salut a tous le monde j'ai un gros probleme un message de avast revient tout le temp, meme apres avoir passer avast,spybot,ad-aware,et mon firewall kerio ne la pas vu,que faire
voici ma configuration : amd athlon 64 3000+ ,2 go de ram,ati 9800 pro, ,windows xp pro.
c'est comme si plusieur message arrivait en meme temp!j'ai fait une capture du bureau mais je sais pas comment la mettre sur le forum?

en plus ma bande passante a chuter de 2000kbps a 375kbps bizarre!Résolut*

Bonsoir, j'ai corrigé le lien, pour plus d'infos, dans a lire avant de poster, tu trouveras la procédure pour héberger les images chez imageshack et recopier le code dans ton post.

Tu as un virus qui utilise ta machine comme relais de mail. Il faut le virer au plus vite. Tu peux utiliser un scanneur online gratuit comme ceux présentés sur le blog par exemple pour ne venir à bout.

avertissement avast!

message suspect!

il y a trop de mails identiques envoyés dans un faible interval

expediteur:
destinataire:efavale@sbcglobal.net
sujet: il ya trop de mails identiques envoyés un faible interval

expediteur:
destinataire:"
sujet:" "

salut

pourrai tu nous donner le nom du virus !! scan en ligne .


http://assiste.free.fr/p/antivirus_grat ... ivirus.php

salut

en fait viens de me renseigner il s agirai du trojan il s'appel : Troj/Bdoor-CL

alias : * Backdoor.Win32.Robobot.e

Il arrive sur le pc via un .exe et envoie des mails à tt le monde : systeme de pc zombie... va voir sur le lien de sophos, ils donnent même la ligne de base de registre à modifier (supprimer) car il s'install ds le registre...


liens :
sophos (pour robobot, IDE disponible) : http://www.sophos.fr/virusinfo/analyses ... oorcl.html

j'ai passer le scanner on line et il est toujours la ! pas trouver non plus dans la base de registre c est pas le bon ! je tourne en rond
[img=http://img458.imageshack.us/img458/6191/capture1dx0.th.jpg]

merci quand meme a vous pour votre aide !

par contre j'ai recup mes 2000kbps !

Poste un log hijackthis (tuto ici : http://www.libellules.ch/phpBB2/viewtopic.php?p=120508#120508).

On te dira quelle(s) ligne(s) éliminer.

voici le hijackthis !
Logfile of HijackThis v1.99.1
Scan saved at 08:26:34, on 06.11.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\sunrise\bin\sprtcmd.exe
C:\Program Files\Java\j2re1.4.2_07\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\G-VGA.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\DOCUME~1\MICKY~1.MIC\LOCALS~1\Temp\20exinjs.q.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Program Files\DAP\DAP.EXE
C:\Documents and Settings\micky.MICKY-X7K0CQKRL\Mes documents\My Completed Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [sunrise] "C:\Program Files\sunrise\bin\sprtcmd.exe" /P sunrise
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [VGAUtil] C:\WINDOWS\System32\G-VGA.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/in ... all_fr.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

je l'ai trouver c'est bien winlogon par contre j'arrive pas a le suprimer!



[img][img]http://img297.imageshack.us/img297/9971/winlogonau3.jpg[/img][/img]

Hello,

Winlogon est un composant essentiel de windows, il peut etre infecté, mais tu ne dois pas le supprimer. Tu peux le nettoyer ou le remplacer.

Avast peut donner ce message si tu envoyes un message a plusieurs destinataires, si c'est le cas, ignore ce message, sinon pas de probleme.

L'analyse du log Hijackthis donne un composant douteux, ssms.exe. Cherche un peu de ce côté là.

Voila.

a+

Lampil

si c'est ssms.exe je fait quoi exactement ?

salut !

tu peux avoir une analyse en ligne de ton log Hijack ICI.
Attention, tu as 2 process smss.exe :
- C:\WINDOWS\System32\smss.exe
- O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

Le 1er est un process windows, c'est le second qui semble poser un problème. Arrête le et supprime l'exécutable.

La ligne "C:\DOCUME~1\MICKY~1.MIC\LOCALS~1\Temp\20exinjs.q.exe" n'est pas très catholique non plus. Il y a peu de chance qu'un process "normal" se lance depuis un répertoire temporaire.

Démarre en mode sans échec, vide ce répertoire temporaire et repasse ton antivirus.

@+

cool c'est bien O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
et y a aussi O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} SystemDoctor2006FreeInstall_ fr.cab
pour le premier c'est bon comment suprimer le deuxieme svp .
par contre mon firewall kerio deconne depuis, je vais refaire l'installation et ce sera surement ok!

merci a vous tous pour toute ses info

problème resolu qu'est ce que je ferai sans vous encore merci a tous !