Ordinateur qui envoi des mail de VIAGRA via Hotmail

[invite8ec30662]

Bonjour,

Je viens ici en dernier recours car j'ai un problème avec l'ordinateur d'un ami et après de multiples recherches, je n'arrive pas à trouver de solution.

Voici l'état des lieux !
Il s'agit d'un Notebook sous Windows XP familiale 2002 service Pack 3. Il utilise Windows Live Messenger et Hotmail. (pas de logiciel de messagerie configuré sur l'ordinateur)
La personne dispose d'une connection avec clé 3G Bouygues et d'une connection wifi avec une BBox. Lorsque la clé Wifi est branché, il a des problèmes de connections. Depuis quelques jours, son compte a d'ailleurs été bloqué par Bouygues pour envoi de mail par centaines. Lorsqu'il se connecte chez lui en Wifi, le problème est le même mais semble moins poussé. Cependant, Avast lui envoi des messages d'alerte pour envoi de mail avec des adresses du type viagra_brest_supplier@...

Ce qui est etonnant, c'est que de chez moi avec ma connection Freebox, rien de tout cela a l'air de se passer.

Je pense que mon ami a ouvert un mail qu'il n'aurait pas du. Mais bon, d'après lui, il n'a rien fait de particulier, ce dont je doute car ce n'est pas la première fois que je lui enlève des choses de son ordi !

Ceci étant, j'ai scanné les disques avec plusieurs antivirus mais rien n'a été trouvé. J'ai passé plusieurs Anti Spyware et seul Malwarebytes a trouvé quelque chose.
Voici les deux fichier suspects trouvés : avdrn.dat et fvgqad.dat
Je les ai donc supprimé via Malwarebytes mais depuis le problème persiste.

Je ne sais plus trop quoi faire alors si quelqu'un a la gentillesse de m'aider, j'en serai très reconnaissant.
J'aurai bien reinstallé le système mais sur ce type d'ordinateur, il n'y a pas de partition de restauration et aucune sauvegarde n'a été faite

Merci d'avance.

Cordialement,
Arnaud

PS : j'ai mis en pièce jointe les logs
-----

[invitec04351b8]

Bonjour,

je peux avoir le dernier rapport de Combofix ?

===

Il faudra iinstaller un parefeu contrôlant les connexions sortantes, mais il faudra le lui régler (pas d'autorisations intempestives).

Mon conseil, c'est OnLine Armor :

tutoriel et lien de téléchargement ici :

http://www.malekal.com/tutorial_Online_Armor.php

@+

[invite8ec30662]

Merci pour la réponse,

Je met en pièce jointe le rapport ComboFix.

Et je regarderai ce soir le tutorial pour le pare feu.

[invitec04351b8]

Re,

tu supprimeras Combofix.exe dans c:\documents and settings\Frédéric\Mes documents\Downloads.

Tu le réinstalleras et l'exécuteras en suivant ceci :

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

@+

[A voir en vidéo sur Futura]

[invite8ec30662]

J'ai suivi tes instructions ainsi que le tutoriel pour Combofix.

Voici en pièce jointe le nouveau rapport.

[invitec04351b8]

Bonjour,

est-il normal de trouver mention de la semitag sur cet ordi ?

Il a des utilisations professionnelles ?

===

As tu eu un problème lors de l'exécution de Combofix ?

===

Copie ou imprime les instructions avant

• Déconnecte toi d'internet et ferme toutes tes applications.
• Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
• Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
  
  
  Code:

  File::
  2009-12-23 17:01 . 2009-12-22 19:46	148	----a-w-	c:\windows\system32\fjhdyfhsn.bat  
  2009-12-22 19:46 . 2009-12-22 19:46	16	----a-w-	c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat  
   
  Registry::
  [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\yremitn]

• Enregistre ce fichier sous le nom CFscript
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

@+

[invite8ec30662]

Bonjour,

Alors pour répondre à tes questions :
Il est normal de trouver trace d'une application Sémitag car il a testé sur l'ordinateur le rechargement par Internet de titre de transport via une clé USB spécifique.
Cependant, cet ordinateur ne sert pas à des fins professionnelles.

Je ne me rappelle pas avoir eu de problème lors de l'utilisation de ComboFix.
Cependant, lors de l'utilisation que je viens de faire en collant le fichier texte sur l'icone de Combofix, à aucun moment, il m'a demandé de taper 1 ou 2. Mais tout à l'air de s'être passer correctement.

Voici donc en pièce jointe le dernier log.

Merci

[invite8ec30662]

Bonjour,

Est ce que je suis enfin sorti d'affaire ?!

Je vais donc maintenant installer le nouveau parefeu et le configurer pour ne plus avoir ce genre de désagrément.

Merci

[invitec04351b8]

Re,

la manip n'a pas fonctionné.

Tu as mis seulement

File::
2009-12-23 17:01 . 2009-12-22 19:46 148 ----a-w- c:\windows\system32\fjhdyfhsn. bat
2009-12-22 19:46 . 2009-12-22 19:46 16 ----a-w- c:\windows\system32\config\sys temprofile\Application Data\fvgqad.dat

Registry::
[-HKEY_LOCAL_MACHINE\System\Cont rolSet001\Services\yremitn]

dans le fichier CFScript ?

===

Télécharge seaf.exe de C__XX

http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

hxxp://sd-1.archive-host.com/membres/up/16506160323759868/SF.exe

*Double clique sur SEAF.exe.

*Tape yremitn, fvgqad.dat, fjhdyfhsn.bat dans la fenêtre.

*Coche "Chercher également dans le registre".

*Coche la case devant "Informations supplémentaires ..."

*Clique sur le V derrière "Calculer le checksum" et choisis MD5.

*Clique sur Lancer la recherche.

*Patiente quelques minutes(tu peux suivre l'avancement du scan).

*Une fenêtre avec un SEAFlog.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

@+

[invite8ec30662]

Bonsoir et merci encore pour cette réponse.

Dans le fichier CFScript, j'avais bien mis uniquement le texte mentionné.

J'ai donc fait la nouvelle manip. Je joins le nouveau log

Merci d'avance

Arnaud

[invitec04351b8]

Bonjour,

on va faire comme ça :

1. Télécharge The Avenger par Swandog46 sur le Bureau

http://swandog46.geekstogo.com/avenger2/download.php

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Files to delete:
c:\WINDOWS\system32\fjhdyfhsn. bat
c:\WINDOWS\system32\drivers\yr emitn.sys
c:\WINDOWS\system32\config\sys temprofile\Application Data\fvgqad.dat

Registry keys to delete:
KEY_LOCAL_MACHINE\SYSTEM\Contr olSet001\Enum\Root\LEGACY_YREM ITN]
HKEY_LOCAL_MACHINE\SYSTEM\Cont rolSet002\Enum\Root\LEGACY_YRE MITN
HKEY_LOCAL_MACHINE\SYSTEM\Cont rolSet003\Enum\Root\LEGACY_YRE MITN
HKEY_LOCAL_MACHINE\SYSTEM\Curr entControlSet\Enum\Root\LEGACY _YREMITN

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

@+

[invite8ec30662]

Bonsoir,

voici le dernier log

Cordialement,

[invite8ec30662]

Au passage, j'ai ressayé car il y avait un problème dans le copier coller (espaces en trop notamment). Ce qui explique le message en haut de log je suppose.

[invitec04351b8]

Re,

fais redémarrer l'ordi, refais tourner RSIT et poste le nouveau rapport.

===

Le souci initial est bien résolu ?

@+

[invite8ec30662]

Bonjour,

voici en pièce jointe le dernier log établi avec RSIT.

Pour le problème initial, je vais aller tester l'ordinateur chez mon ami.

Tu me conseilles quand même d'installer le parefeu dont tu me parlais ?

Merci pour ta réponse

[invitec04351b8]

Bonsoir,

oui, un parefeu contrôlant les connexions sortantes est essentiel avec Xp.

Qu'a donné le test ?

@+

[invite8ec30662]

Bonsoir,

Il semble que le problème soit résolu.

J'ai aussi installé le parefeu.

Merci beaucoup pour l'aide fournit et surtout pour le temps passé.

A bientot

[invitec04351b8]

Bonjour,

de rien pour l'aide, ce fut avec plaisir.

@+