[RESOLU] envoi de spam depuis mon pc

[auroch]

Bonjour,

Une amie de 74 ans a un pc sous windows 8 depuis un an (tout-en-un Acer Aspire z3620). Elle s'en sert pour gérer ses comptes et ne visite que des sites clean évidemment. Mais ses petits-enfants s'en servent de temps en temps et elle n'aime pas trop ça, à raison car ils installent des jeux téléchargés n'importe où et vont sur des sites beaucoup moins clean. Récemment elle s'est mise à recevoir plusieurs messages d'erreur par jour dans sa boîte, ayant comme sujet "Undelivered Mail Returned to Sender" provenant en apparence de son FAI (Orange) mais dans le source je trouve une IP russe 2.95.208.35. Le message d''origine, joint, est explicite : "Hi", un lien vers un site dont rien que le nom sent l'arnaque à plein nez, quelques caractères cyrilliques à la fin, et à chaque fois le destinataire est une adresse différente. Sa machine sert donc pour envoyer du spam, mais ce n'est pas son adresse qui a été piratée car si elle éteint l'ordi toute la journée elle ne reçoit aucun message d'erreur.

Le pc est protégé par Kaspersky Anti-virus 2013 à jour.
Au début j'ai tenté pas mal de choses :
- analyse complète par Kaspersky, rien trouvé
- analyse par AdwCleaner, trouvé 2 ou 3 choses, supprimées mais sans effet
- analyse par Malwarebytes, rien trouvé
- analyse par Combofix, rien trouvé
- démarrage sur le Malekal live CD et passage de RogueKiller, trouvé quelques clés de registre, nettoyées, mais sans effet
Le week-end dernier, en désespoir de cause, j'ai lancé la procédure de restauration usine et réinstallé entièrement sa partition C (après avoir copié ses documents sur D). Logiciels installés : KAV 2014, Thunderbird, Firefox, SumatraPDF, VLC, rien que des trucs sains et sérieux, à part Office 2003, plus très à jour mais vu l'âge de mon amie je préfère ne pas la déstabiliser avec l'interface complètement différente des versions suivantes.
Lundi je lui rapporte son ordinateur, tout se passe bien, plus de messages d'erreur.
Et ce matin elle m'appelle catastrophée : elle a reçu un nouveau message d'erreur la veille au soir. Le malware a donc dû se réinstaller. Je me tourne donc vers vous pour m'aider à la débarrasser de ce malware...

Merci d'avance pour vos indications.

[Malekal_morte]

Salut,

Si l'IP source est une IP Russe, ça ne vient pas de son PC.
On peux envoyer un mail avec n'importe quelle adresse email, si c'est la sienne qui est prise, les retours d'erreur reviennent dessus.

[auroch]

Pour réinstaller son système, elle m'a laissé l'ordi du vendredi soir au lundi soir, soit trois jours complets pendant lesquels je ne l'ai pas connecté. En relevant ses messages lundi soir elle n'avait aucun message d'erreur, alors qu'avant elle en recevait plusieurs par jour, ce qui me fait penser qu'elle a quand même attrapé une saleté dessus. Mais peut-être n'était-ce qu'une coïncidence. Quel rapport pourrais-je poster ici pour être sûr que ce n'est pas son poste qui est infecté ? HijackThis ?

[Malekal_morte]

Tu peux faire cela, si tu veux :


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>

[auroch]

Bonjour,

Voici les rapports OTL et extras :

http://pjjoint.malekal.com/files.php?id ... 0x5i12p7v6
http://pjjoint.malekal.com/files.php?id ... s7e12h11i7

Merci !

[Malekal_morte]

Pas l'air infecté.
Le compte Hotmail est relevé sur un autre PC ou tablette ou... ?

Pour s'assurer que ça vient vraiment du compte hotmail, il faudrait avoir la source/header d'un des mails reçus par tes amis.

[auroch]

Bonjour,

Résutat des courses après deux semaines, seuls deux messages d'erreur sont encore arrivés, mais je pense qu'il s'agissait de retardataires car ils sont arrivés deux jours et 4 jours après que j'aie réinstallé windows. Depuis, plus rien.

Cela confirmerait ton diagnostic

Pas l'air infecté

La réinstallation du système a donc bien viré le malware et (à ce jour) il ne s'est pas réinstallé.

Merci pour ton analyse.

Ah, encore une question, pourquoi parles-tu de compte Hotmail ? Mon amie utilise uniquement une adresse wanadoo, qu'elle ne relève que depuis son PC avec Thunderbird...

[Malekal_morte]

OK c'était sur Orange.
Mais bon ça change rien.