Outlook express envoi des mails tout seul? infecté?

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Outlook express envoi des mails tout seul? infecté?

Messagepar OKSIRISM » 05 Mar 2010 10:22

Bonjour à tous,

Je viens vers vous car j'ai un soucis, mon ordinateur au travail, envoi des mails tout seul, par exemple hier soir à 19h30 ( je n'étais plus là...) il a envoyé un mail à la plupart de mes contacts "concernant les problèmes d'éjaculation précoce"... imaginez si ça tombe dans les mails de mon boss....

J'ai lancé Malwarebytes pour voir...

et ci-dessous le rapport

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3825
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/03/2010 10:08:16
mbam-log-2010-03-05 (10-08-12).txt

Type de recherche: Examen rapide
Eléments examinés: 323433
Temps écoulé: 29 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 21
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 5
Fichier(s) infecté(s): 19

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Program Files\ecobar\ecobar.dll (Adware.Ecobar) -> No action taken.
C:\Program Files\ecobar\tbhelper.dll (Adware.Ecobar) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\TypeLib\{65dcd8fe-a6f4-47b5-a5bd-13952364defc} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f55c26ae-bdb0-4cc3-ba4e-ba5a0806438e} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f6bb6a9a-e77b-4d5b-82d0-15ffb881e963} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{59382727-9048-6123-1523-597264847187} (Adware.Ecobar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{59382727-9048-6123-1523-597264847187} (Adware.Ecobar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{59382727-9048-6123-1523-597264847187} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c23d0d6a-8cba-4b33-9735-47d81f5b2b85} (Adware.Ecobar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c23d0d6a-8cba-4b33-9735-47d81f5b2b85} (Adware.Ecobar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{c23d0d6a-8cba-4b33-9735-47d81f5b2b85} (Adware.Ecobar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c23d0d6a-8cba-4b33-9735-47d81f5b2b85} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\tbsb07286.ietoolbar (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\tbsb07286.ietoolbar.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\tbsb07286.tbsb07286 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\tbsb07286.tbsb07286.3 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\toolbar3.tbsb07286 (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\toolbar3.tbsb07286.1 (Adware.Ecobar) -> No action taken.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\TBSB07286.TBSB07286Toolbar (Adware.Ecobar) -> No action taken.
HKEY_CURRENT_USER\Software\TBSB07286 (Adware.Ecobar) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{59382727-9048-6123-1523-597264847187} (Adware.Ecobar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{59382727-9048-6123-1523-597264847187} (Adware.Ecobar) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\ecobar (Adware.Ecobar) -> No action taken.
C:\sysmon\pjtok85520 (Trojan.Downloader) -> No action taken.
C:\sysmon\dwhd23007 (Trojan.Downloader) -> No action taken.
C:\sysmon\ewid24107 (Trojan.Downloader) -> No action taken.
C:\sysmon\flvdirect (Adware.Dropper) -> No action taken.

Fichier(s) infecté(s):
C:\Documents and Settings\Chantal\Local Settings\Application Data\wogwng_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Chantal\Local Settings\Application Data\wogwng_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Chantal\Local Settings\Application Data\wogwng.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Chantal\Local Settings\Application Data\wogwng.exe (Adware.Navipromo.H) -> No action taken.
C:\Program Files\ecobar\ecobar.dll (Adware.Ecobar) -> No action taken.
C:\Program Files\ecobar\tbhelper.dll (Adware.Ecobar) -> No action taken.
C:\Documents and Settings\Chantal\Local Settings\Temporary Internet Files\Content.IE5\EX5QRY1W\Speed-Downloading_setup[1].exe (Adware.NaviPromo) -> No action taken.
C:\Program Files\ecobar\basis.xml (Adware.Ecobar) -> No action taken.
C:\Program Files\ecobar\ecobar.crc (Adware.Ecobar) -> No action taken.
C:\Program Files\ecobar\icons.bmp (Adware.Ecobar) -> No action taken.
C:\Program Files\ecobar\info.txt (Adware.Ecobar) -> No action taken.
C:\Program Files\ecobar\uninstall.exe (Adware.Ecobar) -> No action taken.
C:\Program Files\ecobar\version.txt (Adware.Ecobar) -> No action taken.
C:\Program Files\ecobar\your_logo.png (Adware.Ecobar) -> No action taken.
C:\sysmon\pjtok85520\kdiue732.txt (Trojan.Downloader) -> No action taken.
C:\sysmon\dwhd23007\kdiue732.txt (Trojan.Downloader) -> No action taken.
C:\sysmon\ewid24107\kdiue732.txt (Trojan.Downloader) -> No action taken.
C:\sysmon\ewid24107\qxjd6622.exe (Trojan.Downloader) -> No action taken.
C:\sysmon\flvdirect\nirni74428.exe (Adware.Dropper) -> No action taken.


Qu'en pensez vous ??

Merci d'avance
OKSIRISM
 
Messages: 19
Inscription: 05 Mar 2010 10:20

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar Falkra » 05 Mar 2010 11:43

Bonjour,

si MBAM marque No action taken c'est que tu n'as pas demandé à supprimer ce qui a été trouvé.

Mets à jour et relance la recherche, n'oublie pas les dernières étapes.

  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide"
  • Clique sur "Rechercher"
  • L'analyse démarre.
  • A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. ;-)
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

NB : Si MBAM te demande à redémarrer, fais-le.
Pour récupérer le rapport de MBAM si tu as redémarré un peu vite, démarre MBAM et va dans l'onglet log/rapports, tu pourras double cliquer dessus (ils sont datés) pour le poster.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar OKSIRISM » 05 Mar 2010 12:30

merci beaucoup pour ta réponse,

ci-joint le rapport

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3825
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/03/2010 12:29:43
mbam-log-2010-03-05 (12-29-43).txt

Type de recherche: Examen rapide
Eléments examinés: 323977
Temps écoulé: 33 minute(s), 32 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 21
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 5
Fichier(s) infecté(s): 19

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Program Files\ecobar\ecobar.dll (Trojan.BHO) -> Delete on reboot.
C:\Program Files\ecobar\tbhelper.dll (Adware.Ecobar) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\tbsb07286.ietoolbar (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{65dcd8fe-a6f4-47b5-a5bd-13952364defc} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f55c26ae-bdb0-4cc3-ba4e-ba5a0806438e} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f6bb6a9a-e77b-4d5b-82d0-15ffb881e963} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{59382727-9048-6123-1523-597264847187} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{59382727-9048-6123-1523-597264847187} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{59382727-9048-6123-1523-597264847187} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c23d0d6a-8cba-4b33-9735-47d81f5b2b85} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c23d0d6a-8cba-4b33-9735-47d81f5b2b85} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{c23d0d6a-8cba-4b33-9735-47d81f5b2b85} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c23d0d6a-8cba-4b33-9735-47d81f5b2b85} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\tbsb07286.ietoolbar.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\tbsb07286.tbsb07286 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\tbsb07286.tbsb07286.3 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolbar3.tbsb07286 (Adware.Ecobar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolbar3.tbsb07286.1 (Adware.Ecobar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.Ecobar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.Ecobar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\TBSB07286.TBSB07286Toolbar (Adware.Ecobar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\TBSB07286 (Adware.Ecobar) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{59382727-9048-6123-1523-597264847187} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{59382727-9048-6123-1523-597264847187} (Trojan.BHO) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\ecobar (Adware.Ecobar) -> Delete on reboot.
C:\sysmon\pjtok85520 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\sysmon\dwhd23007 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\sysmon\ewid24107 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\sysmon\flvdirect (Adware.Dropper) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\Chantal\Local Settings\Application Data\wogwng_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chantal\Local Settings\Application Data\wogwng_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chantal\Local Settings\Application Data\wogwng.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chantal\Local Settings\Application Data\wogwng.exe (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Program Files\ecobar\ecobar.dll (Trojan.BHO) -> Delete on reboot.
C:\Documents and Settings\Chantal\Local Settings\Temporary Internet Files\Content.IE5\EX5QRY1W\Speed-Downloading_setup[1].exe (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\Program Files\ecobar\basis.xml (Adware.Ecobar) -> Quarantined and deleted successfully.
C:\Program Files\ecobar\ecobar.crc (Adware.Ecobar) -> Quarantined and deleted successfully.
C:\Program Files\ecobar\icons.bmp (Adware.Ecobar) -> Quarantined and deleted successfully.
C:\Program Files\ecobar\info.txt (Adware.Ecobar) -> Quarantined and deleted successfully.
C:\Program Files\ecobar\tbhelper.dll (Adware.Ecobar) -> Delete on reboot.
C:\Program Files\ecobar\uninstall.exe (Adware.Ecobar) -> Quarantined and deleted successfully.
C:\Program Files\ecobar\version.txt (Adware.Ecobar) -> Quarantined and deleted successfully.
C:\Program Files\ecobar\your_logo.png (Adware.Ecobar) -> Quarantined and deleted successfully.
C:\sysmon\pjtok85520\kdiue732.txt (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\sysmon\dwhd23007\kdiue732.txt (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\sysmon\ewid24107\kdiue732.txt (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\sysmon\ewid24107\qxjd6622.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\sysmon\flvdirect\nirni74428.exe (Adware.Dropper) -> Quarantined and deleted successfully.
OKSIRISM
 
Messages: 19
Inscription: 05 Mar 2010 10:20

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar Falkra » 05 Mar 2010 14:44

Ok, parfait, redémarre si ça n'a pas été fait après MBAM, et poste un nouveau rapport HijackThis stp.
Clique sur ce lien pour télécharger HijackThis 2.0.2 :
http://www.trendsecure.com/portal/en-US ... ckThis.exe
Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

Double-clique sur l'icône HijackThis :
Image

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).
Clique dessus.

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar OKSIRISM » 05 Mar 2010 14:50

ci-joint rapport hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:50:04, on 05/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ADELIWS\Adelrun\Win32\mwdaemon.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\ADELIWS\Adelrun\Win32\MWBOOT.EXE
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
c:\har\sys\xmu.exe
c:\har\sys\xservices.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Program Files\IdLog\Client\Obj\MENUG.exe
C:\Program Files\IdLog\Client\Obj\UTMG01.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\audrey.esnault\Local Settings\Temporary Internet Files\Content.IE5\1K30XOKB\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [MS-RAD3] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad1\radF53.vbs
O4 - HKLM\..\Run: [MS-RAD1] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad0\rad0E5.vbs
O4 - HKLM\..\Run: [MS-RADF] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad8\rad0B8.vbs
O4 - HKLM\..\Run: [MS-RADB] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad0\rad3B6.vbs
O4 - HKLM\..\Run: [MS-RAD8] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad9\rad987.vbs
O4 - HKLM\..\Run: [MS-RADD] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad8\rad458.vbs
O4 - HKLM\..\Run: [MS-RAD7] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad9\rad3B4.vbs
O4 - HKLM\..\Run: [MS-RAD5] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad5\rad8A1.vbs
O4 - HKLM\..\Run: [MS-RADC] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad2\radD3A.vbs
O4 - HKLM\..\Run: [MS-RAD2] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad2\radA78.vbs
O4 - HKLM\..\Run: [MS-RAD9] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\radb\rad139.vbs
O4 - HKLM\..\Run: [MS-RAD6] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad8\rad84A.vbs
O4 - HKLM\..\Run: [MS-RAD0] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\radd\rad1DB.vbs
O4 - HKLM\..\Run: [MS-RAD4] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad5\radDA9.vbs
O4 - HKLM\..\Run: [MS-RADE] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\radb\rad332.vbs
O4 - HKLM\..\Run: [MS-RADA] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\radd\rad9FD.vbs
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: MajIdLog.lnk = InstallIdLog\MajIdLog.bat
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = barral-traiteur.local
O17 - HKLM\Software\..\Telephony: DomainName = barral-traiteur.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = barral-traiteur.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = barral-traiteur.local
O23 - Service: Adelia - Middleware (AdeliaDaemon) - Unknown owner - C:\ADELIWS\Adelrun\Win32\mwdaemon.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Divalto XMU Version 5.4 (xmu) - Interlogiciel - c:\har\sys\xmu.exe
O23 - Service: Divalto services Diva version 5 (xservices) - Interlogiciel - c:\har\sys\xservices.exe

--
End of file - 9687 bytes
OKSIRISM
 
Messages: 19
Inscription: 05 Mar 2010 10:20

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar Falkra » 05 Mar 2010 14:59

dLog et Adelia, ce sont des programmes à toi ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar OKSIRISM » 05 Mar 2010 15:04

id log oui, c'est le logiciel de ma société. Adelia, je ne sais pas ce que c'est
OKSIRISM
 
Messages: 19
Inscription: 05 Mar 2010 10:20

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar Falkra » 05 Mar 2010 15:05

Ceci ne te dit rien ?
C:\ADELIWS\Adelrun\Win32\mwdaemon.exe
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar OKSIRISM » 05 Mar 2010 15:07

non je ne sais pas ce que c'est
OKSIRISM
 
Messages: 19
Inscription: 05 Mar 2010 10:20

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar Falkra » 05 Mar 2010 15:12

Rends toi sur ce lien : Virus Total
  • Clique sur le bouton Parcourir...
  • Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves :
    C:\ADELIWS\Adelrun\Win32mwdaemon.exe
  • Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  • Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : Image
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar OKSIRISM » 05 Mar 2010 16:25

Fichier mwdaemon.exe reçu le 2010.03.05 15:23:32 (UTC)Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.03.05 -
AhnLab-V3 5.0.0.2 2010.03.05 -
AntiVir 8.2.1.180 2010.03.05 -
Antiy-AVL 2.0.3.7 2010.03.05 -
Authentium 5.2.0.5 2010.03.05 -
Avast 4.8.1351.0 2010.03.05 -
Avast5 5.0.332.0 2010.03.05 -
AVG 9.0.0.730 2010.03.05 -
BitDefender 7.2 2010.03.05 -
CAT-QuickHeal 10.00 2010.03.05 -
ClamAV 0.96.0.0-git 2010.03.05 -
Comodo 4091 2010.02.28 -
DrWeb 5.0.1.12222 2010.03.05 -
eSafe 7.0.17.0 2010.03.04 -
eTrust-Vet 35.2.7341 2010.03.05 -
F-Prot 4.5.1.85 2010.03.04 -
F-Secure 9.0.15370.0 2010.03.05 -
Fortinet 4.0.14.0 2010.03.04 -
GData 19 2010.03.05 -
Ikarus T3.1.1.80.0 2010.03.05 -
Jiangmin 13.0.900 2010.03.05 -
K7AntiVirus 7.10.990 2010.03.04 -
Kaspersky 7.0.0.125 2010.03.05 -
McAfee 5910 2010.03.04 -
McAfee+Artemis 5910 2010.03.04 -
McAfee-GW-Edition 6.8.5 2010.03.05 -
Microsoft 1.5502 2010.03.05 -
NOD32 4918 2010.03.05 -
Norman 6.04.08 2010.03.05 -
nProtect 2009.1.8.0 2010.03.05 -
Panda 10.0.2.2 2010.03.04 -
PCTools 7.0.3.5 2010.03.04 -
Rising 22.37.04.04 2010.03.05 -
Sophos 4.51.0 2010.03.05 -
Sunbelt 5759 2010.03.05 -
Symantec 20091.2.0.41 2010.03.05 -
TheHacker 6.5.1.7.221 2010.03.05 -
TrendMicro 9.120.0.1004 2010.03.05 -
VBA32 3.12.12.2 2010.03.05 -
ViRobot 2010.3.5.2214 2010.03.05 -
VirusBuster 5.0.27.0 2010.03.05 -

Information additionnelle
File size: 28737 bytes
MD5...: 2b121c2e20b5534977427e38c8a90b52
SHA1..: 76606abd94f17aa9c9a44404c506e8bd48784dbd
SHA256: c4a61a07c28f5baa1700cd9ce9906410f0ca7e61693317d29e9c28f6a5a00750
ssdeep: 384:UMswNS3vJ8qCuUFx0MhvTq4sSyWtMKDHNMKDbC:UMsiS3vJ8qCugxnRhDFRN<BR>PC<BR>
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x2924<BR>timedatestamp.....: 0x441b0243 (Fri Mar 17 18:38:59 2006)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 5 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x1af0 0x2000 5.34 103faa51c2664b7beff63ebb5ac2a547<BR>.rdata 0x3000 0x845 0x1000 3.03 e93e6b3fa198c0c3cd84e7340326f1c9<BR>.data 0x4000 0xb3c 0x1000 3.57 cfe1609450ef66bf28691df86e58991b<BR>.SegPart 0x5000 0x5c8 0x1000 0.14 a30bd92e921d9f4e1b4a3a65b37c5a26<BR>.rsrc 0x6000 0xf08 0x1000 3.58 41e9d797c5813150d9f14282a5ece4dd<BR><BR>( 6 imports ) <BR>&gt; KERNEL32.dll: lstrlenA, SetThreadPriority, ExitProcess, SetConsoleCtrlHandler, GetModuleFileNameA, Sleep, OpenProcess, GetLastError, FormatMessageA, LocalFree, GetCurrentProcess, DuplicateHandle, GetExitCodeProcess, TerminateProcess, CloseHandle, AllocConsole, GetTickCount, CreateProcessA, GetCurrentThread<BR>&gt; USER32.dll: WaitForInputIdle, CharToOemA<BR>&gt; ADVAPI32.dll: DeleteService, RegCreateKeyA, RegSetValueExA, RegisterEventSourceA, ReportEventA, DeregisterEventSource, SetServiceStatus, RegisterServiceCtrlHandlerA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, StartServiceCtrlDispatcherA, OpenSCManagerA, OpenServiceA, ControlService, QueryServiceStatus, GetServiceDisplayNameA, CloseServiceHandle, GetServiceKeyNameA, CreateServiceA<BR>&gt; WSOCK32.dll: -, -, -, -<BR>&gt; MWSOCKET.dll: -, -, -, -<BR>&gt; MSVCRT.dll: _endthread, __dllonexit, _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __p___initenv, _getch, _beginthread, _getpid, sprintf, printf, _strnicmp, atoi, sscanf, _onexit, strncpy, _snprintf, atol, _stricmp, _exit, _XcptFilter, exit<BR><BR>( 0 exports ) <BR>
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)<BR>Win32 Dynamic Link Library (generic) (37.6%)<BR>Generic Win/DOS Executable (9.9%)<BR>DOS Executable Generic (9.9%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:<BR>publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.03.05 -
AhnLab-V3 5.0.0.2 2010.03.05 -
AntiVir 8.2.1.180 2010.03.05 -
Antiy-AVL 2.0.3.7 2010.03.05 -
Authentium 5.2.0.5 2010.03.05 -
Avast 4.8.1351.0 2010.03.05 -
Avast5 5.0.332.0 2010.03.05 -
AVG 9.0.0.730 2010.03.05 -
BitDefender 7.2 2010.03.05 -
CAT-QuickHeal 10.00 2010.03.05 -
ClamAV 0.96.0.0-git 2010.03.05 -
Comodo 4091 2010.02.28 -
DrWeb 5.0.1.12222 2010.03.05 -
eSafe 7.0.17.0 2010.03.04 -
eTrust-Vet 35.2.7341 2010.03.05 -
F-Prot 4.5.1.85 2010.03.04 -
F-Secure 9.0.15370.0 2010.03.05 -
Fortinet 4.0.14.0 2010.03.04 -
GData 19 2010.03.05 -
Ikarus T3.1.1.80.0 2010.03.05 -
Jiangmin 13.0.900 2010.03.05 -
K7AntiVirus 7.10.990 2010.03.04 -
Kaspersky 7.0.0.125 2010.03.05 -
McAfee 5910 2010.03.04 -
McAfee+Artemis 5910 2010.03.04 -
McAfee-GW-Edition 6.8.5 2010.03.05 -
Microsoft 1.5502 2010.03.05 -
NOD32 4918 2010.03.05 -
Norman 6.04.08 2010.03.05 -
nProtect 2009.1.8.0 2010.03.05 -
Panda 10.0.2.2 2010.03.04 -
PCTools 7.0.3.5 2010.03.04 -
Rising 22.37.04.04 2010.03.05 -
Sophos 4.51.0 2010.03.05 -
Sunbelt 5759 2010.03.05 -
Symantec 20091.2.0.41 2010.03.05 -
TheHacker 6.5.1.7.221 2010.03.05 -
TrendMicro 9.120.0.1004 2010.03.05 -
VBA32 3.12.12.2 2010.03.05 -
ViRobot 2010.3.5.2214 2010.03.05 -
VirusBuster 5.0.27.0 2010.03.05 -

Information additionnelle
File size: 28737 bytes
MD5...: 2b121c2e20b5534977427e38c8a90b52
SHA1..: 76606abd94f17aa9c9a44404c506e8bd48784dbd
SHA256: c4a61a07c28f5baa1700cd9ce9906410f0ca7e61693317d29e9c28f6a5a00750
ssdeep: 384:UMswNS3vJ8qCuUFx0MhvTq4sSyWtMKDHNMKDbC:UMsiS3vJ8qCugxnRhDFRN<BR>PC<BR>
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x2924<BR>timedatestamp.....: 0x441b0243 (Fri Mar 17 18:38:59 2006)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 5 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x1af0 0x2000 5.34 103faa51c2664b7beff63ebb5ac2a547<BR>.rdata 0x3000 0x845 0x1000 3.03 e93e6b3fa198c0c3cd84e7340326f1c9<BR>.data 0x4000 0xb3c 0x1000 3.57 cfe1609450ef66bf28691df86e58991b<BR>.SegPart 0x5000 0x5c8 0x1000 0.14 a30bd92e921d9f4e1b4a3a65b37c5a26<BR>.rsrc 0x6000 0xf08 0x1000 3.58 41e9d797c5813150d9f14282a5ece4dd<BR><BR>( 6 imports ) <BR>&gt; KERNEL32.dll: lstrlenA, SetThreadPriority, ExitProcess, SetConsoleCtrlHandler, GetModuleFileNameA, Sleep, OpenProcess, GetLastError, FormatMessageA, LocalFree, GetCurrentProcess, DuplicateHandle, GetExitCodeProcess, TerminateProcess, CloseHandle, AllocConsole, GetTickCount, CreateProcessA, GetCurrentThread<BR>&gt; USER32.dll: WaitForInputIdle, CharToOemA<BR>&gt; ADVAPI32.dll: DeleteService, RegCreateKeyA, RegSetValueExA, RegisterEventSourceA, ReportEventA, DeregisterEventSource, SetServiceStatus, RegisterServiceCtrlHandlerA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, StartServiceCtrlDispatcherA, OpenSCManagerA, OpenServiceA, ControlService, QueryServiceStatus, GetServiceDisplayNameA, CloseServiceHandle, GetServiceKeyNameA, CreateServiceA<BR>&gt; WSOCK32.dll: -, -, -, -<BR>&gt; MWSOCKET.dll: -, -, -, -<BR>&gt; MSVCRT.dll: _endthread, __dllonexit, _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __p___initenv, _getch, _beginthread, _getpid, sprintf, printf, _strnicmp, atoi, sscanf, _onexit, strncpy, _snprintf, atol, _stricmp, _exit, _XcptFilter, exit<BR><BR>( 0 exports ) <BR>
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)<BR>Win32 Dynamic Link Library (generic) (37.6%)<BR>Generic Win/DOS Executable (9.9%)<BR>DOS Executable Generic (9.9%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:<BR>publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>
OKSIRISM
 
Messages: 19
Inscription: 05 Mar 2010 10:20

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar Falkra » 05 Mar 2010 16:33

La machine doit être clean à l'heure qu'il est, on va supprimer quelques restes.

  • Télécharge Navilog1 (par IL-MAFIOSO) sur ton bureau :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
  • Double clique sur Navilog1.exe pour lancer l'installation.
  • Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.
  • Laisse-toi guider. Appuie sur une touche quand on te le demande.
  • Au menu principal, choisis l'option 1 et valide.
    < Ne fais pas le choix 2 >
  • Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC : laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.
  • Patiente jusqu'au message "Scan terminé le......"
  • Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
  • Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.

PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar OKSIRISM » 05 Mar 2010 16:44

Heureusement que tu es là ! ouf !

ci-joint le rapport de Navilog






Fix Navipromo version 4.0.6 commencé le 05/03/2010 16:37:39,86

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 3.06GHz )
BIOS : Version 5.00 R1.11.2140.02
USER : audrey.esnault ( Not Administrator ! )
BOOT : Normal boot

Antivirus : Symantec AntiVirus Corporate Edition 10.0.0.359 (Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:19 Go)
D:\ (CD or DVD)
P:\ (Network Disk) - NTFS - Total:117 Go (Free:16 Go)


Recherche executée en mode normal

Nettoyage exécuté au redémarrage de l'ordinateur




Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\audrey.esnault\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 05/03/2010 16:41:56,15 ***
OKSIRISM
 
Messages: 19
Inscription: 05 Mar 2010 10:20

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar Falkra » 05 Mar 2010 16:51

C'est bon, supprime Navilog et le dossier :
C:\Program Files\Navilog1

Si ton boss te fait des reproches, c'est le virus qui envoyait ces saletés.
Logiquement la machine est clean là, mais il faut confirmer que ça n'envoie plus rien.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar OKSIRISM » 05 Mar 2010 16:52

ah ban j'espère parce que des messages de ce genre là...

merci beaucoup en tout cas pour ta réactivité :)

merci
OKSIRISM
 
Messages: 19
Inscription: 05 Mar 2010 10:20

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar Falkra » 05 Mar 2010 16:57

Je voudrais jeter un oeil à ces scripts de connexion, ce n'est pas forcément malicieux, mais ça peut contenir n'importe quoi, tu peux aller localiser le fichier, et faire clic droit puis éditer (sans ouvrir ou double cliquer) pour poster le contenu ?
C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad1\radF53.vbs
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar OKSIRISM » 05 Mar 2010 17:33

je ne peux plus acceder à C:, j'ai un message d'erreur qui me dit que le fichier c:\msd685.vbs est introuvable
OKSIRISM
 
Messages: 19
Inscription: 05 Mar 2010 10:20

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar Falkra » 05 Mar 2010 17:39

Ouh, c'est vilain ça, et ça n'apparaissait pas.

Télécharge UsbFix( de Chiquitine29 et C_XX ) sur ton Bureau :
  • Branche tes sources de données externes à ton PC ( clé USB, disque dur externe, etc... ) susceptibles d'avoir été infectées sans les ouvrir.
  • Double-clique sur UsbFix.exe sur ton Bureau.
  • Au menu principal choisis l'option " F " pour français.
  • Choisis l'option 1.
  • Poste le rapport UsbFix.txt.

le rapport UsbFix.txt est sauvegardé à la racine du disque.

Note : Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

Tuto : http://pagesperso-orange.fr/NosTools/tuto_usbfix2.html
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar OKSIRISM » 05 Mar 2010 17:43

Update on 03/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:41:24 | 05/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 3.06GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : Symantec AntiVirus Corporate Edition 10.0.0.359 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 37,31 Go (19,05 Go free) [System] # NTFS
D:\ -> Disque CD-ROM
P:\ -> Connexion réseau # 117,18 Go (16,3 Go free) [Data] # NTFS

################## | Elements infectieux |

C:\autorun.inf

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RAD0"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RAD1"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RAD2"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RAD3"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RAD4"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RAD5"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RAD6"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RAD7"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RAD8"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RAD9"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADA"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADB"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADC"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADD"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADE"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADF"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADP"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADQ"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADR"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADS"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADT"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADU"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADV"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADW"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADX"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MS-RADY"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{55d8f6d6-8746-11da-9a60-806d6172696f}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MSd685.vbs

HKCU\..\..\Explorer\MountPoints2\{6acfa8d1-2e2d-11dd-9d15-003005b78139}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MSd24D.vbs

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.098 ! |
OKSIRISM
 
Messages: 19
Inscription: 05 Mar 2010 10:20

Re: Outlook express envoi des mails tout seul ? infecté ?

Messagepar Falkra » 05 Mar 2010 17:56

Pas de clés USB à connecter ?

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir.
  • Double clique UsbFix.exe présent sur ton bureau.
  • Au menu principal choisis l'option " F " pour français.
  • Au second menu Choisis l'option 2 ( Suppression ).
  • Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.
  • Le bureau disparaitra et le pc redémarrera.
  • Au redémarrage, le fix se relance... laisse l'opération s'effectuer.
  • Un rapport de nettoyage est proposé... appuie sur une touche pour ouvrir ce rapport.

le rapport UsbFix.txt est sauvegardé à la racine du disque.

Tuto : http://pagesperso-orange.fr/NosTools/tuto_usbfix3.html
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités