Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

RESOLU .....SPAM

galahad97
 Partager

Messages recommandés

galahad97 Power Member

galahad97

Posté(e)
Posté(e) (modifié)

Bonjour,

 

je viens de recevoir un mail dont voici la teneur

µµµµµµµµµµµµµµµµµµµµ

Your message to: ££££££££££££

was blocked by our Spam Firewall. The email you sent with the following subject

has NOT BEEN DELIVERED:

 

Subject: Dear ££££££££££May 82% 0FF

Reporting-MTA: dns; barracuda.capstreet.com

Received-From-MTA: smtp; barracuda.capstreet.com ([127.0.0.1])

Arrival-Date: Sat, 24 May 2008 09:00:31 -0500 (CDT)

 

Final-Recipient: rfc822; Action: failed

Status: 5.7.1

µµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµ

 

J'ai volontairement l'adresse E-mail bien sur par des ££££££££

j'ai 2 piece jointes une que je peux ouvrir la voici

 

Received: from jet9 (unknown [78.93.155.210])

by barracuda.$$$$$$$$$$$$$$(Spam Firewall) with SMTP id 6E5295FEDF

for <$$$$$$$$$$$$$$>; Sat, 24 May 2008 09:00:29 -0500 (CDT)

Content-Return: allowed

X-Mailer: devMail.Net (3.0.1854.22234-2)

Message-Id: <20080429080749.13795.qmail@jet9>

To: <**********>

Subject: Dear ************** May 82% 0FF

From: VIAGRA =AE Official Site <***********>

MIME-Version: 1.0

Content-Type: text/html; charset=3D"UTF-8"

Content-Transfer-Encoding: 7bit

Date: Sat, 24 May 2008 09:00:29 -0500 (CDT)

 

 

question : est ce mon PC qui envoie des Spam et si oui comment faire pour trouver le programme espion?

 

cordialement

Modifié par galahad97

oGu Godlike Member

oGu

Posté(e)
Posté(e)

Yo!

 

J'ai suivi ta discussion sur l'autre fil: on va voir si on trouve quelque chose:

 

f_olive.gifHIJACKTHIS

 

 

Télécharge et installe la dernière version d'HIJACKTHIS [v2.0.2] en cliquant sur l'image:

hjt.gif

  • Enregistre HJTInstall.exe sur ton bureau
  • Double-clique sur HJTInstall.exe pour lancer le programme
    Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
    • Accepte la licence en cliquant sur le bouton "I Accept"
    • Choisis l'option "Do a system scan and save a log file"
    • Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
    • Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
    • Colle le rapport que tu viens de copier sur ce forum
    • Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

On peut également regarder si des connexions sortantes vers TCP 25 sont établies par le PC (avec wireshark ou netstat).

Le champ From: des email étant facilement falsifiables, il est possible que ce ne soit pas ce PC qui soit la source des spams. L'adresse email a pu être récupérée d'une manière ou d'une autre et faire partie d'une liste.

 

Je ne pense pas que le MTA barracuda.capstreet.com ait renvoyé l'intégralité de la source de l'email marqué comme spam, ça aurait permis de remonter à l'adresse IP émettrice et de croiser avec l'adresse fixe ou dynamique de Galaad97

 

Les outils de reporting de spam sont assez bêtes et méchants, ils considèrent le champ From: comme l'expéditeur authentifié/signé de l'email intercepté. Ces réponses automatiques participent également au phénomène d'engorgement des réseaux causé par le spamming.

 

Ceci étant dit, je laisse à Ogu le soin de vérifier de manière approfondie qu'aucun malware potentiellement émetteur de tels emails n'ait infecté la machine de Galaad97

galahad97 Power Member

galahad97

Posté(e)
  • Auteur
Posté(e)
Yo!

 

J'ai suivi ta discussion sur l'autre fil: on va voir si on trouve quelque chose:

 

f_olive.gifHIJACKTHIS

 

 

Télécharge et installe la dernière version d'HIJACKTHIS [v2.0.2] en cliquant sur l'image:

hjt.gif

  • Enregistre HJTInstall.exe sur ton bureau
  • Double-clique sur HJTInstall.exe pour lancer le programme
    Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
    • Accepte la licence en cliquant sur le bouton "I Accept"
    • Choisis l'option "Do a system scan and save a log file"
    • Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
    • Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
    • Colle le rapport que tu viens de copier sur ce forum
    • Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

 

Bonjour Ogu,

 

c'est fait et voici le rapport

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:04:56, on 24/05/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\keyhook.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\WLTRAY.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\PROGRA~1\WINDOW~3\MESSEN~1\msnmsgr.exe

C:\WINDOWS\system32\sistray.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\PROGRA~1\MICROS~3\Office10\OUTLOOK.EXE

C:\Acer\eManager\anbmServ.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wanadoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sbwltbxa.exe,

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\WINDOW~3\MESSEN~1\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?91bb5a865fe846ecac54c8549e222c2e

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?91bb5a865fe846ecac54c8549e222c2e

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1150063111484

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

 

--

End of file - 9755 bytes

 

 

A+

galahad97 Power Member

galahad97

Posté(e)
  • Auteur
Posté(e)
On peut également regarder si des connexions sortantes vers TCP 25 sont établies par le PC (avec wireshark ou netstat).

Le champ From: des email étant facilement falsifiables, il est possible que ce ne soit pas ce PC qui soit la source des spams. L'adresse email a pu être récupérée d'une manière ou d'une autre et faire partie d'une liste.

 

Je ne pense pas que le MTA barracuda.capstreet.com ait renvoyé l'intégralité de la source de l'email marqué comme spam, ça aurait permis de remonter à l'adresse IP émettrice et de croiser avec l'adresse fixe ou dynamique de Galaad97

 

Les outils de reporting de spam sont assez bêtes et méchants, ils considèrent le champ From: comme l'expéditeur authentifié/signé de l'email intercepté. Ces réponses automatiques participent également au phénomène d'engorgement des réseaux causé par le spamming.

 

Ceci étant dit, je laisse à Ogu le soin de vérifier de manière approfondie qu'aucun malware potentiellement émetteur de tels emails n'ait infecté la machine de Galaad97

 

Bonjour Greywolf,

 

je te remercie pour ces explications mais n'étant pas spécialiste je décroche.

Par contre je peux indiquer que j'ai eu un souci il y a peu de temps avec MSOutlook qui envoyait plus de message que je n'en mettait dans la boite!

Peut etre un lien avec ce qui arrive aujourd'hui? pourtant on avait nettoyer le PC avec un de vos collègues.

 

Amicalement

Pat

oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Yo!

 

Tu es infecté par un Bot SD, qui peut être le responsable du spamming.

 

pourtant on avait nettoyer le PC avec un de vos collègues.

 

Tu peux m'en dire plus et me donner le lien?

 

 

 

flechedroitets2.pngDESACTIVER le TEA-TIMER

 

  • Ouvre Spybot
  • Va dans le Menu "Mode" --> "Mode avancé"
  • Confirme en cliquant sur le bouton "Oui".
  • Clique ensuite sur "Outil" dans la barre de navigation de Spybot (volet de gauche) puis sur "Résident"
  • Pour activer/désactiver Tea-Timer, il suffit de cocher/décocher dans le panneau central :
     
    CocheOn.png Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

 

 

 

flechedroitets2.pngSDFIX

 

Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en sans échec.

 

  • Télécharge sauvegarde sur ton Bureau systemsr4.pngSDFix (créé par AndyManchesta), en cliquant sur cette image:
downpb1.gif
 
Double clique sur SDFix.exe et choisis Install pour l'extraire à la racine de C:\. (donc: C:\SDfix )
 
Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
 
Suis la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmdpour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
 
 
efafa0cd58fcc0b559a37b26a37b.jpeg Si Sdfix ne se lance pas (ça arrive!)
  • Démarrer->Exécuter
  • Copier/coller ceci:
     
    %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
  • Cliquer ok, et valider.
  • Redémarrer et essayer de nouveau de lancer Sdfix.

 

 

 

flechedroitets2.pngHIJACKTHIS

 

Poste un nouveau rapport s'il te plaît!

Modifié par oGu
galahad97 Power Member

galahad97

Posté(e)
  • Auteur
Posté(e)
Yo!

 

Tu es infecté par un Bot SD, qui peut être le responsable du spamming.

 

 

 

Tu peux m'en dire plus et me donner le lien?

 

 

 

flechedroitets2.pngDESACTIVER le TEA-TIMER

 

  • Ouvre Spybot
  • Va dans le Menu "Mode" --> "Mode avancé"
  • Confirme en cliquant sur le bouton "Oui".
  • Clique ensuite sur "Outil" dans la barre de navigation de Spybot (volet de gauche) puis sur "Résident"
  • Pour activer/désactiver Tea-Timer, il suffit de cocher/décocher dans le panneau central :
     
    CocheOn.png Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

 

 

 

flechedroitets2.pngSDFIX

 

Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en sans échec.

 

  • Télécharge sauvegarde sur ton Bureau systemsr4.pngSDFix (créé par AndyManchesta), en cliquant sur cette image:
downpb1.gif
 
Double clique sur SDFix.exe et choisis Install pour l'extraire à la racine de C:\. (donc: C:\SDfix )
 
Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
 
Suis la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmdpour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
 
 
efafa0cd58fcc0b559a37b26a37b.jpeg Si Sdfix ne se lance pas (ça arrive!)
  • Démarrer->Exécuter
  • Copier/coller ceci:
     
    %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
  • Cliquer ok, et valider.
  • Redémarrer et essayer de nouveau de lancer Sdfix.

 

 

 

flechedroitets2.pngHIJACKTHIS

 

Poste un nouveau rapport s'il te plaît!

 

Bonjour Ogu,

 

voici le lien demandé.

Pour le reste je m'y mets de suite

Merci

Amicalement

 

 

Bonjour Ogu,

 

voici le lien demandé.

Pour le reste je m'y mets de suite

Merci

Amicalement

http://forum.zebulon.fr/resolu-t141702.html

galahad97 Power Member

galahad97

Posté(e)
  • Auteur
Posté(e)
Yo!

 

Tu es infecté par un Bot SD, qui peut être le responsable du spamming.

 

 

 

Tu peux m'en dire plus et me donner le lien?

 

 

 

flechedroitets2.pngDESACTIVER le TEA-TIMER

 

  • Ouvre Spybot
  • Va dans le Menu "Mode" --> "Mode avancé"
  • Confirme en cliquant sur le bouton "Oui".
  • Clique ensuite sur "Outil" dans la barre de navigation de Spybot (volet de gauche) puis sur "Résident"
  • Pour activer/désactiver Tea-Timer, il suffit de cocher/décocher dans le panneau central :
     
    CocheOn.png Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

 

 

 

flechedroitets2.pngSDFIX

 

Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en sans échec.

 

  • Télécharge sauvegarde sur ton Bureau systemsr4.pngSDFix (créé par AndyManchesta), en cliquant sur cette image:
downpb1.gif
 
Double clique sur SDFix.exe et choisis Install pour l'extraire à la racine de C:\. (donc: C:\SDfix )
 
Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
 
Suis la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmdpour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
 
 
efafa0cd58fcc0b559a37b26a37b.jpeg Si Sdfix ne se lance pas (ça arrive!)
  • Démarrer->Exécuter
  • Copier/coller ceci:
     
    %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
  • Cliquer ok, et valider.
  • Redémarrer et essayer de nouveau de lancer Sdfix.

 

 

 

flechedroitets2.pngHIJACKTHIS

 

Poste un nouveau rapport s'il te plaît!

 

re,

 

donc le rapport SDFIX:

 

SDFix: Version 1.185

Run by Anne on 25/05/2008 at 10:17

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting

 

 

Checking Files :

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-25 10:28:59

Windows 5.1.2600 Service Pack 3 FAT NTAPI

 

scanning hidden processes ...

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Messenger\\MSMSGS.EXE"="C:\\Program Files\\Messenger\\MSMSGS.EXE:*:Enabled:Windows Messenger"

"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"

"C:\\Program Files\\Visicom Media\\FTPExpert2\\FTPxpert.exe"="C:\\Program Files\\Visicom Media\\FTPExpert2\\FTPxpert.exe:*:Enabled:AceFTP v2"

"C:\\WINDOWS\\System32\\mmc.exe"="C:\\WINDOWS\\System32\\mmc.exe:*:Disabled:Microsoft Management Console"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Fri 9 Mar 2007 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK32.dll"

Fri 4 Apr 2008 1,572,864 A..H. --- "C:\Documents and Settings\NetworkService\NTUSER.DAT.bak_jv16pt"

Fri 4 Apr 2008 1,572,864 A..H. --- "C:\Documents and Settings\LocalService\NTUSER.DAT.bak_jv16pt"

Fri 4 Apr 2008 12,582,912 A..H. --- "C:\Documents and Settings\Anne\ntuser.dat.bak_jv16pt"

Sat 24 Jun 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Thu 8 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT7.tmp"

Tue 6 Feb 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

Wed 9 Aug 2006 0 ...H. --- "C:\Documents and Settings\Anne\Application Data\Microsoft\Word\~WRL0201.tmp"

Wed 9 Aug 2006 0 ...H. --- "C:\Documents and Settings\Anne\Application Data\Microsoft\Word\~WRL0664.tmp"

Wed 9 Aug 2006 0 ...H. --- "C:\Documents and Settings\Anne\Application Data\Microsoft\Word\~WRL3410.tmp"

Sat 5 Apr 2008 0 ...H. --- "C:\Documents and Settings\Anne\Application Data\Microsoft\Word\~WRL2879.tmp"

Sun 4 Feb 2007 262,144 A..H. --- "C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.bak_jv16pt"

Sun 4 Feb 2007 262,144 A..H. --- "C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.bak_jv16pt"

Fri 4 Apr 2008 262,144 A..H. --- "C:\Documents and Settings\Anne\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.bak_jv16pt"

Wed 12 Mar 2008 7,318 A..H. --- "C:\Documents and Settings\Anne\Application Data\Microsoft\Office\Shortcut Bar\Off46.tmp"

 

Finished!

 

et le rapport HJ:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:33:20, on 25/05/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\keyhook.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\WLTRAY.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\WINDOW~3\MESSEN~1\msnmsgr.exe

C:\WINDOWS\system32\sistray.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wanadoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\WINDOW~3\MESSEN~1\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?91bb5a865fe846ecac54c8549e222c2e

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?91bb5a865fe846ecac54c8549e222c2e

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1150063111484

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

 

--

End of file - 9414 bytes

 

 

A+

oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Re!

 

Prend soin de ne pas citer à chaque fois mon message précédent quand tu réponds, cela alourdit la lecture des posts: en bas du message, au moment de répondre, clique sur le second bouton "Répondre", pas sur le premier:

 

aaaaaaaaayd8.png

 

 

 

flechedroitets2.png INSTALLER UN HOSTS AVEC HPHOSTS

 

  • Télécharger le logiciel hpHosts en cliquant sur cette image:
     
    645spc3.png
  • Installer-le en cliquant successivement sur "next" puis "install"
  • Avant la fin de l'installation une fenêtre apparaît: cocher "Disable Windows DNS Client (recommended)"
  • Redémarrer

 

 

flechedroitets2.pngOTMOVEIT

 

  • Télécharge OTMoveIt sur ton bureau
  • Double clique sur OTMoveIt.exe
  • Sélectionne et copie la ligne ci-dessous
     
    C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT7.tmp
  • Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller".
  • Clic sur le bouton rouge MoveIt
  • Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clique sur "Yes"
  • Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles)

 

 

efafa0cd58fcc0b559a37b26a37b.jpegTOOLBARS ! efafa0cd58fcc0b559a37b26a37b.jpeg

 

Nous déconseillons, sur nos forums de sécurité, l'utilisation de toolbars: en général elles n'aident en rien et ont des visées essentiellement publicitaires:voir ces liens:

 

 

 

Tiens, voilà les conditions d'utilisation de la toolbar Google:

 

 

Utilisation de Google (extrait des conditions d'utilisation):

 

"Informations personnelles et autres données collectées

 

* Google recueille des informations personnelles lorsque vous vous inscrivez à un service Google ou lorsque vous fournissez ces informations de votre propre initiative. Elles peuvent en outre être combinées avec les informations issues d'autres services Google ou de tiers, dans le but d'en rendre l'utilisation plus agréable et, le cas échéant, de proposer des contenus personnalisés.

* Google utilise des cookies et d'autres technologies afin de faciliter votre utilisation des services Google, afin d'étudier l'usage qui en est fait et plus généralement afin d'améliorer nos prestations.

* A chaque fois que vous consultez notre site Internet ou faites appel à nos services, les serveurs de Google enregistrent automatiquement des informations telles que l'URL, l'adresse IP, le type et la langue du navigateur, ainsi que la date et l'heure de la connexion.

* Pour plus d'informations, veuillez vous reporter à la version complète de la Charte de confidentialité de Google. "

Source: http://www.google.be/intl/fr/privacy.html

 

"La barre d'outils Google a été conçue pour être utilisée en combinaison avec les services de recherche Google. En conséquence, l'utilisation que vous faites de la barre d'outils Google est également définie par les Conditions d'utilisation et par les Règles de confidentialité énoncées par Google."

Source: http://tools.google.com/firefox/toolbar/FT...fr/install.html

 

 

Sous le langage policé ("améliorations de nos prestations, recueil des infos personnelles pour proposer un contenu personnalisé", etc...), il faut en fait comprendre que Google récupère des infos sur ton profil commercial pour mieux te cibler publicitairement...

 

Par ailleurs elles pourrissent les navigateurs en se greffant dessus...Procède comme suit:

 

 

flechedroitets2.pngDESINSTALLATION de BASE

  • Ouvre Firefox
  • Choisir Outils, puis Modules complémentaires
  • Chercher le module Google Toolbar et cliquer sur Désinstaller
  • Même chose pour la Yahoo! Toolbar et éventuellement, si elle apparaît, la Windows Live Toolbar
  • Redémarrer Firefox

  • Ouvre Internet Explorer
  • Choisir Outils.
  • Cliquer sur Gérer les modules complémentaires
  • Chercher le module Google Toolbar ou équivalent et désactive-le
  • Même chose pour la Yahoo! Toolbar et éventuellement, si elle apparaît, la toolbar Windows Live
  • Redémarrer Internet Explorer
  • Désinstaller la toolbar Google avec le module "ajouter/supprimer des programmes" du Panneau de Configuration
  • Même chose pour la Yahoo! Toolbar et la toolbar Windows Live si elle apparaît.

 

 

 

flechedroitets2.pngHIJACKTHIS

 

Poste un nouveau rapport s'il te plaît!

 

 

flechedroitets2.pngRAPPORT ANTIVIR

 

Paramètre Antivir à partir de ce tuto de Falkra

 

Puis paramètre le scan comme suit:

 

Paramètres conseillés

Clic droit sur le parapluie->Configure

Cliquer Expert mode->Scan:

Cocher: All files

Additionnal Settings:tout cocher

Clic sur scan +

Action for concerning files:Cocher

copie file to quarantine before action

Primary action...................: repair => au cas ou ce serait un fichier système corrompu

Secondary action.................: delete => s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine

 

Puis

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.
  • Connecte éventuellement tes clés USB et disques externes.
  • Puis lance un scan Antivir et supprime tout ce qu'il te trouve.
  • Poste le rapport qu'Antivir va générer

 

 

 

 

flechedroitets2.pngEWIDO

Télécharge systemsr4.pngEwido Micro-Scanner sur ton bureau en cliquant sur cette image:

 

picture.png

 

  • Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
  • Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
  • Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
  • Connecte éventuellement tes clés USB et disques externes.
  • Clique sur Start Scan et laisse l'outil travailler.
  • Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau.
  • Poste le dans ta prochaine réponse.

  • Nb, ne clique pas tout de suite sur Remove infections; nous devons nous assurer que toutes les détections soient infectieuses car certains utilitaires légitimes pourraient apparaître dans le rapport.

 

 

flechedroitets2.pngMALWAREBYTES ANTIMALWARE (MBAM)

 

Télécharge systemsr4.pngMalwarebytes Antimalware en cliquant sur cette image:

 

138421069520080425195345.jpg

 

  • Installe-le puis lance-le
  • Connecte éventuellement tes clés USB et disques externes.
  • Dans l'onglet "mise à jour", cliquer sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rend-toi dans l'onglet "Recherche"
  • Sélectionne "Exécuter une analyse approfondie"
  • Clique sur "Rechercher"
  • Le scan se lance
  • A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
  • Ferme tes navigateurs
  • Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le

 

 

 

Nota: pourquoi es-tu à nouveau infectée, quelques semaines après que Thanos t'ai pris en charge? Sois un peu prudente avec ton PC !!! Les infections ne tombent pas du ciel, elles sont la conséquence de mauvaises pratiques de l'utilisateur: peer-to-peer, utilisation de cracks, visites de sites pornos infectés, clics sans réflexion sur des liens via MSN, installation de logiciels piégés,...

Modifié par oGu
galahad97 Power Member

galahad97

Posté(e)
  • Auteur
Posté(e)

rapport de otmove

 

C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT7.tmp moved successfully.

 

OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05252008_120047

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...