Votre question

a l'aide ! ! ! messages suspects avec avast

Tags :
  • Hijackthis
  • Sécurité
Dernière réponse : dans Sécurité et virus
30 Avril 2007 10:17:54

bonjour a tous , et bravo pour ce forum !

j'ai un petit soucis , enfin gros plutot ...

j'ai avast qui me prend la tete ! j'ai 20 alertes qui arrivent a l'affilée et qui bloque tout ce que je fais !

l'alerte dis : " message suspect , trop de messages envoyés en meme temps ..." et j'ai fait tout ce que je pouvais ( adaware, spybot , hitman pro etc ... )

ca disparait une journée et ca revient !

je viens de faire un hijackthis , mais je suis pas assez bon pour dire ce qui va pas ...

pourriez vous m'aider ??

merci !
le listing de hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 10:03:50, on 30/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
E:\Program Files\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\htpatch.exe
E:\WINDOWS\system32\RunDll32.exe
E:\Program Files\Logitech\iTouch\iTouch.exe
E:\PROGRA~1\Logitech\MouseWare\SYSTEM\EM_EXEC.EXE
E:\Program Files\HP\HP Software Update\HPWuSchd2.exe
E:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
E:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe
E:\Program Files\QuickTime\qttask.exe
E:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
E:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
E:\Program Files\Google\Google Updater\GoogleUpdater.exe
E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\WINDOWS\system32\svchost.exe
E:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
E:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Program Files\MSN Messenger\usnsvc.exe
E:\Program Files\Java\jre1.5.0_11\bin\jucheck.exe
E:\Program Files\IncrediMail\bin\IncMail.exe
E:\PROGRA~1\IncrediMail\bin\IMApp.exe
F:\emule 47\eMule\emule.exe
E:\WINDOWS\system32\HPZipm12.exe
D:\programmes\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - E:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Program Files\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar1.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - E:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O4 - HKLM\..\Run: [HTpatch] E:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] E:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] "E:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\PROGRA~1\Logitech\MouseWare\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HP Software Update] "E:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eBayToolbar] E:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "E:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] E:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [IncrediMail] E:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = E:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = E:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &eBay Search - res://E:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - E:\PROGRA~1\Spyware Doctor\tools\iesdpb.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA29095C-44EB-4AEF-B6F4-45958E065151}: NameServer = 86.64.145.145 84.103.237.145
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - E:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - E:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WRNotifier - E:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - E:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - E:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: ADSLAutoconnect - Unknown owner - E:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - E:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - E:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

merci d'avance pour votre aide !

Autres pages sur : aide messages suspects avast

a b 8 Sécurité
30 Avril 2007 12:26:18

Bonjour,

Télécharge Clean.zip (de Malekal),
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.

1 Mai 2007 14:03:46

salut !

voici le resultat du test :
01/05/2007 a 14:00:09,96

*** Recherche des fichiers dans E:

*** Recherche des fichiers dans E:\WINDOWS\

*** Recherche des fichiers dans E:\WINDOWS\system32
E:\WINDOWS\system32\SpoonUninstall.exe FOUND

*** Recherche des fichiers dans E:\Program Files
*** Fin du rapport !


voila !
merci d'avance !
Contenus similaires
a b 8 Sécurité
1 Mai 2007 14:41:08

Quel est l'emplacement des fichiers infectés ?
1 Mai 2007 22:54:30

salut

je suis pas sur de tout comprendre ...

le rapport de clean dit que " spoonuninstall.exe" serait infecté ??

si telle est ta question , l'infection se trouve sur mon disque dur de demarrage , la ou il y a windows et quelques programmes comme incredimail , msn etc ...

merci , @plus

1 Mai 2007 23:04:14

Bonsoir,

Non c'est pas sur le rapport de Clean ;) 

Avast! t'indique quel fichier qui est infecté ?
2 Mai 2007 08:55:31

salut

voici ce qu'avast me dit ( 20 alertes en 30 secondes ) :

Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jeanmichel@wanadoo.fr>
Destinataire : <robert.jeanmichel@wanadoo.fr>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps






Expéditeur : Canadian Doctor Rosalinda <robert.jean@hydro.qc.ca>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jeansoulin@up.univ-mrs.fr>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jedamski@treibacher.com>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jedinak@centrum.sk>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>; <robert.jedinak@centrum.sk>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jedrzejczak@gmail.com>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>; <robert.jedinak@centrum.sk>; <robert.jedrzejczak@gmail.com>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jedrzejewki57@ntlworld.ie>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>; <robert.jedinak@centrum.sk>; <robert.jedrzejczak@gmail.com>; <robert.jedrzejewki57@ntlworld.ie>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jeffrey@seattle.gov>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>; <robert.jedinak@centrum.sk>; <robert.jedrzejczak@gmail.com>; <robert.jedrzejewki57@ntlworld.ie>; <robert.jeffrey@seattle.gov>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jehn@robertjehn.com>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>; <robert.jedinak@centrum.sk>; <robert.jedrzejczak@gmail.com>; <robert.jedrzejewki57@ntlworld.ie>; <robert.jeffrey@seattle.gov>; <robert.jehn@robertjehn.com>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jekel@atmosenergy.com>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>; <robert.jedinak@centrum.sk>; <robert.jedrzejczak@gmail.com>; <robert.jedrzejewki57@ntlworld.ie>; <robert.jeffrey@seattle.gov>; <robert.jehn@robertjehn.com>; <robert.jekel@atmosenergy.com>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jeffords@lifeboatdistribution.com>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>; <robert.jedinak@centrum.sk>; <robert.jedrzejczak@gmail.com>; <robert.jedrzejewki57@ntlworld.ie>; <robert.jeffrey@seattle.gov>; <robert.jehn@robertjehn.com>; <robert.jekel@atmosenergy.com>; <robert.jeffords@lifeboatdistribution.com>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jekel@unisg.ch>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>; <robert.jedinak@centrum.sk>; <robert.jedrzejczak@gmail.com>; <robert.jedrzejewki57@ntlworld.ie>; <robert.jeffrey@seattle.gov>; <robert.jehn@robertjehn.com>; <robert.jekel@atmosenergy.com>; <robert.jeffords@lifeboatdistribution.com>; <robert.jekel@unisg.ch>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jenefsky@ehl.ch>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>; <robert.jedinak@centrum.sk>; <robert.jedrzejczak@gmail.com>; <robert.jedrzejewki57@ntlworld.ie>; <robert.jeffrey@seattle.gov>; <robert.jehn@robertjehn.com>; <robert.jekel@atmosenergy.com>; <robert.jeffords@lifeboatdistribution.com>; <robert.jekel@unisg.ch>; <robert.jenefsky@ehl.ch>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jenkins@jhu.edu>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>; <robert.jedinak@centrum.sk>; <robert.jedrzejczak@gmail.com>; <robert.jedrzejewki57@ntlworld.ie>; <robert.jeffrey@seattle.gov>; <robert.jehn@robertjehn.com>; <robert.jekel@atmosenergy.com>; <robert.jeffords@lifeboatdistribution.com>; <robert.jekel@unisg.ch>; <robert.jenefsky@ehl.ch>; <robert.jenkins@jhu.edu>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jenkins@lrc.ky.gov>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>; <robert.jedinak@centrum.sk>; <robert.jedrzejczak@gmail.com>; <robert.jedrzejewki57@ntlworld.ie>; <robert.jeffrey@seattle.gov>; <robert.jehn@robertjehn.com>; <robert.jekel@atmosenergy.com>; <robert.jeffords@lifeboatdistribution.com>; <robert.jekel@unisg.ch>; <robert.jenefsky@ehl.ch>; <robert.jenkins@jhu.edu>; <robert.jenkins@lrc.ky.gov>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jenkins@uth.tmc.edu>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>; <robert.jedinak@centrum.sk>; <robert.jedrzejczak@gmail.com>; <robert.jedrzejewki57@ntlworld.ie>; <robert.jeffrey@seattle.gov>; <robert.jehn@robertjehn.com>; <robert.jekel@atmosenergy.com>; <robert.jeffords@lifeboatdistribution.com>; <robert.jekel@unisg.ch>; <robert.jenefsky@ehl.ch>; <robert.jenkins@jhu.edu>; <robert.jenkins@lrc.ky.gov>; <robert.jenkins@uth.tmc.edu>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jenkins@uvm.edu>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>; <robert.jedinak@centrum.sk>; <robert.jedrzejczak@gmail.com>; <robert.jedrzejewki57@ntlworld.ie>; <robert.jeffrey@seattle.gov>; <robert.jehn@robertjehn.com>; <robert.jekel@atmosenergy.com>; <robert.jeffords@lifeboatdistribution.com>; <robert.jekel@unisg.ch>; <robert.jenefsky@ehl.ch>; <robert.jenkins@jhu.edu>; <robert.jenkins@lrc.ky.gov>; <robert.jenkins@uth.tmc.edu>; <robert.jenkins@uvm.edu>
Sujet : RE: MedHelp 8600364Il y a trop de mails identiques envoyés dans un faible intervalle de temps


Expéditeur : Canadian Doctor Rosalinda <robert.jensen@co.kanabec.mn.us>
Destinataire : <robert.jeanmichel@wanadoo.fr>; <robert.jeannard@grenoble.iufm.fr>; <robert.jeannard@wanadoo.fr>; <robert.jean@hydro.qc.ca>; <robert.jeansoulin@up.univ-mrs.fr>; <robert.jedamski@treibacher.com>; <robert.jedinak@centrum.sk>; <robert.jedrzejczak@gmail.com>; <robert.jedrzejewki57@ntlworld.ie>; <robert.jeffrey@seattle.gov>; <robert.jehn@robertjehn.com>; <robert.jekel@atmosenergy.com>; <robert.jeffords@lifeboatdistribution.com>; <robert.jekel@unisg.ch>; <robert.jenefsky@ehl.ch>; <robert.jenkins@jhu.edu>; <robert.jenkins@lrc.ky.gov>; <robert.jenkins@uth.tmc.edu>; <robert.jenkins@uvm.edu>; <robert.jensen@co.kanabec.mn.us>
Sujet : RE: MedHelp 8600364
a b 8 Sécurité
2 Mai 2007 13:42:35

Peut être des botnets.

Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :
Clique sur le premier " Download " afin de télécharger le programme
Sauvegarde le sur ton Bureau
Double-clique fsbl.exe et accepte la licence; clique Scan puis Next.

A la fin du scan, NE TOUCHE A RIEN !

Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Nous devons analyser ce rapport, ferme donc le BlackLight.

Poste le rapport sur le forum.

AIDE : Tuto sur BlackLight (Malekal)
2 Mai 2007 15:31:44

salut

voici le rapport :

05/02/07 15:27:47 [Info]: BlackLight Engine 1.0.61 initialized
05/02/07 15:27:47 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/02/07 15:27:47 [Note]: 7019 4
05/02/07 15:27:47 [Note]: 7005 0
05/02/07 15:27:50 [Note]: 7006 0
05/02/07 15:27:50 [Note]: 7011 1300
05/02/07 15:27:50 [Note]: 7026 0
05/02/07 15:27:50 [Note]: 7026 0
05/02/07 15:28:02 [Note]: FSRAW library version 1.7.1021

et encore merci de votre aide !
a b 8 Sécurité
2 Mai 2007 15:42:11

Il faut vérifier quelque chose.

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

Redémarre en mode sans échec

  • Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis.
    2 Mai 2007 17:26:00

    re !

    voici deja le rapport sdfix :

    SDFix: Version 1.81

    Run by Administrateur - 02/05/2007 - 17:16:05,70

    Microsoft Windows XP [version 5.1.2600]

    Running From: E:\SDFix

    Safe Mode:
    Checking Services:






    Restoring Windows Registry Values
    Restoring Windows Default Hosts File
    Restoring Missing Security Center Service
    Restoring Missing SharedAccess Service

    Rebooting...

    Normal Mode:
    Checking Files:

    No Trojan Files Found...




    Removing Temp Files

    ADS Check:

    Checking if ADS is attached to system32 Folder
    E:\WINDOWS\system32
    No streams found.

    Checking if ADS is attached to svchost.exe
    E:\WINDOWS\system32\svchost.exe
    No streams found.



    Final Check:

    Remaining Services:
    ------------------



    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "E:\\Program Files\\MSN Messenger\\msnmsgr.exe"="E:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "E:\\Program Files\\MSN Messenger\\livecall.exe"="E:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
    "F:\\emule 47\\eMule\\emule.exe"="F:\\emule 47\\eMule\\emule.exe:*:Enabled:eMule"
    "E:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"="E:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe:*:Enabled:backWeb-8876480"
    "E:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="E:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
    "E:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="E:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
    "E:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="E:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
    "E:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="E:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"


    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "E:\\Program Files\\MSN Messenger\\msnmsgr.exe"="E:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "E:\\Program Files\\MSN Messenger\\livecall.exe"="E:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"


    Remaining Files:
    ---------------


    Checking For Files with Hidden Attributes:

    E:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\david.pollaert@wanadoo.fr\Sharing Folders\d_r_91@hotmail.com\Thumbs.db
    E:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\david.pollaert@wanadoo.fr\Sharing Folders\michderoo@hotmail.com\Thumbs.db
    E:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\david.pollaert@wanadoo.fr\Sharing Folders\nana_05962@hotmail.com\Thumbs.db
    E:\WINDOWS\system32\Tools\All.exe
    E:\WINDOWS\system32\Tools\Change.exe
    E:\WINDOWS\system32\Tools\CheckPath.exe
    E:\WINDOWS\system32\Tools\Counter.exe
    E:\WINDOWS\system32\Tools\DelFolders.exe
    E:\WINDOWS\system32\Tools\DirectSetup.exe
    E:\WINDOWS\system32\Tools\RegClean.exe
    E:\WINDOWS\system32\Tools\Regexe.exe
    E:\WINDOWS\system32\Tools\RunRegexe.exe

    Finished

    je post la suite dans 2 minutes

    2 Mai 2007 17:27:27

    et le hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 17:26:00, on 02/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\system32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\Explorer.EXE
    E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    E:\Program Files\Alwil Software\Avast4\ashServ.exe
    E:\WINDOWS\system32\spoolsv.exe
    E:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
    E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    E:\WINDOWS\system32\HPZipm12.exe
    E:\WINDOWS\system32\svchost.exe
    E:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
    E:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
    E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    E:\WINDOWS\system32\wscntfy.exe
    E:\WINDOWS\system32\notepad.exe
    E:\WINDOWS\htpatch.exe
    E:\WINDOWS\system32\RunDll32.exe
    E:\Program Files\Alwil Software\Avast4\ashDisp.exe
    E:\Program Files\Logitech\iTouch\iTouch.exe
    E:\PROGRA~1\Logitech\MouseWare\SYSTEM\EM_EXEC.EXE
    E:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    E:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
    E:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe
    E:\Program Files\QuickTime\qttask.exe
    E:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
    E:\Program Files\MSN Messenger\MsnMsgr.Exe
    E:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    E:\WINDOWS\system32\ctfmon.exe
    E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    E:\Program Files\Google\Google Updater\GoogleUpdater.exe
    E:\PROGRA~1\IncrediMail\bin\IMApp.exe
    E:\WINDOWS\system32\wuauclt.exe
    E:\Program Files\MSN Messenger\usnsvc.exe
    E:\Program Files\IncrediMail\bin\IncMail.exe
    E:\Program Files\Internet Explorer\iexplore.exe
    D:\programmes\hijackthis_hijackthis_1.99.1_anglais_17891.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - E:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Program Files\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar1.dll
    O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - E:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
    O4 - HKLM\..\Run: [HTpatch] E:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [SiSUSBRG] E:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [avast!] "E:\Program Files\Alwil Software\Avast4\ashDisp.exe"
    O4 - HKLM\..\Run: [zBrowser Launcher] E:\Program Files\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [EM_EXEC] E:\PROGRA~1\Logitech\MouseWare\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [HP Software Update] "E:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [eBayToolbar] E:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "E:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [LDM] E:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [IncrediMail] E:\Program Files\IncrediMail\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = E:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = E:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: &eBay Search - res://E:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - E:\PROGRA~1\Spyware Doctor\tools\iesdpb.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CA29095C-44EB-4AEF-B6F4-45958E065151}: NameServer = 86.64.145.146 84.103.237.146
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - E:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - E:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: WRNotifier - E:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - E:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - E:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
    O23 - Service: ADSLAutoconnect - Unknown owner - E:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - E:\Program Files\Spyware Doctor\sdhelp.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - E:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

    a b 8 Sécurité
    2 Mai 2007 17:54:57

    Tu peux analyser chez VirusTotal.com ces fichiers ?

    E:\WINDOWS\system32\Tools\All.exe
    E:\WINDOWS\system32\Tools\Change.exe
    E:\WINDOWS\system32\Tools\CheckPath.exe
    E:\WINDOWS\system32\Tools\Counter.exe
    E:\WINDOWS\system32\Tools\DelFolders.exe
    E:\WINDOWS\system32\Tools\DirectSetup.exe
    E:\WINDOWS\system32\Tools\RegClean.exe
    E:\WINDOWS\system32\Tools\Regexe.exe
    E:\WINDOWS\system32\Tools\RunRegexe.exe

    Donne moi uniquement les emplacements considérés comme infectieux.
    Ils sont normalement sains, mais je préfère vérifier.
    2 Mai 2007 18:48:42

    salut

    je dois etre une bille ...

    car qd j'arrive sur le site de virustotal , j'ouvre les dossier tools et il y a rien dedans , par contre dans les propriétés il y a 13 fichiers , mais pas moyen de les voir ...

    merci de m'aiguiller !

    et encore merci pour votre aide !

    a b 8 Sécurité
    2 Mai 2007 18:59:44

    - Assure toi d'avoir accès aux dossiers/fichiers cachés
    -> Démarrer
    -> Panneau de configuration
    -> Options des Dossiers, onglet Affichage :
    . Clique sur Afficher les dossiers cachés
    . Décoche Masquer les extensions des fichiers dont le type est connu
    . Décoche Masquer les fichiers protégés du système d'exploitation


    Maintenant ?
    9 Août 2007 19:14:50

    bonjour, idem pour moi et ça depuis 3 mois, j'ai tout essayé, rien à faire! sur des forums, des astuciens, des potes informaticiens... le problème revient toujours et ça sans infection, c à rien comprendre! pour l'instant je suis obligé d'arrêter la gestion protection residente du courrier électronique d'avast, sinon impossible de travailler sur mon pc avec le net!... en attendant de reformater car j'ai bien peur qu'il n'y ait pas d'autres solutions!.. enfin je lance une bouteille à la mer, on sait jamais... merci
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS