Internet | Logiciels | Dépannages | Programmation | Réferencement | Télé-Assistance |
Accueil > Dépannages > Votre PC envois des SPAMS à votre insu

Votre PC envois des SPAMS à votre insu

Nous sommes tous des SPAMMEURS en puissance. 

Vous avez remarqué que votre PC a une activité anormale depuis quelques temps, puis voila que votre FAI (Fournisseur d'Accés a Internet) se plaint que vous étes à l'origine de SPAMS et que vous devez cesser avant qu'il ne vous coupe l'accés a Internet.

Votre PC a probablement été infécté par un virus qui a installé a votre insu un programme de SPAM.

Tel etait le cas de Mme S, une de mes clientes, a qui la cellule ABUSE de chez ORANGE a coupé l'accés suite à ce probléme de SPAMS. 

La premiére chose à faire est de vous débarrasser des Virus et Malwares.

Mme S m'a confié 2 PC protégés par PC CILLIN.

Aprés avoir scanné ces PC avec un "vrai" ANTI-VIRUS (NOD32) j'ai découvert sur l'un d'eux 6 fichiers inféctés par les virus :

  • Win32/Braban.O
  • Win32/Braban.NAI
  • Win32/Adware.NaviPromo

NOD32 à supprimé les fichiers en question.
Un scan avec Ad'aware a fini de nettoyer le PC (je n'ai pas trouver de malwares sur ce PC)

Mais apparement les virus ne sont que les vecteurs de l'infection, ce ne sont pas eux qui envois les spams, mais un programme qu'ils ont installé dans le systéme aprés y avoir pénetré. Donc les supprimer ne suffit pas...

L'analyse du processus

Grâce à TCPView et à un sniffer j'ai pu remarquer le traffic généré par le SPAM.

Le SPAM est envoyé par le processus (programme) SERVICES.EXE. Ce processus est un processus appartenant a Windows et gerant, comme son nom l'indique, les differents services. Il est donc impossible de le supprimer.

La methode est toujours la méme, SERVICES.EXE se connecte a un site Internet ( lansetcommunication.biz, un site Russe ) d'abord sur la page login.php puis sur la page data.php de laquelle il recoit des données cryptées, surement les adresses a spammer.
puis ensuite commence le SPAM proprement dit, on voit le processus SERVICES.EXE se connecter a differents serveur SMTP (port 25).

La solution: SDFix 

Pour me debarrasser de ce programme SPAMMEUR j'ai utilisé le programme SDFix de Andy Manchesta entre autres.

SDFix est un programme régulierement mis a jour, qui supprime tout un tas de trojan cheval de troies (trojan) et autre malwares. Plus d'infos sur SDFix ici.

Pour utiliser SDFix, en MODE SANS ECHEC, installez SDFix, puis executez RunThis.bat.

Pour finaliser, un petit tour chez Windows Update, et voila un PC tout propre...

C'est surement pour lutter contre ce genre de fléau qu'ORANGE et les autres FAI mettent en place un filtre qui interdit l'acces aux autres serveurs SMTP que le leurs.

Auteur : Thierry R
 
  
 
Temps d'éxecution : 25.72 ms / 13 requettes SQL