Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PC INFECTE, mails bizarres de mon FAI, ralentissement

rolmic

Par rolmic
dans Analyses et éradication malwares

 Partager

Messages recommandés

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut rolmic ;)

 

Mes excuses pour l'attente! ta réponse ne m'a pas été notifiée!

 

Spysweeper : jamais installé à ma connaissance

Effectivement il n'apparait pas dans la liste des programmes installés. On va donc faire un petit nettoyage.

 

 

- Rend toi sur cette page afin de télécharger le fichier bootex.reg => Download bootex.reg from Sendspace.com - send big files the easy way

Clique sur le lien à droite de pointright.gifDownload Link et télécharge le fichier sur ton Bureau.

 

Double-clique sur le fichier: au message qui s'affiche, clique sur OK pour faire fusionner le fichier avec le registre.

Elimine le fichier une fois l'opération effectuée.

 

- Le fichier pointé par cette clé n'existe peut être plus, mais j'aimerai m'en assurer et le faire scanner puisque tu me dis que tu n'as jamais installé Spysweeper:

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> D:\WINDOWS\System32\SsiEfr.exe

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Notes:

-il arrive parfois que le fichier ait déjà été analysé. Si c'est le cas, clique sur le bouton Reanalyse file now

-le service semble saturé à l'heure à laquelle je poste! sinon tu peux faire la même chose sur ce site => Le scanner antivirus de Jotti

 

Déblayage : ok, je veux bien, car c'est vraiment long, le démarrage et j'ai presque l'impression que ça s'est allongé petit à petit.

Démarre Hijackthis, clique sur "Do a system scan only", et coche les lignes suivantes :

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

 

O4 - HKLM\..\Run: [uSBToolTip] D:\PROGRA~1\Pinnacle\SHARED~1\Programs\USBTip\USBTip.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [OpwareSE2] "D:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

 

O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"

 

O4 - HKLM\..\Run: [ProfilerU] D:\Program Files\Saitek\SD6\Software\ProfilerU.exe

O4 - HKLM\..\Run: [saiMfd] D:\Program Files\Saitek\SD6\Software\SaiMfd.exe

>> si tu joues à un jeu de simulation de vol Saitek, ne coche pas les 2 lignes ci-dessus!

 

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - S-1-5-18 Startup: Notification de cadeaux MSN.lnk = D:\Documents and Settings\Rolland\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: Notification de cadeaux MSN.lnk = D:\Documents and Settings\Rolland\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'Default user')

O4 - Startup: Notification de cadeaux MSN.lnk = D:\Documents and Settings\Rolland\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe

O4 - Global Startup: Logitech SetPoint.lnk = ?

Ferme ton/tes navigateurs puis clique sur "Fix Checked"

Quitte ensuite le programme.

 

Redémarre ton pc et dis moi si il y a du changement.

Adresse ip : effectivement l'adresse ip en question est blacklistée pendant 337651s !

Réessaie et dis moi si c'est toujours le cas: le délai doit avoir expiré normalement.

rolmic Member

rolmic

Posté(e)
  • Auteur
Posté(e)

Salut, voici les résultats :

 

- Manip BootEx : ok RAS

- Le fichier SpySweeper n'existait plus

- Hijackthis : ok j'ai réinstallé le driver Logitech Setpoint pour gérer ma souris

 

 

J'ai eu un nouveau message me disant que mon adresse ip est blacklisté, et ce n'est pas la même.

Vérifié sur postmaster.free : elle est bien blacklistée

 

Je pense qu'une de mes adresses email a été piratée, non ? Ca expliquerait les choses peut-être ?

 

Grazie

 

Moi non plus, tes réponses ne me sont jamais notifiées par email.

 

Rolmic

rolmic Member

rolmic

Posté(e)
  • Auteur
Posté(e)

Salut Thanos,

 

Le code d'erreur est 421 : too many spams etc.

 

Le mail semble partir de mon adresse et/ou revenir à mon adresse. Mais je ne comprends pas tout.

 

Je vais m'adresser à mon FAI, tu as raison.

 

Sinon, voici une copie du mail reçu et d'un attachement, j'ai remplacé mon adresse par MON ADRESSE :

 

MAIL RECU :

 

 

- ----------------------------------------------------------------------------------------------

- Ce message n'a pas pu ?tre trait? par la gestion des retours d'EMailing Solution

- Pour ?crire ? cette personne : mailto:MON ADRESSE

- ----------------------------------------------------------------------------------------------

Message :

This is the mail system at host evo1smtp44.emstechnology1.net.

 

I'm sorry to have to inform you that your message could not

be delivered to one or more recipients. It's attached below.

 

For further assistance, please send mail to postmaster.

 

If you do so, please include this problem report. You can

delete your own text from the attached returned message.

 

The mail system

 

MON ADRESSE: host mx2.free.fr[212.27.42.58] refused to

talk to me: 421 Too many spams from your IP (IP BLACKLISTEE), please visit

Postmaster.free.fr

 

 

ET LE FICHIER ATTACHE :

 

 

 

Received: from EVO1GEN18 (evo1gen18.int.emstechnology.net [10.7.229.89])

by evo1smtp44.emstechnology1.net (Postfix) with ESMTP id CCEE24E5A54

for MON ADRESSE; Mon, 18 Oct 2010 13:52:58 +0200 (CEST)

DomainKey-Signature: a=rsa-sha1; s=selector1; d=nl.mister-good-deal.com; c=nofws; q=dns;

h=dkim-signature:from:x-emscustid:x-mailer:

list-unsubscribe:reply-to:to:message-id:date:x-priority:subject:

mime-version:content-type;

b=O04HWDVY3oYKqlUOo36DF+2vjzfTeBkYHrqHJMxnVMOXFWpainEUC6dgTGRiImSPM

hyBv6PUMjr9DHvHSMkIlw==

DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple;

d=nl.mister-good-deal.com; s=selector1; t=1287402778; bh=mU8ePOf9XM

ySqn+Nf1pVi3ZV0c+AmLvln1sC1YO0whs=; h=From:List-Unsubscribe:

Reply-To:To:Message-ID:Date:Subject:MIME-Version:Content-Type; b=r

zOMngCAO0Dv9aJAaAjhmSENeLSRDYUTnsOJGHySOxTxS2iscJZUM6T0857CRUYSxITn

Vfp0ooFfl9ZBuEybRg==

From: "Mistergoodnews" <newsletter@nl.mister-good-deal.com>

X-EMSCustId: gmxxlmjxxfhqs8ymaxsy6qfnuqfuqjpzuqdyjbux6dl45mract643vz-1LL66

X-Mailer: EMS

List-Unsubscribe: <http://abo2.ems6.net/MGD/desabo_2275/desabo.asp>

Reply-To: "$C(4)-$C(8)-$C(0)-$C(12)-$C(11)-$U(0)@b.emstechno-ecm.com" <t-z4nq824tx9wxyktcg5usez97xrlzcqf7h8e6qfufjsrkm22xggzpyta-1LL66@nl.mister-good-deal.com>

To: MON ADRESSE

Message-ID: <735155a9b3fa4748af4434c23530bd0d@nl.mister-good-deal.com>

Date: Mon, 18 Oct 2010 13:31:42 +0200

X-Priority: 3

Subject: =?iso-8859-1?B?MzAgMDAwIGV1cm9zIOAgZ2FnbmVyICE=?=

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary="----8C642DFBF08341F9ACBEAD9E9C2C1406"

 

------8C642DFBF08341F9ACBEAD9E9C2C1406

Content-type: text/plain; charset=iso-8859-1

Content-Transfer-Encoding: quoted-printable

 

Pour visualiser cet email en Html, suivez ce lien :

http://nl=2Emister-good-deal=2Ecom/a/?F=3Dz4nq824tx9wxyktcg5usez97xrlzc=

qf7h8e6qfufjsrkm22xggzpyta-1758406

 

 

30 000 euros =E0 gagner !

 

Cliquez sur le lien ci-dessus ou copiez collez ce lien afin d'acc=E9der=

=E0 nos offres

 

 

Merci de ne pas r=E9pondre =E0 ce mail

Pour vous d=E9sinscrire de cette liste, suivez le lien :

http://nl=2Emister-good-deal=2Ecom/r/?F=3Dz4nq824tx9wxyktcg5usez97xkzra=

egw6wyg8acsbnumzu4hydfppra-1758406

 

 

 

salut rolmic ;)

 

Dis moi: as tu reçu un nouveau mail ? si oui, quel est le code d'erreur (500/412...)? as tu tenté de contacter ton fournisseur d'accès internet pour lui en parler ?

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...