Bonjour.
 
Depuis hier, mon PC envoie toutes les 10 minutes 8 emails à des personnes inconnues de ma part... Sans aucun doute un virus ou quelque chose du genre.
 
Ni AVG, ni AntiVir, ni les antivirus online Secuser ou Panda (qui vérifient aussi les spywares et autres "gâteries" ) n'ont détecté quoi que ce soit... Qui peut m'aider ?
 
Merci de votre réponse.
 
J'utilise Thunderbird 1.06 comme navigateur par défaut avec Firefox, même si Internet explorer 6 et Outlook Express 6 sont toujours installés sur ma machine.

Autre info : je suis sous Windows 2000.

BOnjour,
 
Scan le PC avec HijackThis pour connaitre les processus en cours :
http://forum.hardware.fr/hardwaref [...] 1913-1.htm

Merci, je vais essayer.  
 
A noter, mon PC est à jour niveau Windows Update.

Résultat de l'analyse : un truc bizarre : le fichier update32.pif qui est inconnu et dépendrait de Windows Update...
 
AVG avait déjà trouvé un troyen sur un fichier du même type dont seul le numéro changeait...
 
Dois-je supprimer ce fichier ?

tu peux essayer le FreeScan de Mcafee en ligne mais il n'accepte que IE  
http://ts.mcafeehelp.com/?siteID=3 [...] ptions.asp

Oui. C'est sûrement un déguisement
 
Passe aussi un scan en ligne sur secuser.com par exemple.

Je commence une analyse sur freescan puis je supprimerai le fichier, au moins en le renommant temporairement. On verra.

alors ..ça donne quoi ?

sinon, avec msconfig, look les processus qui se lance au démarrage et stop ceux qui te semble bizard.

Es tu sûr que c'est ton PC qui envoit les mails et pas un tiers qui utilise ton adresse ?

moi ça m'était arrivé avec un proxy que j'avais configuré avec les pieds (analogX)
 

Toujours pas d'amélioration. Le fichier update32.pif a disparu. Aucun antivirus ne détecte quoi que ce soit, si ce n'est AVG qui scanne chaque email qui part de chez moi. La plupart d'entre eux reviennent d'ailleurs puisque le destinataire n'a pas été trouvé.
 
Je commence à en avoir marre...
 
Le proxy n'a pas été modifié depuis belle lurette. J'ai un réseau Wifi avec routeur Peabird connecté à un modem ethernet Bewan. Je n'ai jamais modifié la config depuis l'installation il y a un an.  
 
Quelqu'un a-t-il une idée ?

Poste ton dernier log HijackThis pour voir.

Le dernier Log fait toujours apparaître ce Update32.pif. Je viens de nettoyer la base de registre de cette entrée. Je suis dans l'attente.
 
Voici le dernier fichier Log de Hijackthis.
 
Logfile of HijackThis v1.99.1
Scan saved at 11:51:16, on 24/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\WLAN CARD\WLANmon.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Temp\thunderbird\thunderbird.exe
C:\Program Files\QuickZip\QuickZip.exe
C:\DOCUME~1\GROSSH~1\LOCALS~1\Temp\QZTEMP\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WLAN CARD WLAN Monitor] C:\Program Files\WLAN CARD\WLANmon.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] DSLAGENT.EXE USB
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows Update Service] update32.pif
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Sygate Personal Firewall Start] servic.exe
O4 - HKLM\..\RunServices: [Windows Update Service] update32.pif
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/ [...] scan60.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2795636703
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/ [...] cfscan.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe (file missing)
 

Comprends pas. Il y a toujours ce Update32.pif qui est incinnu et retiré de ma base de registre. D'où vient-il ?

Tu as bien fixé les deux lignes concernant ce .pif ?
 
Par contre, tu as celle-ci qui n'est pas très catholique :
O4 - HKLM\..\RunServices: [Sygate Personal Firewall Start] servic.exe
http://www.sygate.com/alerts/SSR20041015-0001.htm

Tue internat.exe dans le gestionnaire des tâches puis restaure la version originale depuis ton CD XP :
http://securityresponse.symantec.c [...] tex.a.html
--> plus d'autres détails à vérifier.
 
Tu as bien désactivé la resto système avant de fixer + booter en sans échec ?
 
Sinon, c'est pas bien d'avoir 2 antivirus en tâches de fond.

Désactive l'accès au registre à distance (dans les services) si tu ne t'en sers pas.

Attention, j'ai Windows 2000.
 
Il y a 2 antivirus parceque AVG ne trouvait rien, alors j'ai ajouté AntiVir, pour voir... Je vais le retirer, il n'a rien trouvé non plus.
 
Plus d'email envoyés depuis que les clés Update32.pif ont été retirées. Etait-ce la solution ?
 
Mais je ne comprends toujours pas pourquoi HiJackThis en fait toujours mention... Quelqu'un sait ?
 
Je vire aussi ce servic.exe. Effectivement, ton lien semble montrer que ce n'est rien de très catholique !
 
Merci pour votre aide à tous !

D'après HiJackThis, tout semble en ordre maintenant. Plus d'emails envoyés.  
 
Merci beaucoup pour votre aide. C'est vraiment le forum le plus complet et sympa. A bientôt !

C'&tait W32/Rbot-ALC
 
 
http://www.sophos.com/virusinfo/an [...] otalc.html
 
Voir dans "Advanced"

Exact, tu as raison. La rubrique fait mention de patch disponibles sur le site Microsoft. Je vais voir.
 
Merci du renseignement, Ilien83.

Vérification faite, les 2 patchs sécurité mentionnés sont déjà installés sur ma machine. Curieux, ils ne semblaient pas efficaces.
 
M'enfin, tout étant règlé, je ne vais pas chercher plus loin. Ciao !