vous informer que votre commande est validée.

suite à votre commande n°EO202608527 passée sur le site apple.com et expédiée. Nous vous transmettons la facture correspondante.

Vous trouverez votre facture 50522231823V en télérèglement concernant votre commande EO202608527 du 3 jan 2012 sur le lien suivant :

Ce message confirme que vous avez acheté les articles suivants :

Apple - Macbook - Ordinateur portable 13" - Intel Core 2 Duo - 250 Go - RAM 2048 Mo - MacOS X 10.6 - Jusqu'à 10h d'utilisation - NVIDIA GeForce GT 320M - Blanc

Montant total de la commande : EUR 995,11
Infos livraison : Commande expédiée en 1 colis
Mode de livraison : Prioritaire
Conditions de livraison : Envoyer les articles en un minimum de colis
Total articles (HT) : EUR 823,18
Livraison (HT) : EUR 6,68
Emballage cadeau TTC : EUR 2,17
---------------------------
Total HT : EUR 832,03
TVA : EUR 163,08
---------------------------
Montant total pour cette commande : EUR 995,11

Le montant à payer vous sera facturé à l'aide du moyen de paiement que vous avez choisis :

Nous avons le plaisir de vous informer que votre colis 6920829110901078 est prêt.

Il sera donc confié à notre transporteur en charge de sa livraison très prochainement.

Notre prochain mail vous confirmera la bonne prise en charge de votre colis par le transporteur.

Vous pouvez bien entendu suivre votre commande via votre Espace clients.

Nous vous remercions de votre confiance.

Nous vous en souhaitons bonne réception et espérons vous retrouver
très prochainement


Cordialement,
Votre Service Clients

Il y avait avec un fichier joint,j'ai regardé il s'agissait d'un pdf qui en faites me demandai une maj d'adobe pour pouvoir être lu,comme un con j'ai validé.
Ayant quand même un enorme doute je passe un scan malwarebytes,il me trouve quelque connerie que je vire.

Ce qui me fait douté est que j'ai voulu répondre au mail mais cela m'affiche le classique message comme quoi le mail ne peut être envoyé.

Ma question est la suivante,me suis je fais piqué une fois de plus mes numéros de cb,ou est ce seulement un fichier merdique qui viens matté ce que je fais.

Je n'ai biensur pas effectué de commande,encore moins pour du apple avec des composant d'un autre age.
 
Dernière édition:
ba la tu as un problème alors,si tu n'a rien commandé et que tu as ouvert un fichier inconnu,les prochain jours regarde quand même ton compte en banque

et la mise a jour d'adobe pour lire le pdf c'est normal j'en ai de temps en temps pour lire les facture de mes commandes comme quand j'ai commandé chez apple il y'a un mois.
 
Dernière édition:
legalize77 à dit:
suite à votre commande n°EO202608527 passée sur le site apple.com et expédiée. Nous vous transmettons la facture correspondante.

Vous trouverez votre facture 50522231823V en télérèglement concernant votre commande EO202608527 du 3 jan 2012 sur le lien suivant :

Ce message confirme que vous avez acheté les articles suivants :

Apple - Macbook - Ordinateur portable 13" - Intel Core 2 Duo - 250 Go - RAM 2048 Mo - MacOS X 10.6 - Jusqu'à 10h d'utilisation - NVIDIA GeForce GT 320M - Blanc

Montant total de la commande : EUR 995,11
Infos livraison : Commande expédiée en 1 colis
Mode de livraison : Prioritaire
Conditions de livraison : Envoyer les articles en un minimum de colis
Total articles (HT) : EUR 823,18
Livraison (HT) : EUR 6,68
Emballage cadeau TTC : EUR 2,17
---------------------------
Total HT : EUR 832,03
TVA : EUR 163,08
---------------------------
Montant total pour cette commande : EUR 995,11

Le montant à payer vous sera facturé à l'aide du moyen de paiement que vous avez choisis :

Nous avons le plaisir de vous informer que votre colis 6920829110901078 est prêt.

Il sera donc confié à notre transporteur en charge de sa livraison très prochainement.

Notre prochain mail vous confirmera la bonne prise en charge de votre colis par le transporteur.

Vous pouvez bien entendu suivre votre commande via votre Espace clients.

Nous vous remercions de votre confiance.

Nous vous en souhaitons bonne réception et espérons vous retrouver
très prochainement
Cliquez pour agrandir...

En rouge, ca ne me semble pas cohérent, et tu est débiter tout de suite par CB

en bleu, ce modèle n'est plus vendu par apple

à mon avis, c'est un email frauduleux pour te faire installer le plug in
verifi quand même ton compte
 
Je precise quand même que j'ai juste ouvert le lien,je n'ai rentré aucune donnée de ma cb.
Je me réponds à moi même,ce doit être une merde,j'ai fais un clique droit sur le lien en question ou on me demandai de dl la facture ,je 'lai collé dans bloc note et je me retrouve en supprimant une partie de la fin du lien ,la dessus:

attachment.php
 
Hello,

Alors c'est un ver. Le mail existe en version apple, amazon, mistergooddeal, ...

En temps normal, il suffit de le supprimer. Mais vu que tu as ouvert la PJ, tu risques une infection.

En général, la PJ est un fichier VBS. Si tu as encore le mail, peux-tu faire un clic-droit>Enregistrer sous sur la PJ, l'ouvrir avec le Bloc-Note (Ouvre le bloc-note, puis fichier>ouvrir>... ça évite que le VBS soit exécuté), et coller ici son contenu entre les balises [noparse]
Code: 
 et
[/noparse] ? Ainsi, je pourrai voir ce qu'a fait ce VBS.
 
Alors je me suis planté c'était pas un fichier joint ,mais un lien cliquable pour dl ce qui est censé être un pdf.
Mais comme j'ai bidouillé l'autre jour pour afficher les extentions des fichiers,on voit clairement qu'il ne s'agit pas d'un pdf ,sa ressemble a un pdf ,ça a tout d'un pdf mais ce n'en est pas un,la preuve en image.


attachment.php



C'est une extentions scr (ecran de veille) et je ne peux pas l'ouvrir.


Et voici les saloperies que me trouve malwarebytes quand je me plante et que je clique dessus ...

attachment.php
 
Dernière édition:
Envoie moi le fichier par mail, je vais regarder ça.

A priori d'après mes recherches, ce serait un RAT, une sorte de RootKit. Je continuer de regarder si les choses trouvées par MBAM correspondent.

EDIT : Fais une analyse antivirus complète aussi. Quel est ton antivirus ? D'après les données de VirusTotal, 'est pas la joie niveau détection... :triste-20129:
 
Dernière édition:
je suis en train de refaire un scan en complet avec mbma ,apparement il m'a retrouvé une merdouille j'attends la fin ce que ça donne,je t'envoie ça de suite neo :)
 
j'utilise security essentials.
Je vais lancé un scan pour voir,le fichier tu veux que je te l'envoie par mail ou tu veux le lien de dl ?
 
Envoie-le moi par mail.

Et pour MSE, lances un scan minutieux le plus complet possible. De même, fais un hijackthis avec cette version d'hijack et poste le rapport ici entre les balises [ CODE] et [ /CODE].
 
Dernière édition:
scan minutieux effectué rien trouvé


Code: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:13, on 29/03/2012
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\ASUS\GPU Tweak\GPUTweak.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\DAEMON Tools Pro\DTShellHlp.exe
C:\Program Files (x86)\Internet Download Manager\IDMan.exe
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Yuna Software\Messenger Plus!\PlusService.exe
C:\Program Files (x86)\Internet Download Manager\IEMonitor.exe
C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
C:\Program Files (x86)\ASUS\GPU Tweak\Monitor.exe
D:\Users\LeGaLiZe\AppData\Local\Google\Chrome\Application\chrome.exe
D:\Users\LeGaLiZe\AppData\Local\Google\Chrome\Application\chrome.exe
D:\Users\LeGaLiZe\AppData\Local\Google\Chrome\Application\chrome.exe
D:\Users\LeGaLiZe\AppData\Local\Google\Chrome\Application\chrome.exe
D:\Users\LeGaLiZe\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\SysWOW64\rundll32.exe
D:\Users\LeGaLiZe\AppData\Local\Google\Chrome\Application\chrome.exe
D:\Users\LeGaLiZe\Downloads\Programs\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files (x86)\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~3\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [PlusService] C:\Program Files (x86)\Yuna Software\Messenger Plus!\PlusService.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe" aml
O4 - HKCU\..\Run: [Google Update] "D:\Users\LeGaLiZe\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files (x86)\DAEMON Tools Pro\DTAgent.exe" -autorun
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [IDMan] C:\Program Files (x86)\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Global Startup: LaunchXNGicones.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files (x86)\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files (x86)\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O13 - Gopher Prefix: 
O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} (SysInfo Class) - [url]http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.5.3.0.cab[/url]
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: AppleChargerSrv - Unknown owner - C:\Windows\system32\AppleChargerSrv.exe (file missing)
O23 - Service: ASGT - Unknown owner - C:\Windows\SysWOW64\ASGT.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Futuremark SystemInfo Service - Futuremark Corporation - C:\Program Files (x86)\Futuremark\Futuremark SystemInfo\FMSISvc.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\x64\maconfservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10008 bytes
 
Voici ce que j'ai pu apprendre en décortiquant le fichier :

C'est un ver écrit en VB.NET, qui nécessite .NET 2.0.0.0+ pour fonctionner, qui se fait passer pour un fichier Adobe PDF créé avec Adobe Acrobat 11, demandant une mise à jour qui en réalité, fait entrer un BackDoor nommé "Balooba", un BackDoor retrouvé pour la première fois en Espagne en 2009.

Heureusement pour toi, Balooba est reconnu par les antivirus depuis un bout de temps, et i semble que MBAM ait reconnu le ver PDF. De plus, je ne vois rien d'anormal dans le log Hijack. Donc je pense que la sécurité était assez solide et que le ver n'a pas pu faire grand chose.

Toutefos, vérifie que dans les dossiers C:/Users/[ton nom]/App Data/Roaming ou Local/ il n'y ai aucun fichier nommé IceMsn.exe ou quelque chose y ressemblant.

Enfin, à tout hasard, supprime les points de restauration système, redémarre ton ordinateur, et relance un scan minutieux MSE et MBAM. S'il n'y a toujours rien, je ne pense pas que ton ordinateur soit infecté :icon_wink-221e:

Quelques infos sur le ver chez Malekal : http://www.malekal.com/2012/02/29/rat-free-via-spam-darty/
Quelques infos sur Balooba chez McAfee : http://www.mcafee.com/threat-intelligence/malware/default.aspx?id=321471
 
Merci pour toutes ses infos,tu es un chef :god-17c6:

Je vais refaire les scans voir ce que ça donne encore emrci NEOIII.

P.s:Etrangement mon @ est revenu alors que même avec le clavier visuel de seven il n'y était plus :)
 
J'ai eu se message aussi rien que la date de commande et date de réception du mail se n'est pas cohérent .
 
salut légalize,

si tu as besoin vu que mon pc n'est pas fonctionnel pour le moment je peux te prêter ma clef de bitdefender 2011 pour que tu puisse nettoyer ton pc

mp moi si tu la veux :icon_wink-221e:
 
Je te remerci mximinotor c'est très gentils de ta part ,mais il n'y a plus rien comme merde sur mon pc,le couple security essentials/malwarebytes,m'a l'air bien fonctionnel :)
 
oki, au cas où n’hésite pas car les soft gratuit pour se genre de me*** ne sont pas toujours les plus éfficaces
 
Il y avait avec un fichier joint,j'ai regardé il s'agissait d'un pdf qui en faites me demandai une maj d'adobe pour pouvoir être lu,comme un con j'ai validé.
Cliquez pour agrandir...

règle numéro 1 : ne JAMAIS cliquer sur un fichier joint pour faire une mise à jour de adobe, java ou autre, mais alors JAMAIS! j'ai d'autant plus de mal à comprendre pourquoi tu as cliqué si tu n'as pas passé de commande?
règle numéro 2 : j'affiche toujours les extensions de fichier, ce qui par défaut dans windows n'est pas activé. ça permet d'être sur de l'extension de fichier qu'on ouvre.......

bref, c'est fait c'est fait.

passe un coup de roguekiller en plus de malwarebytes.
 
Dernière édition:
Le problème est que une fois cliqué sur ke PDF l installation ce fais,et pour l extension j ai pas fais gaffe :)
 
Statut
La discussion n'est pas ouverte à d'autres réponses
Retour
Haut