URGENT Virus Symantec Email Proxy

[jc37000]

Bonjour a tous,

Voila j'ai Symantec Email Proxy qui n'arret pas de me dire que des mails ne peuvent etre envoyes.
Ceci depuis qu'un utilisateur a ouvert une piece jointe reçu sur outlook et a priori verole.

je vous joint ci-dessous le rapport effectue par HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:49:44, on 15/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesSymantec AntiVirusSmc.exe
C:Program FilesFichiers communsSymantec SharedccSvcHst.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsMicrosoft SharedVS7DEBUGMDM.EXE
C:WINDOWSsystem32
vsvc32.exe
C:Program FilesOCS Inventory Agentocsservice.exe
C:Program FilesSymantec AntiVirusRtvscan.exe
C:Program FilesRealVNCVNC4WinVNC4.exe
C:WINDOWSExplorer.EXE
C:Program FilesSymantec AntiVirusSmcGui.exe
C:Program FilesJavaj2re1.4.2_03injusched.exe
C:WINDOWSstsystra.exe
C:Program FilesDellMedia ExperienceDMXLauncher.exe
C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe
C:WINDOWSsystem32dla fswctrl.exe
C:Program FilesRealRealPlayerRealPlay.exe
C:WINDOWSSystem32 s32net.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesLavasoftAd-Awareaawservice.exe
C:Program FilesLavasoftAd-AwareAd-Aware.exe
C:Program FilesSpybot - Search & DestroySpybotSD.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Documents and Settingsadministrateur.VERMONBureauHiJackThis.exe
C:WINDOWSsystem32wuauclt.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.dell.fr/myway
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearch.myway.com/jsp/dellsidebar.jsp?p=DR
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.dell.fr/myway
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.dell.fr/myway
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.dell.fr/myway
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://www.dell.fr/myway
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:Program FilesMyWaySASrchAsDedeSrcAs.dll
O1 - Hosts: GTISERV
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:Program FilesMyWaySASrchAsDedeSrcAs.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:Program FilesSpybot - Search & DestroySDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:WINDOWSsystem32dla fswshx.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavaj2re1.4.2_03injusched.exe
O4 - HKLM..Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM..Run: [DMXLauncher] C:Program FilesDellMedia ExperienceDMXLauncher.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [ISUSPM Startup] "C:Program FilesFichiers communsInstallShieldUpdateServiceISUSPM.exe" -startup
O4 - HKLM..Run: [ISUSScheduler] "C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe" -start
O4 - HKLM..Run: [dla] C:WINDOWSsystem32dla fswctrl.exe
O4 - HKLM..Run: [UpdateManager] "C:Program FilesFichiers communsSonicUpdate Managersgtray.exe" /r
O4 - HKLM..Run: [MBoxUtil Clean] C:Program FilesKONICA MINOLTABOX UtilityBoxUtil.exe /clean
O4 - HKLM..Run: [RealTray] C:Program FilesRealRealPlayerRealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM..Run: [rs32net] C:WINDOWSSystem32 s32net.exe
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec SharedccApp.exe"
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RSEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavaj2re1.4.2_03in
pjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavaj2re1.4.2_03in
pjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:WINDOWSsystem32Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Program FilesSpybot - Search & DestroySDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Program FilesSpybot - Search & DestroySDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O17 - HKLMSystemCCSServicesTcpipParameters: Domain = VERMON.comServicesTcpipParameters:
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:Program FilesLavasoftAd-Awareaawservice.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedccSvcHst.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:PROGRA~1SymantecLIVEUP~1LUCOMS~1.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:Program FilesIntelPROSetWiredNCSSyncNetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: OCS INVENTORY SERVICE (OCS INVENTORY) - http://ocsinventory.sourceforge.net - C:Program FilesOCS Inventory Agentocsservice.exe
O23 - Service: Client de gestion Symantec (SmcService) - Symantec Corporation - C:Program FilesSymantec AntiVirusSmc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:Program FilesSymantec AntiVirusSNAC.EXE
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:Program FilesSymantec AntiVirusRtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:Program FilesRealVNCVNC4WinVNC4.exe

--
End of file - 7890 bytes

Ces fenetres souvrent par dizaine, je ne sais plus quoi faire, si quelqun peut m'aider SVP

@+ JC

[r@in | b0w]

Bonjour.

C'est un ordinateur avec plusieurs sessions ou une session passe-partout? Si oui, il faut aller sur la session vérolée pour faire les manipulations de désinfection.


1_ Via HiJackThis, tu supprimes les lignes:

C:WINDOWSSystem32 s32net.exe
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearch.myway.com/jsp/dellsidebar.jsp?p=DR
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:Program FilesMyWaySASrchAsDedeSrcAs.dll
O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:Program FilesMyWaySASrchAsDedeSrcAs.dll
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [RealTray] C:Program FilesRealRealPlayerRealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM..Run: [rs32net] C:WINDOWSSystem32 s32net.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)

Si tu connais....
Sinon, tu les supprimes.

O1 - Hosts:


2_ Tu as une barre d'outils vérolée, MySearch.

Tu vas télécharger Toolbar S&D.

Tu double cliques ensuite sur l'icône Toolbar S&D pour lancer l'application.

Tu tapes sur la touche [F] pour sélectionner la langue française.

Tu appuies ensuite sur la touche [1] puis sur la touche [Entrée] pour lancer l'analyse.

Quand tu verras indiqué:

Code: Tout sélectionner

Fin du rapport à --:--:--,--

L'analyse sera finie.

Normalement, le rapport d'analyse s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.


3_ Tu as une autre infection, pour l'instant inconnue, ce fichier C:WINDOWSSystem32 s32net.exe.

Tu vas sur http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes le fichier C:WINDOWSSystem32 s32net.exe et tu cliques sur Ouvrir.

Tu cliques ensuite sur Envoyer le fichier.

A la fin de l'analyse, tu cliques sur Formaté en haut à gauche puis, dans la nouvelle fenêtre, tu cliques sur le bouton pour faire apparaître le rapport dans la fenêtre en question.

Tu sélectionnes ce rapport puis fais un copier-coller et tu le colles dans ton prochain message.


4_ Pour la forme, tu télécharges Malwarebytes' Anti-Malware (anti-spyware, anti-adware, anti-trojan), tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.


Ps: tu parles de fenêtres qui s'ouvrent, tu peux préciser?

Ton antivirus ou des pop-up de publicités (pornographie, antivirus, anti-spyware ou autre)?

Ps2: il faudra penser à mettre à jour la version d'Internet Explorer vers la version 7 ici.

[jc37000]

Tout d'abord merci pour ta reponse ultra rapide, j'espere ne pas passer ma journée sur ce pb.
En effet je connais vermon.com.

j'ai fais les etapes 1 et 2 dont voici ci-dessous le rapport, j'ai toujours ce message qui souvre mais moins regulierement de symentec email proxy qui m'indique que l'email n'as pu etre envoye ou que mon email est verole par email.trojan-34.

Rapport :


-----------\ ToolBar S&D 1.2.2 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A04
USER : administrateur ( Administrator )
BOOT : Normal boot
Antivirus : Symantec Endpoint Protection 11.0.2020.57 (Activated)
Firewall : (Not Activated)
C: (Local Disk) - NTFS - Total : 145 Go Free : 130 Go
D: (CD or DVD)
G: (Disque rseau)
I: (USB)
J: (USB)
K: (USB)
L: (USB)

"C:ToolBar SD" ( MAJ : 04-10-2008|21:00 )
Option : [1] ( 15/10/2008|14:29 )

-----------\ Recherche de Fichiers / Dossiers ...

C:DOCUME~1ADMINI~1.VERCookiesadministrateur@dellfr.myway[1].txt
C:DOCUME~1ADMINI~1.VERCookiesadministrateur@myway[1].txt
C:Program FilesMyWaySA
C:Program FilesMyWaySASrchAsDe

-----------\ [..Internet ExplorerMain]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Local Page"="C:\WINDOWS\system32\blank.htm"
"Start Page"="http://www.dell.fr/myway"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Page_URL"="http://www.dell.fr/myway"

[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain]
"Default_Page_URL"="http://www.dell.fr/myway"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.dell.fr/myway"
"Home_Page"="http://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen"
"Help_Page"="http://support.euro.dell.com/segment.asp?country=FR&language=FR"


--------------------\ Recherche d'autres infections


Aucune autre infection trouve !


1 - "C:ToolBar SDTB_1.txt" - 15/10/2008|14:31 - Option : [1]

-----------\ Fin du rapport a 14:31:29,81

je passe a l'etape 3

Encore merci

[jc37000]

Etape 3 :

56db9888acfc7015fd6cbbaa75fc94b3 reu le 2008.10.15 08:35:05 (CET)Antivirus Version Dernire mise jour Rsultat
AhnLab-V3 2008.10.15.0 2008.10.15 -
AntiVir 7.8.1.34 2008.10.14 -
Authentium 5.1.0.4 2008.10.15 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.15 -
BitDefender 7.2 2008.10.15 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 -
eSafe 7.0.17.0 2008.10.12 -
eTrust-Vet 31.6.6148 2008.10.14 -
Ewido 4.0 2008.10.14 -
F-Prot 4.4.4.56 2008.10.14 -
F-Secure 8.0.14332.0 2008.10.15 -
Fortinet 3.113.0.0 2008.10.14 -
GData 19 2008.10.15 -
Ikarus T3.1.1.34.0 2008.10.15 -
K7AntiVirus 7.10.493 2008.10.14 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 -
Microsoft 1.4005 2008.10.15 -
NOD32 3522 2008.10.14 -
Norman 5.80.02 2008.10.14 -
Panda 9.0.0.4 2008.10.14 -
PCTools 4.4.2.0 2008.10.14 -
Prevx1 V2 2008.10.15 Malicious Software
Rising 20.66.12.00 2008.10.15 -
SecureWeb-Gateway 6.7.6 2008.10.15 -
Sophos 4.34.0 2008.10.15 -
Sunbelt 3.1.1722.1 2008.10.14 -
Symantec 10 2008.10.15 -
TheHacker 6.3.1.0.112 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.15 -
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.15.1420 2008.10.15 -
VirusBuster 4.5.11.0 2008.10.14 -

Information additionnelle
File size: 23040 bytes
MD5...: 56db9888acfc7015fd6cbbaa75fc94b3
SHA1..: d4235f21d26f2d4c378533fab8bc316367a9716f
SHA256: 2e6c928089f3664b083c4b1e85e50e07d96253fe5b3c2c3dbff38f370b590d4b
SHA512: a4e68a5321c9509b933d685747abec063fe4ca02087ee778d7d882324556a4f7<BR>60948966215efad6fb0e992410dc1950c391c2664ec95b9f4cd092c499fedb01
PEiD..: -
TrID..: File type identification<BR>Win32 Dynamic Link Library (generic) (65.4%)<BR>Generic Win/DOS Executable (17.2%)<BR>DOS Executable Generic (17.2%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x401030<BR>timedatestamp.....: 0x48f45cae (Tue Oct 14 08:47:42 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 2 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x410 0x600 4.44 d20c196f231854b7198e6e6d70b254fa<BR>.rsrc 0x2000 0x4fd0 0x5000 7.99 00e29991442d65f876ee5c5b161953ce<BR><BR>( 6 imports ) <BR>&gt; WS2_32.dll: -<BR>&gt; KERNEL32.dll: GetMailslotInfo<BR>&gt; USER32.dll: MapVirtualKeyExW<BR>&gt; GDI32.dll: ExtTextOutW<BR>&gt; ADVAPI32.dll: RegCreateKeyW<BR>&gt; SHELL32.dll: ShellAboutW<BR><BR>( 0 exports ) <BR>
Prevx info: http://info.prevx.com/aboutprogramtext. ... 00B18412DE

Antivirus Version Dernire mise jour Rsultat
AhnLab-V3 2008.10.15.0 2008.10.15 -
AntiVir 7.8.1.34 2008.10.14 -
Authentium 5.1.0.4 2008.10.15 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.15 -
BitDefender 7.2 2008.10.15 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 -
eSafe 7.0.17.0 2008.10.12 -
eTrust-Vet 31.6.6148 2008.10.14 -
Ewido 4.0 2008.10.14 -
F-Prot 4.4.4.56 2008.10.14 -
F-Secure 8.0.14332.0 2008.10.15 -
Fortinet 3.113.0.0 2008.10.14 -
GData 19 2008.10.15 -
Ikarus T3.1.1.34.0 2008.10.15 -
K7AntiVirus 7.10.493 2008.10.14 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 -
Microsoft 1.4005 2008.10.15 -
NOD32 3522 2008.10.14 -
Norman 5.80.02 2008.10.14 -
Panda 9.0.0.4 2008.10.14 -
PCTools 4.4.2.0 2008.10.14 -
Prevx1 V2 2008.10.15 Malicious Software
Rising 20.66.12.00 2008.10.15 -
SecureWeb-Gateway 6.7.6 2008.10.15 -
Sophos 4.34.0 2008.10.15 -
Sunbelt 3.1.1722.1 2008.10.14 -
Symantec 10 2008.10.15 -
TheHacker 6.3.1.0.112 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.15 -
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.15.1420 2008.10.15 -
VirusBuster 4.5.11.0 2008.10.14 -

Information additionnelle
File size: 23040 bytes
MD5...: 56db9888acfc7015fd6cbbaa75fc94b3
SHA1..: d4235f21d26f2d4c378533fab8bc316367a9716f
SHA256: 2e6c928089f3664b083c4b1e85e50e07d96253fe5b3c2c3dbff38f370b590d4b
SHA512: a4e68a5321c9509b933d685747abec063fe4ca02087ee778d7d882324556a4f7<BR>60948966215efad6fb0e992410dc1950c391c2664ec95b9f4cd092c499fedb01
PEiD..: -
TrID..: File type identification<BR>Win32 Dynamic Link Library (generic) (65.4%)<BR>Generic Win/DOS Executable (17.2%)<BR>DOS Executable Generic (17.2%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x401030<BR>timedatestamp.....: 0x48f45cae (Tue Oct 14 08:47:42 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 2 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x410 0x600 4.44 d20c196f231854b7198e6e6d70b254fa<BR>.rsrc 0x2000 0x4fd0 0x5000 7.99 00e29991442d65f876ee5c5b161953ce<BR><BR>( 6 imports ) <BR>&gt; WS2_32.dll: -<BR>&gt; KERNEL32.dll: GetMailslotInfo<BR>&gt; USER32.dll: MapVirtualKeyExW<BR>&gt; GDI32.dll: ExtTextOutW<BR>&gt; ADVAPI32.dll: RegCreateKeyW<BR>&gt; SHELL32.dll: ShellAboutW<BR><BR>( 0 exports ) <BR>
Prevx info: http://info.prevx.com/aboutprogramtext. ... 00B18412DE

[r@in | b0w]

Re.

j'ai toujours ce message qui souvre mais moins regulierement de symentec email proxy qui m'indique que l'email n'as pu etre envoye ou que mon email est verole par email.trojan-34.

Il aurait été utile de le préciser dès le départ.
D'ailleurs, Symantec te donne l'emplacement du fichier vérolé?
Si oui, tentes une suppression en Mode sans échec (tu vas aller en Mode sans échec pour l'utilitaire SDFix, voir plus bas).

Le fichier suspect n'a rien donné, 1 positif sur une trentaine d'antivirus, cela fait peu.


_ Tu relances Toolbar S&D puis tu sélectionnes l'option [2] pour lancer le nettoyage.

Tu nous copies-colles ensuite l'intégralité du rapport de nettoyage.


_ Tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu pars ensuite en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends

Quand tu vois écrit:

Code: Tout sélectionner

The PC will now restart, SDFix will run again after reboot.
 
Press any key to continue...

Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.

Ensuite, réponds aux autres questions, cela sera utile pour la suite.

C'est un ordinateur avec plusieurs sessions ou une session passe-partout? Si oui, il faut aller sur la session vérolée pour faire les manipulations de désinfection.

[...]

4_ Pour la forme, tu télécharges Malwarebytes' Anti-Malware (anti-spyware, anti-adware, anti-trojan), tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.


Ps: tu parles de fenêtres qui s'ouvrent, tu peux préciser?

Ton antivirus ou des pop-up de publicités (pornographie, antivirus, anti-spyware ou autre)?

Ps2: il faudra penser à mettre à jour la version d'Internet Explorer vers la version 7 ici.

[jc37000]

Tous les tests sont fait sur session administrateur mais a ete verole sur une autresession utilisateur qui ne dispose pas de tous les droits d'acces au disques car sur domaine.
D'ailleurs les infos postes plus haut ne peuvent pas nuire a une intrusion sur mon reseau j'espere?

sinon peut tu m'indiquer comment poste des images je ferais une copie d'ecran de mes differents message d'erreurs.

merci[/img]

[jc37000]

En 5 min, une trentaine de message de Symentec EmailProxy.

[jc37000]

-----------\ ToolBar S&D 1.2.2 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A04
USER : administrateur ( Administrator )
BOOT : Normal boot
Antivirus : Symantec Endpoint Protection 11.0.2020.57 (Activated)
Firewall : (Not Activated)
C: (Local Disk) - NTFS - Total : 145 Go Free : 130 Go
D: (CD or DVD)
G: (Disque rseau)
I: (USB)
J: (USB)
K: (USB)
L: (USB)

"C:ToolBar SD" ( MAJ : 04-10-2008|21:00 )
Option : [2] ( 15/10/2008|15:07 )

-----------\ SUPPRESSION

Supprime! - C:DOCUME~1ADMINI~1.VERCookiesadministrateur@dellfr.myway[1].txt
Supprime! - C:Program FilesMyWaySASrchAsDe
Supprime! - C:Program FilesMyWaySA

-----------\ Recherche de Fichiers / Dossiers ...

C:DOCUME~1ADMINI~1.VERCookiesadministrateur@myway[2].txt

-----------\ [..Internet ExplorerMain]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Local Page"="C:\WINDOWS\system32\blank.htm"
"Start Page"="http://www.google.fr/"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Page_URL"="http://www.dell.fr/myway"

[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain]
"Default_Page_URL"="http://www.dell.fr/myway"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.msn.com/"
"Home_Page"="http://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen"
"Help_Page"="http://support.euro.dell.com/segment.asp?country=FR&language=FR"


--------------------\ Recherche d'autres infections


Aucune autre infection trouve !


1 - "C:ToolBar SDTB_1.txt" - 15/10/2008|14:31 - Option : [1]
2 - "C:ToolBar SDTB_2.txt" - 15/10/2008|15:14 - Option : [2]

-----------\ Fin du rapport a 15:14:01,56

[r@in | b0w]

Si ce sont des adresses ip personnelles, tu édites ton message et les supprime.

Je ferai de même.

Ensuite, tu suis ces deux tutoriaux:

_ le guide pour faire une impression écran;

_ comment l'héberger sur internet.

[jc37000]

exemple capture d'ecran de message qui apparait, 73 actuellement :

[r@in | b0w]

Ok.

Fais SDFix et Mbam et postes les rapports.

Profites-en pour éditer ton message précédent et supprimer l'image 4, il y a une adresse e-mail en clair.

[jc37000]

en mode sans echec?
ou sur mon compte admin?

[r@in | b0w]

SDFix en Mode sans échec sur la session vérolée et si souci sur la session Administrateur.

Mbam sur la session vérolée aussi.

[jc37000]

Je viens de terminer par SDFIX et bonne nouvelle a l'ouverture de la session utilisateur plus de message qui apparait.

J'espere qu'il en sera de meme demain matin a l'ouverture de sa session et au cours de sa journee de travail, je ne sais comment te remercier en tous cas bravo pour toutes tes competences.

UN GRAND MERCI.

[r@in | b0w]

Juste pour information, tu peux nous communiquer les rapports d'analyse?


Pour terminer la désinfection et optimiser Windows:


_ Mise à jour d'Internet Explorer:

Tu mets à jour ta version d'Internet Explorer vers la version 7 ici.


_ Désinstallation des utilitaires utilisés:

Les programmes utilisés pour la désinfection ne sont pas à utiliser quotidiennement.

Pour les désinstaller, il faut aller dans le Panneau de configuration puis, via Ajouter/Supprimer des programmes, sélectionner les utilitaires et cliquer sur Désinstaller.

Pour une suppression effective, penses à supprimer leurs dossiers respectifs, la plupart à la racine de ta partition principale.


_ Utilisation d'un navigateur internet alternatif:

Internet Explorer n'étant pas sûr, il est préférable d'installer un navigateur internet alternatif pour sécuriser ton surf.

Tu as le choix entre Mozilla Firefox, Apple Safari ou encore Opéra.

Il faudra ensuite définir ce navigateur internet alternatif comme navigateur par défaut.


_ Utilisation d'un pare-feu alternatif:

Il est recommandé de ne pas utiliser le pare-feu Windows et d'en prendre un plus efficace.

Le choix est large: Zone Alarm & Sunbelt compatibles avec Vista sinon Ashampoo ou encore Sygate.

Après avoir sélectionné le pare-feu idéal, il faudra désactiver celui de Windows.


_ Nettoyage des points de restauration:

Dans un premier temps, il faut supprimer tous les points de restauration.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Ensuite, il faut réactiver la restauration automatique du système.

Tu refais la manipulation précédente pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

Tu auras créer un point de restauration propre.


_ Nettoyage des fichiers temporaires & de la base de registre:

Pour cela, Ccleaner reste le moyen le plus sûr et pratique de tout nettoyer sans risques.

En suivant ce tutorial, cet utilitaire sera configuré correctement.

Il est aussi utile de purger régulièrement le dossier Prefetch en profitant de Ccleaner pour automatiser ce nettoyage.
Pour cela, il faut aller dans Options puis Personnaliser pour ajouter le dossier C:WindowsPREFETCH.


_ Un petit coup d'oeil à notre dossier Nettoyage peut être utile en supplément.

Et finalement, pour optimiser Windows XP, ce sujet sera intéressant.