virus via msn Fermé

Question

bonjour,
J'ai un ami qui a recu un virus en cliquant sur un lien avec msn. le lien est  : "impresas-conniadas.mail333.su/vega.html" . des qu'il ouvre une boite pour dialoguer, ce lien est envoyé a tous ses contacts en ligne.
si vous pouvez m'aider, merci d'avance !

Regis59 · Answer

Bienvenue sur le forum d’entraide de CommentCaMarche.net 

Nous connaissons votre situation et nous vous conseillons de ne surtout pas vous inquiéter.
De plus, au vu du nombre croissant de désinfections effectuées sur le forum, nous vous demandons un peu de patience et surtout de ne pas créer plusieurs postes pour le même problème.
Merci de votre compréhension.

Télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre-le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/Hijenr.gif 
	
Lance le puis: 
Clique sur "do a system scan and save logfile" (cf démo) 
Faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/demohijack.htm
	
Bon courage

A+

ingried06 · Answer

merci d'avoir repondu si rapidement !

l'ami qui a ce probleme n'est joignable que le soir, donc d'es que j'ai le fichier que vous m'avez demandé, je vous le transmet. 

ps : je lui viens en aide via le tel, et ce n'est pas si simple . il ne sais pas trop utiliser les forums et les programmes (installer etc...)

merci encore, je vous tiens au courant.

Regis59 · Answer

Pas de soucis ! :)
Si vous voulez que l'on fasse cela sur MSN, contactez moi en message privé.

a+

ingried06 · Answer

voici le fichier demandé :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:48:43, on 23/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\starter.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\syst.exe
C:\WINDOWS\Mwsx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\winhelp.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Admin\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {274c0420-ebe0-4f1d-b473-edd1aa9b85dd} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINDOWS\system32\starter.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [syst] C:\WINDOWS\system32\syst.exe
O4 - HKLM\..\Run: [JavaScriptMs] C:\WINDOWS\Mwsx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Lyad] C:\Program Files\Lyad Messenger\lyad_messenger.exe autostart
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E6C18E2-691A-4B57-BE71-61E3ED1D396C}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C62DC07-2681-439C-9005-3D7DA872105B}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Regis59 · Answer

Ok.

    Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
    http://sosvirus.changelog.fr/MSNFix.zip

    Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
    - Exécutez l'option R.
    -- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

    - Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

A+

ingried06 · Answer

Bonjour !

je vous remercie beaucoup pour votre aide.
J'ai telechargé Msnfix.zip, et executer le fichier ".bat" .
Il ne trouve pas d'infection.

il y a toujours ce lien espagnol quand on ouvre  la boite de dialogue msn.

merci encore pour votre aide !

Bonne journée a vous !

Ingried

Regis59 · Answer

D'accord.

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Copie/colle un nouveau rapport HiJackThis avec.

ingried06 · Answer

re bonjour ! voici le rapport de combofix : ComboFix 07-08-17.2 - "Admin" 2007-08-24 12:17:20.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.264 [GMT 2:00] * Created a new restore point ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Program Files\elitecodec C:\Program Files\elitecodec\ot.ico C:\Program Files\elitecodec s.ico C:\Program Files\elitecodec\uninst.exe C:\WINDOWS\system32\_000006_.tmp.dll ((((((((((((((((((((((((( Files Created from 2007-07-24 to 2007-08-24 ))))))))))))))))))))))))))))))) 2007-08-24 12:14 51,200 --a------ C:\WINDOWS ircmd.exe 2007-08-23 21:23 d-------- C:\MSNFix 2007-08-23 21:19 d-------- C:\Program Files\QuickZip4 2007-08-20 23:28 d-------- C:\Program Files\CCleaner 2007-08-18 17:18 d-------- C:\Program Files\Lyad Messenger 2007-08-16 21:53 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-08-16 21:53 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2..sys 2007-08-16 21:53 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-08-16 21:53 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-08-16 21:53 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-08-16 21:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-08-16 21:52 783,224 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-08-16 21:51 d-------- C:\Program Files\Alwil Software 2007-08-15 13:23 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2007-08-03 11:43 879,616 --a------ C:\winhelp.exe 2007-08-03 11:43 879,616 --a------ C:\WINDOWS\Mwsx.exe 2007-08-03 11:43 207,360 --a------ C:\WINDOWS\system32\syst.exe (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-24 12:08 --------- d-------- C:\Program Files\Wanadoo 2007-08-07 07:25 --------- d-------- C:\Program Files\Google 2007-08-05 12:13 --------- d-------- C:\Program Files\YesMessenger 2007-08-04 22:49 --------- d-------- C:\Program Files\Montorgueil 2007-07-30 22:33 --------- d-------- C:\Program Files\IncrediMail 2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll 2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll 2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe 2007-07-30 19:19 43352 --a--c--- C:\WINDOWS\system32\wups2.dll 2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll 2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll 2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll 2007-07-30 19:18 33624 --a--c--- C:\WINDOWS\system32\wups.dll 2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll 2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll 2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe 2001-03-28 12:02 122880 --a--c--- C:\WINDOWS\inf\Agfa\message.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{274c0420-ebe0-4f1d-b473-edd1aa9b85dd}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EnsoniqMixer"="C:\WINDOWS\system32\starter.exe" [2001-10-04 12:22] "WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" [2004-05-13 09:28] "SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 12:38] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-05-13 09:28] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\TaskbarIcon.exe" [2004-05-13 09:28] "PrinTray"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe" [2000-09-14 20:06] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03] "MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2007-05-08 19:09] "syst"="C:\WINDOWS\system32\syst.exe" [2007-08-03 11:43] "JavaScriptMs"="C:\WINDOWS\Mwsx.exe" [2007-08-03 11:43] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-08 18:12] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2006-05-01 19:02] "Lyad"="C:\Program Files\Lyad Messenger\lyad_messenger.exe" [2007-02-06 16:07] [HKEY_USERS\.default\software\microsoft\windows\currentversion unonce] "Config"=%systemroot%\system32 un.cmd "nlsf"=cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" "tscuninstall"=%systemroot%\system32 scupgrd.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoRecentDocsMenu"=1 (0x1) "NoSMHelp"=1 (0x1) "MemCheckBoxInRunDlg"=1 (0x1) "NoSMBalloonTip"=1 (0x1) "NoDesktopCleanupWizard"=1 (0x1) "NoWelcomeScreen"=1 (0x1) "NoAutoUpdate"=1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoRecentDocsMenu"=1 (0x1) "NoSMHelp"=1 (0x1) "MemCheckBoxInRunDlg"=1 (0x1) "NoSMBalloonTip"=1 (0x1) "NoDesktopCleanupWizard"=1 (0x1) "NoWelcomeScreen"=1 (0x1) "NoAutoUpdate"=1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=MsgPlusLoader.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer] Mixer.exe /startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe R3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys S1 ensqio;ensqio;C:\WINDOWS\system32\DRIVERS\ensqio.sys S1 sbpcint4;SB AudioPCI 128;C:\WINDOWS\system32\DRIVERS\sbpcint4.sys S3 Camdrv30;Philips ToUcam XS;C:\WINDOWS\system32\Drivers\camdrv30.sys S3 NtApm;Pilote d'interface NT APM/hérité;C:\WINDOWS\system32\DRIVERS\NtApm.sys S3 rtl8029;Pilote NT de carte Realtek PCI Ethernet à base RTL8029(AS);C:\WINDOWS\system32\DRIVERS\RTL8029.SYS S3 sbpci;SB PCI Family Audio Driver (WDM);C:\WINDOWS\system32\drivers\sbpci..sys ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-24 12:24:58 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ************************************************************************** Completion time: 2007-08-24 12:29:02 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-08-24 12:28 --- E O F --- plus tard je vous enverrai le rapport de iHiJackThis Merci encore pour tout ! vous etes tres sympa ! a plus tard Ingried

ingried06 · Answer

voici le fichier comme demandé !
ps : j'espere ne pas l'avoir envoyé en double ( mauvaise manip peut etre)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:16:32, on 24/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\starter.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\syst.exe
C:\WINDOWS\Mwsx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\winhelp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Admin\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {274c0420-ebe0-4f1d-b473-edd1aa9b85dd} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINDOWS\system32\starter.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [syst] C:\WINDOWS\system32\syst.exe
O4 - HKLM\..\Run: [JavaScriptMs] C:\WINDOWS\Mwsx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Lyad] C:\Program Files\Lyad Messenger\lyad_messenger.exe autostart
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E6C18E2-691A-4B57-BE71-61E3ED1D396C}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C62DC07-2681-439C-9005-3D7DA872105B}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Regis59 · Answer

Super merci.

Peux tu envoyer deux fichiers au developpeur de MSNfix afin qu'il mette par la suite a jour son programme?

Clique ici : http://upload.changelog.fr/

Url: virus via msn#dernier (Regis59)

Marque ton pseudo. Sélectionne ce fichier :

C:\WINDOWS\Mwsx.exe

Clique ensuite sur Envoyer

Fais de même pour :
C:\WINDOWS\system32\syst.exe 

Merci beaucoup.

ingried06 · Answer

ok
Je contacte mon ami pour avoir ces 2 fichiers et je fais ce que vous m'avez demandé .

Milles merci !

bonne journée !
Ingried

Regis59 · Answer

merci :)

A+

ingried06 · Answer

bonsoir !
Je viens d'envoyer les 2 fichiers que vous m'avez demandé !

Bonne soirée 

ingried

!aur3n7 · Answer

Bonsoir ingried06, Quentin

J'ai bien reçu les fichiers merci !
Pourrais tu m'envoyer pas le même moyen ce fichier ?

C:\winhelp.exe

Je confirme ces fichiers sont bien infectieux il ne fait aucun doute et ils sont même assez bien détecté par la plupart des antivirus. Ce n'est pas mon habitude de conseiller d'en changer mais dans ce cas Avast! me semble avoir été dépassé.

Je met à Jour MSNFix cette nuit ou au plus tard demain midi.

Merci.

syst.exe 

Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3	2007.8.25.0	2007.08.24	-
AntiVir	7.4.1.63	2007.08.24	TR/Dldr.Banload.bej.462
Authentium	4.93.8	2007.08.24	-
Avast	4.7.1029.0	2007.08.24	-
AVG	7.5.0.484	2007.08.24	Downloader.Banload.ARA
BitDefender	7.2	2007.08.24	-
CAT-QuickHeal	9.00	2007.08.23	(Suspicious) - DNAScan
ClamAV	0.91	2007.08.24	Trojan.Downloader.Banload-2685
DrWeb	4.33	2007.08.24	DLOADER.Trojan
eSafe	7.0.15.0	2007.08.23	suspicious Trojan/Worm
eTrust-Vet	31.1.5085	2007.08.24	-
Ewido	4.0	2007.08.24	-
FileAdvisor	1	2007.08.24	-
Fortinet	2.91.0.0	2007.08.24	-
F-Prot	4.3.2.48	2007.08.24	-
F-Secure	6.70.13030.0	2007.08.24	Trojan-Downloader.Win32.Banload.bej
Ikarus	T3.1.1.12	2007.08.24	Trojan-Downloader.Win32.Banload.auf
Kaspersky	4.0.2.24	2007.08.24	Trojan-Downloader.Win32.Banload.bej
McAfee	5105	2007.08.24	-
Microsoft	1.2803	2007.08.24	-
NOD32v2	2483	2007.08.24	a variant of Win32/TrojanDownloader.Banload.BJU
Norman	5.80.02	2007.08.24	-
Panda	9.0.0.4	2007.08.24	Trj/Nabload.BWE
Prevx1	V2	2007.08.24	-
Rising	19.37.42.00	2007.08.24	-
Sophos	4.21.0	2007.08.24	Mal/Behav-130
Sunbelt	2.2.907.0	2007.08.24	VIPRE.Suspicious
Symantec	10	2007.08.24	-
TheHacker	6.1.8.172	2007.08.24	Trojan/Downloader.Banload.bej
VBA32	3.12.2.3	2007.08.24	Trojan-Downloader.Win32.Banload.bej
VirusBuster	4.3.26:9	2007.08.24	-
Webwasher-Gateway	6.0.1	2007.08.24	Trojan.Dldr.Banload.bej.462



Mwsx.exe 
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3	2007.8.25.0	2007.08.24	Win-Trojan/Bancos.879616.B
AntiVir	7.4.1.63	2007.08.24	TR/Spy.Bancos.adt
Authentium	4.93.8	2007.08.24	-
Avast	4.7.1029.0	2007.08.24	-
AVG	7.5.0.484	2007.08.24	PSW.Banker3.VKH
BitDefender	7.2	2007.08.24	-
CAT-QuickHeal	9.00	2007.08.23	-
ClamAV	0.91	2007.08.24	-
DrWeb	4.33	2007.08.24	BackDoor.Pigeon.199
eSafe	7.0.15.0	2007.08.23	-
eTrust-Vet	31.1.5085	2007.08.24	-
Ewido	4.0	2007.08.24	-
FileAdvisor	1	2007.08.24	-
Fortinet	2.91.0.0	2007.08.24	Spy/Bancos
F-Prot	4.3.2.48	2007.08.24	-
F-Secure	6.70.13030.0	2007.08.24	Trojan-Spy.Win32.Bancos.adt
Ikarus	T3.1.1.12	2007.08.24	Trojan.Popwin.R
Kaspersky	4.0.2.24	2007.08.24	Trojan-Spy.Win32.Bancos.adt
McAfee	5105	2007.08.24	-
Microsoft	1.2803	2007.08.24	-
NOD32v2	2483	2007.08.24	-
Norman	5.80.02	2007.08.24	-
Panda	9.0.0.4	2007.08.24	Trj/Banker.FWD
Prevx1	V2	2007.08.24	-
Rising	19.37.42.00	2007.08.24	Trojan.Spy.Win32.Bancos.t
Sophos	4.21.0	2007.08.24	-
Sunbelt	2.2.907.0	2007.08.24	-
Symantec	10	2007.08.24	Infostealer.Bancos
TheHacker	6.1.8.172	2007.08.24	Trojan/Spy.Bancos.adt
VBA32	3.12.2.3	2007.08.24	Trojan-Spy.Win32.Bancos.adt
VirusBuster	4.3.26:9	2007.08.24	-
Webwasher-Gateway	6.0.1	2007.08.24	Trojan.Spy.Bancos.adt

Regis59 · Answer

Ok laurent, merci (Laurent est le concepteur de MSNfix)

Tu peux lui uploader celui ci également ingried? (C:\winhelp.exe)

Merci :)

Regis59 · Answer

Regarde ici:
http://www.hotline-pc.org/restauration.htm

Suis la procédure restaurer un point de restauration.

a+

ingried06 · Answer

Bonjour !

Merci pour votre aide et votre efficacité, vous etes super !

Pour le fichier "winhelp.exe", je contacte mon ami et je l'envoie des que je l'ai.

Avast, je viens de lui faire installer pensant etre un bon antivirus, apparement, je me suis un peu trompée.

Concernant la restauration system, j'avais eu l'idée de lui faire faire une restauration systeme , mais elle etait désactivée. je lui ai dit de la reactiver, ai je bien fait ?

bonne journée et merci encore !

Ingried

ingried06 · Answer

bonjour,

Je viens d'envoyer le fichier "winhelp.exe"

bonne journée !

Ingried

Regis59 · Answer

Salut

Oui :-)
Pour avast on verra a la fin !
Par contre, la restauration n etait pas destinée a toi, un beug de forum, c etait sur un autre poste ! Tu as bien fait de la reactiver.

Retelecharge msnfix et scanne ton pc avec ;-)

A+

ingried06 · Answer

Bonjour,

Voici le fichier apres avoir executé msnfix !

MSN_Fix 1.474  
 
C:\Documents and Settings\Admin\Bureau\MSNFix 
Fix exécuté le 25/08/2007 - 18:00:19,91 By Admin 
mode normal    
    
************************ Suppression des fichiers       
    
... OK ... C:\winHelp.exe   
 
 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 25082007_18031539.zip
 
SVP merci d'envoyer le fichier  25082007_18031539.zip sur http://upload.changelog.fr
 
 
------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   --------------------------------------------- 
 
Encore Milles MERCI !

Vous etes super sympa et vraiment tres efficaces

Ingried

Regis59 · Answer

Ok,

Tu me remets un Hijackthis et un combofix stp

Merci :-)

ingried06 · Answer

voici les 2 fichiers "combofix et Hijackthis ! ComboFix 07-08-17.2 - "Admin" 2007-08-26 0:34:59.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.319 [GMT 2:00] ((((((((((((((((((((((((( Files Created from 2007-07-25 to 2007-08-25 ))))))))))))))))))))))))))))))) 2007-08-24 12:14 51,200 --a------ C:\WINDOWS ircmd.exe 2007-08-23 21:23 d-------- C:\MSNFix 2007-08-23 21:19 d-------- C:\Program Files\QuickZip4 2007-08-20 23:28 d-------- C:\Program Files\CCleaner 2007-08-18 17:18 d-------- C:\Program Files\Lyad Messenger 2007-08-16 21:53 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-08-16 21:53 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2..sys 2007-08-16 21:53 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-08-16 21:53 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-08-16 21:53 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-08-16 21:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-08-16 21:52 783,224 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-08-16 21:51 d-------- C:\Program Files\Alwil Software 2007-08-15 13:23 221,184 --a------ C:\WINDOWS\system32\wmpns.dll (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-25 22:41 --------- d-------- C:\Program Files\Wanadoo 2007-08-07 07:25 --------- d-------- C:\Program Files\Google 2007-08-05 12:13 --------- d-------- C:\Program Files\YesMessenger 2007-08-04 22:49 --------- d-------- C:\Program Files\Montorgueil 2007-07-30 22:33 --------- d-------- C:\Program Files\IncrediMail 2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll 2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll 2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe 2007-07-30 19:19 43352 --a--c--- C:\WINDOWS\system32\wups2.dll 2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll 2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll 2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll 2007-07-30 19:18 33624 --a--c--- C:\WINDOWS\system32\wups.dll 2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll 2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll 2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe 2001-03-28 12:02 122880 --a--c--- C:\WINDOWS\inf\Agfa\message.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{274c0420-ebe0-4f1d-b473-edd1aa9b85dd}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EnsoniqMixer"="C:\WINDOWS\system32\starter.exe" [2001-10-04 12:22] "WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" [2004-05-13 09:28] "SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 12:38] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-05-13 09:28] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\TaskbarIcon.exe" [2004-05-13 09:28] "PrinTray"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe" [2000-09-14 20:06] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03] "MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2007-05-08 19:09] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-08 18:12] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2006-05-01 19:02] "Lyad"="C:\Program Files\Lyad Messenger\lyad_messenger.exe" [2007-02-06 16:07] [HKEY_USERS\.default\software\microsoft\windows\currentversion unonce] "Config"=%systemroot%\system32 un.cmd "nlsf"=cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" "tscuninstall"=%systemroot%\system32 scupgrd.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoRecentDocsMenu"=1 (0x1) "NoSMHelp"=1 (0x1) "MemCheckBoxInRunDlg"=1 (0x1) "NoSMBalloonTip"=1 (0x1) "NoDesktopCleanupWizard"=1 (0x1) "NoWelcomeScreen"=1 (0x1) "NoAutoUpdate"=1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoRecentDocsMenu"=1 (0x1) "NoSMHelp"=1 (0x1) "MemCheckBoxInRunDlg"=1 (0x1) "NoSMBalloonTip"=1 (0x1) "NoDesktopCleanupWizard"=1 (0x1) "NoWelcomeScreen"=1 (0x1) "NoAutoUpdate"=1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=MsgPlusLoader.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer] Mixer.exe /startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe R3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys S1 ensqio;ensqio;C:\WINDOWS\system32\DRIVERS\ensqio.sys S1 sbpcint4;SB AudioPCI 128;C:\WINDOWS\system32\DRIVERS\sbpcint4.sys S3 Camdrv30;Philips ToUcam XS;C:\WINDOWS\system32\Drivers\camdrv30.sys S3 NtApm;Pilote d'interface NT APM/hérité;C:\WINDOWS\system32\DRIVERS\NtApm.sys S3 rtl8029;Pilote NT de carte Realtek PCI Ethernet à base RTL8029(AS);C:\WINDOWS\system32\DRIVERS\RTL8029.SYS S3 sbpci;SB PCI Family Audio Driver (WDM);C:\WINDOWS\system32\drivers\sbpci..sys ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-26 00:38:04 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ************************************************************************** Completion time: 2007-08-26 0:40:51 C:\ComboFix-quarantined-files.txt ... 2007-08-26 00:40 C:\ComboFix2.txt ... 2007-08-24 12:29 --- E O F --- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:33:19, on 26/08/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Wanadoo\EspaceWanadoo.exe C:\WINDOWS\system32\starter.exe C:\PROGRA~1\Wanadoo\CnxMon.exe C:\Program Files\Wanadoo\ComComp.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\Wanadoo\Watch.exe C:\PROGRA~1\Wanadoo\TaskbarIcon.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\MessengerPlus! 3\MsgPlus.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe C:\Documents and Settings\Admin\Bureau\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: (no name) - {274c0420-ebe0-4f1d-b473-edd1aa9b85dd} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: (no name) - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINDOWS\system32\starter.exe O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Lyad] C:\Program Files\Lyad Messenger\lyad_messenger.exe autostart O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32 un.cmd (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32 scupgrd.exe (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32 un.cmd (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32 un.cmd (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32 un.cmd (User 'Default user') O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{1E6C18E2-691A-4B57-BE71-61E3ED1D396C}: NameServer = 212.27.32.176,212.27.32.177 O17 - HKLM\System\CCS\Services\Tcpip\..\{3C62DC07-2681-439C-9005-3D7DA872105B}: NameServer = 80.10.246.130 80.10.246.3 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Regis59 · Answer

Le message marche?

ingried06 · Answer

Bonjour,

De quel message parlez vous ?

merci !

bonne journée !

Ingried

Regis59 · Answer

Bha hier mon message ne marchait pas, un petit probleme de forum :S

Vas sur le site https://virusscan.jotti.org/ 
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier :
C:\WINDOWS\inf\Agfa\message.exe 
- Clic sur submit toujours en haut à droite 
- Le scan va se lancer, ça va prendre un petit instant 
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici. 
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

ingried06 · Answer

Bonsoir,
Voila le scan de Jotti's!
j'espere avoir bien tout copier .

Je vous remercie beaucoup pour votre aide.



Jotti's malware scan 2.99-TRANSITION_TO_3.00-R1 
 
File to upload & scan:  
      
Service 
Service load: 	0% 	  	  	100% 

File: 	message.exe 
Status: 	OK 
MD5: 	2a7006524ab670a5fb3fd7a15b02fb45 
Packers detected: 	-
Bit9 reports: 	No threat detected (more info) 



Scanner results 
Scan taken on 27 Aug 2007 21:14:05 (GMT) 
A-Squared 	Found nothing
AntiVir 	Found nothing
ArcaVir 	Found nothing
Avast 	Found nothing
AVG Antivirus 	Found nothing
BitDefender 	Found nothing
ClamAV 	Found nothing
CPsecure 	Found nothing
Dr.Web 	Found nothing
F-Prot Antivirus 	Found nothing
F-Secure Anti-Virus 	Found nothing
Fortinet 	Found nothing
Kaspersky Anti-Virus 	Found nothing
NOD32 	Found nothing
Norman Virus Control 	Found nothing
Panda Antivirus 	Found nothing
Rising Antivirus 	Found nothing
Sophos Antivirus 	Found nothing
VirusBuster 	Found nothing
VBA32 	Found nothing
  
Powered by 




Statistics 
Last file scanned at least one scanner reported something about: Room_Arranger_5.01.zip.exe (MD5: 9523cdd95b5be599ae3e4c8544f76b1a, size: 205961 bytes), detected by:
Scanner 	Malware name 
A-Squared 	X 
AntiVir 	SPR/Tool.Agent.CI 
ArcaVir 	X 
Avast 	Win32:Trojan-gen. {Other} 
AVG Antivirus 	Downloader.Generic2.XQU 
BitDefender 	Trojan.Downloader.Zlob.AAKA 
ClamAV 	X 
CPsecure 	X 
Dr.Web 	Tool.DVTPatch 
F-Prot AThis service is by no means 100% safe. If this scanner says 'OK', it does not necessarily mean the file is clean. There could be a whole new virus on the loose. NEVER EVER rely on one single product only, not even this service, even though it utilizes several products. Therefore, We cannot and will not be held responsible for any damage caused by results presented by this non-profit online service. 

Also, we are aware of the implications of a setup like this. We are sure this whole thing is by no means scientifically correct, since this is a fully automated service (although manual correction is possible). We are aware, in spite of efforts to proactively counter these, false positives might occur, for example. We do not consider this a very big issue, so please do not e-mail us about it. This is a simple online scan service, not the university of Wichita. 

Scanning can take a while, since several scanners are being used, plus the fact some scanners use very high levels of (time consuming) heuristics. Scanners used are Linux versions, differences with Windows scanners may or may not occur. Another note: some scanners will only report one virus when scanning archives with multiple pieces of malware.

Virus definitions are updated every hour. There is a 10Mb limit per file. Please refrain from uploading tons of hex-edited or repacked variants of the same sample. 

Please do not ask for viruses uploaded here, unless you work for an anti-virus vendor. They are not for trade. This is a legitimate service, not a VX site. Viruses uploaded here will be distributed to antivirus vendors without exception. Read more about this in our privacy policy. If you do not want your files to be distributed, please do not send them at all. 

Sponsored by donations (in random order) from: Stormbyte Technologies LLC, The ClamAV project, Steve S., Eric Johansen, Eric Schechter, Paul Bokel, Wilders Security, Wilfried Lilie, Prevx, SonicWALL, Lance Mueller, Ewido networks, HotelScraper.com, people who donated in the past, and some people who prefer to remain anonymous... many thanks to all! ntivirus 	X 
F-Secure Anti-Virus 	X 
Fortinet 	X 
Kaspersky Anti-Virus 	X 
NOD32 	X 
Norman Virus Control 	X 
Panda Antivirus 	Generic 
Rising Antivirus 	X 
Sophos Antivirus 	Mal/Packer 
VirusBuster 	X 
VBA32 	Trojan-Downloader.Win32.Zlob.cau 


You're free to (mis)interpret these automated, flawed statistics at your own discretion. For antivirus comparisons, visit AV comparatives
We are not affiliated with any third parties that conduct tests using this service.


Bonne soirée 

Ingried

Regis59 · Answer

Hello;

¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

O2 - BHO: (no name) - {274c0420-ebe0-4f1d-b473-edd1aa9b85dd} - (no file)

O3 - Toolbar: (no name) - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - (no file) 

Ferme HJT.

Ou en sont ses soucis?

A+

ingried06 · Answer

Bonjour,

Je viens de refaire HijackThis comme vous me l'avez demandé.

Les soucis concernant ce virus espagnol ont l'air de disparaitre, cela fait 2 jours qu'il n'a plus de message espagnol lorsqu'il ouvre une boite de dialogue msn.

C'est une bonne chose, et je vous en remercie vraiment ! vous etes super !!!!!!

En ce moment, il a d'autres soucis, "c'est la galere son pc". je recherche justement sur votre forum (car j'ai lu vite fait des explications sur les beugues avec ecran bleu). c'est un super forum, on trouve de l'aide et tout est trés bien expliqué, je vous tire mon chapeau (meme si je n'en porte pas .. rire ).

je vous souhanite une bonne soirée !

je vous fais une grosse bise pour vous remercier.



Ingried

Regis59 · Answer

LOL merci! Je peux en avoir un autre?
LOL

Pour les ecrans bleus, tu dois noter exactement les messages qu il y a dessu.

A+

ingried06 · Answer

une question, 

comment se fait-il que mon ordi soit piraté.

Vous m'avez bien aidé avec mon pb sur msn.

Mais depuis, j'ai ma messagerie qui est piraté et mon msn

Pourriez vous m'adier de nouveau.

merci

Regis59 · Answer

Salut,

Crée un nouveau poste !

A+

0121 · Answer

anna meussieux

Virus via msn

32 réponses

Discussions similaires