Msn envoie de spams

Djinn Jer -  
 Djinn Jer -
Bonjour,

depuis quelques temps, des mails venant de ma boite sont envoyés à tous mes contacts sans que je le veuille, ce doit être des spams.
Évidemment je vois que je ne suis pas le seul à qui c'est arrivé, alors j'ai anticipé et j'ai posté ci-dessous le rapport de Malwarebytes.
Enfin je ne sais pas si j'ai fait tout ce qui fallait, j'ai supprimé les 9 infections et peut-être que c'est résolu, mais n'hésitez pas à me dire si je peut faire d'autres réparations au cas où.

Merci.

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6772

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

04/06/2011 23:28:07
mbam-log-2011-06-04 (23-28-07).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 353778
Temps écoulé: 52 minute(s), 51 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eef24585 (Adware.Ezula) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fe556e00-3e40-45e5-28a2-e0f15a11a308} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{fe556e00-3e40-45e5-28a2-e0f15a11a308} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE556E00-3E40-45E5-28A2-E0F15A11A308} (Adware.AdRotator) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\5Z3U4G4I5X6G3F7JXBZOJQSGFEOCE (Trojan.SpyEyes) -> Value: 5Z3U4G4I5X6G3F7JXBZOJQSGFEOCE -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\newdnswatch (Trojan.SpyEyes) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\Windows\System32\eef24585.exe (Adware.Ezula) -> Quarantined and deleted successfully.
c:\Windows\SysWOW64\eef24585.exe (Adware.Ezula) -> Quarantined and deleted successfully.
c:\newdnswatch\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully.

4 réponses

  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, change ton mot de passes et la question secrète afin de coupper cour à ce piratage de ta boite mail , fais le avant que la personne qui a trouver ton mot de passe lui le change tu risquerais de plus pouvoir l'ouvrir !!

    peux tu passer usbfix , merci

    * /!\ Utilisateur de vista et windows 7 : ne pas oublier de désactiver Le contrôle des comptes utilisateurs
    <http://www.teamxscript.org/usbfixTelechargement.html>

    Télécharge USBFIX sur ton bureau

    http://www.teamxscript.org/usbfixTelechargement.html

    /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    * Double clic sur le raccourci UsbFix présent sur ton bureau .
    * Choisis l'option 2 ( Suppression)

    * Laisse travailler l'outil.

    * Ensuite post le rapport UsbFix.txt qui apparaîtra.

    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

    * Tuto : http://pagesperso-orange.fr/nostools/tuto_usbfix2.html

    0
  2. Djinn Jer
     
    Voici le rapport

    ############################## | UsbFix 7.046 | [Suppression]

    CPU: Intel(R) Core(TM) i7 CPU Q 720 @ 1.60GHz
    CPU 2: Intel(R) Core(TM) i7 CPU Q 720 @ 1.60GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #
    Internet Explorer 8.0.7600.16385

    Pare-feu Windows: Activé
    RAM -> 4085 Mo
    C:\ (%systemdrive%) -> Disque fixe # 451 Go (55 Go libre(s) - 12%) [OS] # NTFS
    D:\ -> CD-ROM
    E:\ -> CD-ROM
    F:\ -> CD-ROM
    H:\ -> CD-ROM
    I:\ -> Disque fixe # 297 Go (27 Go libre(s) - 9%) [My Passport] # NTFS
    Y:\ -> Disque fixe # 15 Go (9 Go libre(s) - 62%) [RECOVERY] # NTFS

    ################## | Éléments infectieux |

    Supprimé! C:\$RECYCLE.BIN\S-1-5-20
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-704692514-1266685648-3354341892-1001
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-704692514-1266685648-3354341892-500

    ################## | Registre |

    Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\E
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1f387158-5df8-11e0-89fd-97415e2f5940}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b7728dda-9052-11df-93a6-0026b9e80322}

    ################## | Listing |

    [05/06/2011 - 00:26:54 | SHD ] C:\$Recycle.Bin
    [15/07/2010 - 23:31:49 | D ] C:\AMD
    [15/07/2010 - 23:35:47 | D ] C:\ATI
    [15/07/2010 - 22:07:17 | D ] C:\dell
    [12/07/2010 - 23:11:11 | N | 3471] C:\dell.sdr
    [14/07/2009 - 07:08:56 | SHD ] C:\Documents and Settings
    [12/07/2010 - 23:01:54 | D ] C:\Drivers
    [05/06/2011 - 00:19:14 | ASH | 3212189696] C:\hiberfil.sys
    [12/10/2010 - 13:47:08 | D ] C:\Hospital
    [15/07/2010 - 22:11:26 | D ] C:\Intel
    [16/05/2011 - 12:09:00 | D ] C:\Jeux
    [16/07/2010 - 11:32:55 | RHD ] C:\MSOCache
    [28/09/2010 - 16:47:08 | D ] C:\Médias
    [05/06/2011 - 00:19:18 | ASH | 4282920960] C:\pagefile.sys
    [14/07/2009 - 05:20:08 | D ] C:\PerfLogs
    [29/05/2011 - 11:19:23 | D ] C:\Program Files
    [04/06/2011 - 21:29:43 | D ] C:\Program Files (x86)
    [04/06/2011 - 21:29:46 | HD ] C:\ProgramData
    [30/03/2011 - 18:55:57 | D ] C:\Sounds
    [15/07/2010 - 21:53:11 | SHD ] C:\System Recovery
    [04/06/2011 - 13:55:54 | SHD ] C:\System Volume Information
    [05/06/2011 - 00:27:39 | D ] C:\UsbFix
    [05/06/2011 - 00:21:41 | A | 2555] C:\UsbFix.txt
    [15/07/2010 - 21:47:12 | D ] C:\Users
    [01/06/2011 - 14:00:19 | D ] C:\Windows

    ################## | Vaccin |

    C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_JEREMY-PC.zip
    http://www.teamxscript.org/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, pour voir si vraiment plus rien coté infection postes un zhpdiag , merci

      Ouvre ce lien et télécharge ZHPDiag :

      https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

      cliques sur télécharger "celui du bas"

      ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe



      Enregistres le sur ton Bureau.

      Une fois le téléchargement achevé

      pour XP, double-clique sur ZHPDiag

      pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

      N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

      /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

      Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

      Cliques sur la loupe pour lancer l'analyse.

      si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

      Laisses l'outil travailler, il peut être assez long

      A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


      Fermes ZHPDiag en fin d'analyse.


      Pour me le transmettre clique sur ce lien :

      http://www.cijoint.fr/index.php


      Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

      ou directement en choisissant bureau et ZHPDiag.txt clique dessus

      Clique sur Ouvrir.

      Clique sur "Cliquez ici pour déposer le fichier".

      Un lien de cette forme :

      http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

      est ajouté dans la page.

      Copie ce lien dans ta réponse.


      et si problème passe par celui ci : https://www.cjoint.com/
      0
  3. Djinn Jer
     
    Bonjour,

    voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201106/cijYi9You2.txt
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bon cela me semble pas mal un petit nettoyage final et c'est bon , mais pourrais tu me dire qui tu as comme fournisseur d'accés internet car cela perso j'ai pas en mémoire O17 - HKLM\System\CCS\Services\Tcpip\..\{3C2604E7-92E8-4A4C-A475-9FA2CAE6F617}: DhcpNameServer = 109.0.66.20 109.0.66.10
      0
    2. Djinn Jer
       
      Alors en fait actuellement je suis connecté sur un hotspot Wifi : SFR Wifi Public.
      Sinon normalement mon fournisseur est Neuf SFR.
      0
    3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      ok donc légitime les 017 donc je reprend le zhpdiag et te donne le nettoyage final !!
      0
    4. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bon tu fais zhpfix,, et tu passeras delfix et puis fais tes mises à jour et puis un nettoyage avec ccleaner

      1) fais zhpfix comme expliqué

      . Copie les lignes suivantes en GRAS entre les deux lignes


      __________________________________________________________

      SysRestore
      [MD5.00000000000000000000000000000000] [APT] [PCDoctorBackgroundMonitorTask] (.Pas de propriétaire.) -- C:\Program Files\Dell Support Center\uaclauncher.exerunsilently (.not file.)
      OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe
      OPT:O4 - HKLM\..\Wow6432Node\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
      OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
      OPT:O4 - Global Startup: C:\Users\Jérémy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk . (...) -- C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
      O87 - FAEL: "{E59F3C7B-6B67-475C-9411-F8DAB519911F}" |In - Public - P6 - TRUE | .(...) -- C:\Jeux\StarCraft II\Versions\Base15405\SC2.exe (.not file.)
      O87 - FAEL: "{4118EAF8-0727-45D2-97C1-67CD02357219}" |In - Public - P17 - TRUE | .(...) -- C:\Jeux\StarCraft II\Versions\Base15405\SC2.exe (.not file.)
      C:\Users\Jérémy\Appdata\Local\Temp\log
      FirewallRAZ
      EmptyFlash
      EmptyTemp
      HostFix
      MBRFix

      ___________________________________________________________________



      . Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
      . Pour XP, double-clique sur ZHPFix
      . pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
      . Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

      Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

      Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

      !! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!



      . cliques sur OK
      . Clique sur « Tous », puis sur « Nettoyer »
      . Copie/colle la totalité du rapport dans ta prochaine réponse
      tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport



      2)- DelFix - Option Suppression

      Télécharge DelFix (d'Xplode) sur ton bureau.

      si problème prends le ici : http://www.general-changelog-team.fr/telechargements/logiciels/rechercher-dans-les-logiciels/viewdownload/75-outils-de-xplode/3-delfix

      Lance le puis sélectionne Suppression

      Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

      Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

      Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.



      3) fais tes mises à jour

      désinstalles tes version de java car tu as le 6.20 et la 6.21 alors que la 6.25 est disponible ici :
      https://www.java.com/fr/download/

      et puis désinstalles ta version de adobe reader car tu as la version 9 installes la 10 !!
      https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/



      4) fais un nettoyage avec ccleaner et les réglages donnés



      télécharges Ccleaner à partir de cette adresses

      https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/


      .enregistres le sur le bureau
      .double-cliques si sous XP sinon pour vista et seven clique droit et en tant que administrateur sur le fichier pour lancer l'installation
      .sur la fenêtre de l'installation langage bien choisir français et OK
      .cliques sur suivant
      .lis la licence et j'accepte
      .cliques sur suivant
      .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner

      ATTENTION refuse l'installation de tous ce qui est google si pas intéressé !!

      .cliques sur intaller
      .cliques sur fermer
      .double-cliques sur l'icône de Ccleaner pour l'ouvrir
      .une fois ouvert tu cliques sur option et puis avancé
      .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
      .cliques sur nettoyeur
      .cliques sur windows et dans la colonne avancé
      .cochesla première case vieilles données du perfetch que celle-la
      .cliques sur analyse une fois l'analyse terminé
      .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
      .cliques maintenant sur registre et puis sur rechercher les erreurs
      .laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
      .il te demande de sauvegarder OUI
      .tu lui donnes un nom pour pouvoir la retrouver et enregistre
      .cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
      .il supprime et fermer tu vériffis en relancant rechercher les erreurs
      .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
      .tu peux fermer Ccleaner

      pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
      0
  4. Djinn Jer
     
    Rapport ZHPFix :

    Rapport de ZHPFix 1.12.3296 par Nicolas Coolman, Update du 04/06/2011
    Fichier d'export Registre :
    Run by Jérémy at 05/06/2011 15:30:45
    Windows 7 Home Premium Edition, 64-bit (Build 7600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Valeur(s) du Registre ==========
    SUPPRIME RunValue: Adobe Reader Speed Launcher
    SUPPRIME RunValue: SunJavaUpdateSched
    SUPPRIME RunValue: QuickTime Task
    SUPPRIME {E59F3C7B-6B67-475C-9411-F8DAB519911F}
    SUPPRIME {4118EAF8-0727-45D2-97C1-67CD02357219}
    SUPPRIME FirewallRaz (Domain) : FPS-SpoolSvc-In-TCP-NoScope
    SUPPRIME FirewallRaz (Public) : FPS-SpoolSvc-In-TCP
    SUPPRIME FirewallRaz (Domain) : CoreNet-GP-LSASS-Out-TCP
    SUPPRIME FirewallRaz (Domain) : RemoteSvcAdmin-In-TCP-NoScope
    SUPPRIME FirewallRaz (Public) : RemoteSvcAdmin-In-TCP
    SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope
    SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
    SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP
    SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP
    SUPPRIME FirewallRaz (Public) : NetPres-In-TCP
    SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP
    SUPPRIME FirewallRaz (None) : {AEE80FF1-2987-45C2-AB98-8DACA18F21FA}
    SUPPRIME FirewallRaz (Private) : {630A15CD-0C1F-474D-8568-1E1995769BBE}
    SUPPRIME FirewallRaz (Public) : {90D49BF7-C296-43DC-9673-28334E7DAFAD}
    SUPPRIME FirewallRaz (Public) : {40335D47-59BB-4AF4-953F-5E33CA583350}

    ========== Dossier(s) ==========
    SUPPRIME c:\users\jérémy\appdata\local\temp\log
    SUPPRIME Flash Cookies: 3
    SUPPRIME Temporaires Windows: : 74

    ========== Fichier(s) ==========
    SUPPRIME c:\users\jérémy\appdata\roaming\microsoft\windows\start menu\programs\startup\openoffice.org 3.2.lnk
    SUPPRIME Flash Cookies: 3
    SUPPRIME Temporaires Windows: : 263

    ========== Fichier HOSTS ==========
    Le fichier Hosts est sain

    ========== Master Boot Record ==========
    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 6.1.7600

    device: opened successfully
    user: error reading MBR

    Disk trace:
    error: Read Descripteur non valide
    kernel: error reading MBR

    Resultat après le fix :
    Master Boot Record non infecté

    ========== Tache planifiée ==========
    SUPPRIME PCDoctorBackgroundMonitorTask

    ========== Restauration Système ==========
    Point de restauration du système créé avec succès

    ========== Récapitulatif ==========
    20 : Valeur(s) du Registre
    3 : Dossier(s)
    3 : Fichier(s)
    1 : Fichier HOSTS
    1 : Tache planifiée
    1 : Master Boot Record
    1 : Restauration Système

    End of the scan

    Rapport DelFix :

    # DelFix v8.0 - Rapport créé le 05/06/2011 à 15:32
    # Mis à jour le 01/06/11 à 13h par Xplode
    # Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600]
    # Nom d'utilisateur : Jérémy - JEREMY-PC (Administrateur)
    # Exécuté depuis : C:\Users\Jérémy\Desktop\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\USBFix
    Non supprimé (1) : C:\Program Files (x86)\ZHPDiag
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\PhysicalDisk0_MBR.bin
    Supprimé : C:\UsbFix.txt
    Supprimé : C:\UsbFix_Upload_Me_JEREMY-PC.zip
    Supprimé : C:\ZHPExportRegistry-05-06-2011-15-30-45.txt
    Supprimé : C:\Users\Jérémy\Desktop\UsbFix.exe
    Supprimé : C:\Users\Jérémy\Desktop\UsbFix.txt
    Supprimé : C:\Users\Jérémy\Desktop\ZHPDiag.txt
    Supprimé : C:\Users\Jérémy\Desktop\ZHPFixReport.txt
    Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\SOFTWARE\USBFix
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

    ~~~~~~ Autre ~~~~~~

    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [1412 octets] ##########
    0