Bonsoir à tous (bonjour à ceux qui liront le matin)
 
Je vous expose mon, enfin, le probleme d'un ami.  
 
Il y'a une semaine, il s'est fait hacké son adresse msn, son blog, et divers comptes d'autres sites qu'il avait. La méthode, m'a laissé pensé que le coupable connaissait son mot de passe et que donc, apres avoir récupéré son mail, il était facile de supprimer tous les autres comptes. Vu qu'il avait quelques personnes susceptibles de faire ça, qu'il ne surfe pas sur des sites de fesse et ne fais pas trop de conneries avec son pc, je lui ai dit de ne pas trop s'inquiteter.  
 
Il a recupéré son adresse hotmail grace a microsoft (bizarre de dire ça). Tout va bien donc.  
 
Or, pas plus tard qu'aujourd'hui, quelqu'un lui a reprit son adresse msn, rechangé le mot de passe, et tout le tralala, pour qu'il ne puisse pas la récupérer, et a commencé son travail de destruction de tous les sites.  
 
Je persiste a dire que c'est une personne qu'il connait, masi ce coup ci, le mot de passe avait été changé, personne ne le connaissais, et ct un mot de passe avec des chiffres et des lettres, pas ultra sécurisé mais bon...  
 
Ce qui m'amene a la question suivante: Comment le gars a il fait?
 
Il a un anti virus a jour (kaspersky)
Je lui ai passé avast, et lui ai dit de faire un scan au démarrage, puis en mode sans echec, avec le avast virus cleaner. Je lui ai fait aussi passer sdfix.  
 
Cependant, je vous poste ici son log d'hijackthis, si toutefois quelqu'un pouvait reconnaitre un quelconque keylogger ou programme malveillant.  
 
Je vous remercie

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:39:00, on 13/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\AOL\Active Virus Shield\avp.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
C:\Program Files\AOL\Active Virus Shield\avp.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\William\Bureau\HiJackThis_v2.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\razerhid.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [aol] "C:\Program Files\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/5 [...] plugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 5224092442
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/ [...] cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A261226-2E76-4E44-A934-3F35D6304DE9}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Active Virus Shield (AVP) - AOL - C:\Program Files\AOL\Active Virus Shield\avp.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
 
--
End of file - 8724 bytes

il s'est ptetre pris un keylogger dans le dos (voir plus bas)

C'est a dire plus bas?

la ou le dos perd son nom...

et si il a un wifi mal securisé il peut avoir quarante douze antivirus  ...

Tout simplement si le mec a une question secréte genre "nom de ton chien" il a beau changer le mot de passe, le mec utilise la récupération via la question..  
Truc de lamer de la mort qui tue..
 
Ensuite option de recup de mdp sur tous les sites et hop !
 
L'antivirus tu veux qu'il y fasse quoi la dedans ? Il a beau avoir le meilleur du monde ca ne change rien

Le truc, c'est que je crois savoir que la réponse a sa question secrete n'a rien a voir avec le bouillon, du genre "Le nom de votre prof préféré?" "13 heures"
 
Rien de remarquable dans le log?

ben ca :

Installes et mets à jour spybot sur son pc et scan, vire tout...

Rien d'autre donc?

je crois que tu prends le bleme à l'envers...
tous les AV ou firewall ne peuvent rien contre les imprudences

Il y aussi des individus dont le hobby est de "cracker" les comptes hotmail & Msn.
Qu'il commence par changer de crêmerie si elle s'est fait braquer deux fois en quelques jours...

bah, disons que cela me semblait la solution la plus problable, vu que le pote en question ne faisait pas preuve d'imprudence. La premiere fois, ca aurait pu, mais la seconde fois, le mot de passe avait été changé, l'adresse de secours changée, la question secrete contenait une réponse qui n'avait rien a voir avec la question, et il n'a donné son mot de passe a personne.

Ben tu vois, parfois le problème viens de ce qui est entre le fauteuil et l'odinateur
Mais comme ca ne semble pas être le cas, je crois que ton pote devrait regardé parmi les personnes qui connaissent son adresse e-mail...
Sinon changer de webmail est une bonne idée, surtout que maintenant, on peut utiliser son compte mail chez chaipakoi comme compte Live id, donc msn reste utilisable...

Il a juste reprit une autre adresse hotmail, mais en fait, je voulais juste savoir s'il était possible au vu de ses logs qu'il se refasse hacker encore une fois

Sinon ca se peut que ca soit quelqu'un qui ait accès à son pc et grâce à un soft sait retrouver le mot de passe utilisé. Normalement ton pote doit être connecté à msn (connection automatique) pour que le méchant pirate  sache récuper le mdp grâce au soft...

Pour savoir s'il cracke effectivement le mdp, tente un mdp bien balèze mélangeant caractère alphanumériques et autres ex: pArIs1+ mais ya bien mieux, bref, un mdp qui se cracke genre en un mois, et s'il se refait hacké en 2-3 jours, c'est que le hacker a effectivement la possibilité de recup le mdp sans se prendre la tete

De toute facon si le mec se retrouve avec un mot de passe de 10 charcatères chiffres+symboles+lettres formant quelque chose qui n'est pas dans le dictionnaire et en laissant tomber le langage "L337" (leet) ben il va pas s'amuser à rester 2 mois à cracker le mdp d'un particulier sachant que ca va lui bouffer toutes ses ressources, sa mémoire, sa bande passante etc...
C'est comme pour les mots de passe windows, si tu suis le même procédé que plus haut, ca mettrai 2 mois ou + en bruteforce ( ou même avec des rainbowstables ) pour cracker le ntlm, le mec laissera tomber

Merci de toutes vos réponses, il s'est refait hacker son blog il y'a pas longtemps,avec un mot de passe mélangeant un peu tout. Je lui ai conseillé de formater, si le probleme persiste, c'est que ce serait quelqu'un qui aurait acces physiquement a son pc.  
 

Il faudrait qu'il regarde autour de lui pour éssayer de trouver...
 
Soit c'est quelqu'un qui lui en veut
Soit c'est un plaisantin qui veut lui faire de mauvaises blagues
 
Tu devrais cependant lui faire scanner son PC avec AVG Antispyware, SpySweeper et aussi Spyware Doctor (et non pas SYSTEM DOCTOR) qui sont de puissants antispywares.
 
Regarde aussi du coté des rootkits ainsi que des fichiers cachés etc... Tu peux utiliser Listor CL (http://med365.co.nr/) qui t'aidera à repérer les points louches, lis l'aide mais je ne peux que te conseiller d'utiliser au moins ces trois commandes : rtkscan ; logall et mrt
Lis attentivement le fichier listor.log créé par logall pour repérer de possibles points suspects (vérifies les processus louches, les services etc...) et consulte le fichier fsb-suitedenombre dans le cas ou tu aurais lancé rtkscan.
Voilà a+

il aurait pas un keylogger planté dans son port USB par hasard ?
et un de ses pote qui viendrait le chercher de temps en temps pour refaire joujou ...
 
Avec ce genre de trucs tu peux scanner tout ce que tu veux c'est invisible du système

Oui, les fameux keyloggers physiques... C'est vrai, regarde s'il n'y a rien d'interfacé entre le clavier et l'ordinateur...
 
Enfin le pote qui vien cherché ça n'est pas un vrai pote à mon avis

 
comme quoi, on en apprend tous les jours! je savais pas que ça existai... c'est possible de détailler un peu plus?

bah c'est un petit truc branché derrière ton PC... soit en USB soit sur la prise clavier (et le clavier est branché dessus). Y a une mémoire interne de plusieurs milliers de caractères et ça enregistre tout ce que tu tape.
 

Pour ceux que ça interesse voici un keylogger hardware :
 

 
-----
 
Sinon le probléme je pense que c'est bien la question secréte ou cette ligne qui parait bizard :
 

 
En solution radicale il y a formatage et changement de la question secréte & du pass une nouvelle fois ...

faudrait essayer de changer les mots de passe  et les taper avec le clavier  visuel  
si ils sont pas touchés c' est qu'il y a un keylogger quelque part

A part dans un bureau je ne vois pas comment le mec peut aller chez lui pour lui brancher ça.

Dans la mesure ou tu as un keylogger d'installer le plus simple à mon avis c'est de changer tous t'es mots de passes sur un live cd linux, ensuite tu peux t'
attaquer au problème de sécuriter sur windows. ( http://www.framasoft.net/article3306.html )

Le plus simple pour hotmail c'est de migrer tout t'es utilisateurs vers un autre compte et d'arrêter de diffuser ton adresse msn à n'importe qui (forum nottament).

EDIT : j'ai effacé mon long post vu les reflexions recu, bonne chance.

Pas besoin d'être abonné à aol pour utiliser active virus shield
Et pas la peine de copier le log si c'est juste pour mettre des points d'interrogation devant les services windows standarts type wmi
 
Si tu as des lignes à fixer donne les mais fait l'analyse alors

et bien debrouillez vous

 
Les pilotes de sa carte graphique ati et de ses periphs logitech
 

 
Oui la souris et il n'appartient qu'à lui de laisser ou non MSN se lancer tout seul et la BHO D'acrobat
 

 
Nan ca c'est hijackthis 2 beta
 

 
Diskeeper utilise un service pour défragmenter, le truc que tu lances c'est le gui, il n'y a que le service qui bosse vraiment
 

 
nForce = Chipset nVidia
 

 
C'est l'utilitaire de diagnostic réseau intégré à IE
 

 
Des ActiveX
 

 
C'est l'antivirus AOL gratuit et basé sur Kaspersky, pas besoin d'être abonné pour l'utiliser
 

Conseille à ton ami d'acheter  " Hacker's Guide " publié par CampusPress  
Le ISBN :2-7440-1768-X, il va comprendre le pourquoi du comment

Je remercie tout le monde pour vos réponses.  
 
En ce qui concerne le keyloggeur physique, il n'en avait pas, mais j'ai été surprit de constater leur existence. Bien sur, je ne doutais pas que cela pouvait etre possible, mais je n'y avait tout simplement jamais songé.  
 
Sinon, il n'a plus de problemes pour le moment, il a fait un nettoyage complet de son systeme, même si je lui avait plutot conseillé de faire un bon formattage (pour etre sur)
 
JE lui ai aussi fait part de la fonction d'exportation de liste, histoire de s'assurer qu'en cas de rebelote, il pourra retrouver ses contacts.  
 
Merci à tous