Probleme de spam et rootkit (abuse orange)

[Résolu/Fermé]
Signaler
Messages postés
2
Date d'inscription
mercredi 4 avril 2007
Statut
Membre
Dernière intervention
4 avril 2007
-
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
-
Bonjour tout le monde ,donc voila,je vous explique mon probleme.Le service abuse orange ,m'a envoyé un mail comme quoi ,j'envoyais des spams et j'en recevais..mais en fait c'etait plutot un virus qui faisait cela ils m'ont dit.donc il m'ont dit d'aller faire un scan,chez Panda ou Trendmicro...le probleme qd je vais sur ces sites ,ca marchent pas .
J'ai donc decidé pour faire court et pas perdre mon tps formaté mon pc(c:),j'ai donc decidé de leur envoyé pour leur dire voila que j'avais formaté,ils m'avaient dit de le faire ,si les scans marchaient pas,et jeleur envois un mail comme quoi ,j'ai formaté.
Donc sur mon pc,nikel,je recois plus de spam etc...j'ai remis antivir,(et je vais mettre zone alarm)

Mais la sur ma boite mail,je recois un mail,d'abuse orange"oui dernier avertissement",toujours le meme message.Et sur ma boite mail,je recois ,encore des pubs mais ,je m'en fous,cette adresse me sert a rien ,seulement pour recevoir une fois par mois ma facture orange!!

Je me dis c'est peut sur mon portable qu'en fait il y a un virus,donc avant de formaté,je fais des scan et la smitfraud,me montre un truc interessant, j'avais un rootkit pe386;le genre de merde vraiment horrible a enlever ,et long,donc pour pas perdre de tps,hop un petit formatage de c: sur mon portable et voila.


Et ce matin en me reveillant ,je me leve et je vois ,5 nouveaux messages (dont 2 en américains),je comprends plus rien!! aidez moi please,je deviens dingue!

ou sinon merci qd meme d'avoir lu mon message,bonne journée ,aurevoir

11 réponses

Après lecture de ces posts et étant moi-même dépanneur et assez au fait de ces choses la par des notions de droit, on peut dire que :

- La cellule Abuse est légalement "inexistante" dans la mesure où elle n'apparait pas clairement dans les contrats initiaux passés entre le fournisseur et le client (définition, champ d'action et surtout adresse de contact obligatoire si intervention directe dans la qualité de fourniture de service souscrite par le client)

- Le fait de suspendre un service loué et avec un compte en cours de validité, avec les conditions citées ci-dessus, relève clairement d'un abus de pouvoir, voire de la notion d'escroquerie dans certains cas. (on constate au passage que cette cellule porte bien son nom). Cependant, ce type d'action préventive peut être toléré et logique à l'unique condition de proposer obligatoirement une assistance concrête et suivie à l'abonné jusqu'à résolution du problème et rétablissement du dit-service.
Dans le cas de la cellule Abuse, ceci n'existe pas!!! C'est même pire, on demande, pour "réactiver" son compte, d'envoyer un courrier électronique depuis son compte principal alors que celui-ci a été suspendu.
C'est comme si une banque vous demandait de payer ses services par carte, en l'ayant préalablement suspendue.

- Le fait de mentionner des marques de logiciel dans ses mails ne relève ni plus ni moins que de la publicité par voie internet. Au regard de la Loi, on est donc en mesure de classifier ce genre de mail comme publicitaire et non-désiré, donc par définition de "Spam". Bravo pour une cellule qui est censé faire l'inverse. De plus, on peut s'interroger sur la légalité de proposer son propre antivirus sous la menace de coupure d'un compte. L'utilisateur étant en situation d'infection donc d'une certaine manière en position de détresse, on peut alors dire que cette pratique relève de l'abus de faiblesse.

Je stoppe ici la liste car on pourrait encore trouver beaucoup de points à rajouter. Vous l'avez compris avec ces quelques lignes, la fameuse cellule ABUSE de chez ORANGE porte bien son nom, et applique des pratiques et des procédures complêtement ILLEGALES au regard de la Loi. C'est une des raisons pour laquelle certains internautes ont été dédommagés ou très vite reconnectés. Je voisces déconnexions abusive assez souvent dans ma clientèle ORANGE!!! (curieux de ne pas voir ça chez les autres FAI!!!) et je vous encourage vivement à procéder de la sorte :

1 - Répondre par le seul contact connu : abuse@orange.fr en utilisant la forme suivante :

Bonjour,

Après blocage "temporaire" de mon compte client n°XXXXXXXXXX selon vos raisons, il s'avère que cette pratique est une manoeuvre abusive de votre part . Je vous remercierais donc de bien vouloir faire le nécessaire et de réactiver mon compte sous 48H, faute de quoi vous seriez en contradiction avec votre obligation de fourniture de service que vous facturez à vos clients, chose qui me forcerait à faire appliquer mes bons droit de manière plus formelle.
Vous remerçiant pour votre efficacité dès lecture de cet email,
Cordialement,

2 - Ne pas oublier de conserver ce courrier électronique envoyé avec sa date et son entête, et demander systématiquement un accusé de réception lors de l'envoi.

Ceci vous permettra en cas de non-rétablissement du service au delà de la période donnée, d'avoir la possibilité d'annuler votre contrat (même si vous êtes encore dans la période de non-résiliation) et de vous faire indemniser des tranches non-consommées. Pour ce faire, il faudra l'écrire par voie recommandée avec ACR en joignant DES COPIES de toutes les pièces retenues. Vous verrez que tout devrait se négocier rapidement et à l'amiable bien sur!!!

Je répète que les manoeuvres de coupure de service non justifiées et non constatées, ayant lieu dans les conditions sus-expliquées, sont totalement ILLEGALES et donc REPREHENSIBLES par la Loi Française...

J'espère que tout cela vous sera bien utile et que vous vous tirerez rapidement de cette situation grâce à ces petits conseils...

Cordialement,
3
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 41713 internautes nous ont dit merci ce mois-ci

Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 534
Re,

les posts de qui ?

d'un anonyme qui prend le pseudo de bonjour ?

A ton avis, vous êtes combien, sur le coup ?
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 534
Bonjour,

on est outillé pour éradiquer pe386 sans formatage.

Tu vas faire ça :
- tu ouvres un 2ème post pour le portable. Ici, tu mets les infos du fixe

- sur les 2 tu fais ce qui est dit ici :
virus methode preliminaire de desinfection version fr

- sur les 2 tu fais tourner Smitfraudfix (que tu retélécharges pour avoir la dernière version.

- sur les 2 tu continues comme ça :
Va sur ce lien et télécharge Blacklight(de F-Secure) :
< https://www.f-secure.com/en > et sauvegarde le sur ton Bureau
Consulte le tuto de Malekal_morte ici :
< https://www.malekal.com/tutorial-f-secure-blacklight/ >
Tu suis le tuto pour la phase 1 (scan) et tu postes le rapport de blacklight dans ta réponse

@+

donc voila les differents rapports pour le pc principal

1-avec AVG

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 15:56:40 04/04/2007

+ Résultat de l'analyse:



C:\Program Files\MSN Messenger\All_version.exe -> Trojan.Feutel.av : Aucune action entreprise.
C:\Program Files\MSN Messenger\polygamie(www.MsnTrucAstuce.fr).zip/All_version.exe -> Trojan.Feutel.av : Aucune action entreprise.
C:\Program Files\Messenger\All_version.exe -> Trojan.Feutel.av : Aucune action entreprise.


Fin du rapport

(j'ai ensuite supprimé ses fichiers)


2-avec Bitdefender


BitDefender Online Scanner



Scan report generated at: Wed, Apr 04, 2007 - 16:42:46





Scan path: A:\;C:\;D:\;E:\;F:\;G:\;H:\;







Statistics

Time
00:39:28

Files
165072

Folders
1414

Boot Sectors
5

Archives
9085

Packed Files
9959




Results

Identified Viruses
0

Infected Files
0

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
0




Engines Info

Virus Definitions
417516

Engine build
AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)

Scan plugins
14

Archive plugins
38

Unpack plugins
6

E-mail plugins
6

System plugins
1




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

No virus found.




3-Hijackthis


Logfile of HijackThis v1.99.1
Scan saved at 16:00:49, on 04/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Soft\AntiVir PersonalEdition Classic\sched.exe
C:\Soft\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Soft\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
C:\Soft\nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Soft\nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Soft\AVG Anti-Spyware 7.5\guard.exe
C:\Soft\AVG Anti-Spyware 7.5\avgas.exe
C:\Soft\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Soft\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Soft\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Soft\nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Soft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Soft\nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Soft\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Soft\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Soft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe



et en 4 smitfraud



SmitFraudFix v2.162

Rapport fait à 13:23:51,81, 04/04/2007
Executé à partir de C:\smitfraud\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Inventel Gateway - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B8B66AA-1A8E-4B70-8AA3-479B8C810CF1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B8B66AA-1A8E-4B70-8AA3-479B8C810CF1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B8B66AA-1A8E-4B70-8AA3-479B8C810CF1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin







Voila,j'ai fait les differents scan,est ce que qqn peut me dire ce qu'il en pense ,merci les gars

au fait mercy lyonnais92,pour les liens

donc voila le scan F secure blacklight toujours pour le meme pc

04/04/07 19:24:11 [Info]: BlackLight Engine 1.0.61 initialized
04/04/07 19:24:11 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/04/07 19:24:11 [Note]: 7019 4
04/04/07 19:24:11 [Note]: 7005 0
04/04/07 19:24:15 [Note]: 7006 0
04/04/07 19:24:15 [Note]: 7011 1680
04/04/07 19:24:15 [Note]: 7026 0
04/04/07 19:24:15 [Note]: 7026 0
04/04/07 19:24:16 [Note]: FSRAW library version 1.7.1021
04/04/07 19:26:02 [Note]: 7007 0
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 534
Bonsoir,

tout semble propre.

Par contre tu risques de ne pas le rester si
tu n'installes pas en urgence Zone Alarm comme tu le disais;

@=

ok ok,merci lyonnais92 ,pour ton aide
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 534
Bonsoir,

de rien.

@+
Bonsoir

J'ai eu la même aventure même ressenti mais moi je ne vais pas m'en tenir à une discussion sur un forum mais faire remonter à la direction france télécom orange copie à que choisir, merci de faire la même démarche pour ceux qui reçoive ce mail où le terme délit, abus avertissement classifie le client lambda comme une sorte de délinquant responsable de spammer ou de viruser je suis curieuse de savoir si certains 'loueurs de l'anti spams et anti virus de wanadoo reçoivent ce genre de message
Je ne sais pas si vous avez compris mais si vous avez un antivirus qui laisse passer un virus ou un spam wanadoo tente de vs rendre responsable
Là je lis que des personnes ayant quand même une bonne sécurité n'ont pas truvé et qu'il a fallu des connaissances en informatiques pour trouver des clefs où je ne sais quoi imaginez votre grand-mère recevant ce mail la pôvre la voici devenue délinquante cybernaute elle envoie des spams et des virus la vilaine n'a pas d'antivirus détectant un méchant trojan
Devant une juridiction à votre avis qui le juge jugera qui de la poule a pondu l'oeuf ?
Merci pour l'analyse juridique elle est pas mal wanadoo propose un lien qui désinfecte au cas où si on paye

Oui, merci pour ces infos, je me les note dans mon dossier "Droit" et "consommation", on ne sait jamais, ça pourrait dépanner un ou une amie qui serait chez cet opérateur.

C'est clairement un abus, ou alors ils doivent mettre à la disposition de leurs clients des dépanneurs qui se déplacent, parce que tout le monde n'arrivera pas à se débarrasser d'un trojan vicieux comme ça.

J'imagine mes pauvres parents qui seraient confrontés à ça :/
Bonjour mes posts semblent avoir disparu ?