Www.epurchasenet.com pirate hotmail

Matthour -  
 j.t.m.du_13@hotmail.fr -
Bonjour,

Aujourd'hui j'ai reçu un mail de mes parents.
Le problème ? : ce n'est pas eux qui l'ont envoyé et tous leurs contacts l'ont reçu !

Voici le contenu du mail (ayant pour objet "RE hi") :

Heya,how are you doing recently ? I would like to introduce you a very good company which i knew.Their website is  www.epurchasenet.com   .They can offer you all kinds of electronical products which you need like laptops ,gps ,TV LCD,cell phones,ps3,MP3/4,motorcycles  etc........Please take some time to have a check ,there must be somethings you 'd like to purchase .
Their contact email: epurchasenet@188.com.  MSN: e_purchasenet@hotmail.com 
Hope you have a good mood in shopping from their company !
Regards


C'est donc une pub qui se sert du compte hotmail de mes parents pour être diffusée.

Trois hypothèses :
- la faille de sécurité se trouve sur l'un des deux PC que mes parents utilisent pour se connecter à leur compte hotmail (via windows live messenger) et il est donc judicieu de formater ces deux PC
- la faille se trouve sur les serveurs hotmail auquel cas, je ne peux rien y faire à part cloturer le compte et en faire un autre
- la faille ne se trouve nulle part aujourd'hui et il y en a eu une à un moment qui a permis au système frauduleux de choper l'ID et le mot de passe du compte de mes parents.

Pour info, ce n'est pas la première fois que cela arrive sur leur compte, parfois même à des heures de la nuit ou aucun PC n'est allumé (en même temps je dis cela par rapport à l'heure de réception des mails mais cette heure est-elle fiable avec des décallages horaires ?). La seule différence c'est que ce n'était pas le même site qui se fesait la pub sur leur dos.

Ils utilisent Windows XP avec Internet Explorer.

Je fait des nettoyages réguliers avec CCleaner, j'ai scanné avec Avast leur antivirus, avec Spybot et AdAware mais rien n'a été trouvé sur aucun des deux PC.

Je fais donc appel à votre forum pour savoir que faire ?????

Merci de m'avoir lu en espérant que ça n'était pas trop fastidieux !
Configuration: Linux
Firefox 3.0.8

28 réponses

  • 1
  • 2
  1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Pour le 1er pc seulement :

    Télécharge GenProc sur ton bureau

    Double-clique sur GenProc.exe

    et poste le contenu du rapport qui s'ouvre à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.

    Voir comment utiliser GenProc

    Pour ceux qui ont Vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

    IMPORTANT : Poste la procédure Genproc et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )

    2
  2. Matthour
     
    Et encore un message !!!

    Cette fois-ci l'objet et "Hey friend‏"

    Hey friend,
     How are you doing recently? I'd like to introduce you a very good foreign trading online company and the website is www.sugefac.com
    It can offer you so many kinds of electronic products which you may be in need,such as laptops, gps, TV, cell phones, ps, MP3/4, motorcycles even several kinds of musical instruments and etc..
    You can take some time to have a check ,there must be something you are interested in and you 'd like to purchase .
    The contacts:
    Mail : sugefac@188.com
    MSN  : sugefac@hotmail.com
    Hoping you can enjoy your shopping from that company !
    Regards


    De la folie !!!

    Par contre j'ai pensé à quelque chose : peu-être que le message n'est pas envoyé avec le compte (je sais qu'en php par exemple on peut envoyer des mails en mettant ce qu'on veut comme expéditeur).
    0
  3. Matthour
     
    Encore moi...
    La supposition que j'ai fait juste précédemment ne tient pas : ils ont reçu plein de messages de "postmaster" à cause d'adresses qui ne sont plus valides...cela prouve bien en tout cas que les messages sont émis de leur compte !!!
    0
    1. ximma
       
      MOI c la meme merrrrde

      j'en é trop marrrrre

      es que quelqu'un a une solution?
      0
  4. PCHEM01
     
    Bonjour tout le monde
    Je voulais savoir si vous avez une solution a ce pb car on a recu le même email avec plusier autre qui se suit
    merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonjour,

    Télécharge :

    - MSNFix (!aur3n7) et décompresse-le sur le Bureau.

    Regarde bien le Tuto Ici

    Ensuite :

    Redémarre en mode sans échec comme indiqué ici ; Choisis ta session courante.

    Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
    - Exécute l'option R.
    - Si l'infection est détectée, exécute l'option N.
    - Sauvegarde ce rapport sur ton bureau.

    Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

    Le rapport sera enregistré dans C:\Windows\ sous le nom de MSNFix

    Mais il n'y aura pas que ça à faire il faudra vérifier s'il n'y a as d'autre infection.
    0
  7. PCHEM01
     
    Bonjour
    Merci pour le conseil
    j'ai déjà scanné tous les ordis il non rien de plus je consulte mes mail avec une page internet ?et non un logiciel genre outlook
    J'ai trouvé sur des forums étranger c'est pour dire l'ampleur de cette infection
    je pense que quelqu'un c'est procuré une liste d'authentifiants et il s'en sert donc si on est dans le lot on subit
    La solution est peut être, et d'après les infos de changer les authentifiants et d'utiliser des `&é"'(-è_çà)= pour le complique un peut
    sur ce a + @
    merci
    0
  8. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Ok donc avec msnfix il n'a rien trouvé, fait moi donc ceci :

    Pour commencer : faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner

    Ensuite :

    Télécharge le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.

    Renomme Hijackthis en Tutu

    Double-clique sur HJTInstall.exe (tutu) pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Accepte la licence en cliquant sur le bouton "I Accept"

    Choisis l'option "Do a system scan and save a log file"

    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

    Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

    Colle le rapport que tu viens de copier sur ce forum

    Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

    Tutoriaux (ne fixe rien pour le moment !!)

    Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

    0
  9. Matthour
     
    Bonjour à tous.

    Merci de vos réponses. Je n'ai pas eu le temps de faire ce que vous m'avez conseillé, j'essaie de faire ça demain.

    Encore merci ! (et à demain j'espère).
    0
  10. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    ok à demain.
    0
  11. Matthour
     
    Me voici !
    Voilà le résultat pour le premier PC : msnFix n'a rien trouvé, et je poste donc le rapport HijackThis.

    J'ai lu sur le tutorial de msnFix qu'il faut commencer par changer de mot de passe. Je vais donc le faire de ce pas.

    Je fait la manip sur l'autre PC. A desuite.

    Merci pour votre aide !!!

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:25:17, on 12/04/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\LogMeIn\x86\RaMaint.exe
    C:\Program Files\LogMeIn\x86\LMIGuardian.exe
    C:\Program Files\LogMeIn\x86\LogMeIn.exe
    C:\Program Files\LogMeIn\x86\LMIGuardian.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
    C:\Program Files\CDBurnerXP\NMSAccessU.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    G:\HiJackThis.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
    O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
    O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
    O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    0
  12. Matthour
     
    Idem pour le deuxième PC, voici son rapport et encore merci de prendre de votre temps.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:42:56, on 12/04/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\LogMeIn\x86\RaMaint.exe
    C:\Program Files\LogMeIn\x86\LogMeIn.exe
    C:\Program Files\LogMeIn\x86\LMIGuardian.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
    C:\Program Files\LogMeIn\x86\LMIGuardian.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
    C:\Program Files\ASUS\Wireless Console\wcourier.exe
    C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
    C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\DNA\btdna.exe
    C:\Program Files\Asus\Asus ChkMail\ChkMail.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe
    C:\WINDOWS\system32\sol.exe
    K:\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
    O4 - HKLM\..\Run: [Wireless Console] C:\Program Files\ASUS\Wireless Console\wcourier.exe
    O4 - HKLM\..\Run: [IntelZeroConfig] C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
    O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
    O4 - HKLM\..\Run: [EOUApp] C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: ASUS ChkMail.lnk = C:\Program Files\Asus\Asus ChkMail\ChkMail.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
    O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
    O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
    0
  13. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Désolé mais pour le 2ème pc vaut mieux créer un autre sujet, car ça va être difficile de traiter les 2 en meêm temps.
    0
  14. Matthour
     
    Pour le premier PC : rien avec GenProc ! Y a t'il quelque chose à faire avec le deuxième PC (si oui j'ouvre donc un deuxième post).

    Rapport GenProc 2.523 [1] - 12/04/2009 à 17:23:42 - Windows XP

    GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :

    Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
    - coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
    - C:\Program Files\EsetOnlineScanner\log.txt

    ----------------------------------------------------------------------
    Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
    ----------------------------------------------------------------------
    0
  15. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    on va s'occuper du 1er on verra le 2ème après ok.

    Maintenant fais moi ceci :

    Télécharge malwarebytes

    NB : S'il te manque COMCTL32.OCX alors télécharge le ici

    Tu l´installe; le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; clic sur l´onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

    Clic maintenant sur l´onglet recherche et coche la case : "exécuter un examen complet".

    Puis clic sur "rechercher".

    Laisse le scanner le pc...

    Si des éléments on été trouvés > clic sur supprimer la sélection.

    si il t´es demandé de redémarrer > clic sur "yes".

    A la fin un rapport va s´ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.
    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l'onglet rapport/log

    Tutoriaux
    0
  16. Matthour
     
    Aucun objet n'a été trouvé et voilà le rapport :

    Malwarebytes' Anti-Malware 1.36
    Version de la base de données: 1970
    Windows 5.1.2600 Service Pack 3

    12/04/2009 19:27:06
    mbam-log-2009-04-12 (19-27-06).txt

    Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
    Eléments examinés: 149728
    Temps écoulé: 1 hour(s), 16 minute(s), 5 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  17. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Ok maintenant fais ceci :

    Pour commencer : faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner

    Télécharge Superantispyware (SAS)

    Choisis "enregistrer" et enregistre-le sur ton bureau.

    Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

    Créé une icône sur le bureau.

    Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

    - Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
    - Sous Configuration and Préférences, clique sur le bouton "Préférences"
    - Clique sur l'onglet "Scanning Control "
    - Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

    Close browsers before scanning (Fermer Navigateur avant le scan)

    Scan for tracking cookies (Scan pour dépister les cookies)

    Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

    - Laisse les autres lignes décochées.

    - Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

    - Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

    Dans la colonne de gauche, coche C:\Fixed Drive.

    Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

    Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

    A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

    Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

    Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

    Pour recopier les informations sur le forum, fais ceci :

    - après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
    - Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
    - Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

    - Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

    - Copie son contenu dans ta réponse.

    Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.

    0
  18. Matthour
     
    Voilà le résultat du scan (8 trouvés) :

    SUPERAntiSpyware Scan Log
    https://www.superantispyware.com/

    Generated 04/13/2009 at 09:53 AM

    Application Version : 4.26.1000

    Core Rules Database Version : 3840
    Trace Rules Database Version: 1795

    Scan type : Complete Scan
    Total Scan Time : 00:28:39

    Memory items scanned : 519
    Memory threats detected : 0
    Registry items scanned : 4862
    Registry threats detected : 0
    File items scanned : 18106
    File threats detected : 8

    Adware.Tracking Cookie
    C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@smartadserver[2].txt
    C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@ad.zanox[2].txt
    C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@adtech[2].txt
    C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@yourmedia[2].txt
    C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@cetelem.solution.weborama[3].txt
    C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@boursoramabanque.solution.weborama[2].txt
    C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@xiti[1].txt
    C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@weborama[1].txt
    0
  19. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Très bien, supprime ce que SAS à trouvé, ensuite fais moi ceci :

    Télécharger RemoveIT Pro

    Fais un scan et poste moi le full rapport log.

    A la fin du 1er scan, s'il demande de faire un scan complet dite oui et à la fin du 2ème scan, si virus trouvé cliquez sur fix pour nettoyer des virus trouvés.

    0
  20. Matthour
     
    Re ! Désolé d'être long à la détente, mais je suis retourné à ma ville étudiante et je fait les opérations à distance (logmein).

    Voilà donc le résultat de ce scan :

    20:59:16: Scanning, please wait...
    21:04:55: Infected file (Sys32.ov519cap) C:\WINDOWS\ov519cap.exe
    21:04:55: Infected file (Sys32.ov519dib) C:\WINDOWS\ov519dib.dll
    21:05:45: 2 Dangerous files have been found on your computer.
    Click on "Fix" button to fix selected tasks.
    21:06:02: Scanning, please wait...
    21:07:32: Infected file (Sys32.ov519cap) C:\WINDOWS\Options\Install\OV519CAP.EXE
    21:07:32: Infected file (Sys32.ov519dib) C:\WINDOWS\Options\Install\OV519DIB.DLL
    21:06:02: 4 Dangerous files have been found on your computer.
    Click on "Fix" button to fix selected tasks.
    0
  21. Matthour
     
    Et voilà la suite après avoir fixé...

    21:11:52: Cleaning please wait...
    21:11:52: Cleaning Sys32.ov519cap
    21:11:52: File cleaned C:\WINDOWS\ov519cap.exe
    21:11:52: Cleaning Sys32.ov519dib
    21:11:52: File cleaned C:\WINDOWS\ov519dib.dll
    21:11:52: Cleaning Sys32.ov519cap
    21:11:52: File cleaned C:\WINDOWS\Options\Install\OV519CAP.EXE
    21:11:52: Cleaning Sys32.ov519dib
    21:11:52: File cleaned C:\WINDOWS\Options\Install\OV519DIB.DLL
    21:11:52 Cleaning process finished!
    21:11:52: Cleaning process aborted!
    If you wish Click on "Quick Scan" button to start scan again.
    0
  • 1
  • 2