[Résolu] Infection Hotmail

[lance_yien]

désinstaller Ask depuis Ajout/Suppression de programmes, redémarrer le PC et utiliser OTL.

a++

[Prasev]

Bonjour,

 

Vous allez dire que je suis nulle mais il n'y est pas dans ajout/suppression de programmes....

 

On a toujours le même soucis d'envoi de mails par la boite hotmail de mon conjoint.

 

En tout cas merci de votre aide !

 

J'ai oublié de vous dire aussi que ce matin en allumant l'ordi, il a du faire une restauration.

[lance_yien]

Bonjour,

 

... il n'y est pas dans ajout/suppression de programmes....

Probablement que l'utilitaire a fonctionné malgré tout. J'ai mis tous ces fichiers visibles dans le script de OTL pour finir son élimination.

 

On a toujours le même soucis d'envoi de mails par la boite hotmail de mon conjoint.

Avez-vous changé les mot de passe comme suggéré dans mon 1er message? Tes rapports ne montre rien.

 

J'ai oublié de vous dire aussi que ce matin en allumant l'ordi, il a du faire une restauration.

Étonnant! Qu'est-ce qui te fait penser à ça? Il ne s'agirait pas plutôt de Mise à jour?

 

En tout cas revérifie tout ça et si la machine continue d'envoyer des messages dis-le mois et on fera une recherche d'infection plus approfondie.

[Prasev]

Voici le rapport :

 

All processes killed

========== OTL ==========

No active process named Updater.exe was found!

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{00000000-6E41-4FD3-8538-502F5495E5FC} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\ not found.

File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.

Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ApnUpdater not found.

File C:\Program Files\Ask.com\Updater\Updater.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6add57b9-125d-11e0-803b-90e6bacc5af9}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6add57b9-125d-11e0-803b-90e6bacc5af9}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6add57b9-125d-11e0-803b-90e6bacc5af9}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6add57b9-125d-11e0-803b-90e6bacc5af9}\ not found.

File F:\MI.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b6aa6e3c-1569-11df-a12d-806e6f6e6963}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b6aa6e3c-1569-11df-a12d-806e6f6e6963}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b6aa6e3c-1569-11df-a12d-806e6f6e6963}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b6aa6e3c-1569-11df-a12d-806e6f6e6963}\ not found.

File move failed. D:\autorun.exe scheduled to be moved on reboot.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b6aa6e3c-1569-11df-a12d-806e6f6e6963}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b6aa6e3c-1569-11df-a12d-806e6f6e6963}\ not found.

File move failed. D:\directx9\DXSETUP.exe scheduled to be moved on reboot.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b6aa6e3c-1569-11df-a12d-806e6f6e6963}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b6aa6e3c-1569-11df-a12d-806e6f6e6963}\ not found.

File move failed. D:\install.exe scheduled to be moved on reboot.

C:\Program Files\Ask.com\Updater folder moved successfully.

C:\Program Files\Ask.com\assets\oobe folder moved successfully.

C:\Program Files\Ask.com\assets folder moved successfully.

C:\Program Files\Ask.com folder moved successfully.

C:\ProgramData\Ask\APN-Stub folder moved successfully.

C:\ProgramData\Ask folder moved successfully.

ADS E:\Documents\Documents\RE IJ.eml:OECustomProperty deleted successfully.

========== SERVICES/DRIVERS ==========

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\{86D4B82A-ABED-442A-BE86-96357B70F4FE} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{86D4B82A-ABED-442A-BE86-96357B70F4FE}\ not found.

========== FILES ==========

< ipconfig /flushdns /c >

Configuration IP de Windows

Cache de r‚solution DNS vid‚.

C:\Users\Info-H@k\Desktop\cmd.bat deleted successfully.

C:\Users\Info-H@k\Desktop\cmd.txt deleted successfully.

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.

C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.

File\Folder C:\*.sqm not found.

C:\WINDOWS\System32\SETD308.tmp moved successfully.

File\Folder C:\WINDOWS\*.tmp not found.

C:\Users\Info-H@k\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\54ed279e-51d443bd moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 41620 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Info-H@k

->Temp folder emptied: 575062986 bytes

->Temporary Internet Files folder emptied: 595193985 bytes

->Java cache emptied: 1062421 bytes

->Flash cache emptied: 43363 bytes

 

User: notre ordi

->Temp folder emptied: 51996 bytes

->Temporary Internet Files folder emptied: 524526 bytes

->Flash cache emptied: 42054 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 9853248 bytes

Windows Temp folder emptied: 37401577 bytes

RecycleBin emptied: 678347252 bytes

 

Total Files Cleaned = 1 810,00 mb

 

 

[EMPTYFLASH]

 

User: All Users

 

User: Default

->Flash cache emptied: 0 bytes

 

User: Default User

->Flash cache emptied: 0 bytes

 

User: Info-H@k

->Flash cache emptied: 0 bytes

 

User: notre ordi

->Flash cache emptied: 0 bytes

 

User: Public

 

Total Flash Files Cleaned = 0,00 mb

 

C:\Windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.26.1 log created on 08032011_112511

 

Files\Folders moved on Reboot...

File move failed. D:\autorun.exe scheduled to be moved on reboot.

File move failed. D:\directx9\DXSETUP.exe scheduled to be moved on reboot.

File move failed. D:\install.exe scheduled to be moved on reboot.

C:\Users\Info-H@k\AppData\Local\Temp\Low\VGX6F57.tmp moved successfully.

C:\Users\Info-H@k\AppData\Local\Temp\Low\VGX6F67.tmp moved successfully.

File\Folder C:\Users\Info-H@k\AppData\Local\Temp\~DF39DE32E5C274E145.TMP not found!

File\Folder C:\Users\Info-H@k\AppData\Local\Temp\~DF3C22C73695D5AF6C.TMP not found!

File\Folder C:\Users\Info-H@k\AppData\Local\Temp\~DF884E6762EB0326DA.TMP not found!

File\Folder C:\Users\Info-H@k\AppData\Local\Temp\~DF90D51EC985422544.TMP not found!

File\Folder C:\Users\Info-H@k\AppData\Local\Temp\~DFDF3699A588473807.TMP not found!

File\Folder C:\Users\Info-H@k\AppData\Local\Temp\~DFF54DDAFC693C6FD1.TMP not found!

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\X36F7ZUH\infection-hotmail-t186198[2].html moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\X36F7ZUH\like[6].htm moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\X36F7ZUH\PIE[1].htc moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\X36F7ZUH\recette-courgette[1].htm moved successfully.

File\Folder C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\X36F7ZUH\sessionKeeper[3].htm not found!

File move failed. C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\T3N7WDNA\1312361392421;u=i_1796191556429897471_m_157730;dcopt=ist;tile=1;um=5;us=12;eb_trk=157730;pr=26;xp=26;np=26;uz=80700;cg=8718e00b1310a47a44906070ffdfe0ba[1].htm scheduled to be moved on reboot.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\T3N7WDNA\afr[2].htm moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\T3N7WDNA\eBayISAPI[1].txt moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\D7UTJRTF\01[1].htm moved successfully.

File move failed. C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\D7UTJRTF\0x600;ord=1312361392421;u=i_1796191556429897217_m_157725;tile=2;um=5;us=12;eb_trk=157725;pr=26;xp=26;np=26;uz=80700;cg=8718e00b1310a47a44906070ffdfe0ba[1].htm scheduled to be moved on reboot.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\D7UTJRTF\framePub_welcomeRight[1].htm moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\C2RX3HU9\actualites-onglets[1].html moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\C2RX3HU9\ads[2].htm moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\C2RX3HU9\catalystN9T2[1].htm moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\7OEZM9CN\AP_CPL_728x90[1].htm moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\7OEZM9CN\eccf9be1[1].htm moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\7OEZM9CN\framePub[1].htm moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\7OEZM9CN\framePub_left[1].htm moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\4HVO8U91\ads[10].htm moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\1VNZE8WS\AP_ADV_728x90[1].htm moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\1VNZE8WS\AP_VIA_728x90[1].htm moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\1VNZE8WS\likebox[1].htm moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\1VNZE8WS\mailbox[2].html moved successfully.

C:\Users\Info-H@k\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.

 

Registry entries deleted on Reboot...

 

 

 

Pour la restauration ça est apparu au démarrage de l'ordinateur, ça a bien indiqué qu'il fallait restaurer et ce n'était pas une mise à jour.

 

Pour le mot de passe je vais le refaire et te tiens au courant si les mails se produisent à nouveau.

[lance_yien]

Bonjour,

 

Si tu n'as plus de problème,

 

>>> Supprimer les utilitaires:

- Pour supprimer ComboFix, cliquer sur Démarrer => Exécuter et saisir (ou copier/ coller) ComboFix /Uninstall (espace entre "ComboFix" et "/Uninstall"). Cliquer sur OK.

Ce qui a pour effet de supprimer ComboFix ainsi que les dossiers/ fichiers qu'il a installé et ré-initialiser les points de restauration.

- Lancer OTL et cliquer sur Purge outils. Laisser faire et redémarrer le PC.

- Pour supprimer les autres utilitaires et leur rapports, cliquer-droit dessus => "Supprimer".>>> Ré-initialiser les Points de Restauration parce qu'elles peuvent contenir des traces d'infection:

Cliquer-droit sur "Ordinateur" => "Propriétés" => "Protection Système". Cliquer sur le nom de la partition système (généralement C:) puis sur "Configurer" => "Supprimer" => "Continuer" (pour confirmer).

Cliquer sur "Fermer" puis "OK" => "OK" et attendre un moment.

Retourner dans "Protection système" et cliquer sur la partition => "Configurer" et sélectionner "Restaurer les paramètres système et les versions précédentes des fichiers"

Cliquer sur "OK" => "OK" et fermer la fenêtre.

Un nouveau point de restauration sera créé.>>> StartUpLite Il y a toujours des programmes qui se lancent INUTILEMENT en même temps que Windows.

Télécharger, sur le Bureau, MBAM' StartUpLite depuis ici.

Fermer toutes les applications en cours et autres fenêtres ouvertes et cliquer-droit sur StartUpLite.exe => "Exécuter en tant qu'administrateur" pour lancer le programme.

Il affichera toutes les entrées inutiles en démarrage automatique

Sélectionner TOUTES les entrées affichées et cliquer sur Continue.

S'il affiche "No unnecessary startups found!", c'est qu'il n'y a rien à faire.

 

 

>>> Protéger/ Sécuriser:

• Vérifier le Pare-feu: Un pare-feu est le 1er rempart contre les intrusions.
  - Ceux de Vista/ Windows 7 peuvent suffire, juste contrôler et activer si nécessaire depuis le "Centre de sécurité".
  - Celui inclus dans Windows XP ne contrôle pas le flux sortant d'Internet d'où l'importance d'en installer un autre.
  Vérifier et choisir, si nécessaire, un parmi ceux-ci (gratuits): Online Armor Firewall, Sunbelt Personal Firewall, Outpost Firewall FREE.
   
  
• Contrôler et configurer les mises à jour Windows:
  - Cliquer ICI et installer toutes les Mises à jour critiques après avoir accepté l'installation de l'activex (si proposé).
  - OU, cliquer sur "Démarrer" => "Tous les programmes" => "Windows update".
  - ET, optez (si ce n'est pas encore fait) pour une MAJ Automatique à une heure où vous êtes sûr que votre PC n'est pas éteint.
   
  
  
  
  
  

  
   
  

• Installer PSI de Secunia pour des MAJ logiciels
  
• Installer Mes drivers pour des MAJ pilotes (cliquer sur Lancer la détection
  
• Utiliser PC Pitstop pour Optimiser votre PC (en anglais)
  
• Sauvegarder le Registre avec Erunt
  Pour des raisons évidentes, garder les copies de sauvegarde sur un support autre que le disque système.
  
• Immunisez votre machine avec Spyware Blaster, compatible avec Toutes les versions de Windows 32bit et 64bit. Tuto.
  
• Vaccinez votre machine et vos médias amovibles (clés USB...) avec MKV contre les "vers" (Autorun worms). Juste brancher tous les médias amovibles, lancer le programme et cliquer sur le bouton Vaccination (l'action est réversible en cliquant sur "Supprimer la vaccination".
  
• Opter pour Firefox ou Opera pour la navigation de tous les jours et réserver Internet Explorer pour les Mises à jour et les cas bien spécifiques.
  
• Nettoyer et dé-fragmenter, régulièrement, les Partitions/ Disques.

 

>>> Ce qu'il faut ÉVITER ABSOLUMENT: Parce qu'il existe toujours un programme/logiciel gratuit et légal pour pratiquement tout ce qu'on veut, supprimer de votre machine et rester à l'écart de tout ce qui est,

• Warez , Crack , keygen etc. Arrêter de croire que ces programmes sont là juste pour faire plaisir ou rendre service. Il n'y a qu'à parcourir les Forums pour voir le nombre de PC victimes de ces programmes.
  
• P2P , *.Torrent etc: Lire attentivement Le danger des P2P.

 

>>> Ajouter Résolu: Merci d'éditer ton 1er post pour ajouter [Résolu] à la fin du titre après avoir cliqué sur le bouton "Modifier".

 

Bonne chance!

[Prasev]

Merci à toi, mon problème d'hotmail est résolu.

 

Par rapport à ce que tu m'as demandé de faire sur ton dernier message, je n'ai pas pu réinitialiser les points de restauration, ça m'a marqué : windows n'a pas pu supprimer toutes les captures instantanées. Reesayer et consulter le journal des evenements pour + d'infos.

 

Et PCPitstop marque qu'il ne peut pas fonctionner avec mon ordinateur et donne diverses raisons possibles.

 

Merci

Prasev

[lance_yien]

Bonjour,

 

... ça m'a marqué : windows n'a pas pu supprimer toutes les captures instantanées. Reesayer et consulter le journal des evenements pour + d'infos.

Reesaie plusieurs fois et si tu as toujours le même problème vois dans la section Software

 

Et PCPitstop marque qu'il ne peut pas fonctionner avec mon ordinateur et donne diverses raisons possibles.

S'il te le dit c'est que c'est vrai Je ne l'ai pas essayé sur toutes les versions de Windows.

Souvent certaines instructions ne s'appliquent pas à tout le monde.