Probleme spam qui envoi entre 8 et 10 000 mail par jour

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
badsword
Messages : 4
Inscription : 14 avr. 2010 16:49

Probleme spam qui envoi entre 8 et 10 000 mail par jour

Message par badsword » 14 avr. 2010 16:59

Bonjour
je suis technicien informatique
J'ai un client qui possède 13 poste sous windows xp , avec une adresse ip fixe
Il ont eter bloquer par spamcop a cause d'un spam j'imagine
Car je ne pense pas que sa soir un virus , car j'en ai tester deja 3, 1 gratuit +2 payants
Aujourd'hui ils ont Trend antivirus serveur qui est vraiement trés bien

En faite le truc c'est via leur adresse ip , le spam ou quoi que sa soit , envoie des millier de mail spammer.

Je suis tomber sur un site parlant de combofix
Je me permet de vous poster le contrendu fait sur l'un des postes
Merci beaucoup, car je suis dans le caca je suis la dessus depuis bien trop lomgtemp , et mon client en ai agasser , ce qui est compréhansible

Cordialement


ComboFix 10-04-08.02 - l.manaci 09/04/2010 16:57:08.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18................... [GMT 2:00]
Lancé depuis: z:\linfo\ComboFix.exe
AV: Trend Micro Client/Server Security Agent *On-access scanning disabled* (Outdated) {........................
FW: Trend Micro Personal Firewall *disabled* {...................}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\real.txt
c:\recycler\S-1-5-21-1072306140-2849310216-1173437087-500
c:\windows\system32\real.txt
D:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-09 au 2010-04-09 ))))))))))))))))))))))))))))))))))))
.

2010-04-08 15:07 . 2010-04-08 15:07 -------- d-----w- c:\program files\Cobian Backup 9
2010-04-07 16:01 . 2010-04-07 16:01 -------- d-----w- c:\documents and settings\administrateur.TLA\Local Settings\Application Data\ArcSoft
2010-04-07 16:00 . 2010-04-07 16:00 -------- d-----w- c:\documents and settings\administrateur.TLA\Local Settings\Application Data\Apple Computer
2010-04-07 16:00 . 2010-04-07 16:00 -------- d-----w- c:\documents and settings\administrateur.TLA\Local Settings\Application Data\LogMeIn
2010-04-07 16:00 . 2010-04-07 16:00 -------- d-----w- c:\documents and settings\administrateur.TLA\Local Settings\Application Data\Google
2010-04-07 12:25 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-04-07 12:12 . 2010-04-07 12:12 -------- d-----w- C:\DRConfig
2010-04-06 16:28 . 2010-04-09 14:45 -------- d-----w- c:\documents and settings\l.minici\Tracing
2010-04-06 16:24 . 2010-04-06 16:24 71336 ----a-w- c:\documents and settings\l.minici\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-06 16:15 . 2010-04-06 16:16 -------- d-----w- c:\documents and settings\l.minici\Local Settings\Application Data\Adobe
2010-04-06 14:59 . 2010-04-06 14:59 -------- d-----w- c:\documents and settings\l.minici\Local Settings\Application Data\Identities
2010-04-06 14:56 . 2010-04-06 14:56 -------- d-----w- c:\documents and settings\l.minici\Local Settings\Application Data\ArcSoft
2010-04-01 09:14 . 2010-04-01 09:14 -------- d-----w- c:\documents and settings\All Users\Application Data\LogMeIn
2010-04-01 09:14 . 2010-04-01 09:14 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\LogMeIn
2010-04-01 09:14 . 2010-04-01 09:14 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\ICS
2010-04-01 09:14 . 2009-09-28 17:34 47416 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\LMIproc.dll
2010-04-01 09:14 . 2009-09-28 17:34 28984 ----a-w- c:\windows\system32\LMIport.dll
2010-04-01 09:14 . 2009-09-28 17:34 83288 ----a-w- c:\windows\system32\LMIRfsClientNP.dll
2010-04-01 09:14 . 2008-08-11 10:41 47640 ----a-w- c:\windows\system32\drivers\LMIRfsDriver.sys
2010-04-01 09:14 . 2009-09-28 17:34 87352 ----a-w- c:\windows\system32\LMIinit.dll
2010-04-01 09:13 . 2010-04-09 07:33 -------- d-----w- c:\program files\LogMeIn
2010-04-01 09:12 . 2010-04-02 01:03 -------- d-----w- c:\program files\Microsoft Works
2010-04-01 09:11 . 2010-04-01 09:11 -------- d-----w- c:\program files\Microsoft.NET
2010-04-01 09:09 . 2010-04-01 09:09 -------- d-----w- c:\windows\SHELLNEW
2010-04-01 09:09 . 2010-04-01 09:09 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Microsoft Help
2010-04-01 09:08 . 2010-04-03 01:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-01 09:08 . 2010-04-01 09:08 -------- d-----r- C:\MSOCache
2010-03-31 09:06 . 2010-03-31 09:06 -------- d-----w- C:\temp
2010-03-31 09:06 . 2010-03-31 09:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Trend Micro
2010-03-31 09:05 . 2010-03-30 14:02 50192 ----a-w- c:\windows\system32\drivers\tmevtmgr.sys
2010-03-31 09:05 . 2010-03-30 14:02 157712 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2010-03-31 09:05 . 2010-03-30 14:02 52752 ----a-w- c:\windows\system32\drivers\tmactmon.sys
2010-03-31 09:04 . 2010-03-31 09:09 85992 ----a-w- c:\windows\system32\perfc040.dat
2010-03-31 09:04 . 2010-03-31 09:09 513830 ----a-w- c:\windows\system32\perfh040.dat
2010-03-31 09:04 . 2010-03-31 09:04 -------- d-----w- c:\windows\system32\log
2010-03-31 09:03 . 2010-03-31 09:05 -------- d-----w- c:\program files\Trend Micro
2010-03-30 14:02 . 2010-03-30 14:02 83728 ----a-w- c:\windows\system32\drivers\tmtdi.sys
2010-03-30 14:02 . 2010-03-30 14:02 335376 ----a-w- c:\windows\system32\drivers\TM_CFW.sys
2010-03-29 15:34 . 2010-03-29 15:34 -------- d-----w- c:\windows\SchCache
2010-03-15 14:36 . 2010-03-15 14:36 4212 ---ha-w- c:\windows\system32\zllictbl.dat
2010-03-15 14:28 . 2010-03-15 14:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo Downloader
2010-03-11 10:35 . 2010-03-11 10:35 -------- d-----w- c:\documents and settings\Administrateur\Application Data\VadeRetro
2010-03-11 10:35 . 2010-03-31 08:59 -------- d-----w- c:\program files\Goto Software
2010-03-11 10:35 . 2010-03-31 08:59 -------- d-----w- c:\documents and settings\All Users\Application Data\VadeRetro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-06 14:55 . 2010-04-06 14:55 -------- d-----w- c:\program files\Microsoft Windows Small Business Server
2010-04-06 14:46 . 2007-10-30 10:19 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype
2010-04-06 07:23 . 2007-12-06 10:53 71336 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-03-31 09:09 . 2004-08-16 03:35 89474 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-31 09:09 . 2004-08-16 03:35 524824 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-31 09:01 . 2008-12-03 09:15 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-03-31 09:00 . 2008-12-03 09:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-03-11 13:18 . 2010-03-10 11:51 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-03-11 12:34 . 2004-08-05 02:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2004-08-05 02:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2004-08-05 02:00 17408 ----a-w- c:\windows\system32\corpol.dll
2010-02-03 08:49 . 2010-02-03 08:49 537 ----a-w- c:\documents and settings\Administrateur\Application Data\mdbu.bin
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-06 68856]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-04 417792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-09-25 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-09-25 114688]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-09-25 94208]
"PDF Complete"="c:\program files\PDF Complete\pdfsty.exe" [2007-08-07 331288]
"SetRefresh"="c:\program files\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"Recguard"="c:\windows\Sminst\Recguard.exe" [2006-05-12 1138688]
"Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-04-24 888832]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-08-05 647520]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-10-29 122880]
"OfficeScanNT Monitor"="c:\program files\Trend Micro\Client Server Security Agent\pccntmon.exe" [2010-03-30 935208]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-08-11 63048]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 143872]
"Cobian Backup 9"="c:\program files\Cobian Backup 9\Cobian.exe" [2009-01-22 579584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Device Detector 3.lnk - c:\program files\Olympus\DeviceDetector\DevDtct2.exe [2009-2-26 163840]
Directrec Configuration Tool.lnk - c:\program files\Olympus\DeviceDetector\DirectrecConfig.exe [2009-2-26 167936]
PHOTOfunSTUDIO -viewer-.lnk - c:\program files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2009-2-2 40960]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2009-09-28 17:34 87352 ----a-w- c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprecovr \SystemRoot\sprecovr.txt

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\SMINST\\Scheduler.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Olympus\\DSSPlayerPro\\DictWnd.exe"=
"c:\\Program Files\\Ecostaff\\Misseo\\Bin\\DSXCom.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 pdfcDispatcher;PDF Document Manager;c:\program files\PDF Complete\pdfsvc.exe [02/10/2007 05:45 540184]
R2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\Client Server Security Agent\tmpreflt.sys [30/03/2010 16:02 36368]
R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [30/03/2010 16:02 335376]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [01/02/2010 10:55 135664]
S2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [11/08/2008 12:41 12856]
S2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [31/03/2010 11:05 50192]
S2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\Client Server Security Agent\tmxpflt.sys [30/03/2010 16:02 230928]
S3 TmPfw;Pare-feu personnel Trend Micro Client/Server Security Agent;c:\program files\Trend Micro\Client Server Security Agent\tmpfw.exe [30/03/2010 16:02 497008]
S3 TmProxy;Service proxy Trend Micro Client/Server Security Agent;c:\program files\Trend Micro\Client Server Security Agent\tmproxy.exe [30/03/2010 16:02 685320]
.
Contenu du dossier 'Tâches planifiées'

2010-04-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-04-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 08:54]

2010-04-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 08:54]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.hp.com
uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe"
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
TCP: {EFAC7C7B-7121-4187-9BA9-9942CEF48B6F} = 192.168.1.234
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
MSConfigStartUp-Flash Media - c:\docume~1\ADMINI~1\LOCALS~1\Temp\services.exe



**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\pdfcDispatcher]
"ImagePath"="c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|é•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1060)
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll

- - - - - - - > 'lsass.exe'(1116)
c:\program files\Bonjour\mdnsNSP.dll
.
Heure de fin: 2010-04-09 17:05:01
ComboFix-quarantined-files.txt 2010-04-09 15:04

Avant-CF: 114 898 784 256 octets libres
Après-CF: 115 640 586 240 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 7E0BD8446BF8D0A40180D07C8BB14932




Malekal_morte
Site Admin
Site Admin
Messages : 97105
Inscription : 10 sept. 2005 13:57
Contact :

Re: Probleme spam qui envoi entre 8 et 10 000 mail par jour

Message par Malekal_morte » 14 avr. 2010 17:05

Salut,

Le rapport est à priori OK.

Tu peux pas identifier la machine du réseau qui spam à travers les connexions établies ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

badsword
Messages : 4
Inscription : 14 avr. 2010 16:49

Re: Probleme spam qui envoi entre 8 et 10 000 mail par jour

Message par badsword » 14 avr. 2010 17:24

Désolé je ne peut pas , il y a 13 poste
Sinon je peus essayer de faire un Netstat sur tout les poste pour voir se que se passe

Merci , je remet un autre rapport d'un autre pc , si sa te derange pas
Sinon tu peut m'indiquer un tuto ou un cours pou rm'apprendre a lire un rapport combofix
Merci beaucoup

ComboFix 10-04-08.02 - f.levionnais 14/04/2010 17:12:22.1.4 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1523 [GMT 2:00]
Lancé depuis: t:\linfoc14\ComboFix.exe
AV: avast! antivirus 4.8.0 [VPS 100310-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Trend Micro Client/Server Security Agent *On-access scanning disabled* (Outdated) {55B6FB85-659D-4804-8072-C59634641D2C}
FW: Trend Micro Personal Firewall *disabled* {3E790E9E-6A5D-4303-A7F9-185EC20F3EB6}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-14 au 2010-04-14 ))))))))))))))))))))))))))))))))))))
.

2010-04-14 15:08 . 2010-04-14 15:08 -------- d-----w- c:\program files\CCleaner
2010-04-08 15:02 . 2010-04-08 15:02 -------- d-----w- c:\program files\Cobian Backup 9
2010-04-08 10:20 . 2010-04-08 10:20 -------- d-sh--w- c:\documents and settings\f.levionnais\IECompatCache
2010-04-07 12:35 . 2010-04-07 12:35 -------- d-----w- C:\DRConfig
2010-04-01 12:55 . 2010-04-01 12:55 -------- d-sh--w- c:\documents and settings\f.levionnais\PrivacIE
2010-04-01 12:45 . 2010-04-01 12:45 -------- d-----w- c:\documents and settings\f.levionnais\Local Settings\Application Data\Identities
2010-04-01 12:42 . 2010-04-01 12:42 -------- d-----w- c:\documents and settings\f.levionnais\Application Data\CyberLink
2010-04-01 12:40 . 2010-04-01 12:40 -------- d-----w- c:\documents and settings\f.levionnais\Local Settings\Application Data\LogMeIn
2010-04-01 09:40 . 2010-04-01 09:40 -------- d-----w- c:\documents and settings\FLORIAN\Local Settings\Application Data\LogMeIn
2010-04-01 09:40 . 2010-04-01 09:40 -------- d-----w- c:\documents and settings\All Users\Application Data\LogMeIn
2010-04-01 09:40 . 2010-04-01 09:40 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\ICS
2010-04-01 09:40 . 2009-09-28 17:34 47416 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\LMIproc.dll
2010-04-01 09:40 . 2009-09-28 17:34 28984 ----a-w- c:\windows\system32\LMIport.dll
2010-04-01 09:40 . 2009-09-28 17:34 83288 ----a-w- c:\windows\system32\LMIRfsClientNP.dll
2010-04-01 09:40 . 2008-08-11 10:41 47640 ----a-w- c:\windows\system32\drivers\LMIRfsDriver.sys
2010-04-01 09:40 . 2009-09-28 17:34 87352 ----a-w- c:\windows\system32\LMIinit.dll
2010-04-01 09:39 . 2010-04-14 08:12 -------- d-----w- c:\program files\LogMeIn
2010-04-01 09:33 . 2010-04-01 09:33 -------- d-----w- c:\program files\Microsoft Works
2010-04-01 09:33 . 2010-04-01 09:33 -------- d-----w- c:\program files\Microsoft.NET
2010-04-01 09:30 . 2010-04-01 09:31 -------- d-----w- c:\windows\SHELLNEW
2010-04-01 09:30 . 2010-04-01 09:30 -------- d-----r- C:\MSOCache
2010-03-30 16:18 . 2010-03-30 16:18 -------- d-----w- C:\temp
2010-03-30 16:18 . 2010-03-30 16:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Trend Micro
2010-03-30 16:17 . 2010-03-30 14:02 50192 ----a-w- c:\windows\system32\drivers\tmevtmgr.sys
2010-03-30 16:17 . 2010-03-30 14:02 157712 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2010-03-30 16:17 . 2010-03-30 14:02 52752 ----a-w- c:\windows\system32\drivers\tmactmon.sys
2010-03-30 16:17 . 2010-03-30 16:19 86514 ----a-w- c:\windows\system32\perfc040.dat
2010-03-30 16:17 . 2010-03-30 16:19 515048 ----a-w- c:\windows\system32\perfh040.dat
2010-03-30 16:17 . 2010-03-30 16:17 -------- d-----w- c:\windows\system32\log
2010-03-30 16:16 . 2010-03-30 16:17 -------- d-----w- c:\program files\Trend Micro
2010-03-30 14:02 . 2010-03-30 14:02 83728 ----a-w- c:\windows\system32\drivers\tmtdi.sys
2010-03-30 14:02 . 2010-03-30 14:02 335376 ----a-w- c:\windows\system32\drivers\TM_CFW.sys
2010-03-29 16:25 . 2010-03-29 16:25 -------- d-----w- c:\windows\SchCache
2010-03-26 09:03 . 2010-03-26 09:03 152576 ----a-w- c:\documents and settings\FLORIAN\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-03-26 09:03 . 2010-03-26 09:03 79488 ----a-w- c:\documents and settings\FLORIAN\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-09 14:53 . 2009-01-16 10:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Dell
2010-04-09 14:51 . 2009-02-24 10:09 -------- d-----w- c:\program files\Alwil Software
2010-04-01 12:40 . 2009-01-16 10:13 68072 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-01 12:40 . 2010-04-01 12:39 135 ----a-w- c:\documents and settings\f.levionnais\Local Settings\Application Data\fusioncache.dat
2010-04-01 12:39 . 2010-04-01 12:39 -------- d-----w- c:\program files\Microsoft Windows Small Business Server
2010-04-01 09:34 . 2009-01-16 10:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-01 09:23 . 2010-03-11 10:39 -------- d-----w- c:\program files\Goto Software
2010-04-01 09:23 . 2010-03-11 10:39 -------- d-----w- c:\documents and settings\All Users\Application Data\VadeRetro
2010-03-30 16:19 . 2008-04-25 12:46 89996 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-30 16:19 . 2008-04-25 12:46 526042 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-26 09:04 . 2009-01-16 09:59 -------- d-----w- c:\program files\Java
2010-03-18 11:53 . 2009-01-16 10:01 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-03-11 10:39 . 2010-03-11 10:39 -------- d-----w- c:\documents and settings\FLORIAN\Application Data\VadeRetro
2010-03-10 12:12 . 2010-03-10 11:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-03-10 11:17 . 2010-03-10 11:17 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-03-10 06:16 . 2008-04-25 12:46 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2008-04-25 12:46 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-04-25 12:46 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:06 . 2008-04-25 12:46 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2008-04-13 19:07 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-12 10:33 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2008-04-25 12:46 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-04-25 12:46 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-27 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-18 16806912]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"8169Diag"="c:\program files\Realtek\Diagnostics Utility\8169Diag.exe" [2008-02-26 909312]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-07-20 182808]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2008-05-23 128296]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"OfficeScanNT Monitor"="c:\program files\Trend Micro\Client Server Security Agent\pccntmon.exe" [2010-03-30 935208]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-08-11 63048]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 143872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Device Detector 3.lnk - c:\program files\Olympus\DeviceDetector\DevDtct2.exe [2009-2-26 163840]
Directrec Configuration Tool.lnk - c:\program files\Olympus\DeviceDetector\DirectrecConfig.exe [2009-2-26 167936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2009-09-28 17:34 87352 ----a-w- c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Olympus\\DSSPlayerPro\\DictWnd.exe"=
"c:\\Program Files\\Ecostaff\\Misseo\\Bin\\DSXCom.exe"=

R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [11/08/2008 12:41 12856]
R2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\Client Server Security Agent\tmpreflt.sys [30/03/2010 16:02 36368]
R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [30/03/2010 16:02 335376]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [05/02/2010 18:19 135664]
S2 LANPkt;Realtek LANPkt Protocol Driver;c:\windows\system32\drivers\LANPkt.sys [16/01/2009 12:00 8960]
S2 Norton Internet Security;Norton Internet Security;"c:\program files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "c:\program files\Norton Internet Security\Engine\16.0.0.125\diMaster.dll" /prefetch:1 --> c:\program files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe [?]
S2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [30/03/2010 18:17 50192]
S2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\Client Server Security Agent\tmxpflt.sys [30/03/2010 16:02 230928]
S3 Diag69xp;Diag69xp;c:\windows\system32\drivers\diag69xp.sys [16/01/2009 12:00 11264]
S3 RTLVLAN;Realtek VLAN Intermediate Driver;c:\windows\system32\drivers\RTLVLAN.SYS [16/01/2009 12:00 16640]
S3 TmPfw;Pare-feu personnel Trend Micro Client/Server Security Agent;c:\program files\Trend Micro\Client Server Security Agent\tmpfw.exe [30/03/2010 16:02 497008]
S3 TmProxy;Service proxy Trend Micro Client/Server Security Agent;c:\program files\Trend Micro\Client Server Security Agent\tmproxy.exe [30/03/2010 16:02 685320]
.
Contenu du dossier 'Tâches planifiées'

2010-04-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-05 16:19]

2010-04-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-05 16:19]

2010-04-14 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2930672619-3113961609-1831210081-1008Core.job
- c:\documents and settings\FLORIAN\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-02-24 10:26]

2010-04-14 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2930672619-3113961609-1831210081-1008UA.job
- c:\documents and settings\FLORIAN\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-02-24 10:26]

2010-04-14 c:\windows\Tasks\User_Feed_Synchronization-{87418176-B8A5-45AA-AE55-355ED502943B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]

2010-04-14 c:\windows\Tasks\User_Feed_Synchronization-{BDE81647-F31F-47C4-ACD4-F5D3D46E4EB1}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
TCP: {FA939400-6740-4C39-B9BA-4B4825D37C89} = 192.168.1.234
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-14 17:15
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton Internet Security]
"ImagePath"="\"c:\program files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\program files\Norton Internet Security\Engine\16.0.0.125\diMaster.dll\" /prefetch:1"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1156)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll

- - - - - - - > 'explorer.exe'(1956)
c:\windows\system32\LMIRfsClientNP.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
Heure de fin: 2010-04-14 17:16:32
ComboFix-quarantined-files.txt 2010-04-14 15:16

Avant-CF: 480 594 841 600 octets libres
Après-CF: 480 670 650 368 octets libres

- - End Of File - - 6211569782D11C8EFFADAA93237A18B5

Malekal_morte
Site Admin
Site Admin
Messages : 97105
Inscription : 10 sept. 2005 13:57
Contact :

Re: Probleme spam qui envoi entre 8 et 10 000 mail par jour

Message par Malekal_morte » 15 avr. 2010 09:29

badsword a écrit :Désolé je ne peut pas , il y a 13 poste
Sinon je peus essayer de faire un Netstat sur tout les poste pour voir se que se passe
C'est quoi qui partagent la connexion internet ?
Un routeur ?
Y a pas une box GNU/Linux ?

Sinon ouais un netstat mais c'est pas forcément parlant dans le sens où si c'est un rk, les connexions peuvent être masquées.
Déjà faudrait demander s'ils ont pas un PC qui rame à mort/plante et passer un Combofix dessus.

Sont OK les rapports Combofix que tu postes.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

badsword
Messages : 4
Inscription : 14 avr. 2010 16:49

Re: Probleme spam qui envoi entre 8 et 10 000 mail par jour

Message par badsword » 15 avr. 2010 11:15

pour de ce qui est de leurs connection internet , c'est un cable de chez orange pro qui arrive direct dans leurs tableau de brassages
Sinon j'ai passer un combofix sur les 13 postes.
La je suis un peu perdu

Sa ne serai pas une bonne idee de mettre sur tous les poste WIRESHARK
pour ecouter le port 25 , en disant bien au secretaire de ne pas mettre en route outlook express??


Malekal_morte
Site Admin
Site Admin
Messages : 97105
Inscription : 10 sept. 2005 13:57
Contact :

Re: Probleme spam qui envoi entre 8 et 10 000 mail par jour

Message par Malekal_morte » 15 avr. 2010 11:55

Sa ne serai pas une bonne idee de mettre sur tous les poste WIRESHARK
pour ecouter le port 25 , en disant bien au secretaire de ne pas mettre en route outlook express??
Le truc c'est qu'encore une fois, si c'est un rootkit.... ce qui sera renvoyé par les programmes et le système peut être faussé et les connexions SMTP non visibles.
C'est pour cela que de voir au niveau de la connexion c'est mieux.

Bha si t'es rendu là autant faire un netstat voir monte rapidos une machine Linux (à limite CD Live) pour faire du NAT et pouvoir récupérer les connexions établies au moins là t'es sûr du résultat...

M'enfin si t'as passé Combofix sur les 13 postes....
y en a pas un qui est avec plus de suppressions que les autres ?

Ca se trouve le prob est résolu (antivirus qui a mis en quarantaine).... faudrait voir si en demandant de s'enlever de SpamCop ils te recollent comme étant spammeur.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

badsword
Messages : 4
Inscription : 14 avr. 2010 16:49

Re: Probleme spam qui envoi entre 8 et 10 000 mail par jour

Message par badsword » 15 avr. 2010 13:34

je vien de penser a un truc , dit moi si c faisable

les 13 poste sont en domaine sur le serveur 2003
donc le dns et ce serveur la
mais la passerelle des 13 poste est 192.168.1.1 (orange koi)
est til possible de partager la connexion internet du serveur , pour que je puisse mette sur chaque poste le serveur en tant que passerelle , ensuite sur le serveur remettre un coup de sniffeur sur le port 25

?? merci de ta reponse

Malekal_morte
Site Admin
Site Admin
Messages : 97105
Inscription : 10 sept. 2005 13:57
Contact :

Re: Probleme spam qui envoi entre 8 et 10 000 mail par jour

Message par Malekal_morte » 15 avr. 2010 18:14

oui mais pour que la connexion continue de fonctionner pour les utilisateurs, il faut que le serveur fasse du NAT.
Ca doit être possible avec un 2003 dans outils d'administration / routage etc
Mais je crois que Windows va te prendre la tête car il faut deux cartes réseau, il sait pas faire du NAT avec une sale carte réseau....
Enfin à voir.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 97105
Inscription : 10 sept. 2005 13:57
Contact :

Re: Probleme spam qui envoi entre 8 et 10 000 mail par jour

Message par Malekal_morte » 15 avr. 2010 18:20

Oui mais pour que les machins du réseau continuent à avoir le net, faut que le 2K3 fasse du NAT.
C'est possible dans outils d'administration puis routage etc...
Mais je crois que Windows a besoin de deux cartes réseaux pour pouvoir faire du NAT...
Je pense que tu vas être emmerdé.

~~

Pour info sur une box GNU/Linux dans le meme principe de routage, pour faire du nat, t'as juste deux commandes à taper :
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
et après tu peux filtrer le port 25 en sortant pour n'autoriser que les smtp d'orange :
for i in `host smtp.orange.fr|awk '{print $4}'` ; do iptables -A FORWARD -p tcp ! -d $i -j DROP ; done
si tu mets les logs sur iptables tu verras le drop sur le port 25 pour toutes les connexions SMTP non orange.
ou sinon avec conntrack...

Exemple pour lister le NAT sur le port 80 en destination :
neptune:/home/malekalmorte/malware# conntrack -L|grep dport=80|more
tcp 6 83 TIME_WAIT src=192.168.1.5 dst=74.54.162.224 sport=51810 dport=80 packets=70 bytes=10167 src=74.54.162.224 dst=192.168.1.5 sport=80 dport=51810 packets=86 bytes=108683 [ASSURED]
mark=0 secmark=0 use=1
tcp 6 94 TIME_WAIT src=192.168.1.5 dst=222.186.12.52 sport=51408 dport=80 packets=28 bytes=1817 src=222.186.12.52 dst=192.168.1.5 sport=80 dport=51408 packets=26 bytes=27082 [ASSURED] m
ark=0 secmark=0 use=1
tcp 6 76 TIME_WAIT src=192.168.1.90 dst=74.54.162.224 sport=4391 dport=80 packets=19 bytes=2572 src=192.168.1.5 dst=192.168.1.90 sport=3128 dport=4391 packets=29 bytes=21788 [ASSURED] m
ark=0 secmark=0 use=1
tcp 6 1 TIME_WAIT src=192.168.1.5 dst=208.88.227.170 sport=60975 dport=80 packets=5 bytes=759 src=208.88.227.170 dst=192.168.1.5 sport=80 dport=60975 packets=5 bytes=444 [ASSURED] mark=
0 secmark=0 use=1
Bref sous GNU/Linux ça prendre 30s à savoir qui fait quoi.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 97105
Inscription : 10 sept. 2005 13:57
Contact :

Re: Probleme spam qui envoi entre 8 et 10 000 mail par jour

Message par Malekal_morte » 09 juil. 2010 16:43

(je fais remonter le sujet mais...)

Voila j'ai fait cette page explicative, en espérant que cela puisse servir : spambot-identifier-une-machine-qui-spam ... 27238.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »