Nouvelle attaque de spam depuis mon PC ! Résolu/Fermé

Question

Bonjour, 



Configuration: Windows XP / Internet Explorer 8.0

Apres avoir connu le meme probleme il y a quelques mois (résolu rapidement grace à votre aide). Mon PC est de nouveau ce matin le relais d'un envoi massif de spam (identifier par les petites boites de dialogue d'analyse Norton).

Voici déjà mon log ZHPDiag : 

http://www.cijoint.fr/cjlink.php?file=cj201008/cij1zzb4Fz.txt

D'autre part j'ai lancé à l'instant CCleaner qui fait son boulot (à noter que je vous écris depuis une autre machine car j'ai debranché du réseau le PC attaqué)

Merci d'avance pour votre aide toujours aussi précieuse!

totojordi · Answer

Un coup d'Antivirus et d'anti spam ?

Avast est gratuit et permet de faire un scan au démarrage (donc avant le lancement de Windows) je le trouve assez efficace.

superjul78 · Answer

J'ai deja Norton d'installer, il m'a repéré un trojan et supprimé, mais visiblement le mal était déjà fait et l'intrusion effective.
Un anti-spam si tu as un bon logiciel à me conseiller, qui bloque l'envoi de ce type de mails massifs, je suis preneur.
Mais sinon sur ce meme probleme la derniere fois, on m'avait guidé suite au log ZHPDiag, et meme fourni un fichier personnalisé à utiliser avec Combofix, si quelqu'un pouvait m'aider de la sorte ce serait super!

jlpjlp · Answer

slt 

tu pourrais nous coller le rapport de norton svp


puis

télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 

déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 






C:\Documents And Settings\julienv\Menu Démarrer\Programmes\Démarrage\updpxe32.exe

totojordi · Answer

Tu peux faire un scan au démarrage avec Norton ?

Spyware search and destroy pou les anti-spyware.

Après si ça continue toujours essai un autre Anti-virus

superjul78 · Answer

Spyware ok mais c'est pas anti-spam si?

Je vais faire l'analyse avec combofix, par contre Norton ne m'a fait aucun rapport juste ouvert une boite de dialogue avec le nom du fichier en .bat identifié comme un trojan et supprimé.

Sinon jlpjlp à la fin de ton post je lis ceci :

C:\Documents And Settings\julienv\Menu Démarrer\Programmes\Démarrage\updpxe32.exe

Est-ce que c'est un probleme que tu as identifié dans le rapport ZHPDiag?

jlpjlp · Answer

oui ce fichier est un des problèmes:

c'est ceci:

http://www.superantispyware.com/malwarefiles/UPDXSP32.EXE.html

http://www.prevx.com/filenames/X1452770568667264916-X1/UPDPXE32.EXE.html

superjul78 · Answer

Ok je vais déjà tenter de le supprimer alors, et je reviens poster le rapport combofix dans quelques minutes.

superjul78 · Answer

Bad news le fichier apres redemarrage du PC et ré-analyse ZHPDiag est toujours bien présent :

C:\Documents And Settings\julienv\Menu Démarrer\Programmes\Démarrage\updpxe32.exe 

La petite curiosité c'est que lorsque je vais voir dans ce dossier je ne vois pas ce fichier, meme en affichant les fichiers cachés.

Que puis-je faire?? Combofix?

superjul78 · Answer

Voici le log pour combofix :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijhRou1dd.txt

qu'est ce que je dois faire d'autre maintenant?
(si combofix a bien supprimé divers problemes, il ne semble pas s'etre occupe du updpxe32.exe)

superjul78 · Answer

Up!

Une petite aide pour en finir avec ce maudit fichier?

superjul78 · Answer

Fichier updpxe32 supprimer mais les spams sont toujours actifs des que je me rebranche sur le reseau. Que faire?

totojordi · Answer

Fais une analyse Anti-virus en mode sans échec 

OU

Si norton le permet, une analyse au démarrage

superjul78 · Answer

En mode sans echec l'antivirus est desactivé
En mode normal je n'arrive pas à lui ordonner une analyse au demarrage (il faut savoir qu'il s'agit d'un reseau dans une boite et que le Norton est en global, pas en local)

Je suis entrain de refaire des scans en mode sans echec, deja fait avec sdfix mais d'apres le log rien de particulier, actuellement c'est Mbam qui tourne et apres je ferais combofix. je posterai apres les 3 rapports.
Concernant mon precedent rapport combofix vous ne voyez rien de particulier?

jlpjlp · Answer

colle un rapport avec super antispyware ou malwarebyte antimalware (après les avoir mis à jour)

et dis si tes problèmes persistent

superjul78 · Answer

Apres mise à jour MBAM trouve aucun fichier infecté, super antispyware meme chose!
J'ai refait une tentative de connection au reseau a 16h55 et jusqu'a 17h25 plus rien a signaler ca tournait normalement, mais a 17h25 c'est reparti de plus belle, des dizaines de pop-up proxy symantec "ce mail a été bloqué etc..."

Voici pour synthétiser 2 rapports :
- ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201008/cijQ1zKtJv.txt
- HiJackThis : http://www.cijoint.fr/cjlink.php?file=cj201008/cij5GIO6UG.txt

Si quelqu'un voit quelque chose a faire avec ça...
Pour rappel j'ai déjà tenté Combofix en mode normal et sans echec mais pas de resolution du probleme
SDFix egalement mais pas de resultats non plus

jlpjlp · Answer

tu as fais quoi entre le moment ou tout était ok et le moment o^ù l'infection est revenue? 
tu as crée un site sur le net? 

_____________ 

mets à jour adobe reader 
mets à jour java avec javara: https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara 

_____________ 

remets un rapport combofix


si je suis pas dispo et si personne d'autre passe et si tu as le temps ce soir:  
colle le rapport d'un antivirus en ligne  
comme kaspersky ou panda ou bitdefender

superjul78 · Answer

Je n'ai rien fait de spécial entre les 2, je faisais les analyses avec antispyware et mbam

je ferais les mises a jour demain car la je ne suis plus au bureau

je n'ai aucun support externe

pour l'antivirus en ligne je ferais demain aussi, le probleme c'est qu'avec tous ces popup symantec qui s'ouvre et l'activité cpu qui va avec, ca va pas etre evident...

jlpjlp · Answer

ok

superjul78 · Answer

Voici un rapport combofix :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijTblf78m.txt

D'apres des recherches et autres reponses sur autres forums
Les fichiers suspects sont :
- vttyhtl.sys
- aec.sys
Si ça peut aider quelqu'un pour la résolution du probleme

jlpjlp · Answer

analyse ces fichiers sur virus total et colle nous les rapports 
https://www.virustotal.com/gui/ 

c:\windows\TEMP\1AC.tmp
c:\windows\system32\drivers\vttylht.sys 
c:\windows\system32\drivers\aec.sys 
c:\documents and settings\NetworkService\Application Data\bawuho.dat 
c:\documents and settings\julienv\Application Data\bawuho.dat

superjul78 · Answer

J'ai finalement réussi a résoudre ce probleme avec The Avenger et des lignes de scripts adéquates + un coup d'OTL pour désinfecter , nettoyer , etc...

J'ai maintenant une certaine lenteur de mon PC, pas toujours, là actuellement ça va, mais entre 12h et 15h les process svchost et wuauclt utilisaient 80% de la RAM! J'ai aussi Norton Auto Protect qui m'a alerté et bloqué 2 trojans.

Je fais actuellement un scan en ligne avec bitdefender.

Voici pour un info mon dernier log ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijNHgOCXB.txt

A quoi peut etre lié cette lenteur et qu'est ce qui peut expliquer un retour aussi rapide des trojans?

jlpjlp · Answer

tu te fais aider ailleurs et c'est pas réglo : on perd tu temps

reste sur l'autre post où l'on t'aide