Virgule59 Posted February 12, 2015 Report Share Posted February 12, 2015 Bonjour à tous, Je viens chercher une idée, en effet je suis confronté à une situation où malheureusement je n'ai plus d'idée. J'ai un poste sur lequel un malware utilise Outlook pour spammer tout le carnet d'adresse. Lors de la prise en main du poste Microsoft security essentiel a détecté plusieurs virus dont un plus inquiétant en l’occurrence un Trojan "Troj/Dyreza-BX". Très bien c'est détecté j'effectue la suppression, redémarrage du PC, passage d'un HouseCall, Zhpdiag, adwcleaner, puis zhpdiag, le rapport ne me montre rien d'anormal. mais lorsque je j'ouvre Outlook, on remarque que le logiciel essaie (je dis essaie car j'ai désactivé le mot de passe) d'envoyer des messages mais pourtant il n'y a rien dans la boite d'envoi, et le nombre de mails augmente lorsque l'on ferme et l'on rouvre Outlook. Je lance Process Explorer et j'essai de détecter un processus qui n'aurait pas ça place mais je ne trouve rien. Comme les messages n'apparaissent pas dans la boite d'envoi je me dit qu'il doivent être à la racine du fichier *.pst. J'essai de voir les messages avec outlookspy mais rien à la racine. Si vous avez une idée je suis preneur Link to comment Share on other sites More sharing options...
fabrice Posted February 12, 2015 Report Share Posted February 12, 2015 C'est peut être un rootkit, qui par défaut est difficilement détectable. Link to comment Share on other sites More sharing options...
Chris74 Posted February 12, 2015 Report Share Posted February 12, 2015 Salut, à ta place, j'essaierai une désinfection complète en commençant en "sans échec" afin qu'il ne se lance pas et qu'il ne se cache pas... puis "Roguekiller" > "SpyBot" > "adwcleaner" > "Malwarebyte" > et un coup de son anti-virus parfois "JRT" si vraiment ça reste KatyCher 1 Link to comment Share on other sites More sharing options...
Virgule59 Posted February 12, 2015 Author Report Share Posted February 12, 2015 Bonsoir, Alors rédemarrage en mode sans échec puis RogueKiller (rien); adwcleaner (rien), Av, Rien, d'après ce que j'ai pu lire ce vers se détruit automatique (comme dans mission impossible!!) part à la fin de son infection une fois qu'il a bien spammé http://blog.trendmicro.com/trendlabs-security-intelligence/new-dyre-variant-hijacks-microsoft-outlook-expands-targeted-banks/. Le lien montre la méthode et les intervenants. Bon je crois que je vais abandonner pour ce soir. Cdt Link to comment Share on other sites More sharing options...
Chris74 Posted February 12, 2015 Report Share Posted February 12, 2015 Malwarebyte n'a rien donné non plus? d'après ce que j'ai pu lire ce vers se détruit automatique (comme dans mission impossible!!) part à la fin de son infection une fois qu'il a bien spammé http://blog.trendmicro.com/trendlabs-security-intelligence/new-dyre-variant-hijacks-microsoft-outlook-expands-targeted-banks/. Le lien montre la méthode et les intervenants. ah ok Link to comment Share on other sites More sharing options...
Virgule59 Posted February 13, 2015 Author Report Share Posted February 13, 2015 Par contre, je ne sais pas quand il va se détruire, mais il balance toujours autant de spam si quelqu'un à une idée pour enrayer cette infection je suis preneur. Link to comment Share on other sites More sharing options...
nico76 Posted February 13, 2015 Report Share Posted February 13, 2015 C'est sur un poste d'un particulier ou d'une entreprise ? Car si c'est une entreprise, le serveur mx risque de se faire blacklister ... Link to comment Share on other sites More sharing options...
Virgule59 Posted February 13, 2015 Author Report Share Posted February 13, 2015 Ouf, je pense avoir résolu le problème, et c'est pas faute d'avoir suivi la méthode de désinfection publiée sur le site TREND MICRO. Comme indiqué sur leur site d'ailleurs ils parlent d'un fichier caché <ramdom_name>.Bat à supprimer dans le dossier "%User Temp%" (vous pouvez voir la méthode en suivant le lien que j'ai mis sur post) que je n'ai pas trouvé, donc avant une réinstallation totale, je me suis dit que j'allais supprimer les profils des comptes utilisateurs. Et là je ne vois plus de connexion smpt dans "tcpview". Même si je reste prudent. @nico76, c'est une entreprise mais elle n'a pas de serveur mail en interne, elle passe par les serveurs orange, le truc c'est que si leur antispam avaient été efficace, ce type d'infection n'aurait jamais pu atteindre le poste de l'utilisateur. Pour l'info l'envoi de mails ne se faisaient que lorsque Outlook. Link to comment Share on other sites More sharing options...
Recommended Posts