Salut à tous,
 
Voilà, j'expose la situation...
J'ai un ordinateur portable fonctionnant sous Windows XP "Media Center Edition"...
Il y a dessus un anti-virus Symantec (v10), un office 2003 et quelques jeux.
 
Depuis deux jours, j'ai des envois massifs de mails sur ce poste. Je les ai remarqué grace à l'anti-virus, non pas qu'il ait détecté le programme qui les crée, mais simplement qu'il m'affiche un pop-up pour chaque message. Ainsi en quelques secondes mon écran est envahi de pop-up signalant que le message "buy ViAgRa Ch3aPer" machin bidule est "safe" et à bien été envoyé.
De plus, le Firewall (celui de Windows) est détruit, impossible de le relancer.
 
J'ai fais un scan complet du disque avec Symantec Anti-virus, qui ne trouve rien.
J'ai fais un scan complet du disque avec Trend (en ligne), qui ne trouve rien
J'ai fais un scan complet du disque avec Spy Emergency, qui ne trouve rien
J'ai installé (ensuite) Zone-Alarm (version Pro, eval 15jours) qui refuse de démarrer... Enfin l'interface, parce que le FW est bien là, plus rien ne rentre ni ne sort du PC    
Le menu "démarrage" est propre
les HKLM/.../Run et HKCU/.../Run sont propres
 
J'ai essayé de fliquer les E/S avec un netstat -ano | find ":25 " histoire de voir le process qui pollue, mais il est difficilement detectable : le message est très court, donc l'ouverture du port 25 très breve... presque impossible à voire comme ça.
 
Je voudrais profiter d'un cas d'école pareil pour me faire la main et comprendre comment butter une vérolle comme celle là...
 
Comment feriez vous ?
Quel serait votre plan de bataille ?

et spybot ?

je n'ai pas essayé spybot, je le DL et je fais un essai
 
cependant, je suis curieux d'aprendre une méthode plus "manuelle"
 
je voudrais profiter de ce cas pour bien comprendre comment fonctionnent ces merdes... et donc comment les repèrer et les virer moi même
 

fait un scan en ligne en utilisant ie :
http://webscanner.kaspersky.fr/kavwebscan.html

ps l'envois massif d'email n'est pas dut à un spyware mais à un virus ou à un trojan exploité ce qui un peut plus chiant

ton PC n'es pas un spameur  : ton PC est un zombie
 
 
http://www.futura-sciences.com/new [...] e_6404.php

 
 
Exact, mon PC était un Zombie...
 
mais j'ai joué les Buffy, et j'ai ramené le zombie à la vie. Enfin je crois ! Pour l'instant ça à l'air de tenir.
 
j'ai passé un coup de HijackThis et j'ai trouvé quelques infos intéressantes :
 
les clés :
 

 
apparement le virus (exact "Re Lacks" le terme Spyware n'était pas approprié) n'est plus là, je n'ai plus d'envoi massif de mails mais le firewall ne démarre toujours pas. Je repasse un coup de Service pack pour voir ce que ça donne.
 
Par contre,
 
les clés que j'ai cité plus haut étaient invisibles sous regedit... comment est ce possible ?
Comment faire pour que Regedit puisse les afficher et ne plus me laisser tromper ?  
Je suppose que c'est un problème d'affichage (genre un attribut caché ouo quelque chose du même tonneau)
 
A+ tous, bon défilé   , bon Week End  

Salut, et si tu passais un petit coup de blacklight ? http://www.f-secure.com/blacklight

je ne saurais trop te conseiller de faire un scan avec
http://www.pctools.com/spyware-doctor/
tu seras rapidement fixé sur quel fichier fait quoi d'anormal

Pour commencer vire-moi Norton, c'est lourd et c'est une passoire. Tu prends un antivirus gratos, il sera plus performant. Idem pour le parefeu Windows. Prend un truc gratos, plus fiable.
 
Ensuite, tu vires les entrée du registre (en mode sans échec bien sur, sinon le virus va réécrire dans le registre derrière toi) dans, comme tu l'as dit :
HKLM/.../Run et HKCU/.../Run  
Mais aussi dans
RunOne, RunOnceEx...
 
Tout virer dans le dossier Démarrage du menu démarrer dans ta session mais aussi pour tous les utilisateurs.
 
Désactive les boot de services qui te paraissent suspect (via la console d'administration).
 
Pour finir, ne redémarre pas ton PC, éteint-le à l'arrache. certains virus s'enregistrent à la fermeture de windows.