Virus msn w139_jpg.zip

Résolu/Fermé
Nusse - 17 sept. 2007 à 21:50
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 - 18 sept. 2007 à 00:17
Bonjour,

Même problème avec le virus se faufilant sur MSN via un fichier compressé dénommé " W139_jpg.zip".

Voici mon rapport MSN fix, après que celui ai détecté quelque chose et après rallumage du PC :


MSNFix 1.507

C:\Documents and Settings\HP\Bureau\MSNFix
Fix exécuté le 17/09/2007 - 21:43:59,31 By HP
mode normal

************************ Recherche les fichiers présents

Aucun Fichier trouvé

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers




************************ Nettoyage du registre



************************ Fichiers suspects

Aucun Fichier trouvé


Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 17092007_21445556.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------


Et le rapport Hijack this :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:48:21, on 17/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\AOL\1174568343\ee\AOLSoftware.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AOL 9.0\aoltray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1174568343\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: &AIM Search - res://C:\Program Files\AIM Toolbar\AIMBar.dll/aimsearch.htm
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Program Files\AWS\WeatherBug\Weather.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

7 réponses

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
17 sept. 2007 à 21:51
bonsoir,

* Fait un scan antivirus en ligne ICI
https://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

tuto en image

http://pageperso.aol.fr/rginformatique/mapage/defender.htm



0
Voici le scan :

Statistiques

Temps


01:52:03

Fichiers


245593

Directoires


6127

Secteurs de boot


7

Archives


8300

Paquets programmes


23190







Résultats

Virus identifiés


4

Fichiers infectés


13

Fichiers suspects


0

Avertissements


0

Désinfectés


0

Fichiers effacés


11







Info sur les moteurs

Définition virus


808218

Version des moteurs


AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

Analyse des plugins


14

Archive des plugins


38

Unpack des plugins


7

E-mail plugins


6

Système plugins


1







Paramètres d'analyse

Première action


Désinfecté

Seconde Action


Supprimé

Heuristique


Oui

Acceptez les avertissements


Oui

Extensions analysées


*;

Excludez les extensions




Analyse d'emails


Oui

Analyse des Archives


Oui

Analyser paquets programmes


Oui

Analyse des fichiers


Oui

Analyse de boot


Oui








Fichier analysé


Statut

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/g7n4l2o4i4v4.exe


Infecté par: Trojan.Dialer.VUY

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/services.exe


Infecté par: Backdoor.SDBot.DEXB

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/services.exe


Echec de la désinfection

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/services.exe


Supprimé

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip


Mis à jour

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/W139_jpg.zip=>www.W139_jpg-msn.com


Infecté par: Backdoor.SDBot.DEXB

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/W139_jpg.zip=>www.W139_jpg-msn.com


Echec de la désinfection

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/W139_jpg.zip=>www.W139_jpg-msn.com


Supprimé

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/W139_jpg.zip


Mis à jour

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip


Mis à jour

C:\Documents and Settings\HP\Local Settings\Temporary Internet Files\Content.IE5\WWEMHGWB\dual[1].jpg


Infecté par: Trojan.Dialer.VUY

C:\Program Files\Fichiers communs\Carlson\carlton


Infecté par: Trojan.Dialer.VUY

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044959.exe=>(Quarantine-2)


Infecté par: Win32.Worm.RJump.F

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044959.exe=>(Quarantine-2)


Echec de la désinfection

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044959.exe=>(Quarantine-2)


Supprimé

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044960.exe=>(Quarantine-2)


Infecté par: Win32.Worm.RJump.B

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044960.exe=>(Quarantine-2)


Echec de la désinfection

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044960.exe=>(Quarantine-2)


Supprimé

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044961.exe=>(Quarantine-2)


Infecté par: Win32.Worm.RJump.B

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044961.exe=>(Quarantine-2)


Echec de la désinfection

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044961.exe=>(Quarantine-2)


Supprimé

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049290.exe


Infecté par: Trojan.Dialer.VUY

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049327.exe


Infecté par: Backdoor.SDBot.DEXB

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049327.exe


Echec de la désinfection

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049327.exe


Supprimé

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049329.exe


Infecté par: Trojan.Dialer.VUY

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049337.exe


Infecté par: Backdoor.SDBot.DEXB

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049337.exe


Echec de la désinfection

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049337.exe


Supprimé

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP547\A0049349.com


Infecté par: Backdoor.SDBot.DEXB

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP547\A0049349.com


Echec de la désinfection

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP547\A0049349.com


Supprimé
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
18 sept. 2007 à 00:00
parfait, je pense que maintenant, tout est ok

si tu n'as pas d'autres soucis,

* Tu peux supprimer tous les logiciels que nous avons utilisés
* démarrer-----------panneau de configuration------------système----------
onglet Restauration système-----------coche la case (Désactiver la restauration système)--------------
redémarre l'ordinateur
réactive la ensuite

* Pour améliorer la sécurité de ton PC prend quelques instants pour lire

CECI

* Dénonce ton infection pour faire condamner les auteurs.
Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne = ******

---> https://malwarecomplaints.info/

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
conforme au règle du forum (age, ville, département etc..)

Indique aussi le nom du Forum qui t'a aidé, <grad>CommentCaMarche</gras>

bonne fin de soirée

0
Ok, merci beaucoup...

J'ai lu que Hijackthis pouvait permettre d'éviter que certains logiciels ralentissent le démarrage (c'est ce que j'ai compris...).

D'après mon rapport ,est-ce possible d'en enlever certains ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
18 sept. 2007 à 00:06
oui au vu du rapport, on peut en supprimer certains du démarrage, très certainement, mais tu n'as pas forcément besoin d'hijackthis pour le faire, en passant par

démarrer-----------exécuter-----msconfig puis l'onglet démarrage, tu décoches tout ce dont tu n'as pas besoin au démarrage de ton pc.

0
Face aux nombreux programmes aux noms peu évocateurs, j'en ai juste supprimé quelques uns.

Merci beaucoup pour ton aide !
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
18 sept. 2007 à 00:17
bon mais tu n'as viré n'importe quoi tout de même ?

enfin ils ne sont retirés que du démarrage, tu peux tjs les y remettre en faisant la manip inverse

0