infection messagerie?

[Apollo]

Re, re,

 

Vérifie afin de voir si un ad-on ou une extension ne serait pas à l'origine du souci Firefox.

http://www.pcastuces.com/pratique/astuces/1716.htm

 

Si le navigateur fonctionne dans ce mode, il faudra que tu testes les extensions une à une en la désactivant pour redémarrer le navigateur normalement; tu vires alors celle qui merdouille..

 

@+tard.

[max31]

Bonjour,

 

Voici le rapport hijackThis

 

Pour firefox j'ai téléchargé la nouvelle version...rien à faire...et le mode sans échec n'a rien donné non plus...

 

Bon...une chose à la fois ... dis moi ce que tu en penses pour cette infection merci de ton aide

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:04:49, on 19/03/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Documents and Settings\Chien Blanc\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

C:\WINDOWS\system32\CAPRPCSK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Chien Blanc\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Chien Blanc\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Chien Blanc\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sfr.fr/kit/adsl/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Chien Blanc\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Fenêtre d'état Canon LBP-810.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 6066 bytes

[max31]

Re,

 

Je viens de comprendre pour firefox, c'est tout bête mais j'avais pas vu... c'est zone alarm qui d'un coup n'a pas autorisé l'accés .J'ai juste décoché dans la liste des autorisations...

 

A plus

[Apollo]

Bonjour,

 

désolé pour le retard.

 

Ce sujet m'intrigue; on va essayer d'en voir un peu plus par un scan en ligne.

 

Vérifie d'abord si tu as bien la dernière version de la console Java auparavant:

Vérifier maintenant

 

Après installation de la 6 Update 12, virer les versions obsolètes:

 

crée un nouveau dossier sur le bureau ou dans "mes documents"; nomme-le JavaRa.

 

Enregistre ce fichier compressé (zip) dans le dossier nouvellement créé : http://raproducts.org/click/click.php?id=1

 

Patiente le temps de téléchargement.

 

Clic droit/extraire ici.

 

Double clique sur l'icône "soleil" et n'utilise que le bouton "Remove Older Versions".

--> Pour Vista: clic droit/exécuter en temps qu'administrateur <--

 

Ca va virer les versions obsolètes et libérer de l'espace disque.

 

*******************

 

Fais un scan en ligne avec Kaspersky.

 

TUTO: http://www.vista-xp.fr/forum/topic109.html

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

@+

Modifié le 20 mars 2009 par Apollo

[max31]

bonjour apollo,

 

J'ai bien téléchargé la nouvelle version de java (6 update12), mais j'ai pas pu virer les anciennes , le lien ne marche pas...

 

Par contre voici le rapport Kapersky. Merci de ton aide

 

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Saturday, March 21, 2009

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Saturday, March 21, 2009 14:27:03

Records in database: 1945366

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - My Computer:

A:\

C:\

D:\

E:\

 

Scan statistics:

Files scanned: 38025

Threat name: 2

Infected objects: 1

Suspicious objects: 1

Duration of the scan: 00:22:18

 

 

File name / Threat name / Threats count

D:\Thunderbird\Profiles\ga5zywbq.default\Mail\Local Folders\Inbox Infected: Trojan-Downloader.HTML.Agent.cx 1

D:\Thunderbird\Profiles\ga5zywbq.default\Mail\Local Folders\Inbox Suspicious: Trojan-Spy.HTML.Fraud.gen 1

 

The selected area was scanned.

[Apollo]

Bonjour,

 

Je t'ai hébergé JavaRa ici: http://senduit.com/be11af

 

La faille Java de Thunderbird a été exploitée. Si tu n'as pas de messages importants à garder, vide ta boîte de réception et la corbeille.

http://www.secuser.com/vulnerabilite/2009/...thunderbird.htm

 

Mets Thunderbird à jour vers la 2.0.0.21 via les mises à jour du programme de messagerie.

 

On va faire un scan en ligne pour essayer de nettoyer cette m****.

Choisis la 1ère option (nettoyer/supprimer) quand Eset donnera deux choix juste avant le scan.

 

 

http://www.eset.com/onlinescan/

 

A faire avec Explorer uniquement; pour cela, ,règle les options internet/sécurité sur les paramètres par défaut.

 

Je suis quand-même étonné de voir qu'Antivir ne traite pas ce genre d'infection...

 

@++

[max31]

bonjour,

 

Ok pour java.

 

Pour thunderbird, la mise à jour est faite.

 

Seul petit hic, je suis un peu embêté de vider le courrier entrant vu que c'est un pc de boulot et que la plupart des mails sont importants. Dis moi si c'est indispensable (j'imagine que oui mais s'il existe une autre solution pour pas perdre les mails...)

 

Suite à ta réponse je lance le scan que tu m'as demandé

 

A +

[Apollo]

re,

 

Il y a toujours moyen de faire le ménage mais installer un truc très lourd pour nettoyer uniquement des répertoires de messagerie, ce serait un peu bête; on va bien voir ce qu'ESET est capable de faire là-dessus.

 

J'aurais dû te faire installer une version d'essai de Kaspersky avant d'installer Antivir, mais je pensais qu'il en viendra

 

re,

 

Il y a toujours moyen de faire le ménage mais installer un truc très lourd pour nettoyer uniquement des répertoires de messagerie, ce serait un peu bête; on va bien voir ce qu'ESET est capable de faire là-dessus.

 

++

[angelique]

'soir

Apollo

 

 

j'me permet mais il a compacté Inbox ?? :: http://forum.zebulon.fr/doublon-messagerie...45#entry1358745

 

http://imagesup.org/images/1237658400-plop.jpg

[max31]

bonsoir Angélique,

 

Je n'ai pas compacté inbox , comme c'est un pc de boulot je voudrais pas faire de conneries... Compacter ça a quoi comme conséquences pour les mails, sont ils toujours consultables?

 

Merci