problème AVAST trop de mails identiques

[Malekal_morte]

hummm.

Ton rapport Gmer est clean.

 

Pour les envoies en masse de mails généralement on a une infection : trojan.spambot

dans ton cas, ce n'est plus rarement.

 

et très rarement on a des infections pe386 utilisant des techniques de rootkit, normalement Gmer le voit.

Ce qui m'embetent c'est que sur DiagHelp avec l'option 2 on voit meme pas de connexion en direction du port 25 (smtp).

 

As-tu des ralentissements du traffic ou de la machine ?

 

 

- Télécharges F-Secure Blacklight/ et mets le sur ton bureau

- Copie/colle ceci dans le bloc-note (Menu Démarrer / Programmes / Accessoires / Bloc-note)

- Enregistre le contenu (fichier / enregistrer-sous) dans un fichier que tu nomeras go.cmd, place le aussi sur ton bureau :

 

@echo off

title Lancement de F-Secure Blacklight en mode expert

echo Lancement de F-Secure Blacklight en mode expert

blbeta /expert

pause>nul

exit

 

- Double-clic sur go.cmd

- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe

- Ouvre fsbl-bxxxx.log et copie/colle le contenu ici, pour cela :

- Menu Edition / copier

- ici dans un nouveau message : clic droit / coller

Aide : Tu peux consulter le tutorial de F-Secure BlackLight

[aeropic]

Non, je ne vois pas de ralentissement de la machine ...

Ce matin, AVAST ne couine plus.

j'ai lancé BIBETA, qui n'a rien trouvé. Voilà le rapport

 

09/03/06 12:17:54 [info]: BlackLight Engine 1.0.46 initialized

09/03/06 12:17:54 [info]: OS: 5.1 build 2600 (Service Pack 2)

09/03/06 12:17:54 [Note]: 7019 4

09/03/06 12:17:54 [Note]: 7005 0

09/03/06 12:18:06 [Note]: 7006 0

09/03/06 12:18:06 [Note]: 7022 0

09/03/06 12:18:06 [Note]: 7011 648

09/03/06 12:18:06 [Note]: 7026 0

09/03/06 12:18:06 [Note]: 7026 0

09/03/06 12:18:06 [Note]: FSRAW library version 1.7.1019

09/03/06 12:25:29 [Note]: 7007 0

 

 

je le relance dès qu'avast re-rale ...

 

merci

alain

[Malekal_morte]

Je commence à me demander si ton avast déconnerait pas un peu

 

Fais ceci, de préférences au moment où avast couine :

 

Menu Démarrer / executer et tape cmd puis clic sur OK

Dans la nouvelle fenêtre tape : netstat -ano > c:\cnx.txt

Ferme toutes les fenetres

 

Ouvre le poste de travail puis disque C et le fichier cnx.txt

colle le contenu ici.

[aeropic]

voila cnx.txt

========

 

 

 

Connexions actives

 

Proto Adresse locale Adresse distante Etat

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1296

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4

TCP 0.0.0.0:1678 0.0.0.0:0 LISTENING 496

TCP 0.0.0.0:3260 0.0.0.0:0 LISTENING 1640

TCP 0.0.0.0:3261 0.0.0.0:0 LISTENING 1640

TCP 0.0.0.0:31038 0.0.0.0:0 LISTENING 740

TCP 82.249.178.80:139 0.0.0.0:0 LISTENING 4

TCP 82.249.178.80:1585 213.251.138.100:80 TIME_WAIT 0

TCP 82.249.178.80:1587 213.251.138.100:80 TIME_WAIT 0

TCP 82.249.178.80:1593 66.249.93.104:80 ESTABLISHED 2256

TCP 82.249.178.80:1595 213.186.34.126:80 TIME_WAIT 0

TCP 82.249.178.80:1602 64.233.183.104:80 ESTABLISHED 2256

TCP 82.249.178.80:1605 130.117.119.104:80 TIME_WAIT 0

TCP 82.249.178.80:1607 213.251.139.21:80 CLOSE_WAIT 2256

TCP 127.0.0.1:1029 0.0.0.0:0 LISTENING 2412

TCP 127.0.0.1:1324 127.0.0.1:1325 ESTABLISHED 2380

TCP 127.0.0.1:1325 127.0.0.1:1324 ESTABLISHED 2380

TCP 127.0.0.1:1590 127.0.0.1:12080 TIME_WAIT 0

TCP 127.0.0.1:1592 127.0.0.1:12080 ESTABLISHED 2380

TCP 127.0.0.1:1601 127.0.0.1:12080 ESTABLISHED 2380

TCP 127.0.0.1:1604 127.0.0.1:12080 TIME_WAIT 0

TCP 127.0.0.1:1606 127.0.0.1:12080 ESTABLISHED 2380

TCP 127.0.0.1:1608 127.0.0.1:12025 TIME_WAIT 0

TCP 127.0.0.1:1615 127.0.0.1:12025 TIME_WAIT 0

TCP 127.0.0.1:5679 0.0.0.0:0 LISTENING 3540

TCP 127.0.0.1:12025 0.0.0.0:0 LISTENING 2176

TCP 127.0.0.1:12080 0.0.0.0:0 LISTENING 2256

TCP 127.0.0.1:12080 127.0.0.1:1592 ESTABLISHED 2256

TCP 127.0.0.1:12080 127.0.0.1:1601 ESTABLISHED 2256

TCP 127.0.0.1:12080 127.0.0.1:1606 ESTABLISHED 2256

TCP 127.0.0.1:12080 127.0.0.1:1622 TIME_WAIT 0

TCP 127.0.0.1:12110 0.0.0.0:0 LISTENING 2176

TCP 127.0.0.1:12110 127.0.0.1:1620 TIME_WAIT 0

TCP 127.0.0.1:12119 0.0.0.0:0 LISTENING 2176

TCP 127.0.0.1:12143 0.0.0.0:0 LISTENING 2176

UDP 0.0.0.0:445 *:* 4

UDP 0.0.0.0:500 *:* 1036

UDP 0.0.0.0:1025 *:* 1436

UDP 0.0.0.0:1330 *:* 1436

UDP 0.0.0.0:1347 *:* 1436

UDP 0.0.0.0:1348 *:* 1436

UDP 0.0.0.0:4500 *:* 1036

UDP 82.249.178.80:123 *:* 1388

UDP 82.249.178.80:137 *:* 4

UDP 82.249.178.80:138 *:* 4

UDP 82.249.178.80:1900 *:* 1512

UDP 127.0.0.1:123 *:* 1388

UDP 127.0.0.1:1900 *:* 1512

[Malekal_morte]

Tjrs pas de connexions mails.

 

1/ Télécharge rootkit revealer :

http://www.sysinternals.com/Files/RootkitRevealer.zip

 

2/ Lance le et clique sur Scan

 

3/ A la fin du scan clique sur File>Save et choisis un endroit ou l'enregistrer.

 

4/ Poste le contenu du fichier dans ton prochain message.

[aeropic]

j'ai téléchargé rootkitrevealer, mais je n'arrive pas à le faire fonctionner.

en double cliquant sur rootkitrevealer.exe, l'ordi fait un pinf sonore et c'est tout.

J'ai essayé en ligne de commande après copie sur C:

 

C:\rootkitrevealer -a c:\rootlog.txt

 

le fichjier est créé mais est vide ...

[Malekal_morte]

Essaye en désactivant avast et ewido ou autres logiciels de protection si tu as.

 

Mais je pense pas que ça va changer qq chose.

[aeropic]

Avast désactivé ==> ça ne change rien.

 

Le processus rootkitrevealer est présent dans le gestionnaire des tâches mais aucne IHM ne monte

[aeropic]

Bizarre rootkitrevealer ...

Je le lance depuis mon compte (admin) et l'IHM monter sur le compte d'un de mes fils (compte limité). J'ai quand même scanné :

 

HKLM\S-1-5-21-1547161642-854245398-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{95402B42-15DE-DDB2-C63E-BCC04F0E2316}* 12/08/2006 16:12 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 30/12/2005 23:51 26 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Hagel\DU Meter\Totals 03/09/2006 15:45 80 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Shared Tools\ 24/12/2005 13:23 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 30/12/2005 23:54 26 bytes Data mismatch between Windows API and raw hive data.

HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\s0 09/04/2006 11:04 4 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\s1 09/04/2006 11:04 4 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\s2 09/04/2006 11:04 4 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\g0 09/04/2006 11:04 32 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\h0 09/04/2006 11:04 4 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 09/04/2006 11:05 0 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet006\Services\Vax347s\Config\jdgg40 03/09/2006 14:06 0 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet006\Services\Vax347s\Config\jdgg41 03/09/2006 14:06 0 bytes Hidden from Windows API.

C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 13/07/2006 23:10 252.00 KB Visible in Windows API, but not in MFT or directory index.

C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 13/07/2006 23:10 111.50 KB Visible in Windows API, but not in MFT or directory index.

[Malekal_morte]

mouais rien de vraiment anormal.

HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg c'est DaemonTools.

 

Franchement vu tous les outils qu'on a passé si y avait un rootkit, on l'aurai vu.

Ton rapport HijackThis est propre et les scan antivirus ne donne rien.

 

Je pense que tu devrais désinstaller et réinstaller AVAST.