Ordinateur utilisé pour spammer massivement

Ordinateur utilisé pour spammer massivement - Sécurité - Windows & Software

Marsh Posté le 06-11-2008 à 18:19:04    

Bonjour, j'ai été appelé par une personne pour résoudre un probème, son PC XP SP2 a jour a été utilisé par un ver ou virus pour envoyer des milliers de spam, suite à cela elle a reçu un mail d'Orange la menaçant de lui clôturer son abonnement. Autant préciser de suite que c'est une dame d'un certain age a qui je donne des cours d'info pour débutant et qu'elle n'est donc pas à l'origine de la chose :)
Avec Avast et Spybot j'ai pue éliminer certains nuisibles en espérant qu'ils en étaient bien la cause. Aucun port ouvert visible depuis l'extérieur. Firewall de base d'XP SP2 activé. Avast résident.
Elle me dit ne rien avoir téléchargé ni cliqué sur une pièce jointe ou autre menace.
Depuis 2 jours elle a reçu plus de 10000 retours d'email pour adresse invalide ce qui me laisse penser que son ordi a bien due en envoyer 100 fois plus. Même son adresse secondaire qui n'est pas par "défaut" a été utilisée !
Bien sûr elle utilise des applications plutôt vulnérable à la chose : OE et Incrédimail.
Une telle infection de cette ampleur peut-elle se faire si facilement ?  :heink:  :heink:  
Un firewall qui filtres les données sortante devrait-il la protéger pour l'avenir ? je crains d'avoir du mal à lui faire utiliser un tel logiciel, s'il est possible de faire sans ça serait mieux. Trop difficile de lui faire lache son Incredimal aussi, j'ai déjà essayé...
Merci d'avance pour vos conseils.


Message édité par vigri le 06-11-2008 à 18:20:06
Reply

Marsh Posté le 06-11-2008 à 18:19:04   

Reply

Marsh Posté le 06-11-2008 à 20:42:04    

Son pc a été zombifié, c'est tout :o Commence par virer Avast qui est une passoire et met un vrai antivirus genre Antivir ou AVG ainsi qu'un bon antimalware (Malwarebyte's par exemple), puis scan en mode sans echec ou mieux depuis un live-cd . Vu qu'il y a une chance que le trojan soit un dropper rootkité le mieux serait de réinstaller proprement son XP..


---------------
Yo momma so fat, a Lorentz contraction wouldn't have any effect ever!
Reply

Marsh Posté le 07-11-2008 à 19:07:30    

Tu comprendra que si elle peut éviter de ré-installer XP avec tout ce que comporte une ré-install je pense et espère qu'on peut éviter ça !
 
Je me demande surtout si un firewall comme Zone alarm n'empêcherai pas ces emails de sortir, c'est ma question prioritaire.
C'est grave car elle reçois encore des milliers de bounce donc trois jour après, j'ai mis ça sur le compte des serveurs qui mettent pour certains plus de temps à répondre, mais selon elle elle les recevrai par ordre alphabétique ce qui me laisserai penser que son ordi envoie lettre par lettre A puis B etc. donc qu'il enverrai toujours !
Sinon le temps de résoudre le pb je pense qu'un blocage du port smtp s'impose (si c'est effectivement suffisant), je crois que de petits logiciels permettent ça ? elle utilisera le webmail en attendant.
Merci pour toute aide supplémentaire !

Reply

Marsh Posté le 08-11-2008 à 12:23:48    

Si tu préfères traiter les conséquences plutôt que la cause comme tu veux hin [:boidleau]  
 
J'me quote:
 

Citation :

Commence par virer Avast qui est une passoire et met un vrai antivirus genre Antivir ou AVG ainsi qu'un bon antimalware (Malwarebyte's par exemple), puis scan en mode sans echec ou mieux depuis un live-cd


 
Ce qui devrait suffire mais sait-on jamais.


---------------
Yo momma so fat, a Lorentz contraction wouldn't have any effect ever!
Reply

Marsh Posté le 08-11-2008 à 17:42:14    

Pour Avast tu a peut-être un peu raison, quelques renseignement pris il semblerait qu'il soit passé du "meilleurs antivirus gratuit" à....plus trop ça quoi. Je l'utilise aussi je vais voir quoi nous conseiller merci.
Pour la ré-install j'ai tjr mis en garde mon entourage contre les dépanneurs qui se contentaient de facturer un formatage et ré-install de windows, ce qui est la solution de facilité (pour le dit dépanneur seulement malheureusement).
La personne viens de se faire couper son adresse principale, en attendant qu'on lui coupe tout...
Merci quand même pour ta réponse et dommage que les 83 curieux qui ont lu le fil n'ai pas eu d'idée.
Je la dépanne maintenant par tel (elle est loin) j'ai fini à 3H du mat lorsque je me suis déplacé en urgence l'autre soir, on va essayer d'éviter une ré-install de windows et de tous ses logiciels et paramétrages.

Reply

Marsh Posté le 10-11-2008 à 16:22:59    

Pour le firewall ca ce tente (bien que je pense que le mal est fait au niveau du fai ).
 
Pour une bonne sécurité, il faut utiliser un compte invité (sans droit d'installation) plus un antivirus et un parefeu.
 
 
 

Citation :

 Pour la ré-install j'ai tjr mis en garde mon entourage contre les dépanneurs qui se contentaient de facturer un formatage et ré-install de windows, ce qui est la solution de facilité (pour le dit dépanneur seulement malheureusement).  


 
Sauf que si je veux présenter un facture raisonnable à un client, j ai pas beaucoup d'autre solution. Si tu rajoute les dégâts qu'occasionnent virus, dans la plus part des cas c'est :  
 
- sauvegarde du dossier documents and setttings
- formatage, réinstallation, mise a jour, réinstallation des programmes originaux fournis par le client.
- remise en place de documents & settings.
 
Ensuite un réinstallation simple c'est 45 €
un ré installation avec sauvegarde 60 €
 
Dans le cas ou il faut deverminer sans réinstaller c'est 100€ plus 10€ / heure au delas de 2 jours.
 
Mes atrifs sont affichés, les clients choisissent ce qu'ils sont prêt a payer.
 
 


---------------
www.mrbroderie.fr
Reply

Marsh Posté le 11-11-2008 à 17:59:45    

azawa a écrit :

Pour le firewall ca ce tente (bien que je pense que le mal est fait au niveau du fai ).
 
Pour une bonne sécurité, il faut utiliser un compte invité (sans droit d'installation) plus un antivirus et un parefeu.
 
 
 

Citation :

 Pour la ré-install j'ai tjr mis en garde mon entourage contre les dépanneurs qui se contentaient de facturer un formatage et ré-install de windows, ce qui est la solution de facilité (pour le dit dépanneur seulement malheureusement).  


 
Sauf que si je veux présenter un facture raisonnable à un client, j ai pas beaucoup d'autre solution. Si tu rajoute les dégâts qu'occasionnent virus, dans la plus part des cas c'est :  
 
- sauvegarde du dossier documents and setttings
- formatage, réinstallation, mise a jour, réinstallation des programmes originaux fournis par le client.
- remise en place de documents & settings.
 
Ensuite un réinstallation simple c'est 45 €
un ré installation avec sauvegarde 60 €
 
Dans le cas ou il faut deverminer sans réinstaller c'est 100€ plus 10€ / heure au delas de 2 jours.
 
Mes atrifs sont affichés, les clients choisissent ce qu'ils sont prêt a payer.
 
 


 
Merci pour ta réponse, j'aimerai avoir ton avis sur une chose, elle dispose d'une assistance payante chez Orange, cette assistance viens d'intervenir par prise de controle a distance jusque là tout va bien, mais il lui a tout simplement supprimé tout son incredimail ; elle a demandé a garder ses messages mais ce dernier les a aussi supprimé lui disant que c'était l'unique solution...
Pour info, le gars savait qu'elle louai 3 locations de vacances et qu'elle était en contact avec de nombreuses personnes et que sa boite et ses emails lui sont indispensable.
Je vais voir à lui ré-installer XP sur un disque neuf et garder l'actuel en disque externe pour récupérer certaines données puis servir de backup.

Reply

Marsh Posté le 12-11-2008 à 10:47:02    

Les assistance des fai n'ont pas une trés bonne réputation.
 
Si les messages sont effacée, j ai peur que ca soit trop tard, mais dans le cas présent y avait-il une autre solution ?  Pas sur !
 
Vu le problème je pense que la ré installation va être la seule solution, par contre je sortirais de son disque les données importantes sur papier (adresse des locataires, mails de confirmation) et je ferais un formatage de bas niveau via ubcd avant de ré installer windows en le sécurisant comme il faut (compte invité + antivirus + firewall)
 
Conserver l'ancien disque tel quel présente a mon avis trop de risque sauf si tu arrive trouver le coupable.
 
Pour sont utilisation je lui conseillerais d'utiliser 2 ou 3 adresses différentes et de ne passer que par du webmail.
 


Message édité par azawa le 12-11-2008 à 10:54:14

---------------
www.mrbroderie.fr
Reply

Marsh Posté le 12-11-2008 à 17:24:11    

Pense tu que la restauration système n'emglobe pas ce genre de fichiers ?? tu me fait douter d'un coup !
De même tu n'évoque pas la restauration de donnée donc je pense que tu est plutôt passé à côté de la question.
J'ai ma propre réponse la dessus, selon moi le fait d'effacer tous ses messages ne va pas résoudre le pb, le vers/virus peut être tjr actif car forcément il est aller se loger ailleurs. Tout supprimer pourrait "servir" à la rigueur si le virus était éradiqué et qu'elle retournait dans ses anciens spam se débrouiller à le ré-activer (si en plus il est vraiment là) autant dire qu'il faut le faire...dans ce cas supprimer les emails reçu au jour de l'infection suffirait.
Le disque dur va être conservé tel quel mais en second disque, donc l'OS présent non actif, tout comme s'il y a des milliers de virus, aucun ne sera actif, elle ira tranquillement piocher des jpg, txt, doc et autres pour les rapatrier sur le neuf en passant à l'AV. Je vais peut-être lui mettre Antivir en version payante pour avoir le smtp et pop compris car bien sur pas question d'utiliser le webmail, elle n'est pas nomade je n'ai pas à lui infliger ce supplice je vois que tu a oublié ce qu'était le webmail, mais il est vrai que d'un cerain point de vue si la planête entière utilise le webmail sauf soit même ce serait le paradis...certains dirons que c'est aussi valable pour les vaccins et la capote...
Soyons sérieux, tout effacer préserve a coup sûr les autres, mais il y a d'autres alternatives pour ne pas subir les désagrément d'un effacement.  
Son adresse est ultra spammée (présente en clair sur des sites de locations) elle repart avec une nouvelle adresse et les consignes élémentaire d'utilisation et divulgation.
Si j'ai un conseil a donner à ceux dans la même situation, c'est de ne pas se presser, on peut ré-installer proprement sur un nouveau disque puis prendre le temps de reflexion pour savoir ce qui pose un risque ou pas d'être récupéré/effacé sur l'ancien disque infecté, mais dire de suite oui à une proposition trop radicale peut faire regretter par la suite.

Reply

Marsh Posté le 12-11-2008 à 20:29:55    

Citation :

Le disque dur va être conservé tel quel mais en second disque, donc l'OS présent non actif, tout comme s'il y a des milliers de virus, aucun ne sera actif, elle ira tranquillement piocher des jpg, txt, doc et autres pour les rapatrier sur le neuf en passant à l'AV  


 
Je crains la catastrophe, surtout que tu ne sais pas ce qui a été infecté ( tout les types de fichiers que tu cite sont potentiellement vecteur de virus via macro etc) il va te falloir une confiance aveugle en l antivirus (je ne connais aucun antivirus fiable a 100%)
 
Si il y a un autorun sur le disque le moindre accès va déclencher l'infection (un peu comme adober.exe  sur les clé usb)
 
 

Citation :

pas question d'utiliser le webmail, elle n'est pas nomade je n'ai pas à lui infliger ce supplice je vois que tu a oublié ce qu'était le webmail,


 
Ce que j'appelle webmail, c'est l'accès aux adresses par le site du fournisseur, je n'ai pas oublié je n'utilise que ca !  
Comme ca je ne rapatrie pas les spam ni les pièce jointe sur mon pc, je doit lancer outlook moins d'une fois par mois, juste pour rapatrier les mail hyper important, que je me transfère via une adresse dédié à ca et uniquement à ca.
 

Citation :

 Si j'ai un conseil a donner à ceux dans la même situation, c'est de ne pas se presser, on peut ré-installer proprement sur un nouveau disque puis prendre le temps de reflexion pour savoir ce qui pose un risque ou pas d'être récupéré/effacé sur l'ancien disque infecté, mais dire de suite oui à une proposition trop radicale peut faire regretter par la suite.


 
Vu l'ampleur du problème tout fichier sur ce disque comporte un risque majeur.
 

Citation :

Pense tu que la restauration système n'emglobe pas ce genre de fichiers ?


 
La restauration système, sous xp , m'englobe que les fichiers système, pour les document effacés, il va falloir passer par recuva (gratuit) ou getdataback (payant), si le pc a continué d'être utilisé, il ne va pas être possible de retrouver grand chose.
 
 
ce que je ferais :
 
- débrancher le pc d'internet
- imprimer sur papier tout ce qui est mail de confirmation, adresse et nom des contacts etc
- si il en manque recuva et/ou getdataback
- formatage bas niveau via un des utilitaire présent sur ultimate boot cd
- installation d'xp
- installation anti virus et firewall
- mot de passe sur le compte crée (qui est administrateur de fait)
- connexion au web  
- mise a jour antivirus
- mise à jour xp
- installation des logiciels
- création d'un compte invité (limité donc sans possibilité d'installer)
- démarrage automatique sur le compte invité via control userpasswords2  
- retaper les les contact.
 
tu peux (en étant conscient des risques encourus )
 
- démarrer sur le windows verminé windows, partager tout le  disque en autorisant la modification des fichiers, le débrancher  
 
- faire toute ma  procédure d'installation sur un disque neuf en faisant l'installation de recuva et/ou getdataback
 
- brancher l'ancien disque lorsque tu est sous le compte invité
- faire un scan antivirus sur tout l'ancien disuqe puis sur tout le pc (ancien et nouveau disque)
- récupérer les anciens documents en espérant qu'il n'y en a pas un de verminé qui n'échappe à l'antivirus
- formater l'ancien disque (formatage de bas niveau pour être sur de bien éradiquer le problème)  
- faire ce que tu veux de l'ancien disque (sauvegarde)
 
 
Pour l'utilisation future du pc et des adresses mail
 
- Si tu veux configurer le firewall, c'est simple lance tous les programme ayant besoin d'un accés internet, autorise les, il ne devrait rien demander à l'utilisateur.
- Le compte limité, associé a un antivirus et un firewall, devrait éviter que ce pc soit réinfecté.
- si les adresses mail sont en clair (!) sur des sites de location, elles seront quasi immédiatement pourries de spam.
 
 
 


---------------
www.mrbroderie.fr
Reply

Marsh Posté le 12-11-2008 à 20:29:55   

Reply

Marsh Posté le 12-11-2008 à 22:23:10    

Je te remercie du temps que tu passe a me conseiller mais permet moi de te dire que selon moi les 3/4 de tes recommandations ne tiennent pas la route, et tu rejoint un peu le comportement d'Orange (et pleins d'autres) a mettre toutes les menaces sur le même pied d'égalité. Pour les virus macro je ne pense pas qu'il soient les plus dangereux, et les antivirus existent de toute façon. Elle a crée de nombreux documents, elle pourrait être écrivaine de best seller la solution serait de tout supprimer ! restont sérieux. Tu peut aussi me dire qu'elle efface toutes ses photos numérique de famille sous pretexte qu'un virus se soit logé dans l'une d'entre elle, et oui c'est possible bien qu'inactif bien sur mais peut être activé par un autre module qui lui ne serait pas detecté par un AV... Donc que tout le monde supprime ses photos...Restons sérieux.
Pour un éventuel autorun je pensais pas qu'un virus pourraient supposer qu'on en vienne a brancher le disque en externe par la suite...mais bon dans le doute je regarderai à la racine si je vois un autorun.inf, ça me prendra 3s, pas de quoi tout supprimer encore une fois.
Pour le webmail on parle bien de la même chose. Elle doit bien utiliser pop et smtp depuis 5 ans, me concernant c'est depuis presque 10 ans et je vois pas comment je pourrai revenir en arrière, pourquoi pas aol tant qu'on y est...bon c'était pour la parenthèse humour :)
Pour la restauration système j'ai des doute moi aussi, mais une fois il m'a restauré bien plus de fichiers que les fichiers système d'où mon espoir que ça puisse être bon. Sinon j'ai bien GDB version fat et ntfs mais aussi easy recovery. Elle a besoin d'utiliser son ordi, je lui ai juste dit d'éviter de surfer et de bien sur rien télécharger, mais je sais que rien que le fichier swap peut rendre certaines donnée non récupérable, je dois y aller vendredi si déjà elle récupère son dossier "emails envoyés" ça serait l'idéal. Son disque a bcp de place libre, pas de defrag planifié ni de p2p en route.
Pour le compte limité il y a du bon mais il y a aussi bcp de contraintes, je veux bien faire ça pour ma mère mais pour une personne tierce qui sera gênée pour différente taches dont l'install de new applic je veux pas me lancer la dedans pour avoir des reproche par la suite. Je vais la laisser en admin comme le sont la plupart des XP individuels et bien la briefer sur les règles a respecter même si elle en connait déjà pas mal.
Je tire de ce thread qu'il faut que je lui mettre autre chose qu'Avast qui en effet n'est plus ce qu'il était ; bonne soirée :jap:

Reply

Marsh Posté le 13-11-2008 à 11:45:41    

Citation :

 permet moi de te dire que selon moi les 3/4 de tes recommandations ne tiennent pas la route,


 
Je me le garderasi donc
 
 


---------------
www.mrbroderie.fr
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed