Spam depuis ma messagerie

[Apollo]

Bonjour,

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Clique sur H .
   
  
• Copie-colle les lignes ci-dessous dans la fenêtre

 

M3 - MFPP: Plugins - [Vanessa et Eric] -- C:\Users\Vanessa et Eric\AppData\Roaming\Mozilla\Firefox\Profiles\g82ree6k.default\searchplugins\MyStart Search.xml    
M0 - MFSP: prefs.js [Vanessa et Eric - g82ree6k.default] [url=http://search.babylon.com/home]Babylon Search[/url]   
O42 - Logiciel: Bejeweled Twist - (.PopCap Games.) [HKLM] -- Bejeweled Twist    
[HKCU\Software\Iminent]    
[HKLM\Software\Iminent]    
O43 - CFD: 07/11/2010 - 17:26:24 - [0] ----D- C:\Program Files (x86)\Babylon    
O43 - CFD: 28/02/2010 - 15:56:16 - [19741300] ----D- C:\Program Files (x86)\Freeze.com    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{346de098-61f9-4b42-89da-6dfba7091bb6}]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{346de098-61f9-4b42-89da-6dfba7091bb6}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}]    
[HKLM\Software\Wow6432Node\Iminent]    
C:\Program Files (x86)\Babylon    
C:\Users\Vanessa et Eric\AppData\Roaming\Mozilla\Firefox\Profiles\g82ree6k.default\SearchPlugins\MyStart Search.xml    
emptytemp
emptyflash   

 

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

Info: http://theknitter-apollo.xooit.com/p19735.htm

 

~~~~~~~~~~~~~~~~~~~~~~~~

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Malwarebytes : Malwarebytes Anti-Malware PRO removes malware including viruses, spyware, worms and trojans, plus it protects your computer clique pour la version FREE et enregistre l'exécutable sur le bureau.

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[Ricky69]

Salut, le probleme recommence aujourd'hui. Les deux adresses utilisees sur mon PC sont touchees. J'utilise Windows Mail. Je ne sais pas quelle bestiole s'est installe sur mon PC, et a reussi a craque ma messagerie, s'ils ont besoin du mot de passe ou pas.

 

Je suis en grand week end a l'etranger. Je fais les manip demandees a mon retour mercredi prochain. Merci de ton aide.

[Ricky69]

Salut,

 

Bon ZHPFix ne marche pa jusqu'au bout , et pour MBAM y'a pas de souci

 

Comment ils ont pu détourner mes messageries ?

 

Pour l'instant les activités suspectes ne sont que des envois de spam depuis nos messageries. Y'a pas l'air d'avoir d'intrus chez moi, mais si tous les programmes de lutte n'ont pas fonctionné. En tout cas, le souci est venu après le fichier ouvert suite au pishing reçu.

[Apollo]

Bonjour,

 

Désinstalle zhpdiag comme n'importe quel programme. (par le panneau de config)

 

Installe la dernière version et refais le zhpfix comme dit plus haut.

 

http://www.moncompteur.com/compteurclick.php?idLink=18026

 

Si ça n'allait pas encore, fais-le en mode sans échec.

 

++

Modifié le 19 août 2011 par Apollo

[Ricky69]

Salut,

 

Voici le rapport :

 

Rapport de ZHPFix 1.12.3356 par Nicolas Coolman, Update du 17/08/2011

Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-19-08-2011-19-11-29.txt

Run by Vanessa et Eric at 19/08/2011 19:11:29

Windows 7 Home Premium Edition, 64-bit (Build 7600)

Web site : ZHPFix Fix de rapport

 

========== Logiciel(s) ==========

ABSENT Software Key: Bejeweled Twist

 

========== Clé(s) du Registre ==========

ABSENT Key: HKCU\Software\Iminent

ABSENT Key: HKLM\Software\Iminent

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{346de098-61f9-4b42-89da-6dfba7091bb6}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{346de098-61f9-4b42-89da-6dfba7091bb6}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}

SUPPRIME Key: HKLM\Software\Wow6432Node\Iminent

 

========== Préférences navigateur ==========

ABSENT Mozilla Pref: Babylon Search

 

========== Dossier(s) ==========

SUPPRIME Temporaires Windows: : 23

SUPPRIME Flash Cookies: 426

 

========== Fichier(s) ==========

ABSENT File: c:\users\vanessa et eric\appdata\roaming\mozilla\firefox\profiles\g82ree6k.default\searchplugins\mystart search.xml

ABSENT Folder/File: c:\users\vanessa et eric\appdata\roaming\mozilla\firefox\profiles\g82ree6k.default\searchplugins\mystart search.xml

SUPPRIME Temporaires Windows: : 36

SUPPRIME Flash Cookies: 58

 

 

========== Récapitulatif ==========

7 : Clé(s) du Registre

2 : Dossier(s)

4 : Fichier(s)

1 : Logiciel(s)

1 : Préférences navigateur

 

 

End of the scan in 00mn 12s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 19/08/2011 19:11:29 [1781]

[Apollo]

Re",

 

Toujours envoi de spam provenant de ta messagerie?

 

@++

[Ricky69]

Ben c'est sporadique.

 

 

Sur la mienne, y'a du avoir deux envois, le même jour : le 5 août je crois

 

Sur celle de ma cops, c'était vers le 10, un ou deux messages, puis à nouveau le 16 je crois.

 

Ce n'est pas énorme, j'espère que ça va s'arrêter, et que le piratage n'ira pas plus loin. Je ne sais pas comment fonctionnent ces escrocs.

 

En tout cas merci du coup de main, je ne sais pas si on peut essayer autre chose. Tu as une idée de ce qui a pu arriver pour que suite à un fichier ouvert, qq'un puisse pirater des messageries et envoyer des messages à notre place des deux messageries utilisées sur cet ordinateur. Je crois que le lien est évident entre le fichier reçu, et ouvert , et le piratage.

[Apollo]

C'est malin aussi de cliquer sur n'importe quoi; moi j'analyse même ce qui vient de mes amis car on ne sait jamais, leur ordi peut aussi avoir été piraté sans qu'il ne s'en aperçoivent.

 

Un pc infecté peut servir de relais pour envoyer des pourritures à tout le carnet d'adresses.

 

L'ordi mal protégé ou un internaute utilisant les p2p (Emule et consorts) peut facilement devenir un "pc zombie".

 

Vérif:

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

Cliquer sur Start scan pour lancer l'analyse.

 

NB: TDSSKiller proposera des options: Delete, Skip ou Cure, il ne faut pas modifier ces options!

 

Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés,

cliquer sur le bouton Continue puis sur le bouton Reboot now.

 

Envoyer en réponse:

*- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:] .

 

 

@++

[Ricky69]

Salut,

 

TDSS Killer n'a rien trouvé.

 

Par contre, tu vas peut-être pouvoir m'aider, mais depuis que j'ai fait toutes les manips pour essayer de nettoyer mon PC, il y a des trucs bizarres :

 

- j'ai perdu un dossier important à mon prénom "Eric" dans lequel il y avait d'autres dossiers et plein de fichiers : je ne le trouve plus nulle part, même en faisant une recherche par nom de dossier ou de fichier.

- ensuite, mon PC est devenu un bordel sans nom. J'ai plein de dossiers qui se sont créés en double ou triple, les "mes documents" "mes images" et autres, dont pas mal sont avec un cadenas et que je ne peux pas ouvrir, c que je n'avais pas avant.

 

As-tu une idée sur ce qui a pu se passer et ce que je peux faire pour essayer de retrouver une architecture normale pour mon PC.

 

D'avance merci.