Analyse d'un rapport msnfix

yoda -  
 yoda -
Bonjour,
Infection virus msn album photo
Suite à l'analyse d'un premier rapport avec msnfix, on m'a demandé d'en réalisé un deuxième que voici:

MSNFix 1.519

C:\Documents and Settings\xxx\Bureau\MSNFix
Fix exécuté le 24/09/2007 - 22:37:26,25 By xxx
mode normal

************************ Recherche les fichiers présents

Aucun Fichier trouvé

************************ Recherche les dossiers présents

... C:\Program Files\Fichiers communs\Carlson\

************************ Suppression des fichiers

************************ Suppression des dossiers

/!\ ... C:\Program Files\Fichiers communs\Carlson\

************************ Nettoyage du registre

************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\g7n4l2o4i4.exe] C6CE463F93A1705DC3700D19A1EA7EDE

[color=#FF0000][b]==>[/b][/color] SVP merci d'envoyer le fichier [b] C:\DOCUME~1\xxx\Bureau\Upload_Me.zip [/b] sur http://upload.changelog.fr

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 24092007_22375450.zip

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------
Configuration: Windows XP
Internet Explorer 7.0

6 réponses

  1. kris6943 Messages postés 1517 Statut Membre 144
     
    renommes C:\g7n4l2o4i4.exe en C:\g7n4l2o4i4.exe.vir

    puis met un log hijackthis
    0
  2. yoda
     
    Bonjour,
    Voici, le log hijackthis après avoir renommé le fichier.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:05:52, on 25/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16512)
    Boot mode: Normal

    Running processes:
    C:\WINXPF\System32\smss.exe
    C:\WINXPF\system32\winlogon.exe
    C:\WINXPF\system32\services.exe
    C:\WINXPF\system32\lsass.exe
    C:\WINXPF\system32\svchost.exe
    C:\WINXPF\System32\svchost.exe
    C:\Program Files\Avast4\aswUpdSv.exe
    C:\Program Files\Avast4\ashServ.exe
    C:\WINXPF\Explorer.EXE
    C:\WINXPF\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
    C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
    C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\PROGRA~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
    C:\WINXPF\system32\DRIVERS\CDANTSRV.EXE
    C:\WINXPF\system32\devldr32.exe
    C:\Program Files\Logitech\QuickCam\Quickcam.exe
    C:\WINXPF\usnsvc.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINXPF\system32\nvsvc32.exe
    C:\WINXPF\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\WINXPF\system32\svchost.exe
    C:\WINXPF\system32\MsPMSPSv.exe
    C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
    C:\Program Files\Avast4\ashMaiSv.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Program Files\Avast4\ashWebSv.exe
    C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
    C:\Program Files\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXPF\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
    O4 - HKLM\..\Run: [UpdReg] C:\WINXPF\Updreg.exe
    O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
    O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 2\LMonitor.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXPF\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXPF\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
    O4 - HKLM\..\Run: [eaqlybvtf] c:\winxpf\system32\eaqlybvtf.exe eaqlybvtf
    O4 - HKLM\..\Run: [OutpostFeedBack] C:\PROGRA~1\OUTPOS~1.0\feedback.exe /dump:os_startup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
    O4 - HKLM\..\Run: [usnsvc.exe] C:\WINXPF\usnsvc.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXPF\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXPF\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXPF\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXPF\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXPF\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXPF\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXPF\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
    O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
    O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
    O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u1-windows-i586-jc.cab
    O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
    O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINXPF\system32\DRIVERS\CDANTSRV.EXE
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe (file missing)
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe (file missing)
    O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINXPF\system32\CTsvcCDA.EXE
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINXPF\system32\nvsvc32.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)
    0
  3. yoda
     
    Au fait, pour informations:, depuis l'intrusion du virus une fenêtre "protection des fichiers windows" s'ouvre à chaque démarrage. Voici ce qui est écrit:
    "Des fichiers nécessaires au fonctionnement de windows ont été remplacé par des fichiers d'une version non reconnue. Pour maintenir la stabilité du système, windows doit restaurer la version originale de ces fichiers. Insérer votre cd service pack pour windows XP édition".
    Je n'ai rien fait pour l'instant pensant qu'il fallait mieux ne rien modifier. De plus, j'ai obtenu le servie pack 2 de windows XP par mise à jour automatique.
    Tenez moi au courant de la démarche à suivre SVP.
    0
  4. kris6943 Messages postés 1517 Statut Membre 144
     
    demarrer > executer > tu tapes msconfig

    onglet demarrage

    decoches la ligne sur laquelle apparait ceci
    HKLM\..\Run: [eaqlybvtf] c:\winxpf\system32\eaqlybvtf.exe eaqlybvtf

    puis va dans c:\winxpf\system32 et supprimes eaqlybvtf.exe

    c'est probablement un fichier caché
    pour le faire apparaitre il faut autoriser (temporairement) l'affichage des fichiers cachés et des fichiers systèmes
    ******************************

    ******************************

    ******************************

    E - Scan online avec BitDefender
    Fais ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
    Une fois qu'il a terminé colle le rapport ici stp
    https://www.bitdefender.com/toolbox/

    Copie/Colle le rapport dans ton prochain message
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. yoda
     
    - Mon fichier c:\programme files \outpos était vide donc je ne pouvais pas supprimer les plugins.
    - pas trouver non plus le fichier usnsvc.exe dans c:\winxpf. Par contre il existe dans le sous dossier "prefetch" mais je n'y ai pas touché.
    Faut-il le supprimer?
    - sinon j'ai effectuer le scan online avec bitdefender. Voici le rapport:

    BitDefender Online Scanner

    Scan report generated at: Tue, Sep 25, 2007 - 20:23:15

    Scan path: A:\;C:\;D:\;E:\;

    Statistics

    Time
    01:18:50

    Files
    232010

    Folders
    9824

    Boot Sectors
    2

    Archives
    1650

    Packed Files
    11521

    Results

    Identified Viruses
    1

    Infected Files
    11

    Suspect Files
    0

    Warnings
    0

    Disinfected
    0

    Deleted Files
    1

    Engines Info

    Virus Definitions
    823690

    Engine build
    AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

    Scan plugins
    14

    Archive plugins
    38

    Unpack plugins
    7

    E-mail plugins
    6

    System plugins
    1

    Scan Settings

    First Action
    Disinfect

    Second Action
    Delete

    Heuristics
    Yes

    Enable Warnings
    Yes

    Scanned Extensions
    *;

    Exclude Extensions

    Scan Emails
    Yes

    Scan Archives
    Yes

    Scan Packed
    Yes

    Scan Files
    Yes

    Scan Boot
    Yes

    Scanned File
    Status

    C:\Documents and Settings\xxx\Bureau\Upload_Me.zip=>DOCUME~1/xxx/Bureau/Upload_Me/g7n4l2o4i4.exe
    Infected with: Trojan.Dialer.VUY

    C:\Documents and Settings\xxx\Local Settings\Temporary Internet Files\Content.IE5\0C2JC6P2\dual[1].jpg
    Infected with: Trojan.Dialer.VUY

    C:\g7n4l2o4i4.exe
    Infected with: Trojan.Dialer.VUY

    C:\g7n4l2o4i4.exe.vir.exe
    Infected with: Trojan.Dialer.VUY

    C:\g7n4l2o4i4.exe.vir.exe
    Deleted

    C:\Program Files\Fichiers communs\Carlson\carlton
    Infected with: Trojan.Dialer.VUY

    C:\System Volume Information\_restore{4FE6EEE6-59D4-490C-A78E-66D7B1B2BE8A}\RP301\A0047484.exe
    Infected with: Trojan.Dialer.VUY

    C:\System Volume Information\_restore{4FE6EEE6-59D4-490C-A78E-66D7B1B2BE8A}\RP301\A0047493.exe
    Infected with: Trojan.Dialer.VUY

    C:\System Volume Information\_restore{4FE6EEE6-59D4-490C-A78E-66D7B1B2BE8A}\RP301\A0047542.exe
    Infected with: Trojan.Dialer.VUY

    C:\System Volume Information\_restore{4FE6EEE6-59D4-490C-A78E-66D7B1B2BE8A}\RP302\A0047581.exe
    Infected with: Trojan.Dialer.VUY

    C:\System Volume Information\_restore{4FE6EEE6-59D4-490C-A78E-66D7B1B2BE8A}\RP302\A0047599.exe
    Infected with: Trojan.Dialer.VUY

    C:\System Volume Information\_restore{4FE6EEE6-59D4-490C-A78E-66D7B1B2BE8A}\RP302\A0047601.exe
    Infected with: Trojan.Dialer.VUY

    Tiens moi au courant pour la suite des démarches, merci.
    0
  7. yoda
     
    Quelqu'un peut-il m'aider à traduire le rapport du scan de bitfender ci-dessus et m'expliquer la démarche à suivre, SVP?
    0