spambot

[Plocploc]

Bonjour a tous(tes),

 

Hier soir, j'allume mon pc et je n'avais rien vu d'anormal. Pourtant alors que je ne faisais rien de special dessus, je vois d'un coup un message de norton antivirus qui dit "impossible d'envoyer des mails" car le serveur est reconnu comme un serveur de spam. Je n'avais meme pas outook d'ouvert. Et les messages d'alertes de norton se multiplient. Je realise alors que mon pc est surement devenu un pc zombie envoyeur de spam (trojan spambot?). Mon premier reflexe a ete de rebooter en safemode et lancer combofix. Celui-ci ne detecte rien de particulier (et dans ses logs, il n'a rien efface). Pourtant je trouve des fichiers fraichement crees (l'heure de creation correspondant a mon infection) dans system32 ou drivers du genre bfj26.sys

Bref je decide de lancer malwarebytes et la, o surprise, il me detecte un trojan.agent fakeAV. J'ai nettoye le tout, et depuis je n'ai plus d'alerte norton. Mais comment m'assurer qu'il ne reste plus rien de suspect?

De plus j'ai regarde sur google: FakeAV est un trojan cense me faire de fausses alertes pour que je paie (un scareware quoi), alors que j'etais plutot clairement victime d'un spambot trojan.. Ca ne semble pas coller, meme si, comme je le disais, les alertes norton semblent avoir disparu.

 

J'oubliais un detail peut-etre d'importance. J'accede a internet depuis un pc serveur qui dispose d'un modem adsl interne PCI, et qui dispose du partage de connexion internet de XP SP3. Or j'ai remarque seulement depuis hier que mon firewall logiciel n'etait pas operationnel, donc que mes PC n'etaient pas du tout protege. Est-ce possible qu'un individu aurait pu en profiter pour injecter des trojans? Ce qui me suprenait c'est que mon serveur n'avait rien mais c'est le pc client derriere qui a pris...

[Plocploc]

Je retire ce que j'ai dit, ca recommence de plus belle...

Je ne sais plus ce qu'il faut faire pour eradiquer cette sal...

[Plocploc]

J'ai demarre en fait sous ERD commander et efface ce fichier .sys recalcitrant.. Depuis plus de message d'alerte. Mais voici mon log hijackthis, au cas ou

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 01:12:43, on 30/06/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

D:\Applis\Utils\Symantec Endpoint\Smc.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\RTHDCPL.EXE

D:\Applis\Multimedia\iTunes\iTunesHelper.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Fichiers communs\Acronis\CDP\afcdpsrv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

D:\Applis\Utils\System\FreeMem\FMEMPRO.EXE

C:\Program Files\Bonjour\mDNSResponder.exe

D:\Applis\Utils\Burning\CDBurnerXP\NMSAccessU.exe

C:\Program Files\Skype\Phone\Skype.exe

D:\Applis\Utils\Burning\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

D:\Applis\Utils\System\DAEMON Tools Lite\DTLite.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Applis\Utils\Symantec Endpoint\Rtvscan.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE

D:\Applis\Utils\Divers\Odometer\Odometer.exe

C:\Documents and Settings\Epyon\Application Data\Dropbox\bin\Dropbox.exe

D:\Applis\Utils\System\SpeedFan\speedfan.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSvcM.exe

D:\Applis\Utils\Symantec Endpoint\SmcGui.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\msiexec.exe

D:\Applis\Utils\Trend Micro\HiJackThis\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Applis\Utils\Spybot\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Applis\Utils\Java\bin\ssv.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Applis\Utils\Java\bin\jp2ssv.dll (file missing)

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Applis\Utils\Java\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [POP Peeper] D:\Applis\Email\POP Peeper\POPPeeper.exe min

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\Applis\Multimedia\QuickTime Alternative\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "D:\Applis\Multimedia\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [FreeMem Pro] "D:\Applis\Utils\System\FreeMem\FMEMPRO.EXE" Startup

O4 - HKCU\..\Run: [spybotSD TeaTimer] D:\Applis\Utils\Spybot\TeaTimer.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Applis\Utils\Burning\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Applis\Utils\System\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Dropbox.lnk = Application Data\Dropbox\bin\Dropbox.exe

O4 - Startup: Speedfan.lnk = D:\Applis\Utils\System\SpeedFan\speedfan.exe

O4 - Global Startup: Odometer.lnk = D:\Applis\Utils\Divers\Odometer\Odometer.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Applis\MSOffice\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Applis\Utils\Java\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Applis\Utils\Java\bin\ssv.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Applis\Internet\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Applis\Internet\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Applis\MSOffice\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Applis\Utils\Spybot\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Applis\Utils\Spybot\SDHelper.dll

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{86A04AEB-6274-4D59-BD69-E72008AFFDAD}: NameServer = 80.118.192.100,80.118.196.36

O17 - HKLM\System\CS1\Services\Tcpip\..\{86A04AEB-6274-4D59-BD69-E72008AFFDAD}: NameServer = 80.118.192.100,80.118.196.36

O17 - HKLM\System\CS3\Services\Tcpip\..\{86A04AEB-6274-4D59-BD69-E72008AFFDAD}: NameServer = 80.118.192.100,80.118.196.36

O18 - Protocol: gcf - {9875BFAF-B04D-445E-8A69-BE36838CDE3E} - C:\Program Files\Google\Chrome Frame\Application\12.0.742.100\npchrome_frame.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Program Files\Fichiers communs\Acronis\CDP\afcdpsrv.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - D:\Applis\Utils\Java\bin\jqs.exe (file missing)

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NMSAccess - Unknown owner - D:\Applis\Utils\Burning\CDBurnerXP\NMSAccessU.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - D:\Applis\Utils\Symantec Endpoint\Smc.exe

O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - D:\Applis\Utils\Symantec Endpoint\SNAC.EXE

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Applis\Utils\Burning\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - D:\Applis\Utils\Symantec Endpoint\Rtvscan.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe