envoi d'email toutes les 10 minutes ! - Sécurité - Windows & Software
Marsh Posté le 23-08-2005 à 13:32:34
BOnjour,
Scan le PC avec HijackThis pour connaitre les processus en cours :
http://forum.hardware.fr/hardwaref [...] 1913-1.htm
Marsh Posté le 23-08-2005 à 13:33:58
Merci, je vais essayer.
A noter, mon PC est à jour niveau Windows Update.
Marsh Posté le 23-08-2005 à 13:39:51
Résultat de l'analyse : un truc bizarre : le fichier update32.pif qui est inconnu et dépendrait de Windows Update...
AVG avait déjà trouvé un troyen sur un fichier du même type dont seul le numéro changeait...
Dois-je supprimer ce fichier ?
Marsh Posté le 23-08-2005 à 13:40:18
tu peux essayer le FreeScan de Mcafee en ligne mais il n'accepte que IE
http://ts.mcafeehelp.com/?siteID=3 [...] ptions.asp
Marsh Posté le 23-08-2005 à 13:46:22
Step73 a écrit : Résultat de l'analyse : un truc bizarre : le fichier update32.pif qui est inconnu et dépendrait de Windows Update... |
Oui. C'est sûrement un déguisement
Passe aussi un scan en ligne sur secuser.com par exemple.
Marsh Posté le 23-08-2005 à 13:49:54
Je commence une analyse sur freescan puis je supprimerai le fichier, au moins en le renommant temporairement. On verra.
Marsh Posté le 24-08-2005 à 09:54:23
sinon, avec msconfig, look les processus qui se lance au démarrage et stop ceux qui te semble bizard.
Marsh Posté le 24-08-2005 à 10:46:03
Es tu sûr que c'est ton PC qui envoit les mails et pas un tiers qui utilise ton adresse ?
Marsh Posté le 24-08-2005 à 10:46:59
moi ça m'était arrivé avec un proxy que j'avais configuré avec les pieds (analogX)
Marsh Posté le 24-08-2005 à 11:44:26
Toujours pas d'amélioration. Le fichier update32.pif a disparu. Aucun antivirus ne détecte quoi que ce soit, si ce n'est AVG qui scanne chaque email qui part de chez moi. La plupart d'entre eux reviennent d'ailleurs puisque le destinataire n'a pas été trouvé.
Je commence à en avoir marre...
Le proxy n'a pas été modifié depuis belle lurette. J'ai un réseau Wifi avec routeur Peabird connecté à un modem ethernet Bewan. Je n'ai jamais modifié la config depuis l'installation il y a un an.
Quelqu'un a-t-il une idée ?
Marsh Posté le 24-08-2005 à 11:55:25
Le dernier Log fait toujours apparaître ce Update32.pif. Je viens de nettoyer la base de registre de cette entrée. Je suis dans l'attente.
Voici le dernier fichier Log de Hijackthis.
Logfile of HijackThis v1.99.1
Scan saved at 11:51:16, on 24/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\WLAN CARD\WLANmon.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Temp\thunderbird\thunderbird.exe
C:\Program Files\QuickZip\QuickZip.exe
C:\DOCUME~1\GROSSH~1\LOCALS~1\Temp\QZTEMP\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WLAN CARD WLAN Monitor] C:\Program Files\WLAN CARD\WLANmon.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] DSLAGENT.EXE USB
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows Update Service] update32.pif
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Sygate Personal Firewall Start] servic.exe
O4 - HKLM\..\RunServices: [Windows Update Service] update32.pif
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/ [...] scan60.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2795636703
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/ [...] cfscan.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe (file missing)
Marsh Posté le 24-08-2005 à 11:57:39
Comprends pas. Il y a toujours ce Update32.pif qui est incinnu et retiré de ma base de registre. D'où vient-il ?
Marsh Posté le 24-08-2005 à 12:06:12
Tu as bien fixé les deux lignes concernant ce .pif ?
Par contre, tu as celle-ci qui n'est pas très catholique :
O4 - HKLM\..\RunServices: [Sygate Personal Firewall Start] servic.exe
http://www.sygate.com/alerts/SSR20041015-0001.htm
Marsh Posté le 24-08-2005 à 12:08:19
Tue internat.exe dans le gestionnaire des tâches puis restaure la version originale depuis ton CD XP :
http://securityresponse.symantec.c [...] tex.a.html
--> plus d'autres détails à vérifier.
Tu as bien désactivé la resto système avant de fixer + booter en sans échec ?
Sinon, c'est pas bien d'avoir 2 antivirus en tâches de fond.
Marsh Posté le 24-08-2005 à 12:11:44
Désactive l'accès au registre à distance (dans les services) si tu ne t'en sers pas.
Marsh Posté le 24-08-2005 à 12:26:07
Attention, j'ai Windows 2000.
Il y a 2 antivirus parceque AVG ne trouvait rien, alors j'ai ajouté AntiVir, pour voir... Je vais le retirer, il n'a rien trouvé non plus.
Plus d'email envoyés depuis que les clés Update32.pif ont été retirées. Etait-ce la solution ?
Mais je ne comprends toujours pas pourquoi HiJackThis en fait toujours mention... Quelqu'un sait ?
Je vire aussi ce servic.exe. Effectivement, ton lien semble montrer que ce n'est rien de très catholique !
Merci pour votre aide à tous !
Marsh Posté le 24-08-2005 à 12:37:23
D'après HiJackThis, tout semble en ordre maintenant. Plus d'emails envoyés.
Merci beaucoup pour votre aide. C'est vraiment le forum le plus complet et sympa. A bientôt !
Marsh Posté le 24-08-2005 à 13:52:11
C'&tait W32/Rbot-ALC
http://www.sophos.com/virusinfo/an [...] otalc.html
Voir dans "Advanced"
Marsh Posté le 25-08-2005 à 14:48:19
Exact, tu as raison. La rubrique fait mention de patch disponibles sur le site Microsoft. Je vais voir.
Merci du renseignement, Ilien83.
Marsh Posté le 25-08-2005 à 14:52:07
Vérification faite, les 2 patchs sécurité mentionnés sont déjà installés sur ma machine. Curieux, ils ne semblaient pas efficaces.
M'enfin, tout étant règlé, je ne vais pas chercher plus loin. Ciao !
Marsh Posté le 23-08-2005 à 13:29:33
Bonjour.
Depuis hier, mon PC envoie toutes les 10 minutes 8 emails à des personnes inconnues de ma part... Sans aucun doute un virus ou quelque chose du genre.
Ni AVG, ni AntiVir, ni les antivirus online Secuser ou Panda (qui vérifient aussi les spywares et autres "gâteries" ) n'ont détecté quoi que ce soit... Qui peut m'aider ?
Merci de votre réponse.
J'utilise Thunderbird 1.06 comme navigateur par défaut avec Firefox, même si Internet explorer 6 et Outlook Express 6 sont toujours installés sur ma machine.