MsblIco.Exe - est-ce un worm à supprimer ?

yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention   -  
yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
En voulant supprimer définitivement WLM de mon pc, j'ai commencé à scruter tous les fichiers et dossiers, un par un se trouvant dans mon PC (fichiers cachés également)

J'ai trouve ce fichier : MsblIco.Exe, dans
C:\WINDOWS\Installer\{059C042E-796A-4ACC-A81A-ECC2010BB78C}

En chechant sur notre ami google, j'ai lu cette information :
http://spywarefiles.prevx.com/RRHDGG77742/MSBLICO.EXE.html

Est ce un ver à supprimer ?

Et si oui, mon Avira et MalwareAmb n'ont rien vu ... ?

Merci pour votre intervention et votre aide.

Salutations, Yvette
Configuration: Windows XP
Firefox 3.5.3

4 réponses

  1. Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention   236
     
    Hello,

    Tu peux vérifier ainsi.

    Plusieurs avis valent mieux qu'un ;-)
    1
    1. yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention   5
       
      Bonjour Trying2
      Avant tout merci pour ton aide.
      J'ai fait analyser sur Virus Total et le résultat est apparemment négatif : 0/41
      Je me permet de te le soumettre, vu mes faibles, que dis-je, très faible connaissances en informatique ...

      http://www.virustotal.com/fr/reanalisis.html?2c8249328a138697eb58bfe93dbe7cb21ea2d134cc406b6cc9857665295d712a-1253526725

      Permalink: analisis/2c8249328a138697eb58bfe93dbe7cb21ea2d134cc406b6cc9857665295d712a-1245630775

      A+,
      Yvette
      0
    2. Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention   236 > yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention  
       
      Le fichier est effectivement clean.

      Souhaites tu qu'on fasse ensemble un diagnostic de ton pc?

      As tu des ralentissements, des "bugs"?
      0
    3. yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention   5 > Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention  
       
      Re,
      ouf, me voilà soulagée.
      En effet, j'ai des ralentissements (au redémarrage du pc, lorsque je click sur Mozilla, j'attends entre 2 min et 3 min l'ouverture ce lui ci) et des bugs, message d'erreurs .. lorsque je suis sur le net je ne peux ecrire directement en lettres cyrilliques, je suis obligée de le faire dans le Word et faire des copier/coller, pourtant le RU apparait bien dans la barre des langues ...

      mais je m'en accommode, puisque l'antivir (MAJ tous les jours) le Ccleaner et le MBAM ne trouvent pas de virus.

      Dois je te poster RSIT ou Hijack ?

      Je te suis reconnaissante par avance pour ton aide si gracieuse,
      Cordialement, Yvette
      0
    4. Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention   236 > yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention  
       
      Eh bien, t'es équipée et avertie :)


      - Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

      - Double-clique sur RSIT.exe afin de lancer le programme.

      - Clique sur Continue à l'écran Disclaimer.

      -Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

      - Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents.
      0
    5. yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention   5 > Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention  
       
      Ok
      Random je l'ai, je vais le faire, en attendant Hijack
      A +


      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 12:15:55, on 21/09/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v8.00 (8.00.6001.18702)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      C:\WINDOWS\system32\slserv.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
      C:\Program Files\Secunia\PSI\psi.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
      O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
      O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
      O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
      O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe (file missing)
      0
  2. Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention   236
     
    Tes documents précieux (Photos/vidéos/documents texte...) sont sauvegardés ailleurs que sur ton pc?

    Redémarre ton pc.
    Tapote la touche F8 plusieurs fois dès le démarrage.
    Est-ce qu'un écran te proposant "repair your computer" apparaît?

    Sort ensuite de ce menu et tiens moi au courant.

    En bref, je me demande s'il ne vaut pas mieux réinstaller proprement Windows et le sécuriser ensuite.

    Je suis prêt à t'accompagner dans toutes ces démarches.
    0
    1. yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention   5
       
      Re,

      j'ai pris l'habitude de faire une sauvegarde de tous ce qui est précieux sur un DD amovible et clé USB et ainsi avoir deux exemplaires, hors le PC.
      Malheureusement, jusqu'à il a trois mois, j'enregistrais directement tout sur le DD amovible uniquement. Hélas mon DD est tombé (il n'étais pas sous tension) et s'est tu définitivement, engloutissant tous mes doc précieux !! je n'ai pas les moyens de lui payer une convalescence en salle blanche pour le moment (entre 1000 et 1500€) ... alors, je prends des bonnes habitudes et je garde deux copies maintenant. Et si je conte cette mésaventure, c'est pour qu'elle sers de leçons à tous les internautes qui liront ceci. SAUVEGARDEZ !!!

      Je vais redémarrer avec F8 et te donner des nouvelles.
      Avec F5, je suis dans Mode sans échec

      Et, oui, je suis partant pour tout réinstaller correctement, mais seule .. j'ai peur de faire des bêtises

      A plus
      Sincères salutations, Yvette
      0
      1. Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention   236 > yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention  
         
        Je vais redémarrer avec F8

        Je reprécise qu'il faut presser la touche F8 dès le tout début du démarrage du PC.
        0
      2. yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention   5 > Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention  
         
        re,
        ca y est avec F8 j'ai
        Please select boot device :
        1st Floppy drive SM-HL-DT-ST DVD-RW GWA-4163B

        PM - SAMSUNG SP 1604N

        C'est tout,
        A+
        0
  3. yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention   5
     
    PS :
    Quant à la réinstallation de Windows, une chose me fait douter.
    J'ai acheté un CD AbbyLingvo (mon traducteur russe-français). A force de le preter aux amies, je ne sais plus ou il est. En cas de réinstallation je vais certainement le perdre. Et c'est mon outil indispensable de travail (interprète). Comment faire ?

    A plus,
    Yvette
    0
    1. Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention   236
       
      Il ne te faut qu'une chose:

      Ta clé de licence ABBYY Lingvo.

      Soit tu peux la retrouver actuellement dans un menu de ce logiciel.
      Soit il faut que tu fouilles dans ta boîte mail où ctte clé de licence a dû t'être envoyée à l'époque.

      Tu peux par la suite télécharger ce logiciel, et grâce à cette clé de licence tu pourras l'activer et t'en servir comme maintenant.
      0
      1. yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention   5 > Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention  
         
        Re,
        je vais fouiller dans mes différentes boites mails
        Dès que j'ai la clé, je repasse te faire signe.
        En attendant, dois je fermer ce poste ? en RESOLU ?
        Pourrons nous continuer pour faire la réinstallation proprement dans ce poste ?

        Merci encore pour le temps que tu me consacre,
        salutations dévouées, Yvette
        0
      2. Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention   236 > yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention  
         
        Oui, on continue ici, le temps qu'il faudra.

        Ne mets pas en "résolu".

        @+
        0
      3. Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention   236 > Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention  
         
        .
        0
      4. Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention   236 > yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention  
         
        .
        0
  4. Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention   236
     
    Yvette,

    Ne remet plus ce rapport sur le forum public stp. Va voir ici.
    @+
    0
    1. yvette.lyon Messages postés 157 Date d'inscription   Statut Membre Dernière intervention   5
       
      Bonjour.
      Voila les nouvelles. J'ai écrit à Abby, mais pas de réponse. Toujours pas, du moins. J'ai trouvé cette page ;
      https://activation.abbyy.com/Lingvo/default_com.asp?lang=
      et je suis bloquée au Installation ID or Product ID
      J'ai essayé de scruter les 199 pages du ABBYY Lingvo 10 Multilingual Dictionary.log à la recherche d'un numéro qui contiendrai un code à cinq moments x 4, mais rien. Comment le trouver ?
      De plus crash écran bleu est de retour (ci dessous le log)
      Et message d'erreurs aussi. Et moi qui pensais en être débarrassée.
      J'ai lancé une recherche de tous les doc ouvert le 14/05/2006 (date de l'installation de Linvo 10 sur mon PC), histoire de voir su je peux trouver ce Product ID, et c'est là que les messages d'erreurs sont apparus.
      D'abord :
      Explorer.EXE a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.
      AppName: explorer.exe AppVer: 6.0.2900.5512 ModName: msctfime.ime
      ModVer: 5.1.2600.5768 Offset: 00015692
      C:\DOCUME~1\yvette\LOCALS~1\Temp\6a9e_appcompat.txt

      et puis :
      drwtsn32.exe a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.
      EventType : BEX P1 : drwtsn32.exe P2 : 5.1.2600.0 P3 : 3b7d84a2
      P4 : dbghelp.dll P5 : 5.1.2600.5512 P6 : 4802c1f7 P7 : 0001295d
      P8 : c0000409 P9 : 00000000
      C:\DOCUME~1\yvette\LOCALS~1\Temp\WERc8a9.dir00\drwtsn32.exe.mdmp
      C:\DOCUME~1\yvette\LOCALS~1\Temp\WERc8a9.dir00\appcompat.txt

      ecran bleu
      ==================================================
      Dump File : Mini092209-01.dmp
      Crash Time : 22/09/2009 13:43:23
      Bug Check String : IRQL_NOT_LESS_OR_EQUAL
      Bug Check Code : 0x1000000a
      Parameter 1 : 0xfffffffe
      Parameter 2 : 0x00000002
      Parameter 3 : 0x00000000
      Parameter 4 : 0x804e3f2b
      Caused By Driver : afd.sys
      Caused By Address : afd.sys+1085a
      File Description : Ancillary Function Driver for WinSock
      Product Name : Microsoft® Windows® Operating System
      Company : Microsoft Corporation
      File Version : 5.1.2600.5657 (xpsp_sp3_gdr.080814-1236)
      Processor : 32-bit
      ==================================================

      Je n'ai donc pas pu faire d'essai d'installation sur le PC de mon frère.

      En attendant de tes nouvelles,
      Salutations, Yvette
      0