probablement un virus...

[GagaExMachina]

Salut a tous

J'ai surement chopé un virus.... Taiwanais... Ma petite amie est allé sur des sites taiwanais, et depuis mon pc semble bien essayer d'envoyer des mails sur des serveurs a priori tous taiwanais. Je reçois des mails de " AVG for Email" ayant pour objet "Undelivered Mail returned to sender", et contenant:

This is the AVG E-mail Scanner program.

 

I'm sorry to have to inform you that the message returned

below could not be delivered to one or more destinations.

 

-------------------------------------------------------------------

Cannot open smtp connection to '207.115.57.17'

Connect: Aucune connexion n'a pu ętre établie car l'ordinateur cible l'a expressément refusée. (10061)

 

-------------------------------------------------------------------

 

Your e-mail message is being returned to you in the next part of this

message. Try to send the message again.

 

Should you need assistance, please contact your administrator or your

internet service provider.

 

 

 

J'ai effectivement Avg antivirus d'installer, il me signale les envois de mails si je ne le bloque pas lui par mon par feu kerio. Oui c'est bien Avg email scanner (avgemc.exe) que j'ai bloqué pour que mon pc ne puisse plus utiliser le SMTP.

Chaque mail que je reçois contient un fichier .eml d'une taille de3,65ko ou d'autres tailles parfois, avec un nom genre 想在家創業嗎 pour ceux qui peuvent lire le chinois traditionnel, en gros toujours des messages publicitaires ou autres du même genre variants d'une fois sur l'autre.

Vu que AVG est installé j'ai bien essayer de trouver quelque chose avec... Mais rien, pareil avec ad-aware, spybot, secuser.com. Rien non plus dans Hijackthis... Je ne vois rien

 

Toute aide sera la bienvenue..............................

Merci d'avance

[Apollo]

Bonsoir ou bonne nuit!

 

Moi j'essayerai l'active scan de Panda.

 

Je pense qu'il s'agit là du meilleur scan en ligne qui existe en ce moment.

 

Tu peux le trouver sur la page d'accueil de zebulon dans la colonne de gauche.

 

Avant que j'aie Kaspersky, c'était le meilleur nettoyeur de virus que j'aie trouvé.

 

Ce n'est pas un troll...

[GagaExMachina]

merci de ta réponse

panda ne trouve malheureusement rien non plus...Je croyais avoir bloqué l'envoie de messages mais ce matin je me suis retrouvé avec 297 mails dans ma boite

 

Je ne sais plus quoi faire.... A part formater, peut-être que ça peut marcher..... Mais je ne pourrais de toute façon pas formater tous mes disques durs, aie.

[megataupe]

merci de ta réponse

panda ne trouve malheureusement rien non plus...Je croyais avoir bloqué l'envoie de messages mais ce matin je me suis retrouvé avec 297 mails dans ma boite 

 

Je ne sais plus quoi faire.... A part formater, peut-être que ça peut marcher..... Mais je ne pourrais de toute façon pas formater tous mes disques durs, aie.

457432[/snapback]

 

Bonjour. Et si tu coller ton log Hijackthis pour qu'on regarde, ou appliquer la manip de nettoyage :

 

Mode d'emploi d'Hijackthis

 

Charger la dernière version ici : http://hijackthis.de/fr

et la décompresser dans son propre dossier (de préférence dans le dossier mes téléchargements ou un autre mais pas sur le bureau).

 

1- en mode sans échec (au démarrage du PC, appuyer sur la touche F5 ou F8), effacer tous les fichiers temporaires, le dossier Temp de Windows et le cache du navigateur ; désactiver la restauration système (clic droit sur « poste de travail » >propriétés>restauration système : cocher « désactiver la restauration du système » puis clic sur « appliquer » )

 

2- vérifier que Hijackthis est configuré pour faire des sauvegardes (la case "Make backups before fixing items" dans "config" doit être cochée).

 

3- après avoir collé ton log pour analyse dans la fenêtre du site cité plus haut, tu fixes toutes les lignes marquées en rouge puis, tu regardes attentivement ce qui est en orange : si tu connais et utilises, tu gardes ; si (y compris après une petite recherche sur Google) tu ne vois pas du tout ce que c'est ou si tu découvres qu’il s’agit d’une nuisance, tu fixes ; si tu hésites, ne fais rien ; les lignes se terminant par "no file" peuvent aussi être fixées.

 

4- toujours en mode sans échec, repasser un coup des utilitaires de sécurité : antivirus, anti-troyens, CWShredder, A2, Ad-aware, Spybot, etc..

 

5- redémarrer en mode normal.

 

6- refaire un log Hijackthis après tout cela.

 

7- ne pas oublier de réactiver la restauration système une fois toutes les opérations terminées.

 

Voir aussi dans ton fichier hosts si tu n'as pas d'adresses bizarres. Si oui, les supprimer pour ne laisser que la 1ère ligne 127.0.0.1 et mettre ce fichier en lecture seule.

[GagaExMachina]

merci megataupe pour ta réponse

J'ai fait tout ce que tu m'as indiqué (sauf pour la restauration car je suis sous win2000), et en plus j'ai désinstaller/réinstaller kerio, en effet j'avais quelques failles et maintenant je n'en ai plus aucune. Je ne sais pas si le virus est parti (rien dans les antivirus), en tout cas il semblerait que mon pc n'envoie plus de mails et donc je ne reçois plus les "undelivered".

Je crains seulement que kerio le bloque mais qu'il soit toujours là, prêt à bondir si je fait une erreur...

Ijackthis ne m'indique plus rien en rouge ou orange sauf :

O23 - Service: Service de télécopie - Unknown - C:\WINNT\system32\faxsvc.exe

Je sais qu'il s'agit d'un composant de windows mais dois-je le supprimer quand même? Je suis juste étonné qu'il soit en orange alors je me demande.

 

Bon je vous tiens au courant si je trouve plus d'infos, merci encore pour les réponses

[Sew-Oszka]

Coucou!

 

Non si tu veux supprimer des services, va plutôt iciici...

 

 

Bonne Chance!

Modifié le 4 février 2005 par Choupinou

[Invité tesgaz]

Salut,

 

le test sur ce site laisse à désirer et n'est pas toujours exacte

 

 

quand au service du FAX, à toi de voir si tu te sert du fax ou pas, auquel cas , tu l'arrêtes si tu n'en a pas l'utilité

[GagaExMachina]

Re-bonjour

Comme je l'avais prévu le virus est revenu a la première erreur.... J'ai voulu rebrancher ma deuxième machine en réseau, et quelques minutes après bing il a recommencé ...

En revanche, ça m'a permis de découvrir qu'une ligne dans Hijackthis était probablement plus importante que je ne l'avais cru: elle a réapparue en même temps que le problème:

O17 - HKLM\System\CCS\Services\Tcpip\..\{BA49D1FB-D9F2-43DA-9899-7FF49DE1FAAB}: NameServer = 194.117.200.10 194.117.200.15

 

voici le reste du log:

 

 

 

Logfile of HijackThis v1.99.0

Scan saved at 18:02:26, on 04/02/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

F:\infographie\maya6\docs\Wrapper.exe

C:\PROGRA~1\utils\avg\avgamsvr.exe

F:\infographie\maya6\docs\jre\bin\java.exe

C:\PROGRA~1\utils\avg\avgupsvc.exe

C:\WINNT\system32\drivers\CDAC11BA.EXE

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\hidserv.exe

C:\Program Files\internet\kerio2.1.5\persfw.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\Tablet.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\locator.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\Ati2evxx.exe

C:\WINNT\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINNT\system32\dslagent.exe

C:\PROGRA~1\utils\avg\avgcc.exe

C:\PROGRA~1\utils\avg\avgemc.exe

C:\program files\utils\qtplayer\qttask.exe

C:\WINNT\system32\internat.exe

C:\Program Files\hard\ewx24-96\EwxCpl.exe

C:\Program Files\hard\Wacom\TabUserW.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\hard\AnalogX\Proxy\proxy.exe

C:\Program Files\internet\kerio2.1.5\PFWADMIN.EXE

C:\Program Files\internet\kerio2.1.5\PFWADMIN.EXE

F:\infographie\maya6\bin\maya.exe

C:\WINNT\system32\taskmgr.exe

E:\progs\utils\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\utils\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\utils\avg\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\utils\avg\avgemc.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\utils\qtplayer\qttask.exe" -atboottime

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: EWX 2496 ControlPanel.lnk = C:\Program Files\hard\ewx24-96\EwxCpl.exe

O4 - Global Startup: TabUserW.lnk = C:\Program Files\hard\Wacom\TabUserW.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab30149.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2325b7af14dac1...RdxIE601_fr.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab30149.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{28F20034-58D4-49C1-9ED1-D119C721AE58}: NameServer = 127.0.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{BA49D1FB-D9F2-43DA-9899-7FF49DE1FAAB}: NameServer = 194.117.200.10 194.117.200.15

O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avertissement - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Alias Documentation Server - Unknown - F:\infographie\maya6\docs\Wrapper.exe

O23 - Service: Gestion d'applications - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\utils\avg\avgamsvr.exe

O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\utils\avg\avgupsvc.exe

O23 - Service: Explorateur d'ordinateur - Unknown - C:\WINNT\System32\services.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE

O23 - Service: Client DHCP - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Gestionnaire de disque logique - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Client DNS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Journal des événements - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Serveur - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Station de travail - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Service d'application d'assistance TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE réseau - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: Ouverture de session réseau - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Fournisseur de la prise en charge de sécurité LM NT - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Program Files\internet\kerio2.1.5\persfw.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Agent de stratégie IPSEC - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Emplacement protégé - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Gestionnaire de comptes de sécurité - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Carte à puce - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Service d'exécution par délégation - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Still Image Service - Unknown - C:\WINNT\system32\stisvc.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\System32\Tablet.exe

O23 - Service: Client de suivi de lien distribué - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Gestionnaire d'utilitaires - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Horloge Windows - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Infrastructure de gestion Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Extensions du pilote WMI - Unknown - C:\WINNT\system32\Services.exe

 

 

 

J'espère que ces infos vont inspirer l'un de vous....

[megataupe]

Ben, ton IP est celle du FAI Club Internet :

 

Result for 194.117.200.10

IP NOT LISTED BY PUBLIC BLACKHOLE LISTS

 

--> /usr/local/bin/fwhois 194.117.200.10@whois.ripe.net

[whois.ripe.net]

% This is the RIPE Whois query server #1.

% The objects are in RPSL format.

%

% Rights restricted by copyright.

% See http://www.ripe.net/db/copyright.html

 

inetnum: 194.117.200.0 - 194.117.207.255

netname: T-ONLINEFRANCE

descr: T-Online France - Club Internet

descr: 11 rue de Cambrai

descr: 75927 Paris Cedex 19

descr: FRANCE

 

Par contre, il faut fixer cette ligne là en mode sans échec :

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

[GagaExMachina]

merci de la précision

la ligne que tu me dis de supprimer elle correspond pas à l'antivirus de secuser.com? Je croyais c'est pour ça que je la garde