Envahi de spams : Infections ?

[Pey]

Bonjour,

 

Depuis ce matin je suis envahi par des spams (plus de 140 depuis ce matin) . Mais leur apparence donne l'impression qu'il s'agit de messages d'erreur qui me reviendraient...

 

Voici la photo de ma messagerie :

 

 

Je tourne sous Windows XP sp2 et j'ai Kapersky Internet security 6.0 comme pare-feu et antivirus (Installé depuis fin Août en remplacement de Norton).

 

J'ai suivi la procédure de pré nettoyage mais antivir n'a rien décelé.

 

Aussi je vous soumets mon rapport de Hijackthis et si vous pouviez m'indiquer si ce problème vient d'une infection de mon micro.

 

Logfile of HijackThis v1.99.1

Scan saved at 19:30:13, on 09/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: BUQVDFOLOE - Unknown owner - C:\DOCUME~1\Pierre\LOCALS~1\Temp\BUQVDFOLOE.exe (file missing)

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: FAH@C:+Documents and Settings+Pierre+Mes documents+Folding@home+FAH504-Console.exe - Stanford University - C:\Documents and Settings\Pierre\Mes documents\Folding@home\FAH504-Console.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

 

Pour ma part je n'identifie pas dans les lignes 023 :

O23 - Service: BUQVDFOLOE

O23 - Service: C-DillaCdaC11BA

 

Je vous rmercie par avance pour votre aide.

 

Pey

[Malekal_morte]

Bonsoir,

 

Généralement, quand on envoie des mails, on reçoit pas le retard qui les virus utilisent des techniques de spoofing qui consiste à utiliser n"importe quoi comme adresse d'émission.

 

Y a quoi dans ces mails de retour ?

tu peux en coller qq1 ?

 

 

Sinon :

 

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".

Toujours sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

 

Pour effectuer les scans, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).

 

Scan en ligne avec Kaspersky :

- Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas!.

- Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

- Scan la zone critique

- Copie/colle le rapport du scan ici

 

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

ET

 

:

- Fais un scan avec panda en désactivant ton antivirus pendant le scan!

(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)

- Copie/colle le rapport panda ici

[Pey]

Bonsoir Malekal_morte

 

 

Voici 3 exemples de courriers reçus : (j'en ai encore reçu près de 80 durant la nuit)

 

 

 

 

Il y a des messages d'absence (en allemand, en espagnol...) ou des messages de retour indiquant que le message n'a pu être distribué...

 

En ce qui concerne les scan en ligne : Panda : le scan semble fonctionner puis renvoi un message d'echec à la fin...

Kapersky : Je n'ai pas réussi à faire admettre l'ouverture de la fenêtre à IE !!!

 

merci pour ton aide.

 

Pey

[Malekal_morte]

Je ne peux pas visualiser les images :

arning: mysql_connect(): Too many connections in /var/www/hiboox/tools.php on line 589
L'erreur suivante est apparue pour la raison : Too many connectionsconnexion fail

 

Tu peux faire un copier/coller ici ?

[Pey]

Je ne peux pas visualiser les images :

arning: mysql_connect(): Too many connections in /var/www/hiboox/tools.php on line 589
L'erreur suivante est apparue pour la raison : Too many connectionsconnexion fail

 

Tu peux faire un copier/coller ici ?

 

 

Je n'arrive pas à copier les images... je ne sais pas comment faire sans passer par un serveur...

 

Je n'ai pas de difficultés pour visualiser les images précédemment chargées.

 

Pey

[Malekal_morte]

ne fais pas une capture, tu ouvres le mail et tu copies/colle le texte ici.

[Pey]

le 1er ex : il y en a plusieurs dizaines :

 

Mail delivery system :

 

" This is the Postfix program at host smtp-ext-02.mx.pitdc1.expedient.net.

 

I'm sorry to have to inform you that your message could not

be delivered to one or more recipients. It's attached below.

 

For further assistance, please send mail to <postmaster>

 

If you do so, please include this problem report. You can delete your own text from the attached returned message.

 

The Postfix program

 

<cpas@inetone.net>: host

/var/spool/postfix/private/lmtpd[/var/spool/postfix/private/lmtpd] said:

552 4.2.2 <cpas@inetone.net>: Mailbox full -- Quota exceeded (in reply to

end of DATA command)

"

 

2ème ex :

 

System Administrator :

 

" Your message

 

To: smtp451_s@dmc.co.kr

Subject: fw: !

Sent: Sun, 10 Sep 2006 18:13:23 +0900

 

did not reach the following recipient(s):

 

smtp451_s@dmc.co.kr on Sun, 10 Sep 2006 17:30:48 +0900

The recipient name is not recognized

The MTS-ID of the original message is: c=KR;a= ;p=DAELIM;l=INFOSIS10609100830SND2CRNL

MSEXCH:IMS:DAELIM:DMC:INFOSIS1 0 (000C05A6) Unknown Recipient smtp508_a@dmc.co.kr on Sun, 10 Sep 2006 17:30:48 +0900

The recipient name is not recognized

The MTS-ID of the original message is: c=KR;a= ;p=DAELIM;l=INFOSIS10609100830SND2CRNL

MSEXCH:IMS:DAELIM:DMC:INFOSIS1 0 (000C05A6) Unknown Recipient smtp512_a@dmc.co.kr on Sun, 10 Sep 2006 17:30:48 +0900

The recipient name is not recognized

The MTS-ID of the original message is: c=KR;a= ;p=DAELIM;l=INFOSIS10609100830SND2CRNL

MSEXCH:IMS:DAELIM:DMC:INFOSIS1 0 (000C05A6) Unknown Recipient

 

"

 

3ème ex :

 

Yahoo groups :

 

" We are unable to process the message from <OMUZYV@asso-cdci.org> to <pmi_email-unsubscribe@yahoogroups.com.au>.

 

The email address used to send your message is not subscribed to this

group. If you are a member of this group, please be aware that you may

only send messages and manage your subscription to this group using

the email address(es) you have registered with Yahoo! Groups.

 

If you would like to subscribe to this group:

1. visit

http://au.groups.yahoo.com/group/pmi_email/join

-OR-

2. send email to pmi_email-subscribe@yahoogroups.com.au

 

For further assistance, please visit http://help.yahoo.com/help/au/groups/

 

"

 

4ème ex : des messages d'absence de personnes (non connues) :

 

" Guten Tag

 

Ich habe Ihr Mail betreffend '[**spam**] Re: PASSWORD' erhalten.

 

Zur Zeit bin ich im Mutterschaftsurlaub bis Ende Dezember 2006.

 

Ihre Mail wird nicht weitergeleitet. Bitte wenden Sie sich an info@tschanz-treuhand.ch oder telefonsich an 032 387 20 20.

 

Besten Dank für Ihr Verständnis.

 

Mit freundlichen Grüssen

 

TSCHANZ TREUHAND AG

 

Doris Hess

Treuhänderin mit eidg. FA

 

--------------------------------

Tschanz Treuhand AG

Bahnhofstrasse 7

Postfach 28

CH-3250 Lyss

 

Telefon Zentrale: 032 387 20 20

Telefax Zentrale: 032 387 20 21

 

"

 

 

Depuis hier matin j'ai reçu environ 325 mails de ce type !! heureusement l'anti spam fait son office mais quand même...

 

La caractéristique commune à tous ces messages est qu'ils sont adressés à des adresse mail " bidon" d'une association dont je fait partie.

 

ex d'adresses :

 

cygjpszqaxxznv@asso-cdci.org

lingyujulee@asso-cdci.org

vrlzgslb@asso-cdci.org

 

Voilà.

[Malekal_morte]

Je pense que quelqu'un est infecté par un vers qui utilise une de tes adresses à l'envoi.

Tu reçois alors les mails d'erreur de retour.

 

regarde là : http://www.malekal.com/spam_pourriel.html

Fais toi une règle de messagerie pour trier les "mail delivery" dans un dossier spécifique ce sera tjrs ça.

[Pey]

Merci Malekal_morte

 

J'ai fait un dossier Antispam où tous ces messages vont se déverser. Rest à savoir qui a son micro infecté...

 

Pey

[Malekal_morte]

Merci Malekal_morte

 

J'ai fait un dossier Antispam où tous ces messages vont se déverser. Rest à savoir qui a son micro infecté...

 

Pey

 

Sur certains messages delivery, tu dois avoir l'ip de l'expéditeur.

Après tu peux trouver la localisation géographique à partir de l'ip selon comment.