adresse e-mail détournée

[invitea0169f77]

Bonjour à tous,
j'ai parcouru quelques posts et j'ai trouvé un cas similaire au mien, j'ai donc suivi la procédure conseillée du mieux possible et j'en arrive au moment ou je dois envoyer un rapport obtenu en utilisant hijackthis.
A l'origine, mon problème est que mon adresse e-mail est utilisée pour envoyer des spams et maintenant je suis en liste rouge, mes e-mails sont donc bloqués et n'arrivent pas à mes destinataires.
j'ai mis en fichier joint le rapport format text, en espérant qu'une âme charitable veuille bien m'aider pour sortir de ce cauchemar...
Merci d'avance.
-----

[invite275db609]

Bonjour lol973

Effectivement, on peut voir dans tes rapports quelques soucis, voila ce qu'on va faire :

Tout d'abord, un peu de lecture pour te faire prendre conscience des lacunes d'avast du moment.

==========================

Télécharge Lop S&D de Angeldark et Eric71 sur ton bureau.

• Décompresse l'archive obtenue en faisant un clic-droit et 'Extraire tout'.
• Double-clique sur le nouveau répertoire Lop S&D obtenu et double-clique sur Scan.bat
  (il est possible que l'extension .bat n'apparaisse pas suivant les options d'affichage définies).
• Tape R pour Rechercher et valide ton choix par la touche Entrée.
• Laisse l'outil travailler, il va générer un rapport, poste le à la suite.

=========================

• Ferme/Désactive ton antivirus (important), avant de télécharger et lancer Combofix.
• Télécharge combofix.exe (par sUBs) sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
• Double clique combofix.exe et suis les invites.
• Ne pas cliquer sur la fenetre de commande de Combofix pendant le scan, cela peut perturber l'outil.
• Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport en pièce jointe dans ta prochaine réponse.

=========================

• Fais un scan en ligne Kaspersky (avec Internet Explorer, IMPORTANT)
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

=========================

Poste les rapports demandés : Lop S&D, ComboFix, KasperskyOnline et un nouveau hijackthis.

Bonne journée

[invitea0169f77]

Bonjour,
Tout d'abord je vous remercie de m'accorder de votre temps pour m'aider et apparemment c'est en bonne voie.
j'ai suivit les instructions du mieux possible et je joins les différents rapports.
Je ne peux apparemment pas joindre le rapport de Karspersky, car il est trop "gros" (329k), rien n'est infecté, mais un tas de lignes simillaires à celle là:"G:\WINDOWS\system32\wbem\R epository\FS\OBJECTS.DATA Object is locked skipped" sont signalées dans le rapport.
J'ai été obligé de réinstaller internet explorer car il ne démarrait pas et j'ai une fenêtre qui affiche "application LAUNCHER.EXE composant log_dll introuvable".
Internet étant réinstallé entre temps, peut-être que cette fenêtre ne va plus s'afficher lors du prochain démarrage.
Si j'ai bien compris, vous me conseillez de changer d'antivirus, AVAST n'ayant pas l'air "au top" en ce moment en tout cas...
Je vous laisse "étudier" les rapports et j'attends de vos nouvelles.
Je vous remercie encore.

[invite275db609]

Bonjour

Super, mais tu as oublié le rapport de Lop S&D, pourrais-tu le poster stp ?

• Crée un fichier avec le bloc-note, saisie le contenu de la boite ci-dessous :

Code:

File::
G:\WINDOWS\system32\pmnnk.dll
G:\WINDOWS\system32\urqommk.dll
G:\WINDOWS\system32\winwil32.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{404E7D72-9083-4FBD-8EE8-72A461FF3102}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{48EA0F26-3364-440C-80B2-6313E9B6F226}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{633CC3EB-9474-43EE-B544-5B1998FFFB57}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9DBA0820-A629-43B2-A05E-B22C31B3AFBE}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9DCD122D-54DE-4950-A99E-B2F3DEEE48B1}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqommk]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwil32]

• Sauvegarde le fichier avec le nom suivant : CFScript.txt
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

============================

Poste les rapports demandés : Lop S&D, ComboFix, et un nouveau hijackthis.

Bonne soirée

[A voir en vidéo sur Futura]

[invitea0169f77]

Bonjour
J'ai relancé Lop S&D et lors de l'exécution avast a détecté comme l'autre fois deux virus, j'ai accepté de ne rien faire lorsqu'avast me l'a proposé.
J'ai suivit la procédure indiquée concernant le lancement de combofix.exe avec le fichier CFScript.txt comme vous me l'avez demandé dans le dernier post, mais il n'y a pas eut de fenêtre me proposant un choix entre un et deux.
Dernière précision: au démarrage la fenêtre dont je parlais dans le message précédent apparait toujours.
Bonne journée et merci particulièrement à Synthexe.
P.S.: nous avons actuellement 4 heures de décallage, il est 5h30 ici et 9h30 chez vous...

[invite275db609]

Bonsoir

J'ai oublié de te répondre la derniere fois à propos d'Avast, je le fais donc : oui, je te conseille de le désinstaller pour Antivir (plus réactif à la remontée des fichiers infectés). Mais si Avast te donne des alertes (sauf sur les outils de désinfection qu'il te faut ignorer), autorise le à mettre en quarantaine.

Tu n'as pas bien suivi la procédure relative à ComboFix. Il y'a du avoir un problème sur le contenu du script.
Reprends la procédure comme décrite ci-dessus stp.

Surpris par l'emplacement d'un fichier, je souhaiterais que tu fasses une analyse en ligne :

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
• Rends toi jusque sur ce fichier si tu le trouves :

• G:\WINDOWS\system32\HH.EXE

• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
• Une nouvelle fenêtre de ton navigateur va apparaître
• Clique alors sur cette image :
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
• Enfin colle le résultat dans ta prochaine réponse.
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

Poste moi le rapport de ComboFix stp (prend bien soin de faire la manipulation comme il faut).

Bonne soirée

[invitea0169f77]

Bonjour,
Voici les fichiers demandés combofix et virustotal.
J'espère avoir fait la manip correctement cette fois-ci.
merci encore
bonne journée.

[invite275db609]

Bonjour

Et non, encore raté ... as-tu bien stoppé tous les processus de défense (notemment Spybot, enfin, surtout son TeaTimer) avant de procéder à la manipulation ? (tu peux désinstaller completement spybot, au pire tu le réinstalleras après)
Ou alors, c'est que la manipulation n'est pas faite correctement.

Désolé de devoir te demander de la refaire à nouveau.

Bonne soirée

[invitea0169f77]

Bonjour,
Je l'ai obtenu en mode sans échec cette fois-ci.
Désolé de ne pas y avoir pensé avant...
J'ai remplacé avast par antivir...
Merci encore Synthex

[invite275db609]

Bonjour

Maiiiiheeuuu .... toujours pas :'(
Si la manip était faite correctement (glisser le script sur ComboFix), ces lignes ne devraient plus apparaitre :

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{404E7D72-9083-4FBD-8EE8-72A461FF3102}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{48EA0F26-3364-440C-80B2-6313E9B6F226}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{633CC3EB-9474-43EE-B544-5B1998FFFB57}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9DBA0820-A629-43B2-A05E-B22C31B3AFBE}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9DCD122D-54DE-4950-A99E-B2F3DEEE48B1}]

On va faire autrement ( /!\ FERME BIEN TOUTES TES PROTECTIONS RESIDENTES (Antivirus, Spybot et son tea-timer) AVANT LA MANIPULATION SUIVANTE /!\ ) :
Clique-droit sur ton bureau et crée un nouveau fichier texte.
Dans celui-ci, copie/colle ce qui suit /!\ Attention, pas de ligne vierge devant regedit4 /!\ :

Code:

REGEDIT4

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{404E7D72-9083-4FBD-8EE8-72A461FF3102}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{48EA0F26-3364-440C-80B2-6313E9B6F226}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{633CC3EB-9474-43EE-B544-5B1998FFFB57}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9DBA0820-A629-43B2-A05E-B22C31B3AFBE}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9DCD122D-54DE-4950-A99E-B2F3DEEE48B1}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqommk]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwil32]

Assure toi que Retour à la ligne automatique ne soit pas coché.
Sauvegarde le fichier sur ton bureau, en prenant soin de sélectionner Tous types de fichiers, en le nommant fixme.reg
Double-clique sur fixme.reg et accepte la fusion avec le registre.
Une fois cela fait, tu peux supprimer le fichier fixme.reg

========================

Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre ton poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Active la case : "Afficher les fichiers et dossiers cachés"
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

========================

Assures-toi que les fichiers suivants ne sont plus présents (si tu les trouves, supprimes-les) :
G:\WINDOWS\system32\pmnnk.dll <-- le fichier
G:\WINDOWS\system32\urqommk.dll <-- le fichier
G:\WINDOWS\system32\winwil32.dll <-- le fichier
G:\Program Files\Multi_Media_France <-- le dossier complet

========================

Fais un scan de ta machine avec Antivir. Trouve-t-il quelque chose ?

========================

Comment se comporte ta machine ? Des dysfonctionnements ?

Poste un nouveau hijackthis.

Bon dimanche

[invitea0169f77]

Bonjour
J'ai beau faire la manipulation d'une façon ou d'une autre, les lignes que tu m'a citées ne disparaissent pas en lançant COMBOFIX (voir rapport ci-joint), j'ai désinstallé spybot, lorsque COMBOFIX ouvre la fenêtre bleue, une ligne indique"chemin d'accès introuvable".
Je joins aussi le rapport ANTIVIR et HIJACKTHIS.
Mon pc fonctionne correctement et je n'ai pas de fenêtre intempestives.
Mon problème est juste que mon adresse e-mails est détournée pour envoyer des spams et que du coup j'ai été classé "indésirable",alors quand j'envoie des e-mails pour le boulot par exemple, ils sont bloqués et n'arrivent pas au destinataire.
Sinon,j'ai toujours la fenêtre qui affiche "application LAUNCHER.EXE composant tlib_log.dll introuvable" au démarrage.
Y-a-t-il un moyen pour que mon adresse n'envoie plus de spams, ou dois-je créer une nouvelle adresse?
En tout cas merci Synthex pour ton aide.
Bonne journée.

[invite275db609]

Bonsoir

Mon problème est juste que mon adresse e-mails est détournée pour envoyer des spams et que du coup j'ai été classé "indésirable",alors quand j'envoie des e-mails pour le boulot par exemple, ils sont bloqués et n'arrivent pas au destinataire

C'est ton fournisseur d'accès qui t'a bloqué tes mails ? A priori, perso, je ne pense pas/plus que ta machine soit une machine à spam, donc, il pourrait t'autoriser à nouveau à envoyer des mails.

Pour les BHO's, on va faire autrement :

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

O2 - BHO: (no name) - {404E7D72-9083-4FBD-8EE8-72A461FF3102} - (no file)
O2 - BHO: (no name) - {48EA0F26-3364-440C-80B2-6313E9B6F226} - (no file)
O2 - BHO: (no name) - {633CC3EB-9474-43EE-B544-5B1998FFFB57} - (no file)
O2 - BHO: (no name) - {9DBA0820-A629-43B2-A05E-B22C31B3AFBE} - (no file)
O2 - BHO: (no name) - {9DCD122D-54DE-4950-A99E-B2F3DEEE48B1} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

===========================

Supprime ComboFix en faisant ceci :
Menu Démarrer --> Exécuter --> saisie ensuite ceci et valide :
"%userprofile%\Bureau\combofix .exe" /u

==========================

• Fais un scan en ligne Kaspersky (avec Internet Explorer, IMPORTANT)
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

=============================

Toujours ton message d'erreur au lancement ?

Poste les rapports demandés : KasperskyOnline et un nouveau hijackthis.

Bonne soirée

[invitea0169f77]

Bonjour Synthexe,

Cette fois, il semble que la manip a porté ses fruits, les lignes ont été supprimées avec ComboFix (fichier joint).
Le rapport Kaspersky n'a rien trouvé, mais pendant que le scan se déroulait, Antivir a détecté quelque chose, j'ai copié ce qu'il a affiché et l'ai mis en fichier joint.
Pour répondre à ta question, oui, j'ai toujours le message d'erreur au démarrage.
Concernant mes e-mails, je vais sur la page d'accueil de mon fournisseur d'accès, et je sélectionne messagerie.
Une page s'ouvre avec une série d'onglets à gauche, parmi lesquels les "indésirables", il y en a tous les jours entre 20 et 40.
Je vérifie chaque jour les noms pour être sur qu'un expéditeur n'a pas été mis là par erreur (cela s'est déjà produit), et je supprime tous les messages indésirables après la vérification.
C'est lors d'une de ces vérifications que j'ai vu mon adresse dans les indésirables avec un message "spam" sur le viagra(en anglais évidemment)
J'ai alors transféré mon adresse des indésirables vers les expéditeurs "fiables".
Jusque là, rien de très grave, mais ce qui suit est plus alarmant.
J'envoie toujours mes messages avec accusé de réception et confirmation de lecture, et après l'envoi de messages, j'ai reçu en retour des messages de non-réception de la part de mes destinataires.
Je les ai joint par téléphone et ils m'ont confirmés n'avoir jamais reçu mes messages; j'ai refais des tentatives même avec adresses différentes, mais sans plus de succès.
J'ai été obligé de me servir du fax!
J'espère avoir été plus clair dans mes explications.
Me conseilles-tu de réinstaller SPYBOT ou un autre programme du même type?
En tout cas merci pour ton aide et ta patience.

[invite275db609]

Bonjour lol973

Merci pour les explications plus détaillées.

Tu as oublié de poster les rapports, si tu les as sous la main et que tu veux bien les mettre en pièces jointes, ce serait bienvenue.
Pour tes mails, tu devrais peut-etre appeler ton fournisseur d'accès pour voir, c'est eux qui gère tes mails, je ne vois rien de particulier dans tes rapports précédents, à moins que je sois passé à coté de quelque chose.

Pour Spybot, j'aime bien sa fonction de vaccination, pour le reste, il ne s'attaque pas aux malwares directement, il ne s'occupe essentiellement que de spywares.

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

Poste le rapport MBAM et un nouveau hijackthis.

Bonne soirée

[invitea0169f77]

Bonjour Synthexe,
Concernant les fichiers joints, celui appelé Antivir est une ligne apparue lors du scan en ligne KASPERSKY.
Le rapport KASPERSKY, est trop gros(330kg) pour être joint.
Je crois n'avoir rien oublié
Bonne journée

[invite275db609]

Bonjour

Ne t'inquietes pas pour l'alerte Antivir, ce n'est que dans la restauration système, donc non actif.
As-tu toujours ton problème de mail ? Et ton message d'erreur au lancement de la machine ?

Peux-tu faire un clic-droit (j'insiste bien sur le clic-droit) sur le fichier suivant et clique sur Modifier : G:\Documents and Settings\c'dépanné\install.cmd
Copie-colle moi le contenu du fichier et poste-le en pièce jointe.

Pour moi, c'est à priori propre, à mois que je ne sois passé à coté de quelque chose ...

Tiens moi au courant.

Bonne fin de journée

[invitea0169f77]

Bonjour Syntexe,
J'ai toujours le problème au démarrage et ce matin j'avais encore un e-mail classé indésirable dont "j'étais l'expéditeur" (mon adresse e-mail en tant qu'expéditeur avec un message publicitaire en anglais).
J'envoie un e-mail de suite à mon fournisseur d'accès.
J'ai joint le fichier que tu m'as demandé, mais, sauf erreur, il s'appelait en fait install "sans cmd"
Merci encore et bonne journée.