Il y a actuellement 651 visiteurs
Dimanche 22 Décembre 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

URGENT Virus Symantec Email Proxy

Un ordinateur qui ralentit, des écrans publicitaires qui apparaissent, des applications qui refusent de démarrer ou encore votre navigateur qui s'obstine à ouvrir une page douteuse sont autant d'éléments qui indiquent que l'intégrité de votre ordinateur est menacée par un virus. Vous trouverez dans ce forum quelques conseils et logiciels pour surfer tranquillement.
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...)‎, veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel

URGENT Virus Symantec Email Proxy

Message le 15 Oct 2008 11:11

Bonjour a tous,

Voila j'ai Symantec Email Proxy qui n'arret pas de me dire que des mails ne peuvent etre envoyes.
Ceci depuis qu'un utilisateur a ouvert une piece jointe reçu sur outlook et a priori verole.

je vous joint ci-dessous le rapport effectue par HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:49:44, on 15/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesSymantec AntiVirusSmc.exe
C:Program FilesFichiers communsSymantec SharedccSvcHst.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsMicrosoft SharedVS7DEBUGMDM.EXE
C:WINDOWSsystem32
vsvc32.exe
C:Program FilesOCS Inventory Agentocsservice.exe
C:Program FilesSymantec AntiVirusRtvscan.exe
C:Program FilesRealVNCVNC4WinVNC4.exe
C:WINDOWSExplorer.EXE
C:Program FilesSymantec AntiVirusSmcGui.exe
C:Program FilesJavaj2re1.4.2_03injusched.exe
C:WINDOWSstsystra.exe
C:Program FilesDellMedia ExperienceDMXLauncher.exe
C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe
C:WINDOWSsystem32dla fswctrl.exe
C:Program FilesRealRealPlayerRealPlay.exe
C:WINDOWSSystem32 s32net.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesLavasoftAd-Awareaawservice.exe
C:Program FilesLavasoftAd-AwareAd-Aware.exe
C:Program FilesSpybot - Search & DestroySpybotSD.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Documents and Settingsadministrateur.VERMONBureauHiJackThis.exe
C:WINDOWSsystem32wuauclt.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.dell.fr/myway
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearch.myway.com/jsp/dellsidebar.jsp?p=DR
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.dell.fr/myway
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.dell.fr/myway
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.dell.fr/myway
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://www.dell.fr/myway
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:Program FilesMyWaySASrchAsDedeSrcAs.dll
O1 - Hosts: GTISERV
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:Program FilesMyWaySASrchAsDedeSrcAs.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:Program FilesSpybot - Search & DestroySDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:WINDOWSsystem32dla fswshx.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavaj2re1.4.2_03injusched.exe
O4 - HKLM..Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM..Run: [DMXLauncher] C:Program FilesDellMedia ExperienceDMXLauncher.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [ISUSPM Startup] "C:Program FilesFichiers communsInstallShieldUpdateServiceISUSPM.exe" -startup
O4 - HKLM..Run: [ISUSScheduler] "C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe" -start
O4 - HKLM..Run: [dla] C:WINDOWSsystem32dla fswctrl.exe
O4 - HKLM..Run: [UpdateManager] "C:Program FilesFichiers communsSonicUpdate Managersgtray.exe" /r
O4 - HKLM..Run: [MBoxUtil Clean] C:Program FilesKONICA MINOLTABOX UtilityBoxUtil.exe /clean
O4 - HKLM..Run: [RealTray] C:Program FilesRealRealPlayerRealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM..Run: [rs32net] C:WINDOWSSystem32 s32net.exe
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec SharedccApp.exe"
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RSEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavaj2re1.4.2_03in
pjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavaj2re1.4.2_03in
pjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:WINDOWSsystem32Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Program FilesSpybot - Search & DestroySDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Program FilesSpybot - Search & DestroySDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O17 - HKLMSystemCCSServicesTcpipParameters: Domain = VERMON.comServicesTcpipParameters:
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:Program FilesLavasoftAd-Awareaawservice.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedccSvcHst.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:PROGRA~1SymantecLIVEUP~1LUCOMS~1.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:Program FilesIntelPROSetWiredNCSSyncNetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: OCS INVENTORY SERVICE (OCS INVENTORY) - http://ocsinventory.sourceforge.net - C:Program FilesOCS Inventory Agentocsservice.exe
O23 - Service: Client de gestion Symantec (SmcService) - Symantec Corporation - C:Program FilesSymantec AntiVirusSmc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:Program FilesSymantec AntiVirusSNAC.EXE
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:Program FilesSymantec AntiVirusRtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:Program FilesRealVNCVNC4WinVNC4.exe

--
End of file - 7890 bytes

Ces fenetres souvrent par dizaine, je ne sais plus quoi faire, si quelqun peut m'aider SVP

@+ JC
jc37000
Visiteur
Visiteur
 
Messages: 9
Inscription: 15 Oct 2008 11:04
 


Message le 15 Oct 2008 12:21

Bonjour.

C'est un ordinateur avec plusieurs sessions ou une session passe-partout? Si oui, il faut aller sur la session vérolée pour faire les manipulations de désinfection.


1_ Via HiJackThis, tu supprimes les lignes:

C:WINDOWSSystem32 s32net.exe
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearch.myway.com/jsp/dellsidebar.jsp?p=DR
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:Program FilesMyWaySASrchAsDedeSrcAs.dll
O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:Program FilesMyWaySASrchAsDedeSrcAs.dll
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [RealTray] C:Program FilesRealRealPlayerRealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM..Run: [rs32net] C:WINDOWSSystem32 s32net.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)


Si tu connais....
Sinon, tu les supprimes.

O1 - Hosts:


2_ Tu as une barre d'outils vérolée, MySearch.

Tu vas télécharger Toolbar S&D.

Tu double cliques ensuite sur l'icône Toolbar S&D pour lancer l'application.

Tu tapes sur la touche [F] pour sélectionner la langue française.

Tu appuies ensuite sur la touche [1] puis sur la touche [Entrée] pour lancer l'analyse.

Quand tu verras indiqué:

Code: Tout sélectionner
Fin du rapport à --:--:--,--


L'analyse sera finie.

Normalement, le rapport d'analyse s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.


3_ Tu as une autre infection, pour l'instant inconnue, ce fichier C:WINDOWSSystem32 s32net.exe.

Tu vas sur http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes le fichier C:WINDOWSSystem32 s32net.exe et tu cliques sur Ouvrir.

Tu cliques ensuite sur Envoyer le fichier.

A la fin de l'analyse, tu cliques sur Formaté en haut à gauche puis, dans la nouvelle fenêtre, tu cliques sur le bouton Image pour faire apparaître le rapport dans la fenêtre en question.

Tu sélectionnes ce rapport puis fais un copier-coller et tu le colles dans ton prochain message.


4_ Pour la forme, tu télécharges Malwarebytes' Anti-Malware (anti-spyware, anti-adware, anti-trojan), tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.


Ps: tu parles de fenêtres qui s'ouvrent, tu peux préciser?

Ton antivirus ou des pop-up de publicités (pornographie, antivirus, anti-spyware ou autre)?

Ps2: il faudra penser à mettre à jour la version d'Internet Explorer vers la version 7 ici.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 15 Oct 2008 13:38

Tout d'abord merci pour ta reponse ultra rapide, j'espere ne pas passer ma journée sur ce pb.
En effet je connais vermon.com.

j'ai fais les etapes 1 et 2 dont voici ci-dessous le rapport, j'ai toujours ce message qui souvre mais moins regulierement de symentec email proxy qui m'indique que l'email n'as pu etre envoye ou que mon email est verole par email.trojan-34.

Rapport :


-----------\ ToolBar S&D 1.2.2 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A04
USER : administrateur ( Administrator )
BOOT : Normal boot
Antivirus : Symantec Endpoint Protection 11.0.2020.57 (Activated)
Firewall : (Not Activated)
C: (Local Disk) - NTFS - Total : 145 Go Free : 130 Go
D: (CD or DVD)
G: (Disque rseau)
I: (USB)
J: (USB)
K: (USB)
L: (USB)

"C:ToolBar SD" ( MAJ : 04-10-2008|21:00 )
Option : [1] ( 15/10/2008|14:29 )

-----------\ Recherche de Fichiers / Dossiers ...

C:DOCUME~1ADMINI~1.VERCookiesadministrateur@dellfr.myway[1].txt
C:DOCUME~1ADMINI~1.VERCookiesadministrateur@myway[1].txt
C:Program FilesMyWaySA
C:Program FilesMyWaySASrchAsDe

-----------\ [..Internet ExplorerMain]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Local Page"="C:\WINDOWS\system32\blank.htm"
"Start Page"="http://www.dell.fr/myway"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Page_URL"="http://www.dell.fr/myway"

[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain]
"Default_Page_URL"="http://www.dell.fr/myway"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.dell.fr/myway"
"Home_Page"="http://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen"
"Help_Page"="http://support.euro.dell.com/segment.asp?country=FR&language=FR"


--------------------\ Recherche d'autres infections


Aucune autre infection trouve !


1 - "C:ToolBar SDTB_1.txt" - 15/10/2008|14:31 - Option : [1]

-----------\ Fin du rapport a 14:31:29,81

je passe a l'etape 3

Encore merci
jc37000
Visiteur
Visiteur
 
Messages: 9
Inscription: 15 Oct 2008 11:04
 

Message le 15 Oct 2008 13:43

Etape 3 :

56db9888acfc7015fd6cbbaa75fc94b3 reu le 2008.10.15 08:35:05 (CET)Antivirus Version Dernire mise jour Rsultat
AhnLab-V3 2008.10.15.0 2008.10.15 -
AntiVir 7.8.1.34 2008.10.14 -
Authentium 5.1.0.4 2008.10.15 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.15 -
BitDefender 7.2 2008.10.15 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 -
eSafe 7.0.17.0 2008.10.12 -
eTrust-Vet 31.6.6148 2008.10.14 -
Ewido 4.0 2008.10.14 -
F-Prot 4.4.4.56 2008.10.14 -
F-Secure 8.0.14332.0 2008.10.15 -
Fortinet 3.113.0.0 2008.10.14 -
GData 19 2008.10.15 -
Ikarus T3.1.1.34.0 2008.10.15 -
K7AntiVirus 7.10.493 2008.10.14 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 -
Microsoft 1.4005 2008.10.15 -
NOD32 3522 2008.10.14 -
Norman 5.80.02 2008.10.14 -
Panda 9.0.0.4 2008.10.14 -
PCTools 4.4.2.0 2008.10.14 -
Prevx1 V2 2008.10.15 Malicious Software
Rising 20.66.12.00 2008.10.15 -
SecureWeb-Gateway 6.7.6 2008.10.15 -
Sophos 4.34.0 2008.10.15 -
Sunbelt 3.1.1722.1 2008.10.14 -
Symantec 10 2008.10.15 -
TheHacker 6.3.1.0.112 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.15 -
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.15.1420 2008.10.15 -
VirusBuster 4.5.11.0 2008.10.14 -

Information additionnelle
File size: 23040 bytes
MD5...: 56db9888acfc7015fd6cbbaa75fc94b3
SHA1..: d4235f21d26f2d4c378533fab8bc316367a9716f
SHA256: 2e6c928089f3664b083c4b1e85e50e07d96253fe5b3c2c3dbff38f370b590d4b
SHA512: a4e68a5321c9509b933d685747abec063fe4ca02087ee778d7d882324556a4f7<BR>60948966215efad6fb0e992410dc1950c391c2664ec95b9f4cd092c499fedb01
PEiD..: -
TrID..: File type identification<BR>Win32 Dynamic Link Library (generic) (65.4%)<BR>Generic Win/DOS Executable (17.2%)<BR>DOS Executable Generic (17.2%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x401030<BR>timedatestamp.....: 0x48f45cae (Tue Oct 14 08:47:42 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 2 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x410 0x600 4.44 d20c196f231854b7198e6e6d70b254fa<BR>.rsrc 0x2000 0x4fd0 0x5000 7.99 00e29991442d65f876ee5c5b161953ce<BR><BR>( 6 imports ) <BR>&gt; WS2_32.dll: -<BR>&gt; KERNEL32.dll: GetMailslotInfo<BR>&gt; USER32.dll: MapVirtualKeyExW<BR>&gt; GDI32.dll: ExtTextOutW<BR>&gt; ADVAPI32.dll: RegCreateKeyW<BR>&gt; SHELL32.dll: ShellAboutW<BR><BR>( 0 exports ) <BR>
Prevx info: http://info.prevx.com/aboutprogramtext. ... 00B18412DE

Antivirus Version Dernire mise jour Rsultat
AhnLab-V3 2008.10.15.0 2008.10.15 -
AntiVir 7.8.1.34 2008.10.14 -
Authentium 5.1.0.4 2008.10.15 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.15 -
BitDefender 7.2 2008.10.15 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 -
eSafe 7.0.17.0 2008.10.12 -
eTrust-Vet 31.6.6148 2008.10.14 -
Ewido 4.0 2008.10.14 -
F-Prot 4.4.4.56 2008.10.14 -
F-Secure 8.0.14332.0 2008.10.15 -
Fortinet 3.113.0.0 2008.10.14 -
GData 19 2008.10.15 -
Ikarus T3.1.1.34.0 2008.10.15 -
K7AntiVirus 7.10.493 2008.10.14 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 -
Microsoft 1.4005 2008.10.15 -
NOD32 3522 2008.10.14 -
Norman 5.80.02 2008.10.14 -
Panda 9.0.0.4 2008.10.14 -
PCTools 4.4.2.0 2008.10.14 -
Prevx1 V2 2008.10.15 Malicious Software
Rising 20.66.12.00 2008.10.15 -
SecureWeb-Gateway 6.7.6 2008.10.15 -
Sophos 4.34.0 2008.10.15 -
Sunbelt 3.1.1722.1 2008.10.14 -
Symantec 10 2008.10.15 -
TheHacker 6.3.1.0.112 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.15 -
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.15.1420 2008.10.15 -
VirusBuster 4.5.11.0 2008.10.14 -

Information additionnelle
File size: 23040 bytes
MD5...: 56db9888acfc7015fd6cbbaa75fc94b3
SHA1..: d4235f21d26f2d4c378533fab8bc316367a9716f
SHA256: 2e6c928089f3664b083c4b1e85e50e07d96253fe5b3c2c3dbff38f370b590d4b
SHA512: a4e68a5321c9509b933d685747abec063fe4ca02087ee778d7d882324556a4f7<BR>60948966215efad6fb0e992410dc1950c391c2664ec95b9f4cd092c499fedb01
PEiD..: -
TrID..: File type identification<BR>Win32 Dynamic Link Library (generic) (65.4%)<BR>Generic Win/DOS Executable (17.2%)<BR>DOS Executable Generic (17.2%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x401030<BR>timedatestamp.....: 0x48f45cae (Tue Oct 14 08:47:42 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 2 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x410 0x600 4.44 d20c196f231854b7198e6e6d70b254fa<BR>.rsrc 0x2000 0x4fd0 0x5000 7.99 00e29991442d65f876ee5c5b161953ce<BR><BR>( 6 imports ) <BR>&gt; WS2_32.dll: -<BR>&gt; KERNEL32.dll: GetMailslotInfo<BR>&gt; USER32.dll: MapVirtualKeyExW<BR>&gt; GDI32.dll: ExtTextOutW<BR>&gt; ADVAPI32.dll: RegCreateKeyW<BR>&gt; SHELL32.dll: ShellAboutW<BR><BR>( 0 exports ) <BR>
Prevx info: http://info.prevx.com/aboutprogramtext. ... 00B18412DE
jc37000
Visiteur
Visiteur
 
Messages: 9
Inscription: 15 Oct 2008 11:04
 

Message le 15 Oct 2008 13:55

Re.

jc37000 a écrit:j'ai toujours ce message qui souvre mais moins regulierement de symentec email proxy qui m'indique que l'email n'as pu etre envoye ou que mon email est verole par email.trojan-34.


Il aurait été utile de le préciser dès le départ.
D'ailleurs, Symantec te donne l'emplacement du fichier vérolé?
Si oui, tentes une suppression en Mode sans échec (tu vas aller en Mode sans échec pour l'utilitaire SDFix, voir plus bas).

Le fichier suspect n'a rien donné, 1 positif sur une trentaine d'antivirus, cela fait peu.


_ Tu relances Toolbar S&D puis tu sélectionnes l'option [2] pour lancer le nettoyage.

Tu nous copies-colles ensuite l'intégralité du rapport de nettoyage.


_ Tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu pars ensuite en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends ;)

Quand tu vois écrit:

Code: Tout sélectionner
The PC will now restart, SDFix will run again after reboot.
 
Press any key to continue...


Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.

Ensuite, réponds aux autres questions, cela sera utile pour la suite.

r@in | b0w a écrit:C'est un ordinateur avec plusieurs sessions ou une session passe-partout? Si oui, il faut aller sur la session vérolée pour faire les manipulations de désinfection.

[...]

4_ Pour la forme, tu télécharges Malwarebytes' Anti-Malware (anti-spyware, anti-adware, anti-trojan), tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.


Ps: tu parles de fenêtres qui s'ouvrent, tu peux préciser?

Ton antivirus ou des pop-up de publicités (pornographie, antivirus, anti-spyware ou autre)?

Ps2: il faudra penser à mettre à jour la version d'Internet Explorer vers la version 7 ici.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 15 Oct 2008 14:05

Tous les tests sont fait sur session administrateur mais a ete verole sur une autresession utilisateur qui ne dispose pas de tous les droits d'acces au disques car sur domaine.
D'ailleurs les infos postes plus haut ne peuvent pas nuire a une intrusion sur mon reseau j'espere?

sinon peut tu m'indiquer comment poste des images je ferais une copie d'ecran de mes differents message d'erreurs.

merci[/img]
jc37000
Visiteur
Visiteur
 
Messages: 9
Inscription: 15 Oct 2008 11:04
 

Message le 15 Oct 2008 14:15

En 5 min, une trentaine de message de Symentec EmailProxy.
jc37000
Visiteur
Visiteur
 
Messages: 9
Inscription: 15 Oct 2008 11:04
 

Message le 15 Oct 2008 14:16

-----------\ ToolBar S&D 1.2.2 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A04
USER : administrateur ( Administrator )
BOOT : Normal boot
Antivirus : Symantec Endpoint Protection 11.0.2020.57 (Activated)
Firewall : (Not Activated)
C: (Local Disk) - NTFS - Total : 145 Go Free : 130 Go
D: (CD or DVD)
G: (Disque rseau)
I: (USB)
J: (USB)
K: (USB)
L: (USB)

"C:ToolBar SD" ( MAJ : 04-10-2008|21:00 )
Option : [2] ( 15/10/2008|15:07 )

-----------\ SUPPRESSION

Supprime! - C:DOCUME~1ADMINI~1.VERCookiesadministrateur@dellfr.myway[1].txt
Supprime! - C:Program FilesMyWaySASrchAsDe
Supprime! - C:Program FilesMyWaySA

-----------\ Recherche de Fichiers / Dossiers ...

C:DOCUME~1ADMINI~1.VERCookiesadministrateur@myway[2].txt

-----------\ [..Internet ExplorerMain]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Local Page"="C:\WINDOWS\system32\blank.htm"
"Start Page"="http://www.google.fr/"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Page_URL"="http://www.dell.fr/myway"

[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain]
"Default_Page_URL"="http://www.dell.fr/myway"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.msn.com/"
"Home_Page"="http://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen"
"Help_Page"="http://support.euro.dell.com/segment.asp?country=FR&language=FR"


--------------------\ Recherche d'autres infections


Aucune autre infection trouve !


1 - "C:ToolBar SDTB_1.txt" - 15/10/2008|14:31 - Option : [1]
2 - "C:ToolBar SDTB_2.txt" - 15/10/2008|15:14 - Option : [2]

-----------\ Fin du rapport a 15:14:01,56
jc37000
Visiteur
Visiteur
 
Messages: 9
Inscription: 15 Oct 2008 11:04
 

Message le 15 Oct 2008 14:16

Si ce sont des adresses ip personnelles, tu édites ton message et les supprime.

Je ferai de même.

Ensuite, tu suis ces deux tutoriaux:

_ le guide pour faire une impression écran;

_ comment l'héberger sur internet.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 15 Oct 2008 14:34

exemple capture d'ecran de message qui apparait, 73 actuellement :

ImageImage


ImageImage


ImageImage


ImageImage
jc37000
Visiteur
Visiteur
 
Messages: 9
Inscription: 15 Oct 2008 11:04
 

Message le 15 Oct 2008 14:37

Ok.

Fais SDFix et Mbam et postes les rapports.

Profites-en pour éditer ton message précédent et supprimer l'image 4, il y a une adresse e-mail en clair.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 15 Oct 2008 14:40

en mode sans echec?
ou sur mon compte admin?
jc37000
Visiteur
Visiteur
 
Messages: 9
Inscription: 15 Oct 2008 11:04
 

Message le 15 Oct 2008 14:47

SDFix en Mode sans échec sur la session vérolée et si souci sur la session Administrateur.

Mbam sur la session vérolée aussi.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 15 Oct 2008 16:51

Je viens de terminer par SDFIX et bonne nouvelle a l'ouverture de la session utilisateur plus de message qui apparait.

J'espere qu'il en sera de meme demain matin a l'ouverture de sa session et au cours de sa journee de travail, je ne sais comment te remercier en tous cas bravo pour toutes tes competences.

UN GRAND MERCI.
jc37000
Visiteur
Visiteur
 
Messages: 9
Inscription: 15 Oct 2008 11:04
 

Message le 15 Oct 2008 16:54

Juste pour information, tu peux nous communiquer les rapports d'analyse?


Pour terminer la désinfection et optimiser Windows:


_ Mise à jour d'Internet Explorer:

Tu mets à jour ta version d'Internet Explorer vers la version 7 ici.


_ Désinstallation des utilitaires utilisés:

Les programmes utilisés pour la désinfection ne sont pas à utiliser quotidiennement.

Pour les désinstaller, il faut aller dans le Panneau de configuration puis, via Ajouter/Supprimer des programmes, sélectionner les utilitaires et cliquer sur Désinstaller.

Pour une suppression effective, penses à supprimer leurs dossiers respectifs, la plupart à la racine de ta partition principale.


_ Utilisation d'un navigateur internet alternatif:

Internet Explorer n'étant pas sûr, il est préférable d'installer un navigateur internet alternatif pour sécuriser ton surf.

Tu as le choix entre Mozilla Firefox, Apple Safari ou encore Opéra.

Il faudra ensuite définir ce navigateur internet alternatif comme navigateur par défaut.


_ Utilisation d'un pare-feu alternatif:

Il est recommandé de ne pas utiliser le pare-feu Windows et d'en prendre un plus efficace.

Le choix est large: Zone Alarm & Sunbelt compatibles avec Vista sinon Ashampoo ou encore Sygate.

Après avoir sélectionné le pare-feu idéal, il faudra désactiver celui de Windows.


_ Nettoyage des points de restauration:

Dans un premier temps, il faut supprimer tous les points de restauration.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Ensuite, il faut réactiver la restauration automatique du système.

Tu refais la manipulation précédente pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

Tu auras créer un point de restauration propre.


_ Nettoyage des fichiers temporaires & de la base de registre:

Pour cela, Ccleaner reste le moyen le plus sûr et pratique de tout nettoyer sans risques.

En suivant ce tutorial, cet utilitaire sera configuré correctement.

Il est aussi utile de purger régulièrement le dossier Prefetch en profitant de Ccleaner pour automatiser ce nettoyage.
Pour cela, il faut aller dans Options puis Personnaliser pour ajouter le dossier C:WindowsPREFETCH.


_ Un petit coup d'oeil à notre dossier Nettoyage peut être utile en supplément.

Et finalement, pour optimiser Windows XP, ce sujet sera intéressant.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 



Sujets similaires

Message [Réglé] choix anti virus
bonjour a tous, je viens de changer mon pc et j'aimerai vos avis sur le choix de l anti virus.
Réponses: 8

Message HELP je pense avoir un virus
Bonsoir,Première fois que ce genre de chose m'arrive, j'ai d'abord été hackée sur Instagram, pensant que ca s'arrêterait làEnsuite ca a été au tour de STEAM malgré le steam guard ( identification à 2 facteurs) puis Linkedin !! Je n'ai eu aucune alerte de connexion, que ce soit par sms ou email !! J' ...
Réponses: 12

Message Aide suite à une analyse FRST contre un virus vbc.exe
Bonjour tout le monde, J'ai récemment constaté que j'étais infecté par un virus lié à vbc.exe, ce qui entraîne une utilisation du CPU allant jusqu'à 30% voire 40%. J'ai donc effectué mes analyses FRST et voici les rapports obtenus : - FRST.txt: https://pjjoint.malekal.com/files.php?id=FRST_20240315_ ...
Réponses: 3

Message [Réglé] Petite vérification virus
Salut Heravles ,Merci et bonne année a toi également et aussi a toute ta famille.Oui désolé j'ai pas fais attention quand j'ai téléchargé le logiciel alors que je sais très bien qu'il fallait le faire sur le bureau. Je ferais plus attention la prochaine fois.Nickel si mon Pc et pas infecté.Je t'envo ...
Réponses: 5

Message Demande de désinfection URGENT SVP !!!
BonjourJe pense avoir été infecté par un RAT (Remote Access Tool) et peut-être même autre chose. J'ai besoin de l'aide d'une ou plusieurs âmes charitables pour nettoyer mon post de ces intrus. J'ai fais des recherches sur Internet et suis tombé sur cette page : https://lesvirus.fr/remote-administra ...
Réponses: 1

Message Problème de baisse de FPS sur Fortnite, besoin d'aide urgent
Bonjour à tous,Je suis nouveau sur ce forum et j'ai besoin de votre aide. J'ai récemment commencé à jouer à Fortnite sur mon PC, mais j'ai des problèmes de performance assez frustrants. Ma configuration PC n'est pas la plus récente, mais je pense qu'elle devrait être suffisante pour faire tourner le ...
Réponses: 1

Message 22h2 bogues tpm et centre de sécurité: virus?
Salut,J'ai refait iso et formaté override le disque. Un reset électrique du PC.Je suis sur W11 PRO 64 v22621.525 (même bogue sur la première iso 22h2 fournie par Microsoft en 22621.382).WU est désactivé avant connexion a internet via gpedit.msc.J'ai installé à neuf en compte local. J'installe sans i ...
Réponses: 17


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 16 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.