Virus : MSNQ3INSTALLER.EXE (aider moi svp)

Résolu
Mathieu640 -  
 boulepate -
j'ai un virus sur msn
MSNQ3INSTALLER.EXE = mc-110-12-0000172.exe
voila le message d'erreur de mon anti virus "VIGUARD" qui ne l'a pas bloqué apparemment.
Mes problèmes :
-Quand j'ouvre word ou excel ca bloque (sablier)
-Quand je veux enregistrer ca bloque (sablier)
-Sur msn c'est trés lent ou la discution est impossible, je peux dialoguer sur msn mais quand on me répond je vois rien a mon écran !

on m'a di de télécharger "hijackthis" , ce que j'ai fais !
Voici le rapport :

Logfile of HijackThis v1.99.1
Scan saved at 18:03:37, on 12/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dfrgfat32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\VIGUARD\SERVICE.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\System32\msnq3insller.exe
C:\Program Files\VIGUARD\SDLOAD32.EXE
C:\WINDOWS\System32\msnq3insller.exe
C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\GODARD\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qpginbwgvlizmwxcyffuq.com/9cARLLVb0FUuB98EuFl1HGHlr5BNuKuOsGa/MEMjsuu1eanisPdeurfd7jDd2cPb.jsp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr8l.hpwis.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/fr/*http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - -{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {74E19A8C-6423-9B71-1633-9692865A0770} - C:\DOCUME~1\GODARD\APPLIC~1\SAVEME~1\AMOK OKAY.exe
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: HP View - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Program Files\HP\Digital Imaging\bin\hpdtlk02.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [ViGUARD] "C:\Program Files\VIGUARD\SDLOAD32.EXE" /STARTUP
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\RunServices: [Microsoft Command Line] wincmd.exe
O4 - HKCU\..\Run: [BackupNotify] C:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://fr8l.hpwis.com
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1528bf6e707d24679d06/netzip/RdxIE601_fr.cab
O16 - DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} (France Telecom MDDK ActiveX Control) - http://accueil.ava.serveur-ava.com/stkid_data/ocx/mDKid.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8/fr/AccesMembre.cab
O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: VIGUARD Service (VigService) - SOFTED - C:\Program Files\VIGUARD\SERVICE.EXE

6 réponses

  1. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut, tout d'abord ne fait rien si ce n'est de telecharger lopxp.
    http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)

    2) dezippe le (clic droit dessus > extraire tout)
    et lance lopxp.bat
    le bloc note va s'ouvrir, copie et colle le contenu ici

    A+
    0
  2. quick157 Messages postés 1458 Statut Membre 475
     
    Salut,

    Je laisse l'analyse de ton log à ceux qui s'y connaissent.

    Par contre, commence déjà par effectuer toutes les mises à jour de ton pc via windows update.

    Ensuite, télécharge et lance Spybot (après mise à jour) que tu trouveras ici :

    Spybot Search & Destroy

    Bien à toi
    0
  3. mathieu640
     
    voici le rapport de "lopxp"

    Rapport fait à 19:05:57,08 le 12/02/2006

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 68BE-9B45

    R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

    15/06/2005 09:16 <REP> Webroot
    15/06/2005 09:15 62 desktop.ini
    15/06/2005 09:14 <REP> Identities
    15/06/2005 09:14 <REP> InterTrust
    15/06/2005 09:14 <REP> Microsoft
    15/06/2005 09:14 <REP> ..
    15/06/2005 09:14 <REP> .
    1 fichier(s) 62 octets
    6 R‚p(s) 22638067712 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 68BE-9B45

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    08/02/2006 09:42 <REP> ViGUARD
    03/07/2005 21:59 <REP> Messenger Plus!
    19/06/2005 17:25 <REP> Spybot - Search & Destroy
    16/05/2005 19:05 <REP> My Pictures
    16/05/2005 19:04 <REP> Sony Ericsson
    24/02/2004 21:56 <REP> QuickTime
    16/02/2004 16:40 <REP> HP
    19/01/2004 15:43 6 DragToDiscUserNameD.txt
    30/12/2003 17:44 <REP> MSN6
    12/12/2003 23:40 <REP> Symantec
    01/08/2003 07:18 <REP> ..
    01/08/2003 07:18 <REP> Microsoft
    01/08/2003 07:18 <REP> .
    31/07/2003 23:52 <REP> SBSI
    31/07/2003 23:43 <REP> Hewlett-Packard
    31/07/2003 23:38 551 hpzinstall.log
    16/09/2002 13:49 62 desktop.ini
    3 fichier(s) 619 octets
    14 R‚p(s) 22638063616 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 68BE-9B45

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    13/12/2003 04:35 <REP> Identities
    13/12/2003 04:35 <REP> InterTrust
    01/08/2003 07:18 <REP> Microsoft
    01/08/2003 07:18 <REP> ..
    01/08/2003 07:18 <REP> .
    16/09/2002 13:49 62 desktop.ini
    1 fichier(s) 62 octets
    5 R‚p(s) 22638063616 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 68BE-9B45

    R‚pertoire de C:\Documents and Settings\GODARD\Application Data

    03/07/2005 21:50 <REP> SAVE MEDIA
    03/07/2005 21:49 <REP> peak program bait
    13/06/2005 17:16 <REP> Spybot - Search & Destroy
    24/05/2005 07:18 <REP> Common Files
    05/03/2005 22:49 <REP> Yahoo! Messenger
    16/03/2004 15:38 <REP> Roxio
    05/03/2004 12:29 <REP> EPSON
    24/02/2004 22:02 <REP> ArcSoft
    24/02/2004 21:59 <REP> Nikon
    16/02/2004 16:40 <REP> HP
    06/01/2004 23:56 <REP> Macromedia
    30/12/2003 18:25 <REP> Help
    30/12/2003 17:44 <REP> MSN6
    23/12/2003 20:30 <REP> Adobe
    23/12/2003 19:29 37872 GDIPFONTCACHEV1.DAT
    16/12/2003 06:31 <REP> InterVideo
    13/12/2003 21:32 <REP> Template
    13/12/2003 04:37 62 desktop.ini
    13/12/2003 04:37 <REP> Identities
    13/12/2003 04:37 <REP> InterTrust
    13/12/2003 04:37 <REP> .
    13/12/2003 04:37 <REP> ..
    13/12/2003 04:37 <REP> Microsoft
    12/12/2003 23:40 <REP> Symantec
    2 fichier(s) 37934 octets
    22 R‚p(s) 22638063616 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 68BE-9B45

    R‚pertoire de C:\Documents and Settings\Propri‚taire

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 68BE-9B45

    R‚pertoire de C:\WINDOWS\Tasks

    20/12/2003 17:14 414 Symantec NetDetect.job
    01/08/2003 07:18 <REP> ..
    01/08/2003 07:18 <REP> .
    16/09/2002 13:32 6 SA.DAT
    30/08/2002 02:00 65 desktop.ini
    3 fichier(s) 485 octets
    2 R‚p(s) 22ÿ638ÿ059ÿ520 octets libres

    ******************************************
    Recherche dans Program files

    Le dossier C:\Program Files\C2Media n'existe pas

    *************** Fin du rapport ****************
    0
  4. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    Telecharge: Pocket Killbox ici
    http://www.downloads.subratam.org/KillBox.exe
    alors tu vas relancer Hijack, tu fixes les lignes:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qpginbwgvlizmwxcyffuq.com/9cARLLVb0FUuB98EuFl1HGHlr5BNuKuOsGa/MEMjsuu1eanisPdeurfd7jDd2cPb.jsp

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr8l.hpwis.com

    O2 - BHO: (no name) - -{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

    O2 - BHO: (no name) - {74E19A8C-6423-9B71-1633-9692865A0770} - C:\DOCUME~1\GODARD\APPLIC~1\SAVEME~1\AMOK OKAY.exe

    O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe

    O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe

    O4 - HKLM\..\RunServices: [Microsoft Command Line] wincmd.exe

    O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe

    ensuite, supprime les dossiers:

    C:\Documents and Settings\GODARD\Application Data\SAVE MEDIA

    C:\Documents and Settings\GODARD\Application Data\ peak program bait

    Lance ensuite lance Kill box puis
    Tu copies:
    msnq3insller.exe
    tu cliques sur la croix rouge
    ensuite tu reponds non
    tu copies
    wincmd.exe
    croix rouge et tu acceptes le redemarrage.

    Tu refaits un log hijack et tu le colles.
    A+

    Jean
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Mathieu640
     
    j'ai suivi la procédure mais quand tu fo supprimer :

    C:\Documents and Settings\GODARD\Application Data\SAVE MEDIA

    C:\Documents and Settings\GODARD\Application Data\ peak program bait

    Quand j'arrive a GODARD ensuite je ne trouve pas "Application Data"
    0
    1. boulepate
       
      Salut vous deux..

      fais ceci pour voir "application data"

      Affiche tous les fichiers et dossiers :
      Clique sur démarrer, panneau de configuration, outi,option des dossiers, affichage

      Coche: afficher les fichiers et dossiers cachés

      Décoche la case:
      -masquer les fichiers protégés du système d'exploitation (recommandé)
      -masquer les extensions dont le type est connu

      Appliquer, puis ok

      ++
      0
  7. mathieu640
     
    J'ai pu supprimer le fichier :
    C:\Documents and Settings\GODARD\Application Data\ peak program bait

    Mais je ne peux pas suppimer celui là :
    C:\Documents and Settings\GODARD\Application Data\SAVE MEDIA

    Ca me met " : accès refusé , vérifier que le disque n'est pas plein ou protégé en écriture, et que le fichier n'est pas utilisé actuellement"
    0
    1. boulepate
       
      redemarre le pc, des l'allumage de celui ci tapotes la touche f8 jusqu'a ce qu'un ecran apparait de là choisis "mode sans echec" attend un peu..puis retourne supprimer le fichier qui persisté, vide ta corbeille et redemarre ;-)
      0