Virus via msn

ingried06 Messages postés 16 Statut Membre -  
 0121 -
bonjour,
J'ai un ami qui a recu un virus en cliquant sur un lien avec msn. le lien est : "impresas-conniadas.mail333.su/vega.html" . des qu'il ouvre une boite pour dialoguer, ce lien est envoyé a tous ses contacts en ligne.
si vous pouvez m'aider, merci d'avance !
Configuration: Windows XP
Firefox 2.0.0.6

32 réponses

  • 1
  • 2
  1. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Bienvenue sur le forum d’entraide de CommentCaMarche.net

    Nous connaissons votre situation et nous vous conseillons de ne surtout pas vous inquiéter.
    De plus, au vu du nombre croissant de désinfections effectuées sur le forum, nous vous demandons un peu de patience et surtout de ne pas créer plusieurs postes pour le même problème.
    Merci de votre compréhension.

    Télécharge HijackThis ici:
    http://telechargement.zebulon.fr/138-hijackthis-1991.html

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre-le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Lance le puis:
    Clique sur "do a system scan and save logfile" (cf démo)
    Faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Bon courage

    A+
    0
  2. ingried06 Messages postés 16 Statut Membre 1
     
    merci d'avoir repondu si rapidement !

    l'ami qui a ce probleme n'est joignable que le soir, donc d'es que j'ai le fichier que vous m'avez demandé, je vous le transmet.

    ps : je lui viens en aide via le tel, et ce n'est pas si simple . il ne sais pas trop utiliser les forums et les programmes (installer etc...)

    merci encore, je vous tiens au courant.
    0
  3. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Pas de soucis ! :)
    Si vous voulez que l'on fasse cela sur MSN, contactez moi en message privé.

    a+
    0
  4. ingried06 Messages postés 16 Statut Membre 1
     
    voici le fichier demandé :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:48:43, on 23/08/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\starter.exe
    C:\PROGRA~1\Wanadoo\CnxMon.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    C:\Program Files\Wanadoo\EspaceWanadoo.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\WINDOWS\system32\syst.exe
    C:\WINDOWS\Mwsx.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\winhelp.exe
    C:\Program Files\Wanadoo\ComComp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Wanadoo\Watch.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Documents and Settings\Admin\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: (no name) - {274c0420-ebe0-4f1d-b473-edd1aa9b85dd} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: (no name) - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINDOWS\system32\starter.exe
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [syst] C:\WINDOWS\system32\syst.exe
    O4 - HKLM\..\Run: [JavaScriptMs] C:\WINDOWS\Mwsx.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Lyad] C:\Program Files\Lyad Messenger\lyad_messenger.exe autostart
    O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1E6C18E2-691A-4B57-BE71-61E3ED1D396C}: NameServer = 212.27.32.176,212.27.32.177
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3C62DC07-2681-439C-9005-3D7DA872105B}: NameServer = 80.10.246.1 80.10.246.132
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Ok.

    Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
    http://sosvirus.changelog.fr/MSNFix.zip

    Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
    - Exécutez l'option R.
    -- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

    - Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

    A+
    0
  7. ingried06 Messages postés 16 Statut Membre 1
     
    Bonjour !

    je vous remercie beaucoup pour votre aide.
    J'ai telechargé Msnfix.zip, et executer le fichier ".bat" .
    Il ne trouve pas d'infection.

    il y a toujours ce lien espagnol quand on ouvre la boite de dialogue msn.

    merci encore pour votre aide !

    Bonne journée a vous !

    Ingried
    0
  8. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    D'accord.

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

    Copie/colle un nouveau rapport HiJackThis avec.
    0
  9. ingried06 Messages postés 16 Statut Membre 1
     
    re bonjour !
    voici le rapport de combofix :

    ComboFix 07-08-17.2 - "Admin" 2007-08-24 12:17:20.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.264 [GMT 2:00]
    * Created a new restore point

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    C:\Program Files\elitecodec
    C:\Program Files\elitecodec\ot.ico
    C:\Program Files\elitecodec\ts.ico
    C:\Program Files\elitecodec\uninst.exe
    C:\WINDOWS\system32\_000006_.tmp.dll

    ((((((((((((((((((((((((( Files Created from 2007-07-24 to 2007-08-24 )))))))))))))))))))))))))))))))

    2007-08-24 12:14 51,200 --a------ C:\WINDOWS\nircmd.exe
    2007-08-23 21:23 <REP> d-------- C:\MSNFix
    2007-08-23 21:19 <REP> d-------- C:\Program Files\QuickZip4
    2007-08-20 23:28 <REP> d-------- C:\Program Files\CCleaner
    2007-08-18 17:18 <REP> d-------- C:\Program Files\Lyad Messenger
    2007-08-16 21:53 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
    2007-08-16 21:53 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2..sys
    2007-08-16 21:53 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
    2007-08-16 21:53 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
    2007-08-16 21:53 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
    2007-08-16 21:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
    2007-08-16 21:52 783,224 --a------ C:\WINDOWS\system32\aswBoot.exe
    2007-08-16 21:51 <REP> d-------- C:\Program Files\Alwil Software
    2007-08-15 13:23 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
    2007-08-03 11:43 879,616 --a------ C:\winhelp.exe
    2007-08-03 11:43 879,616 --a------ C:\WINDOWS\Mwsx.exe
    2007-08-03 11:43 207,360 --a------ C:\WINDOWS\system32\syst.exe

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-08-24 12:08 --------- d-------- C:\Program Files\Wanadoo
    2007-08-07 07:25 --------- d-------- C:\Program Files\Google
    2007-08-05 12:13 --------- d-------- C:\Program Files\YesMessenger
    2007-08-04 22:49 --------- d-------- C:\Program Files\Montorgueil
    2007-07-30 22:33 --------- d-------- C:\Program Files\IncrediMail
    2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
    2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
    2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
    2007-07-30 19:19 43352 --a--c--- C:\WINDOWS\system32\wups2.dll
    2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
    2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
    2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
    2007-07-30 19:18 33624 --a--c--- C:\WINDOWS\system32\wups.dll
    2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
    2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
    2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
    2001-03-28 12:02 122880 --a--c--- C:\WINDOWS\inf\Agfa\message.exe

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{274c0420-ebe0-4f1d-b473-edd1aa9b85dd}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "EnsoniqMixer"="C:\WINDOWS\system32\starter.exe" [2001-10-04 12:22]
    "WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" [2004-05-13 09:28]
    "SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 12:38]
    "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-05-13 09:28]
    "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\TaskbarIcon.exe" [2004-05-13 09:28]
    "PrinTray"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe" [2000-09-14 20:06]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03]
    "MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2007-05-08 19:09]
    "syst"="C:\WINDOWS\system32\syst.exe" [2007-08-03 11:43]
    "JavaScriptMs"="C:\WINDOWS\Mwsx.exe" [2007-08-03 11:43]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-08 18:12]
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2006-05-01 19:02]
    "Lyad"="C:\Program Files\Lyad Messenger\lyad_messenger.exe" [2007-02-06 16:07]

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
    "Config"=%systemroot%\system32\run.cmd
    "nlsf"=cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
    "tscuninstall"=%systemroot%\system32\tscupgrd.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoRecentDocsMenu"=1 (0x1)
    "NoSMHelp"=1 (0x1)
    "MemCheckBoxInRunDlg"=1 (0x1)
    "NoSMBalloonTip"=1 (0x1)
    "NoDesktopCleanupWizard"=1 (0x1)
    "NoWelcomeScreen"=1 (0x1)
    "NoAutoUpdate"=1 (0x1)

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "NoRecentDocsMenu"=1 (0x1)
    "NoSMHelp"=1 (0x1)
    "MemCheckBoxInRunDlg"=1 (0x1)
    "NoSMBalloonTip"=1 (0x1)
    "NoDesktopCleanupWizard"=1 (0x1)
    "NoWelcomeScreen"=1 (0x1)
    "NoAutoUpdate"=1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "appinit_dlls"=MsgPlusLoader.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
    backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
    Mixer.exe /startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
    C:\WINDOWS\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
    %systemroot%\system32\dumprep 0 -k

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    C:\WINDOWS\system32\NeroCheck.exe

    R3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys
    S1 ensqio;ensqio;C:\WINDOWS\system32\DRIVERS\ensqio.sys
    S1 sbpcint4;SB AudioPCI 128;C:\WINDOWS\system32\DRIVERS\sbpcint4.sys
    S3 Camdrv30;Philips ToUcam XS;C:\WINDOWS\system32\Drivers\camdrv30.sys
    S3 NtApm;Pilote d'interface NT APM/hérité;C:\WINDOWS\system32\DRIVERS\NtApm.sys
    S3 rtl8029;Pilote NT de carte Realtek PCI Ethernet à base RTL8029(AS);C:\WINDOWS\system32\DRIVERS\RTL8029.SYS
    S3 sbpci;SB PCI Family Audio Driver (WDM);C:\WINDOWS\system32\drivers\sbpci..sys

    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-08-24 12:24:58
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    **************************************************************************

    Completion time: 2007-08-24 12:29:02 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-08-24 12:28

    --- E O F ---

    plus tard je vous enverrai le rapport de iHiJackThis

    Merci encore pour tout !
    vous etes tres sympa !

    a plus tard

    Ingried
    0
  10. ingried06 Messages postés 16 Statut Membre 1
     
    voici le fichier comme demandé !
    ps : j'espere ne pas l'avoir envoyé en double ( mauvaise manip peut etre)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:16:32, on 24/08/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\starter.exe
    C:\PROGRA~1\Wanadoo\CnxMon.exe
    C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
    C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\WINDOWS\system32\syst.exe
    C:\WINDOWS\Mwsx.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\winhelp.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Wanadoo\EspaceWanadoo.exe
    C:\Program Files\Wanadoo\ComComp.exe
    C:\Program Files\Wanadoo\Watch.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Admin\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: (no name) - {274c0420-ebe0-4f1d-b473-edd1aa9b85dd} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: (no name) - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINDOWS\system32\starter.exe
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [syst] C:\WINDOWS\system32\syst.exe
    O4 - HKLM\..\Run: [JavaScriptMs] C:\WINDOWS\Mwsx.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Lyad] C:\Program Files\Lyad Messenger\lyad_messenger.exe autostart
    O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1E6C18E2-691A-4B57-BE71-61E3ED1D396C}: NameServer = 212.27.32.176,212.27.32.177
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3C62DC07-2681-439C-9005-3D7DA872105B}: NameServer = 80.10.246.130 80.10.246.3
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    0
  11. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Super merci.

    Peux tu envoyer deux fichiers au developpeur de MSNfix afin qu'il mette par la suite a jour son programme?

    Clique ici : http://upload.changelog.fr/

    Url: virus via msn#dernier (Regis59)

    Marque ton pseudo. Sélectionne ce fichier :

    C:\WINDOWS\Mwsx.exe

    Clique ensuite sur Envoyer

    Fais de même pour :
    C:\WINDOWS\system32\syst.exe

    Merci beaucoup.
    0
  12. ingried06 Messages postés 16 Statut Membre 1
     
    ok
    Je contacte mon ami pour avoir ces 2 fichiers et je fais ce que vous m'avez demandé .

    Milles merci !

    bonne journée !
    Ingried
    0
  13. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    merci :)

    A+
    0
  14. ingried06 Messages postés 16 Statut Membre 1
     
    bonsoir !
    Je viens d'envoyer les 2 fichiers que vous m'avez demandé !

    Bonne soirée

    ingried
    0
  15. !aur3n7
     
    Bonsoir ingried06, Quentin

    J'ai bien reçu les fichiers merci !
    Pourrais tu m'envoyer pas le même moyen ce fichier ?

    C:\winhelp.exe

    Je confirme ces fichiers sont bien infectieux il ne fait aucun doute et ils sont même assez bien détecté par la plupart des antivirus. Ce n'est pas mon habitude de conseiller d'en changer mais dans ce cas Avast! me semble avoir été dépassé.

    Je met à Jour MSNFix cette nuit ou au plus tard demain midi.

    Merci.

    syst.exe

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2007.8.25.0 2007.08.24 -
    AntiVir 7.4.1.63 2007.08.24 TR/Dldr.Banload.bej.462
    Authentium 4.93.8 2007.08.24 -
    Avast 4.7.1029.0 2007.08.24 -
    AVG 7.5.0.484 2007.08.24 Downloader.Banload.ARA
    BitDefender 7.2 2007.08.24 -
    CAT-QuickHeal 9.00 2007.08.23 (Suspicious) - DNAScan
    ClamAV 0.91 2007.08.24 Trojan.Downloader.Banload-2685
    DrWeb 4.33 2007.08.24 DLOADER.Trojan
    eSafe 7.0.15.0 2007.08.23 suspicious Trojan/Worm
    eTrust-Vet 31.1.5085 2007.08.24 -
    Ewido 4.0 2007.08.24 -
    FileAdvisor 1 2007.08.24 -
    Fortinet 2.91.0.0 2007.08.24 -
    F-Prot 4.3.2.48 2007.08.24 -
    F-Secure 6.70.13030.0 2007.08.24 Trojan-Downloader.Win32.Banload.bej
    Ikarus T3.1.1.12 2007.08.24 Trojan-Downloader.Win32.Banload.auf
    Kaspersky 4.0.2.24 2007.08.24 Trojan-Downloader.Win32.Banload.bej
    McAfee 5105 2007.08.24 -
    Microsoft 1.2803 2007.08.24 -
    NOD32v2 2483 2007.08.24 a variant of Win32/TrojanDownloader.Banload.BJU
    Norman 5.80.02 2007.08.24 -
    Panda 9.0.0.4 2007.08.24 Trj/Nabload.BWE
    Prevx1 V2 2007.08.24 -
    Rising 19.37.42.00 2007.08.24 -
    Sophos 4.21.0 2007.08.24 Mal/Behav-130
    Sunbelt 2.2.907.0 2007.08.24 VIPRE.Suspicious
    Symantec 10 2007.08.24 -
    TheHacker 6.1.8.172 2007.08.24 Trojan/Downloader.Banload.bej
    VBA32 3.12.2.3 2007.08.24 Trojan-Downloader.Win32.Banload.bej
    VirusBuster 4.3.26:9 2007.08.24 -
    Webwasher-Gateway 6.0.1 2007.08.24 Trojan.Dldr.Banload.bej.462

    Mwsx.exe

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2007.8.25.0 2007.08.24 Win-Trojan/Bancos.879616.B
    AntiVir 7.4.1.63 2007.08.24 TR/Spy.Bancos.adt
    Authentium 4.93.8 2007.08.24 -
    Avast 4.7.1029.0 2007.08.24 -
    AVG 7.5.0.484 2007.08.24 PSW.Banker3.VKH
    BitDefender 7.2 2007.08.24 -
    CAT-QuickHeal 9.00 2007.08.23 -
    ClamAV 0.91 2007.08.24 -
    DrWeb 4.33 2007.08.24 BackDoor.Pigeon.199
    eSafe 7.0.15.0 2007.08.23 -
    eTrust-Vet 31.1.5085 2007.08.24 -
    Ewido 4.0 2007.08.24 -
    FileAdvisor 1 2007.08.24 -
    Fortinet 2.91.0.0 2007.08.24 Spy/Bancos
    F-Prot 4.3.2.48 2007.08.24 -
    F-Secure 6.70.13030.0 2007.08.24 Trojan-Spy.Win32.Bancos.adt
    Ikarus T3.1.1.12 2007.08.24 Trojan.Popwin.R
    Kaspersky 4.0.2.24 2007.08.24 Trojan-Spy.Win32.Bancos.adt
    McAfee 5105 2007.08.24 -
    Microsoft 1.2803 2007.08.24 -
    NOD32v2 2483 2007.08.24 -
    Norman 5.80.02 2007.08.24 -
    Panda 9.0.0.4 2007.08.24 Trj/Banker.FWD
    Prevx1 V2 2007.08.24 -
    Rising 19.37.42.00 2007.08.24 Trojan.Spy.Win32.Bancos.t
    Sophos 4.21.0 2007.08.24 -
    Sunbelt 2.2.907.0 2007.08.24 -
    Symantec 10 2007.08.24 Infostealer.Bancos
    TheHacker 6.1.8.172 2007.08.24 Trojan/Spy.Bancos.adt
    VBA32 3.12.2.3 2007.08.24 Trojan-Spy.Win32.Bancos.adt
    VirusBuster 4.3.26:9 2007.08.24 -
    Webwasher-Gateway 6.0.1 2007.08.24 Trojan.Spy.Bancos.adt
    0
  16. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Ok laurent, merci (Laurent est le concepteur de MSNfix)

    Tu peux lui uploader celui ci également ingried? (C:\winhelp.exe)

    Merci :)
    0
  17. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Regarde ici:
    http://www.hotline-pc.org/restauration.htm

    Suis la procédure restaurer un point de restauration.

    a+
    0
  18. ingried06 Messages postés 16 Statut Membre 1
     
    Bonjour !

    Merci pour votre aide et votre efficacité, vous etes super !

    Pour le fichier "winhelp.exe", je contacte mon ami et je l'envoie des que je l'ai.

    Avast, je viens de lui faire installer pensant etre un bon antivirus, apparement, je me suis un peu trompée.

    Concernant la restauration system, j'avais eu l'idée de lui faire faire une restauration systeme , mais elle etait désactivée. je lui ai dit de la reactiver, ai je bien fait ?

    bonne journée et merci encore !

    Ingried
    0
  19. ingried06 Messages postés 16 Statut Membre 1
     
    bonjour,

    Je viens d'envoyer le fichier "winhelp.exe"

    bonne journée !

    Ingried
    0
  20. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Oui :-)
    Pour avast on verra a la fin !
    Par contre, la restauration n etait pas destinée a toi, un beug de forum, c etait sur un autre poste ! Tu as bien fait de la reactiver.

    Retelecharge msnfix et scanne ton pc avec ;-)

    A+
    0
  21. ingried06 Messages postés 16 Statut Membre 1
     
    Bonjour,

    Voici le fichier apres avoir executé msnfix !

    MSN_Fix 1.474

    C:\Documents and Settings\Admin\Bureau\MSNFix
    Fix exécuté le 25/08/2007 - 18:00:19,91 By Admin
    mode normal

    ************************ Suppression des fichiers

    ... OK ... C:\winHelp.exe

    ************************ Fichiers suspects

    Aucun Fichier trouvé

    Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 25082007_18031539.zip

    SVP merci d'envoyer le fichier 25082007_18031539.zip sur http://upload.changelog.fr

    ------------------------------------------------------------------------
    Auteur : !aur3n7 Contact: https://www.ionos.fr/
    ------------------------------------------------------------------------

    --------------------------------------------- END ---------------------------------------------

    Encore Milles MERCI !

    Vous etes super sympa et vraiment tres efficaces

    Ingried
    0
  • 1
  • 2