Votre question

Envoi massif et automatique de mails (virus)

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
27 Juin 2006 12:45:24

Bonjour,

J'ai apparemment le même problème d'envoi automatique et massif de mails dès que je me connecte. Norton les analyse tranquillement mais ne détecte pas de virus !!!

J'ai bien utilisé quelques logiciels comme Ewido, Hijackthis, adaware, Spybot et Cie qui m'ont enlevé pas mal de choses mais le problème persiste. Peux-être quie je les utilise mal ?

QUelqu'un peux-il m'aider ?

Autres pages sur : envoi massif automatique mails virus

27 Juin 2006 13:25:39

Voilà le rapport Hijackthis que je viens de réaliser:

Logfile of HijackThis v1.99.1
Scan saved at 13:21:30, on 27/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\NVIDIA Corporation\ForceWare\Multimedia\NVPVR\nvpvrmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\CTHELPER.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Dell\Media Experience\DMXLauncher.exe
C:\Program Files\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA PREMIER\ECB-PREM.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe
C:\Program Files\NVIDIA Corporation\ForceWare\Multimedia\NVPVR\NvPvrNetMon.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\Norton Internet Security\ccEmFlSv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Documents and Settings\PC FAMILLE\Bureau\A SAUVEGARDER\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.fr/myway
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearch.myway.com/jsp/dellsidebar.jsp?p=DR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dell.fr/myway
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [CTDVDDET] "C:\Program Files\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Program Files\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [eCarteBleue-PREM] "C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA PREMIER\ECB-PREM.exe" /dontopenmycards
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NvRemoteManager] C:\Program Files\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe
O4 - HKLM\..\Run: [NvPvrNetMon] "C:\Program Files\NVIDIA Corporation\ForceWare\Multimedia\NVPVR\NvPvrNetMon.exe" start
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - https://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader....
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O17 - HKLM\System\CCS\Services\Tcpip\..\{AECDC37B-9166-429C-8395-51FA51F8A6D0}: NameServer = 86.64.145.142 84.103.237.142
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA PVR Schedule Monitor (nvpvrmon) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\ForceWare\Multimedia\NVPVR\nvpvrmon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\NVIDIA~1\FORCEW~1\NVRemote\x10nets.exe (file missing)

Contenus similaires
27 Juin 2006 13:58:48

Il y a quelque chose à en tirer ?
27 Juin 2006 14:08:29

telecharge a²free et fais les mise a jour et le scan puis post le rapport.

Je pense que ca peut etre 12exmodul32.exe avec les chiffres qui varie il se trouve dans C:\Documents and Settings\All users\Local Settings\Temp

Verifie
27 Juin 2006 15:42:04

Le rapport d'a² donne ça:

a-squared Report
Scan Started: 27/06/2006 14:39:04
Scan Finished: 27/06/2006 15:35:04
Scanning Time: 0h 56min 0sec
Scanned Files: 201760
Infected Files: 6

Nom du fichier Diagnostic
C:\WINDOWS\system32\bhoecart.dll Trace.File.Suspicious
C:\Documents and Settings\PC FAMILLE\Cookies\pc famille@bluestreak[1].txt Trace.TrackingCookie
C:\Documents and Settings\PC FAMILLE\Cookies\pc famille@fl01.ct2.comclick[1].txt Trace.TrackingCookie
C:\Documents and Settings\PC FAMILLE\Cookies\pc famille@serving-sys[2].txt Trace.TrackingCookie
C:\Documents and Settings\PC FAMILLE\Cookies\pc famille@tradedoubler[1].txt Trace.TrackingCookie
C:\Documents and Settings\PC FAMILLE\Cookies\pc famille@weborama[1].txt Trace.TrackingCookie

J'ai supprimé tous ces malwares mais le pb persiste...



27 Juin 2006 15:45:27

En revanche j'arrive pas à voir le fichier que tu soupconne en suivant le chemin indiqué... je dois essayer de le supprimer après une recherche?
27 Juin 2006 15:46:26

bonjour
regarde
ce topic

et fait idem avec f secure
a b 8 Sécurité
27 Juin 2006 16:08:01

Message supprimé
27 Juin 2006 16:14:37

bonjour Angel
je me suis fait la même réflexion, mais je ne vois pas pourquoi il serait caché.. quoique, il n'est pas sous XP..
à voir
27 Juin 2006 16:36:03

Mogadon,

ce virus me rappelle celui que j'ai affiché hier "Fragmentedmessage". J'ai affiché le rapport hijackthis. Il y a peut-être un rapport à faire avec celui-ci ?

AZERTY123456
27 Juin 2006 18:07:53

J'ai un peu de mal à suivre. Dois-je supprimer un des fichiers ?

Sinon j'ai fait un scan on line avec f secure: de même qu'avec Norton, aucun virus trouvé.. (Je suis content de le savoir alors que le problème est toujours là.....)
Anonyme
27 Juin 2006 18:17:15

Slt,
essai de voir quel programme envoie les mails avec ton firewall, puis bloque ou supprime le programme
29 Juin 2006 23:48:20

Je crois bien que c'est l'application Capp qui envoi des mails mais si je la bloque je ne pourrais plus rien envoyer je pense....

Sinon, j'ai fait une analyse avec f secure blacklight qui a trouvé un fichier caché : c:\WINDOWS\system32:p e386.sys.

Je l'ai fait nettoyé avec le même outil et je vais voir si ca marche !

Rapport:
06/29/06 14:08:55 [Info]: BlackLight Engine 1.0.41 initialized
06/29/06 14:08:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/29/06 14:08:55 [Note]: 7019 4
06/29/06 14:08:55 [Note]: 7005 0
06/29/06 14:08:59 [Note]: 7006 0
06/29/06 14:08:59 [Note]: 7011 524
06/29/06 14:08:59 [Note]: 7026 0
06/29/06 14:09:00 [Note]: 7026 0
06/29/06 14:09:27 [Note]: FSRAW library version 1.7.1018
06/29/06 14:10:50 [Info]: Hidden file: c:\WINDOWS\system32:p e386.sys
06/29/06 14:10:50 [Note]: 7002 0
06/29/06 14:10:50 [Note]: 7003 1
06/29/06 14:14:11 [Note]: 7007 0
a b 8 Sécurité
30 Juin 2006 10:33:34

Citation :
- Assure toi d'avoir accès aux dossiers/fichiers cachés
-> Démarrer
-> Panneau de configuration
-> Options des Dossiers, onglet Affichage :
. Clique sur Afficher les dossiers cachés
. Décoche Masquer les extensions des fichiers dont le type est connu
. Décoche Masquer les fichiers protégés du système d'exploitation


Cherche dans le System32:
pe386.sys
si tu le trouve:

Va sur le site de VirusTotal
Clique sur Parcourir... puis ouvre:

pe386.sys

Clique ensuite sur Send
Poste le rapport en fin d'analyse.

30 Juin 2006 12:53:07

J'ai fait les différentes manip sans problème mais le fichier reste invisible et je ne peux le trouver. Et pourtant quand je relance blacklight j'ai toujours:
Hidden file: c:\WINDOWS\system32:p e386.sys
a b 8 Sécurité
30 Juin 2006 13:00:39

Utilise la fonction Rename de BlackLight.
30 Juin 2006 13:09:05

Salut a tous,

Citation :
Platform: Windows XP SP2 (WinNT 5.01.2600)

Pourquoi Mogadon tu dit qu'il n'est pas sous XP? Je pense plutot qu'il est sur XP moi?

Sinon pour le probleme essaie de demarrer en mode sans echec pour afficher les fichiers cachés et pouvoir le supprimer
30 Juin 2006 14:27:16

Après plusieurs écrans d'erreur, j'ai réussi à redémarrer mon ordi après avoir utilisé la fonction rename de blacklight.
Que ce soit en mode sans échec ou normal, toujours aucun fichier dans le dossier "system32" :-(
a b 8 Sécurité
30 Juin 2006 14:28:13

Je ne pense pas que se soit une infection, attends d'autres avis.
30 Juin 2006 14:32:33

Ok... Pour info, l'application CCAPP.EXE est toujours en activité, impossible de l'interrompre et à chaque fois que j'éteins l'ordinateur il faut que je fasse "terminer maintenant" sur cette application.
A quoi correspond CCAPP.EXE ?
30 Juin 2006 15:37:01

Je crois que "c:\WINDOWS\system32:p e386.sys" à un rapport avec le trojan "Backdoor.Rustock.A".
Il emploie des techniques de rootkit pour cacher tous les fichiers et les sous-clés de registre qu'il crée.
Il essaie de se cacher des applications qui contiennent une des chaînes suivantes :
* RootkitRevealer
* BlackLight
* Rkdetector

Bien malin ce trojan...

On va supprimer ça:
-desactive la restauration du systeme.
-Faire une analyse antivirus complete en mode sans echec avec ton antivirus ou mieux en ligne chez Kaspersky.
-Faire une copie de sauvegarde du registre de windows (on ne sait jamais après ce que l'on va faire après...)
- Cliques sur Démarrer > Exécuter.
Tapes regedit
Cliquessur OK.

Remarque : Si l'Editeur du Registre ne s'ouvre pas, la menace a pu modifier le registre pour en empêcher l'accès.Dans ce cas là on passera a autre chose, mais je pense que ça ira.

-Accède à la sous-clé suivante et supprime-la :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386.

Puis refait une verification ensuite.
a b 8 Sécurité
30 Juin 2006 15:39:34

Bien vu Akred
J'aurais du faire attention, c'est un nouveau Rootkit difficile a supprimer.
Il faut que j'en parle sur l'Espace Secu.
Il faut utiliser Avenger je crois mais ca pas mon fort.
a b 8 Sécurité
30 Juin 2006 15:43:39

Vérifie si tu as ce service:

-> Démarrer
-> Exécuter...
Tape Services.msc puis valide
pe386
1 Juillet 2006 14:36:10

- Après une analyse norton antivirus en mode sans echec: aucun virus trouvé
- Après une analyse en ligne avec kaspersky: aucun virus trouvé
Le virus est vraiment bien caché et j'ai toujours des envois de mails massifs et parfois des écrans d'erreur système (écran bleue et arrêt).

En ce qui concerne la sauvegarde du registre windows je ne sais pas comment faire? Par contre j'ai bien essayé de chercher le fichier pe386 à l'endroit indiqué dans regedit et il n'y figure pas ! :/ 


1 Juillet 2006 18:25:14

Dur dur ce trojan, découvert par les sociétés antivirus durant ce mois ci...
Un autre conseil (peut-etre le dernier?) car la je pense que ca commence à être un peu compliqué.

Telecharge Prevx1 ici

(il est en anglais). Installe-le et redemarre le pc, ensuiteune fois redemarrer il se lance et clique sur trial version, puis fait un scan, il devrait supprimer cet saleté je pense.

En espérant que ca marche, bon courage! ;-)
1 Juillet 2006 19:51:14

OK merci !

Je vais tester ca
2 Juillet 2006 12:05:41

Salut

J'avais sensiblement le meme probleme que toi (open proxy et envoi de mail automatique)

Il semble que le problème soit résolu avec GMER

Une analyse GMER indique la détection d'un rootkit
C\winnt\system32:18467 (hidden) [system] pe386

J'ai tué ce process avec GMER (kill process) et rebooté: pour l'instant tout semble correct

Un autre outil me le localisait: rootkit revealer

Bonne chance
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS