Infectée ?
Résolu
lafoug
Messages postés
323
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Voilà ce qu'il s'est passé : Je ne parvenais plus à envoyer de mails depuis outlook, le message d'erreur indiquait que mon IP était bloquée pour cause de SPAM (j'utilise le smtp de laposte).
Du coup, je suis allée sur Spamhaus pour essayer de comprendre. Comme j'y comprend rien aux IP, j'ai cherché sur internet, et le site mon IP m'en a indiqué plusieurs.
C'est en fait l'adresse IP du proxy qui est indiquée comme infectée (This IP is infected with, or is NATting for a machine infected with Win32/Zbot). Est ce mon ordinateur qui est infecté ou non ?
Que puis je faire pour débloquer mon IP ?
Merci d'avance.
Voilà ce qu'il s'est passé : Je ne parvenais plus à envoyer de mails depuis outlook, le message d'erreur indiquait que mon IP était bloquée pour cause de SPAM (j'utilise le smtp de laposte).
Du coup, je suis allée sur Spamhaus pour essayer de comprendre. Comme j'y comprend rien aux IP, j'ai cherché sur internet, et le site mon IP m'en a indiqué plusieurs.
C'est en fait l'adresse IP du proxy qui est indiquée comme infectée (This IP is infected with, or is NATting for a machine infected with Win32/Zbot). Est ce mon ordinateur qui est infecté ou non ?
Que puis je faire pour débloquer mon IP ?
Merci d'avance.
79 réponses
Résumé de la discussion
Le blocage d’envoi via le SMTP de Laposte est lié à une IP signalée comme bloquée pour SPAM et associée à une machine infectée ou NAT d’une machine infectée (Win32/Zbot) selon Spamhaus.
L’adresse indiquée comme infectée correspondrait en réalité à l’IP du proxy, ce qui amène à se demander si l’ordinateur est touché et quelles mesures pour débloquer l’IP.
Des évaluations techniques ont été suggérées, notamment des analyses avec OTL et Malwarebytes, des nettoyages via UsbFix, et la consultation des rapports générés et des résultats sur VirusTotal pour identifier des fichiers ou éléments suspects comme des autorun.inf.
Des avertissements apparaissent sur le risque de débloquer trop souvent sans résoudre le problème, et l’orientation vers une aide spécialisée sur la messagerie a été évoquée.
ok alors desinstalle geek buddy
==========================
Télécharge et enregistre ADWcleaner sur ton bureau :
ADWCleaner (Merci à Xplode)
Lance le,
(Pour vista et seven => clic droit "executer en tant qu'administrateur")
clique sur suppression et poste son rapport.
==========================
Télécharge et enregistre ADWcleaner sur ton bureau :
ADWCleaner (Merci à Xplode)
Lance le,
(Pour vista et seven => clic droit "executer en tant qu'administrateur")
clique sur suppression et poste son rapport.
Fait !
# AdwCleaner v2.005 - Rapport créé le 24/10/2012 à 12:27:19
# Mis à jour le 14/10/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : rh - RH-B18AAC719447
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\rh\Mes documents\Téléchargements\AdwCleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\4jtz8v7o.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7}
Dossier Supprimé : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\4jtz8v7o.default\Searchqutoolbar
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Trymedia
Fichier Supprimé : C:\Documents and Settings\rh\Application Data\Mozilla\Firefox\Profiles\xotpm4jx.default\searchplugins\Search_Results.xml
Fichier Supprimé : C:\Program Files\Mozilla FireFox\searchplugins\Search_Results.xml
***** [Registre] *****
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Windows Searchqu Toolbar
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms} --> hxxp://www.google.com
-\\ Mozilla Firefox v16.0.1 (fr)
Nom du profil : default
Fichier : C:\Documents and Settings\rh\Application Data\Mozilla\Firefox\Profiles\xotpm4jx.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
Nom du profil : default
Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\4jtz8v7o.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [2295 octets] - [24/10/2012 12:27:19]
########## EOF - C:\AdwCleaner[S1].txt - [2355 octets] ##########
# AdwCleaner v2.005 - Rapport créé le 24/10/2012 à 12:27:19
# Mis à jour le 14/10/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : rh - RH-B18AAC719447
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\rh\Mes documents\Téléchargements\AdwCleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\4jtz8v7o.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7}
Dossier Supprimé : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\4jtz8v7o.default\Searchqutoolbar
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Trymedia
Fichier Supprimé : C:\Documents and Settings\rh\Application Data\Mozilla\Firefox\Profiles\xotpm4jx.default\searchplugins\Search_Results.xml
Fichier Supprimé : C:\Program Files\Mozilla FireFox\searchplugins\Search_Results.xml
***** [Registre] *****
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Windows Searchqu Toolbar
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms} --> hxxp://www.google.com
-\\ Mozilla Firefox v16.0.1 (fr)
Nom du profil : default
Fichier : C:\Documents and Settings\rh\Application Data\Mozilla\Firefox\Profiles\xotpm4jx.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
Nom du profil : default
Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\4jtz8v7o.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [2295 octets] - [24/10/2012 12:27:19]
########## EOF - C:\AdwCleaner[S1].txt - [2355 octets] ##########
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
desinstalle tout Java
===============
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Windows\System32\mhn.dll
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
====================
Attention !!! pense à re-désactiver tes protections
Clique sur ce lien : https://www.cjoint.com/?BJyoTjdE5CV
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
===============
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Windows\System32\mhn.dll
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
====================
Attention !!! pense à re-désactiver tes protections
Clique sur ce lien : https://www.cjoint.com/?BJyoTjdE5CV
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Voilà le premier résultat : https://www.virustotal.com/gui/file/77c91e9d700dcd0994c5a17ba0f82111611b538a01f39e5710e90114a10bf32b
Le rapport préscript :
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1022 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
rh : Microsoft Windows XP (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Impossible to create restorepoint !!!
Script : 08:49:12
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Registry Deletions
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{6BFDE443-0921-4D9C-8591-73BDC01EB06C}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:1900:UDP
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\inkscape.exe
¤
C:\PROGRA~1\WI9130~1 : Not Found !
C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} : Not Found !
Folder Quarantined and Deleted Successfully : |D| - C:\1c07f11cb559f236bfc7bba33a
Folder Quarantined and Deleted Successfully : |D| - C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
Folder Quarantined and Deleted Successfully : |D| - C:\Documents and Settings\All Users\Application Data\regid.1986-12.com.adobe
¤¤¤¤¤¤¤¤¤¤ | MBR
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003c
Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected
¤
¤¤¤¤¤¤¤¤¤¤ | Disk cleaning
Disk cleaned
¤
explorer.exe -> Process re-started
Fin : 08:50:31
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1022 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
rh : Microsoft Windows XP (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Impossible to create restorepoint !!!
Script : 08:49:12
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Registry Deletions
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{6BFDE443-0921-4D9C-8591-73BDC01EB06C}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:1900:UDP
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\inkscape.exe
¤
C:\PROGRA~1\WI9130~1 : Not Found !
C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} : Not Found !
Folder Quarantined and Deleted Successfully : |D| - C:\1c07f11cb559f236bfc7bba33a
Folder Quarantined and Deleted Successfully : |D| - C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
Folder Quarantined and Deleted Successfully : |D| - C:\Documents and Settings\All Users\Application Data\regid.1986-12.com.adobe
¤¤¤¤¤¤¤¤¤¤ | MBR
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003c
Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected
¤
¤¤¤¤¤¤¤¤¤¤ | Disk cleaning
Disk cleaned
¤
explorer.exe -> Process re-started
Fin : 08:50:31
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
Et voilà !
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.10.25.04
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
rh :: RH-B18AAC719447 [administrateur]
25/10/2012 17:27:24
mbam-log-2012-10-25 (17-27-24).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 262416
Temps écoulé: 56 minute(s), 7 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.10.25.04
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
rh :: RH-B18AAC719447 [administrateur]
25/10/2012 17:27:24
mbam-log-2012-10-25 (17-27-24).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 262416
Temps écoulé: 56 minute(s), 7 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Ben a priori l'IP de mon proxi est toujours considérée comme infectée...
Mais j'ai pas trop compris si ca correspondait à moi ou non ?
Mais j'ai pas trop compris si ca correspondait à moi ou non ?
euh, je sais pas trop. C'est du charabia pour moi les rapports de pre-scan. J'ai regardé le rapport, voilà ce que j'ai trouvé :
[HKU\S-1-5-21-1715567821-789336058-725345543-1003 | PhishingFilter]|[Enabled] : 2
[HKU\S-1-5-21-1715567821-789336058-725345543-1003 | PhishingFilter]|[EnabledV8] : 1
[HKU\S-1-5-21-1715567821-789336058-725345543-1003 | Internet settings]|[EnableHttp1_1] : 1
[HKU\S-1-5-20 | Internet settings]|[MigrateProxy] : 1
[HKU\S-1-5-21-1715567821-789336058-725345543-1003 | Internet settings]|[MigrateProxy] : 1
[HKU\S-1-5-18 | Internet settings]|[MigrateProxy] : 1
[HKU\S-1-5-21-1715567821-789336058-725345543-1003 | Internet settings]|[AutoConfigProxy] : wininet.dll
[HKU\S-1-5-21-1715567821-789336058-725345543-1003 | PhishingFilter]|[Enabled] : 2
[HKU\S-1-5-21-1715567821-789336058-725345543-1003 | PhishingFilter]|[EnabledV8] : 1
[HKU\S-1-5-21-1715567821-789336058-725345543-1003 | Internet settings]|[EnableHttp1_1] : 1
[HKU\S-1-5-20 | Internet settings]|[MigrateProxy] : 1
[HKU\S-1-5-21-1715567821-789336058-725345543-1003 | Internet settings]|[MigrateProxy] : 1
[HKU\S-1-5-18 | Internet settings]|[MigrateProxy] : 1
[HKU\S-1-5-21-1715567821-789336058-725345543-1003 | Internet settings]|[AutoConfigProxy] : wininet.dll
