Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PC infecté : émission de SPAM sur le port 25

casse-pipe

Par casse-pipe
dans Analyses et éradication malwares

 Partager

Messages recommandés

casse-pipe Junior Member

casse-pipe

Posté(e)
Posté(e)

Bonjour,

 

La cellule ABUSE de l'opérateur ORANGE m'a signalé du SPAM depuis mon adresse IP fixe.

En cherchant parmi les différents PC du réseau (petite entreprise, un dizaine de PC), j'ai trouvé celui qui générait du SPAM.

Ce PC émet environ un mail sur le port 25 toute les 2 secondes, c'est à dire plus de 15.000 mails par jour. Gloups !

Ce PC est normalement protégé par NORTON ANTIVIRUS - à jour. Depuis, j'ai essayé KASPERSKY (en ligne) et Trend-micro-Housecall (en ligne),

plus Malwarebytes et Spybot, ... Tous ces logiciels me signalent une machine saine. Pourtant, le SPAM continu sur le port 25 ?

 

Bien sûr, je peux reformater ce PC et réinstaller XP. Mais bon, c'est brutal et fastidieux ... Et j'aimerais bien trouver le coupable :P

 

Quelqu'un peut-il m'aider ? Une piste ?

 

Merci d'avance

 

PS : PC sous XP Pro SP3 - IE 7 - Norton Antivirus.

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Téléchargez Hijackthis de TrendMicro.

* Décompressez le dans un dossier à la racine du disque dur

Mais jamais dans un dossier temporaire

renommer ce dossier par exemple Karcher

Sous Vista,,il faut faire clic-droit >> "Exécuter en tant qu'Administrateur" sur Hijackthis.exe sinon HJT tourne mais ne fixe rien.

* Lancer le fichier Hijackthis.exe

* Cliquer sur Do a system scan and save a log file

* Poster le rapport dans un nouveau message

 

Télécharger SmitfraudFix sur le bureau

Dézipper la totalité de l'archive smitfraudfix.zip

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

 

option 1 - Recherche :

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

option 2 -Nettoyage :

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou tuto Symantec).

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport sur le forum.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention que l'option 2 de l'outil supprime le fond d'écran !

Poster le rapport

 

Utilisation ----- option 3 - effacement de la liste des sites de confiance et sensibles :

Double cliquer sur smitfraudfix.cmd

Sélectionner 3 pour effacer, éventuellement, la liste des sites de confiance et sensibles (lignes HijackThis O15).

 

Lancez l'option 5

Modifié par pear
Berfizan Godlike Member

Berfizan

Posté(e)
Posté(e) (modifié)
Bonjour,

 

La cellule ABUSE de l'opérateur ORANGE m'a signalé du SPAM depuis mon adresse IP fixe.

En cherchant parmi les différents PC du réseau (petite entreprise, un dizaine de PC), j'ai trouvé celui qui générait du SPAM.

Ce PC émet environ un mail sur le port 25 toute les 2 secondes, c'est à dire plus de 15.000 mails par jour. Gloups !

Ce PC est normalement protégé par NORTON ANTIVIRUS - à jour. Depuis, j'ai essayé KASPERSKY (en ligne) et Trend-micro-Housecall (en ligne),

plus Malwarebytes et Spybot, ... Tous ces logiciels me signalent une machine saine. Pourtant, le SPAM continu sur le port 25 ?

 

Bien sûr, je peux reformater ce PC et réinstaller XP. Mais bon, c'est brutal et fastidieux ... Et j'aimerais bien trouver le coupable :P

 

Quelqu'un peut-il m'aider ? Une piste ?

 

Merci d'avance

 

PS : PC sous XP Pro SP3 - IE 7 - Norton Antivirus.

 

Bonjour

 

Après avoir désinfecté, une bonne alternative est d'utliser le serveur SMTP sécurisé d'Orange avec authentification, smtp-msa.orange.fr sur le port 587

 

Cela te permettra entre autres de bloquer le port 25.

 

Le tuto d'Orange

Modifié par Berfizan
casse-pipe Junior Member

casse-pipe

Posté(e)
  • Auteur
Posté(e)

Merci pour vos réponse.

 

Voici d'abord le rapport de Hijackthis - un peu indigeste pour moi :P

 

<<<<<<<<<<<<<<Debut Hijackthis <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:28:54, on 27/10/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Netasq\NetASQ Shield\ASQ daemon.exe

C:\Program Files\Netasq\NetASQ Shield\ASQ Sync.exe

C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\Program Files\Netasq\NetASQ Shield\NetASQShieldUI.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Karcher\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: InternetAnonymizer - {7873A33B-E2A1-4a0b-A418-B6378908ABAD} - C:\Program Files\InternetAnonymizer\GIAToolBar.dll (file missing)

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [setRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [GIAReg] regsvr32 /s "C:\Program Files\InternetAnonymizer\GIAToolBar.dll"

O4 - HKLM\..\Run: [giw] "C:\PROGRA~1\FICHIE~1\INTERN~1\giw.exe" -start

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

O4 - HKCU\..\Run: [spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"

O4 - HKCU\..\Run: [NetasqASQShield_ui] C:/Program Files/Netasq/NetASQ Shield/NetASQShieldUI.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/as...abs/tgctlsr.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O20 - Winlogon Notify: dexddxi - dexddxi.dll (file missing)

O21 - SSODL: xFJtiQUdGKMvuR - {1C317E3C-B69B-D496-96BE-053857AEC1F0} - (no file)

O23 - Service: ASQ daemon - Netasq - C:\Program Files\Netasq\NetASQ Shield\ASQ daemon.exe

O23 - Service: ASQ Sync - Netasq - C:\Program Files\Netasq\NetASQ Shield\ASQ Sync.exe

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

 

--

End of file - 6223 bytes

 

>>>>>>>>>>>>>>fin Hijackthis >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

 

 

Ensuite, le rapport de smitfraudfix (option 2 : j'ai executé smitfraudfix en mode sans echec. Et c'est toujours aussi indigeste ...

 

 

>>>>>>>>>>>>>>Debut smitfraudfix >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

SmitFraudFix v2.367

 

Rapport fait à 16:45:43,75, 27/10/2008

Executé à partir de C:\Documents and Settings\E.Faurite\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

 

S!Ri's WS2Fix: LSP not Found.

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\Program Files\AVM\ supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3CD116E4-21EF-4C04-BF8A-D8B1A001BD62}: DhcpNameServer=192.168.11.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{3CD116E4-21EF-4C04-BF8A-D8B1A001BD62}: DhcpNameServer=192.168.11.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.11.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.11.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

>>>>>>>>>>>>>>fin smitfraudfix >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

 

Et enfin, mauvaise nouvelle : après l'execution de smitfraudfix (option 2 - Nettoyage), ma machine continue à spammer allègrement.

 

D'autres suggestions ?

 

Merci d'avance pour votre aide

angelique Devil Member !

angelique

Posté(e)
Posté(e)

'soir

 

l'absence de O2 et la presence "absents" de:

O20 - Winlogon Notify: dexddxi - dexddxi.dll (file missing)

O21 - SSODL: xFJtiQUdGKMvuR - {1C317E3C-B69B-D496-96BE-053857AEC1F0} - (no file)

 

doit vous mettre la puce à l'oreille avec une infection de Type Vundo+sdBot :P , pear ..au boulot ^^(SDFix en MSE +CF)

casse-pipe Junior Member

casse-pipe

Posté(e)
  • Auteur
Posté(e)

Bonjour pear,

 

Merci de t'intéresser à mon problème.

 

Berfizan me propose un contournement du problème : envoyer mes mails sur le serveur smtp-msa.orange.fr / port 587 avec authentification, puis fermer le port 25 (ou le faire fermer par mon FAI). Je dois évidemment faire cette manip sur tout les PC du réseau.

 

Je le ferai, bien sûr, mais ça n'enlève pas le virus sur mon PC, qui continuera à tester des émissions sur le port 25. Et ça, ce n'est pas très satisfaisant de savoir qu'un PC reste infecté.

 

Je préfère supprimer ce virus - si c'est possible. Existe t-il des virus impossible à supprimer, et qui nécessite forcément un formattage du disque dur ?

 

Merci d'avance,

angelique Devil Member !

angelique

Posté(e)
Posté(e)

pear a bougé apparemment , donc pour faire avançer ton soucis:

 

1• Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

 

 

ne le lance pas maintenant!

 

2• Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

ou la:

http://sdfix.net/SDFix.exe

 

Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix.

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

 

 

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.

*si le fix se referme immediatement , ne fonctionne pas , copie colle la ligne ci dessous dans executer et relance RunThis.bat

 

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

 

* Appuie sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!)

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire)

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

 

3• * Double-clique combofix.exe, accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

casse-pipe Junior Member

casse-pipe

Posté(e)
  • Auteur
Posté(e)

Merci Angélique de prendre le relais de pear.

 

Voici le rapport de SDFIX :

 

 

<<<<<<<<<<<<<<<<<<<<<<Debut SDFIX <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

SDFix: Version 1.238

Run by R.Jean on 27/10/2008 at 19:06

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

 

Checking Files :

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-27 19:10:39

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\WINDOWS\\Temp\\.tt21.tmp"="C:\\WINDOWS\\Temp\\.tt21.tmp:*:Enabled:enable"

"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:rundll32"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

 

Remaining Files :

 

 

 

Files with Hidden Attributes :

 

Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\SDHelper (Spybot - Search & Destroy)\SDHelper.dll"

Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"

Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\TeaTimer (Spybot - Search & Destroy)\TeaTimer.exe"

Wed 8 Aug 2007 400 A..H. --- "C:\Program Files\Fichiers communs\Symantec Shared\COH\COH32LU.reg"

Wed 8 Aug 2007 403 A..H. --- "C:\Program Files\Fichiers communs\Symantec Shared\COH\COHDLU.reg"

 

Finished!

 

>>>>>>>>>>>>>>>>>>>>> Fin SDFIX >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

 

 

Et voici celui de Combofix

 

 

<<<<<<<<<<<<<<<<<<<<<< Debut COMBOFIX <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

ComboFix 08-10-27.01 - R.Jean 2008-10-27 19:25:10.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.270 [GMT 1:00]

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\AntiMalwareGuard

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\AntiMalwareGuard\AntiMalwareGuard.lnk

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\AntiMalwareGuard\Uninstall AntiMalwareGuard.lnk

C:\WINDOWS\system32\config\systemprofile\Application Data\rhcg4wj0e34e

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_ICF

-------\Legacy_RESTORE

-------\Legacy_SYMAVC32

-------\Legacy_SYSREST.SYS

-------\Legacy_TCPSR

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-27 au 2008-10-27 ))))))))))))))))))))))))))))))))))))

.

 

2008-10-27 19:05 . 2008-10-27 19:05 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll

2008-10-27 19:03 . 2008-10-27 19:11 <REP> d-------- C:\SDFix

2008-10-27 16:39 . 2008-10-27 16:45 2,144 --a------ C:\WINDOWS\system32\tmp.reg

2008-10-27 16:27 . 2008-10-27 16:28 <REP> d-------- C:\Karcher

2008-10-27 14:25 . 2008-10-27 14:25 <REP> d-------- C:\Program Files\TeaTimer (Spybot - Search & Destroy)

2008-10-27 14:25 . 2008-10-27 14:25 <REP> d-------- C:\Program Files\SDHelper (Spybot - Search & Destroy)

2008-10-27 14:19 . 2008-06-14 18:33 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys

2008-10-27 14:18 . 2008-04-11 20:05 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll

2008-10-27 14:18 . 2008-05-08 15:02 203,136 --------- C:\WINDOWS\system32\dllcache\rmcast.sys

2008-10-27 14:05 . 2008-10-27 14:05 <REP> d-------- C:\WINDOWS\system32\fr

2008-10-27 14:05 . 2008-10-27 14:05 <REP> d-------- C:\WINDOWS\system32\bits

2008-10-27 14:05 . 2008-10-27 14:05 <REP> d-------- C:\WINDOWS\l2schemas

2008-10-27 14:03 . 2008-10-27 14:05 <REP> d-------- C:\WINDOWS\ServicePackFiles

2008-10-27 14:00 . 2008-10-27 14:08 2,711 --a------ C:\WINDOWS\imsins.BAK

2008-10-27 11:17 . 2004-08-03 22:29 1,897,408 --------- C:\WINDOWS\system32\drivers\nv4_mini.sys

2008-10-27 11:17 . 2004-08-03 22:41 1,309,184 --------- C:\WINDOWS\system32\drivers\mtlstrm.sys

2008-10-27 11:17 . 2004-08-03 22:29 452,736 --------- C:\WINDOWS\system32\drivers\mtxparhm.sys

2008-10-27 11:17 . 2004-08-03 22:41 404,990 --------- C:\WINDOWS\system32\drivers\slntamr.sys

2008-10-27 11:17 . 2004-08-03 22:41 180,360 --------- C:\WINDOWS\system32\drivers\ntmtlfax.sys

2008-10-27 11:17 . 2004-08-03 22:29 166,912 --------- C:\WINDOWS\system32\drivers\s3gnbm.sys

2008-10-27 11:17 . 2004-08-03 22:41 129,535 --------- C:\WINDOWS\system32\drivers\slnt7554.sys

2008-10-27 11:17 . 2004-08-03 22:41 126,686 --------- C:\WINDOWS\system32\drivers\mtlmnt5.sys

2008-10-27 11:17 . 2004-08-03 22:41 95,424 --------- C:\WINDOWS\system32\drivers\slnthal.sys

2008-10-27 11:17 . 2004-07-17 11:35 67,866 --------- C:\WINDOWS\system32\drivers\netwlan5.img

2008-10-27 11:17 . 2004-08-03 22:41 13,776 --------- C:\WINDOWS\system32\drivers\recagent.sys

2008-10-27 11:17 . 2004-08-03 22:41 13,240 --------- C:\WINDOWS\system32\drivers\slwdmsup.sys

2008-10-27 11:16 . 2004-08-03 22:41 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys

2008-10-27 11:16 . 2004-08-03 22:41 685,056 --------- C:\WINDOWS\system32\drivers\hsfcxts2.sys

2008-10-27 11:16 . 2004-08-03 22:41 220,032 --------- C:\WINDOWS\system32\drivers\hsfbs2s2.sys

2008-10-27 11:16 . 2004-08-03 22:41 11,868 --------- C:\WINDOWS\system32\drivers\mdmxsdk.sys

2008-10-27 11:15 . 2004-07-17 22:55 129,045 --------- C:\WINDOWS\system32\drivers\cxthsfs2.cty

2008-10-27 11:00 . 2008-10-27 12:41 <REP> d-------- C:\WINDOWS\BDOSCAN8

2008-10-27 10:45 . 2008-09-08 11:41 333,824 --------- C:\WINDOWS\system32\dllcache\srv.sys

2008-10-27 10:45 . 2008-08-14 11:04 138,496 --------- C:\WINDOWS\system32\dllcache\afd.sys

2008-10-27 10:44 . 2008-08-14 14:23 2,191,232 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2008-10-27 10:44 . 2008-08-14 14:23 2,147,328 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe

2008-10-27 10:44 . 2008-08-14 14:23 2,068,096 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2008-10-27 10:44 . 2008-08-14 14:23 2,025,984 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe

2008-10-27 10:44 . 2008-09-15 16:26 1,846,528 --------- C:\WINDOWS\system32\dllcache\win32k.sys

2008-10-27 10:44 . 2008-10-15 17:35 337,408 --------- C:\WINDOWS\system32\dllcache\netapi32.dll

2008-10-15 17:17 . 2008-10-15 17:17 <REP> d-------- C:\WINDOWS\ERUNT

2008-10-15 16:41 . 2008-10-15 16:41 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-10-15 16:41 . 2008-09-09 23:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-15 16:41 . 2008-09-09 23:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-10-15 15:58 . 2008-10-15 15:58 <REP> d-------- C:\Program Files\Netasq

2008-10-15 15:58 . 2008-10-15 15:58 <REP> d-------- C:\Program Files\Fichiers communs\Deterministic Networks

2008-10-15 15:58 . 2008-10-15 15:58 737,280 --a------ C:\WINDOWS\iun6002.exe

2008-10-15 15:58 . 2005-09-29 13:04 110,080 --a------ C:\WINDOWS\system32\drivers\dne2000.sys

2008-10-15 15:58 . 2005-09-29 13:04 94,720 --a------ C:\WINDOWS\system32\dneinobj.dll

2008-10-08 12:07 . 2008-10-08 12:56 <REP> d-------- C:\Documents and Settings\R.Jean\.housecall6.6

2008-10-08 11:21 . 2008-10-08 11:21 <REP> d-------- C:\Documents and Settings\R.Jean\Application Data\Malwarebytes

2008-10-08 11:21 . 2008-10-08 11:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-10-08 10:20 . 2008-10-08 10:20 29 --a------ C:\WINDOWS\system32\qqrtaapg.tmp

2008-10-07 07:53 . 2008-10-07 11:22 7 --a------ C:\WINDOWS\system32\ngxt.bin

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-27 15:17 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-10-27 15:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-10-27 13:19 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2008-10-27 12:03 --------- d-----w C:\Program Files\Norton AntiVirus

2008-10-27 11:41 --------- d-----w C:\Program Files\InternetAnonymizer

2008-10-10 13:55 --------- d-----w C:\Documents and Settings\R.Jean\Application Data\AdobeUM

2008-10-09 17:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec

2008-10-08 12:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\System Doctor

2008-10-08 10:30 --------- d-----w C:\Program Files\Fichiers communs\InternetAnonymizer

2008-10-08 07:20 6,811 ----a-w C:\Documents and Settings\R.Jean\base.dat

2008-10-06 05:13 131,904 ----a-w C:\WINDOWS\system32\drivers\ethlaysx.sys

2008-10-03 17:12 6,066,176 ------w C:\WINDOWS\system32\dllcache\ieframe.dll

2008-09-17 15:39 --------- d-----w C:\Documents and Settings\R.Jean\Application Data\Locus

2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys

2008-09-11 06:34 32,256 ----a-w C:\WINDOWS\system32\drivers\Vjo72.sys

2008-09-10 06:58 --------- d-----w C:\Documents and Settings\R.Jean\Application Data\Logs

2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys

2008-09-05 22:30 952,360 ------w C:\WINDOWS\system32\dllcache\WgaTray.exe

2008-09-05 22:30 267,304 ------w C:\WINDOWS\system32\dllcache\wgaLogon.dll

2008-09-02 08:58 --------- d-----w C:\Documents and Settings\R.Jean\Application Data\InternetAnonymizer

2008-09-02 08:57 --------- d-----w C:\Documents and Settings\All Users\Application Data\InternetAnonymizer

2008-08-28 13:19 --------- d-----w C:\Program Files\Fichiers communs\Java

2008-08-28 13:17 --------- d-----w C:\Documents and Settings\R.Jean\Application Data\TmpRecentIcons

2008-08-27 09:11 3,593,216 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll

2008-08-25 08:39 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe

2008-08-25 08:38 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe

2008-08-23 05:56 635,848 ------w C:\WINDOWS\system32\dllcache\iexplore.exe

2008-08-23 05:54 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll

2008-08-14 13:23 2,147,328 ----a-w C:\WINDOWS\system32\ntoskrnl.exe

2008-08-14 13:23 2,025,984 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe

2008-08-14 05:44 17,917 ----a-w C:\Program Files\Fichiers communs\sajyxy.pif

.

 

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

"Gadwin PrintScreen 2.6"="C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe" [2003-07-16 913408]

"Spamihilator"="C:\Program Files\Spamihilator\spamihilator.exe" [N/A]

"NetasqASQShield_ui"="C:/Program Files/Netasq/NetASQ Shield/NetASQShieldUI.exe" [2006-03-03 Shield\NetASQShieldUI.exe]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-09-30 155648]

"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-09-30 126976]

"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2003-07-30 143360]

"SetRefresh"="C:\Program Files\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]

"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-01-31 51048]

"osCheck"="C:\Program Files\Norton AntiVirus\osCheck.exe" [2007-08-24 714608]

"GIAReg"="C:\Program Files\InternetAnonymizer\GIAToolBar.dll" [N/A]

"giw"="C:\PROGRA~1\FICHIE~1\INTERN~1\giw.exe" [N/A]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoLogOff"= 0 (0x0)

"NoCommonGroups"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"SENTINEL"= snti386.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Uxu22.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Vjo72.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

R1 ASQ;ASQ engine;C:\PROGRA~1\Netasq\NETASQ~1\ASQ.sys [2006-03-01 468876]

R2 ASQ daemon;ASQ daemon;C:\Program Files\Netasq\NetASQ Shield\ASQ daemon.exe [2006-03-03 393216]

R2 ASQ Sync;ASQ Sync;C:\Program Files\Netasq\NetASQ Shield\ASQ Sync.exe [2006-03-03 524288]

R2 LiveUpdate Notice;LiveUpdate Notice;C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe [2008-01-31 149864]

S0 Uxu22;Uxu22;C:\WINDOWS\system32\Drivers\Uxu22.sys [ ]

S0 Vjo72;Vjo72;C:\WINDOWS\system32\Drivers\Vjo72.sys [2008-09-11 32256]

S1 ethlaysx;ethlaysx;C:\WINDOWS\system32\drivers\ethlaysx.sys [2008-10-06 131904]

S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-07-30 23888]

S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

.

Contenu du dossier 'Tâches planifiées'

 

2008-07-01 C:\WINDOWS\Tasks\Norton AntiVirus - Effectuer une analyse complète du système - R.Jean.job

- C:\Program Files\Norton AntiVirus\Navw32.exe [2007-08-26 18:19]

 

2008-10-27 C:\WINDOWS\Tasks\Symantec NetDetect.job

- C:\Program Files\Symantec\LiveUpdate\NDetect.exe []

.

- - - - ORPHELINS SUPPRIMES - - - -

 

SSODL-xFJtiQUdGKMvuR-{1C317E3C-B69B-D496-96BE-053857AEC1F0} - (no file)

Notify-dexddxi - dexddxi.dll

SafeBoot-Winwr81.sys

 

 

.

------- Examen supplémentaire -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/

 

O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

C:\WINDOWS\Downloaded Program Files\oscan8.inf

C:\WINDOWS\Downloaded Program Files\oscan81.ocx_x

C:\WINDOWS\bdoscandellang.ini

C:\WINDOWS\bdoscandel.exe

C:\WINDOWS\Downloaded Program Files\live.ini

C:\WINDOWS\Downloaded Program Files\scanoptions.tsi

C:\WINDOWS\Downloaded Program Files\lang.ini

C:\WINDOWS\Downloaded Program Files\ipsupd.dll

C:\WINDOWS\Downloaded Program Files\bdupd.dll

C:\WINDOWS\Downloaded Program Files\libfn.dll

C:\WINDOWS\Downloaded Program Files\bdcore.dll

C:\WINDOWS\Downloaded Program Files\oscan8.ocx

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-27 19:27:58

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

.

**************************************************************************

.

Heure de fin: 2008-10-27 19:29:22 - La machine a redémarré [R.Jean]

ComboFix-quarantined-files.txt 2008-10-27 18:29:17

 

Avant-CF: 71,645,736,960 octets libres

Après-CF: 71,613,100,032 octets libres

 

215 --- E O F --- 2008-10-27 13:20:35

 

>>>>>>>>>>>>>>>>>>>>> Fin COMBOFIX >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

 

Pour information, COMBOFIX a détecté une "activité de rootkit" et a fait un reboot du PC.

 

Mais, malheureusement, au final, mon PC continue à générer du SPAM ....

Il est vigoureux, ce virus !!

casse-pipe Junior Member

casse-pipe

Posté(e)
  • Auteur
Posté(e)

J'ai du nouveau sur mon problème de virus. Avec cette nouvelle piste, peut-être que vous pourrez m'aider plus efficacement.

 

En regardant les logs de mon firewall (netASK), je constate des connexions HTTP régulières sur un site "jiongol.com" avec un argument "bn/comgate.xhtml?name=78". En cherchant "comgate.xhtml?name=78" avec google (et en consultant un site chinois, si si !), je pense que je pourrais être infecté par un virus nommé "SpamTool.Win32.Agent.u"

 

Est-ce possible ? et si oui, comment s'en débarasser ?

 

Merci encore pour votre aide,

 

A+

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...