[Worm SMTP] Envoi massif de mail non vouluRésolu/Fermé

Question

Bonjour,

C'est mon premier post sur cette communauté, je vous salue donc bien bas ;-)

Depuis quelques semaines, mon portable est infecté par ce que je pense être un vers.

Les symptomes :
     - Au démarrage, régulièrement, "services.exe" plante et me "propose" un reboot dans 1 mn (que j'arrete avec un shutdown -a / mais je perds mes connexions réseau)
     - Avast détecte régulièrement des envois massifs de mails (j'en suis à 209 depuis ce matin) à des personnes que je ne connais évidemment pas
     - J'ai eu aussi quelques écrans bleus (mais là je suis pas sur qu'il y ait un lien)
 
J'ai essayé de me dépatouiller tout seul mais je jette l'éponge... J'ai passé différent anti-virus online sans succès, j'ai installé NOD32, Sygate pour essayer de trouver ce coquin... mais j'ai atteinds mes limites :-)

Actuellement pour limiter la casse, j'ai avast (module "courrier électronique") qui tourne et avec Sygate je bloque "ashmailsv.exe" pour ne pas qu'il arrose tous ces illustres inconnus allemands, néerlandais et autres italiens... Mais bon c'est pas génial.

Si quelqu'un peut m'apporter une piste / Je précise que je suis plutot "à l'aise" avec un ordinateur donc pas de soucis s'il faut installer / désinstaller / démarrer en mode sans échec...

Merci de votre lecture et peut être de vos réponses ;-)

Voici la classique hijacklog :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:14:21, on 21/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate Personal Firewall\smc.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint\Apoint.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Eset
od32kui.exe
C:\Program Files\Apoint\HidFind.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset
od32krn.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Pidgin\pidgin.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Mozilla Thunderbird	hunderbird.exe
D:\Applis\HiJackThis\HiJackThis_v2.exe
C:\Program Files\Notepad++
otepad++.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 194.206.1.216 webpar02
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\SnagIt 8\SnagItBHO.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe Reader\Reader\Reader_sl.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet\Parser.html
O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet\Wizard.html
O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet\AddUrl.html
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - http://ww17.tlswebmail.acamaya.com/dwa7W.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{79949F7D-B18B-4DFD-9541-E8B5EBD0B0FD}: NameServer = 192.168.30.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate Personal Firewall\smc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

yodaweb · Answer

Un petit up :-/

yodaweb · Answer

Aie... personne pour m'aider... S'il manque des éléments n'hésitez pas à me les demander... Sinon je vais partir pour un reformatage complet...

Lyonnais92 · Answer

Bonjour,

c'est toi qui a introduit cette ligne dans le fichier hosts :
 Hosts: 194.206.1.216 webpar02

Si non, fais ceci :
Télécharge Hoster

http://www.funkytoad.com/download/hoster.zip

Dézippe le sur le bureau.
Lance Hoster et clique sur "Restore Microsoft's Hosts File".

Reposte ensuite un rapport Hijackthis pour vérification 
@+

Cathar6 · Answer

J'ai exactement le même problème que yodaweb, c'est donc bien un seul ver qui provoque tout cela (enfin je pense :D)

yodaweb · Answer

>c'est toi qui a introduit cette ligne dans le fichier hosts : 
>Hosts: 194.206.1.216 webpar02

Oui pas de soucis sur cette ligne. C'est un serveur que j'utilise (j'utilisais d'ailleurs) pour mon taff.

(ps : pour info, ton lien ne fonctionne pas apparemment / et merci pour ta réponse :-) ).


Ce qui me dérange c'est qu'apparemment ce vers (ou autre) se lance en service et je ne peux meme pas détecter son mode d'exécution...  Tous les process qui tournent me semblent valide. J'ai surveillé les process avec "process explorer" de feu-sysinternals et je ne vois rien de spécial, même lorsque l'envoi des mails s'emballent... 

Connaissez vous un autre moyen / soft , de surveiller ce qui se passe ?

Lyonnais92 · Answer

Re, on va regarder coté rootkit. Va sur ce lien et télécharge Blacklight(de F-Secure) : < https://www.f-secure.com/en > et sauvegarde le sur ton Bureau Consulte le tuto de Malekal_morte ici : < https://www.malekal.com/tutorial-f-secure-blacklight/ > Tu suis le tuto pour la phase 1 (scan) et tu postes le rapport de blacklight dans ta réponse. (choisis la version graphique, fsbl.exe) Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php - Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout - Un nouveau dossier chercher va être créé DiagHelp - Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître) - Une fenêtre va s'ouvrir, choisis l'option 1 - L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande. ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran ! - A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redemanderl'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt - Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : -- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout -- A nouveau menu Edition / copier -- Dans un nouveau message ici, faire un clic droit / coller @+

Lyonnais92 · Answer

Bonsoir,

Télécharge ce fichier (par ejvindh) 
http://www.uploads.ejvindh.net/rustbfix.exe 
...et sauvegarde-le sur ton Bureau. 

Double clique rustbfix.exe afin de lancer l'outil. 
Si une infection Rustock.b est détectée, une invite t'indiqueras qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement. 
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt). 
Poste (Copie/Colle) le contenu de ces deux rapports.

@+

yodaweb · Answer

Ok. Il n'y a eu qu'un seul reboot.

Je l'ai relancé une seconde fois. Je t'ai mis la log tout en bas.


Alors voici les logs :


Rustock.b-ADS attached to the System32-folder:
Attempting to remove ADS...

Looking for Rustock.b-files in the System32-folder:
Commande ECHO d&#8218;sactiv&#8218;e.


******************* Post-run Status of system *******************

Rustock.b-driver on the system: 
YOU NEED TO CONSULT MORE ADVANCED TOOLS!!
The Gmer-rootkitscanner may be a good place to start.
Gmer rootkit-scanner may be found here: http://www.gmer.net

Rustock.b-ADS attached to the System32-folder:
Commande ECHO d&#8218;sactiv&#8218;e.
You should either run the tool again or consult more advanced tools
The Gmer-rootkitscanner may be a good place to start.
Gmer rootkit-scanner may be found here: http://www.gmer.net

Looking for Rustock.b-files in the System32-folder:
Commande ECHO d&#8218;sactiv&#8218;e.
You should either run the tool again or consult more advanced tools
Swandog46's Avenger or Gmer's-rootkitscanner may be a good place to start.
Swandog46's Avenger may be found here: http://swandog46.geekstogo.com/avenger2/avenger2.html
Gmer rootkit-scanner may be found here: http://www.gmer.net


******************************* End of Logfile ********************************

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mtxpgvit

*******************

Script file located at: \??\C:\WINDOWS\system32\hcnevbtc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver xpdt unloaded successfully.
Program D:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished!  Terminate.





$Deuxième lancement $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$

************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
25/07/2007 22:17:00,93

No Rustock.b-rootkits found

******************************* End of Logfile ********************************

Lyonnais92 · Answer

Re,

Tu as un antivirus de trop (avast et nod 32).

Choisis celui que tu préfères et  désinstalle l'autre.

Redémarre l'ordi et reposte un log Hijackthis.

Mets à jour l'antivirus et scanne tout ton ordi. Dis moi ce qu'il a trouvé.

Mets à jour Spybot, exécutes le, supprime tout ce qu'il trouve, vaccine. Dis moi ce qu'il a trouvé.
@+

Lyonnais92 · Answer

Bonjour,

j'espère que tun as supprimé ce que spybot a trouvé. Sinon, fait le et vaccine.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 
Double-clique VundoFix.exe afin de le lancer. 

Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau.

Poste le rapport de Vundofix (c:\vundofix.txt) et un nouveau log Hijackthis.

@+

yodaweb · Answer

Bonjour,

J'ai lancé Vundo. Il n'a rien trouvé (cf log).


***************************************

VundoFix V6.5.6

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 06:35:43 27/07/2007

Listing files found while scanning....

No infected files were found.

**********************************


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 06:39:52, on 27/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate Personal Firewall\smc.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint\Apoint.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Apoint\HidFind.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\LeechGet\LeechGet.exe
D:\Applis\HiJackThis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe Reader\Reader\Reader_sl.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet\Parser.html
O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet\Wizard.html
O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet\AddUrl.html
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{79949F7D-B18B-4DFD-9541-E8B5EBD0B0FD}: NameServer = 192.168.30.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate Personal Firewall\smc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

Lyonnais92 · Answer

Bonjour,

Désinstalle les anciennes versions de java :

J2SE Runtime Environment 5.0 Update 10 
J2SE Runtime Environment 5.0 Update 11 
(démarrer, panneau de configuration, ajout/suppression de programmes).


C'est btoi qui a mis des restrictions sur Internet Explorer et activé Control panel ? (directement ou via Spybot)

Les envois de spam sont toujours bloqués ?
@+

yodaweb · Answer

Bonsoir !

J'ai désinstallé les 3 versions du J2SE et j'en ai profité pour passer à la version 6.

Concernant les restrictions sur IE j'ai en effet désactivé la mise à jour de la page d'accueil mais pas le control panel (enfin il est bien "activé").

Les spams ont totalement disparus (le blocage est toujours actif).

A priori... on dirait que le problème est réglé... Je vais rescanner avec Avast (le dernier scan n'est pas arrivé au bout).

Je te tiens au courant... 

Mais... concrètement qu'est ce qui s'est passé ? J'ai suivi tes manips, mais si tu peux m'expliquer ca m'intéresse (enfin je veux pas non plus abuser / je te suis deja reconnaissant du temps passé ;) )

++

Lyonnais92 · Answer

Bonjour,

les spams ont disparus ou ils sont bloqués ?

Il y avait une infectiuon très "moderne", un  rootkit sous la forme d'un driver qu'a détecté diaghelp :
Recherche de rootkit! (Merci S!Ri) 
[b]xpdt présent[/b] Possible infection Rustock, l'utilisation d'un scanneur rootkit est recommandé 

On l'a éradiqué avec un outil adapté : rustbfix (post 8 et 9).

je ne sais pas si cela a suffi ou si cela a supprimé la protection des fichiers infectés qui ont été supprimés par Spybot.

On se laisse le temps avant de conclure que tout est propre.

On va faire passer un outil de nettoyage :

Télécharge « clean.zip » 
http://www.malekal.com/download/clean.zip 
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ". 
 
•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ). 
•- Ouvre le dossier « clean » qui se trouve sur ton bureau. 
•- Double-clic sur « clean.cmd ». 
Une fenêtre noire va apparaître, choisis l’option 2. 

Clean va travailler. 
•- Redémarre normalement 
•- Poste qui se trouve ici C:\rapport_clean.txt.

@+

moe · Answer

Salut, Yodaweb, Lyonnais

J'avoue que j'ai suivis ce post avec intérêt, mais surtout après avoir lu le rapport rustbfix...  Et c'est d'ailleur la raison pour laquelle je me permet d'intervenir pour poser une question à yodaweb.

Est-ce que tu peux me dire yodaweb, en ayant rendu visible les fichiers cachés et système avant, si ce fichier existe toujours dans ton pc ?
C:\WINDOWS\System32\xpdt.sys 

Merci et bonne continuation.

yodaweb · Answer

@Lyonnais92 :

Merci pour l'explication ! Je n'avais pas noté le message de diaghelp ;-)

Les spams sont bloqués par avast/sygate ce qui me permet de ne pas "arroser" la terre entière mais aussi de suivre le nombre d'envoi et le déclenchement. Depuis ton "traitement" il n'y a plus aucun envoi qui se déclenche.

J'ai lancé le clean. pendant l'opération le nettoyage d'espace disque de Window$ s'est déclenché alors que j'ai 30 Go de libre sur la partition... C'est normal ?

Sinon comme d'hab je te mets le rapport ci-dessous. Je vais relancer Spybot.

@moe : Le fichier xpdt.sys est toujours présent sur mon disque. 


*********************************************************
Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 28/07/2007 a 10:50:43,95 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de "C:\Documents and Settings\GDE\Application Data\ezpinst.exe" 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport !

moe · Answer

Salut Yodaweb

Merci.
Ce qui m'a étonné dans le rapport Rustbfix, c'est qu'à aucun moment il n'a fait mention de la détection et de la suppression de ce fichier (ou de l'ADS greffé sur le dossier System32 dans le cas d'une variante avec ADS), alors que normallement il est codé pour détecté et afficher ces infos dans le rapport.

Détail qui ne prète pas à conséquenses apparement, puisque le principal : le service sensé relancer l'infection au reboot à lui bien été détecté et supprimé, ce qui explique qu'aujourd'hui ton pc ne spamme plus.
Au pire le fichier n'est pas supprimé et il peut aussi rester un ADS, celon la variante.

Donc soit tu as choppé une nouvelle variante, avec des éléments légèrements différents de ce que rustbfix est programmé pour détecter (ADS, chemin de location du fichier...).
Ou dans le cas contraire, le fix a un bug car, après vérification du code, il recherche ce fichier dans C:\Windows\System32\DRIVERS au lieu de C:\Windows\System32

Donc voilà, c'était simplement pour en faire la remarque et vérifier si je me trompais ou pas dans ce qui m'a fait tiquer dans le rapport.

a++ et bonne continuation

yodaweb · Answer

Bonjour,

Merci pour tes remarques. Donc si j'ai bien suivi, je peux supprimer le fichier "xpdt.sys" pour finir le boulot du fix qui a été "trompé" par la modification du chemin classique de ce vers (c'est bien un vers d'ailleurs ?).

Je confirme qu'il n'y a toujours pas d'envoi de spam ni d'écran bleu, ni le compte à rebours d'une minute "authorité NT") et que mon problème... semble donc résolu !!! :-D

@Lyonnais92 : puisque c'est toi mon "expert" attritré j'attends ta validation pour placer ce post en résolu ;)

Une petite question supplémentaire : j'ai lu que Avast n'était pas génial pour bloquer les vers de ce type ("rootkit" ?). Que me conseillerez vous ? Un autre AV ? Un soft complémentaire ? 

Bon dimanche à vous !

Lyonnais92 · Answer

Bonjour,

je te remercie de ta confiance, mais moe est encore plus fiable que moi.

Tu dois supprimer xpdt.sys.

Je préfère laiser un ou deux jours de vérification de plus avant de déclarer le post résolu (mardi ?).

Avast n'est pas génial actuellement. Une solution possible est antivir. Un de ses avantages est d'inclure un scanner de rootkit (dans la configuration, choisir mode expert et cocher la case sur le scan au démarrage ; je n'ai aucune idée d'un éventuel ralentissement causé par cette option).

Lien et tuto pour antivir : https://www.malekal.com/avira-free-security-antivirus-gratuit/

@+

yodaweb · Answer

Bonjour,

Nous sommes jeudi et.... toujours pas d'envoi de mails non voulus !

Je considère donc mon problème résolu !

Merci encore Lyonnais92 ainsi que moe pour son complèment ;-)

A +

Lyonnais92 · Answer

Bonjour,

de rien,

très content pour toi.

Bon surf

[Worm SMTP] Envoi massif de mail non voulu

21 réponses

Discussions similaires

Newsletters