envoi d'email toutes les 10 minutes !

envoi d'email toutes les 10 minutes ! - Sécurité - Windows & Software

Marsh Posté le 23-08-2005 à 13:29:33    

Bonjour.
 
Depuis hier, mon PC envoie toutes les 10 minutes 8 emails à des personnes inconnues de ma part... Sans aucun doute un virus ou quelque chose du genre.
 
Ni AVG, ni AntiVir, ni les antivirus online Secuser ou Panda (qui vérifient aussi les spywares et autres "gâteries" ) n'ont détecté quoi que ce soit... Qui peut m'aider ?
 
Merci de votre réponse.
 
J'utilise Thunderbird 1.06 comme navigateur par défaut avec Firefox, même si Internet explorer 6 et Outlook Express 6 sont toujours installés sur ma machine.

Reply

Marsh Posté le 23-08-2005 à 13:29:33   

Reply

Marsh Posté le 23-08-2005 à 13:30:40    

Autre info : je suis sous Windows 2000.

Reply

Marsh Posté le 23-08-2005 à 13:32:34    

BOnjour,
 
Scan le PC avec HijackThis pour connaitre les processus en cours :
http://forum.hardware.fr/hardwaref [...] 1913-1.htm

Reply

Marsh Posté le 23-08-2005 à 13:33:58    

Merci, je vais essayer.  
 
A noter, mon PC est à jour niveau Windows Update.

Reply

Marsh Posté le 23-08-2005 à 13:39:51    

Résultat de l'analyse : un truc bizarre : le fichier update32.pif qui est inconnu et dépendrait de Windows Update...
 
AVG avait déjà trouvé un troyen sur un fichier du même type dont seul le numéro changeait...
 
Dois-je supprimer ce fichier ?

Reply

Marsh Posté le 23-08-2005 à 13:40:18    

tu peux essayer le FreeScan de Mcafee en ligne mais il n'accepte que IE  
http://ts.mcafeehelp.com/?siteID=3 [...] ptions.asp


Message édité par Profil supprimé le 23-08-2005 à 13:40:45
Reply

Marsh Posté le 23-08-2005 à 13:46:22    

Step73 a écrit :

Résultat de l'analyse : un truc bizarre : le fichier update32.pif qui est inconnu et dépendrait de Windows Update...
 
AVG avait déjà trouvé un troyen sur un fichier du même type dont seul le numéro changeait...
 
Dois-je supprimer ce fichier ?


Oui. C'est sûrement un déguisement :)
 
Passe aussi un scan en ligne sur secuser.com par exemple.

Reply

Marsh Posté le 23-08-2005 à 13:49:54    

Je commence une analyse sur freescan puis je supprimerai le fichier, au moins en le renommant temporairement. On verra.

Reply

Marsh Posté le 23-08-2005 à 16:15:49    

alors ..ça donne quoi ?

Reply

Marsh Posté le 24-08-2005 à 09:54:23    

sinon, avec msconfig, look les processus qui se lance au démarrage et stop ceux qui te semble bizard.

Reply

Marsh Posté le 24-08-2005 à 09:54:23   

Reply

Marsh Posté le 24-08-2005 à 10:46:03    

Es tu sûr que c'est ton PC qui envoit les mails et pas un tiers qui utilise ton adresse ?

Reply

Marsh Posté le 24-08-2005 à 10:46:59    

moi ça m'était arrivé avec un proxy que j'avais configuré avec les pieds (analogX)
 

Reply

Marsh Posté le 24-08-2005 à 11:44:26    

Toujours pas d'amélioration. Le fichier update32.pif a disparu. Aucun antivirus ne détecte quoi que ce soit, si ce n'est AVG qui scanne chaque email qui part de chez moi. La plupart d'entre eux reviennent d'ailleurs puisque le destinataire n'a pas été trouvé.
 
Je commence à en avoir marre...
 
Le proxy n'a pas été modifié depuis belle lurette. J'ai un réseau Wifi avec routeur Peabird connecté à un modem ethernet Bewan. Je n'ai jamais modifié la config depuis l'installation il y a un an.  
 
Quelqu'un a-t-il une idée ?

Reply

Marsh Posté le 24-08-2005 à 11:46:50    

Poste ton dernier log HijackThis pour voir.

Reply

Marsh Posté le 24-08-2005 à 11:55:25    

Le dernier Log fait toujours apparaître ce Update32.pif. Je viens de nettoyer la base de registre de cette entrée. Je suis dans l'attente.
 
Voici le dernier fichier Log de Hijackthis.
 
Logfile of HijackThis v1.99.1
Scan saved at 11:51:16, on 24/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\WLAN CARD\WLANmon.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Temp\thunderbird\thunderbird.exe
C:\Program Files\QuickZip\QuickZip.exe
C:\DOCUME~1\GROSSH~1\LOCALS~1\Temp\QZTEMP\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WLAN CARD WLAN Monitor] C:\Program Files\WLAN CARD\WLANmon.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] DSLAGENT.EXE USB
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows Update Service] update32.pif
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Sygate Personal Firewall Start] servic.exe
O4 - HKLM\..\RunServices: [Windows Update Service] update32.pif
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/ [...] scan60.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2795636703
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/ [...] cfscan.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe (file missing)
 

Reply

Marsh Posté le 24-08-2005 à 11:57:39    

Comprends pas. Il y a toujours ce Update32.pif qui est incinnu et retiré de ma base de registre. D'où vient-il ?

Reply

Marsh Posté le 24-08-2005 à 12:06:12    

Tu as bien fixé les deux lignes concernant ce .pif ?
 
Par contre, tu as celle-ci qui n'est pas très catholique :
O4 - HKLM\..\RunServices: [Sygate Personal Firewall Start] servic.exe
http://www.sygate.com/alerts/SSR20041015-0001.htm

Reply

Marsh Posté le 24-08-2005 à 12:08:19    

Tue internat.exe dans le gestionnaire des tâches puis restaure la version originale depuis ton CD XP :
http://securityresponse.symantec.c [...] tex.a.html
--> plus d'autres détails à vérifier.
 
Tu as bien désactivé la resto système avant de fixer + booter en sans échec ?
 
Sinon, c'est pas bien d'avoir 2 antivirus en tâches de fond.


Message édité par wackevat le 24-08-2005 à 12:09:33
Reply

Marsh Posté le 24-08-2005 à 12:11:44    

Désactive l'accès au registre à distance (dans les services) si tu ne t'en sers pas.

Reply

Marsh Posté le 24-08-2005 à 12:26:07    

Attention, j'ai Windows 2000.
 
Il y a 2 antivirus parceque AVG ne trouvait rien, alors j'ai ajouté AntiVir, pour voir... Je vais le retirer, il n'a rien trouvé non plus.
 
Plus d'email envoyés depuis que les clés Update32.pif ont été retirées. Etait-ce la solution ?
 
Mais je ne comprends toujours pas pourquoi HiJackThis en fait toujours mention... Quelqu'un sait ?
 
Je vire aussi ce servic.exe. Effectivement, ton lien semble montrer que ce n'est rien de très catholique !
 
Merci pour votre aide à tous !

Reply

Marsh Posté le 24-08-2005 à 12:37:23    

D'après HiJackThis, tout semble en ordre maintenant. Plus d'emails envoyés.  
 
Merci beaucoup pour votre aide. C'est vraiment le forum le plus complet et sympa. A bientôt !

Reply

Marsh Posté le 24-08-2005 à 13:52:11    

C'&tait W32/Rbot-ALC
 
 
http://www.sophos.com/virusinfo/an [...] otalc.html
 
Voir dans "Advanced"


Message édité par ilien83 le 24-08-2005 à 13:59:49
Reply

Marsh Posté le 25-08-2005 à 14:48:19    

Exact, tu as raison. La rubrique fait mention de patch disponibles sur le site Microsoft. Je vais voir.
 
Merci du renseignement, Ilien83.

Reply

Marsh Posté le 25-08-2005 à 14:52:07    

Vérification faite, les 2 patchs sécurité mentionnés sont déjà installés sur ma machine. Curieux, ils ne semblaient pas efficaces.
 
M'enfin, tout étant règlé, je ne vais pas chercher plus loin. Ciao !

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed