CHEVAL DE TROIE VIA MSN Fermé

Question

Bonjour, 
mon ordinateur est infecté depuis deux jours par plusieurs chevaux de troie via msn.
J'ai regardé plusieurs conseils déjà postés et voici le rapport d'erreur établi via Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 10:12:19, on 06/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\Ati2evxx.exe
D:\Logiciels\iTunesHelper.exe
C:\Documents and Settings\Administrateur\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\Documents and Settings\Administrateur\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Skype\Phone\Phone\Skype.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS
ts.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.icrfast.com/index.php?rvs=hompag
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 142.34.1.4:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\skew.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - (no file)
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Logiciels\iTunesHelper.exe"
O4 - HKLM\..\Run: [Network Translation Service] "c:\skew.exe" *
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Documents and Settings\Administrateur\Bureau\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Network Translation Service] "c:\skew.exe" *
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {001EE746-A1F9-460E-80AD-269E088D6A01} (Infotl Control) - https://about.proquest.com/products-services/ebooks/ebooks-main.html
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://labuze64.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://intranet.k-buy.com/dwa7W.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - {FA6447E7-9383-4913-80B6-E20EEA3B579F} - (no file)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Documents and Settings\Administrateur\Bureau\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Network Translation Service (NTS) - Unknown owner - C:\WINDOWS
ts.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE

Merci par avance de votre aide!!!

R2xUsss · Answer

Bonjour 
Quel antivirus avez vous?

Fanny64 · Answer

Bonjour, 
ci-joint également le rapport d'erreur de l'anti virus AVG:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	09:49:33 06/10/2007

 + Résultat de l'analyse:	



HKLM\SOFTWARE\msbb -> Adware.180Solutions : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-2382750585-2826650621-1664671890-500\Software\msbb -> Adware.180Solutions : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Wanadoo\Utilisateur1\Mes fichiers reçus\picts-8570.zip/img0794-www.photoshare.com -> Backdoor.IRCBot.aiu : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{FF12949A-8EF7-4672-BE74-A93E6FF260E5}\RP954\A0204057.exe -> Backdoor.IRCBot.aiu : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\picts-1672.zip/img0794-www.photoshare.com -> Backdoor.IRCBot.aiu : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\picts-3107.zip/img0794-www.photoshare.com -> Backdoor.IRCBot.aiu : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\picts-6398.zip/img0794-www.photoshare.com -> Backdoor.IRCBot.aiu : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\picts-9290.zip/img0794-www.photoshare.com -> Backdoor.IRCBot.aiu : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\picts-9768.zip/img0794-www.photoshare.com -> Backdoor.IRCBot.aiu : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\Downloaded Program Files\IberoDialerHTML.dll -> Dialer.IberoDial : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Administrateur\Application Data\iqodetki.exe -> Downloader.Swizzor.bd : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Administrateur\Application Data\eszxbdxg.exe -> Downloader.Swizzor.cw : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Administrateur\Application Data\hjbufkci.exe -> Downloader.Swizzor.cw : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Administrateur\Bureau\SetupInstRe.exe/Setup.exe -> Dropper.Agent.asf : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

Merci d'avance.

^^Marie^^ · Answer

Bonjour

Faudra avertir tes copains MSN, si eux aussi ont chopé le virus...

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau: 
http://sosvirus.changelog.fr/MSNFix.zip 
Tuto
https://www.malekal.com/supprimer-virus-desinfecter-pc/ 

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat. 
- Exécutez l'option R. 
-- Si l'infection est détectée, exécutez l'option N. 
--- Sauvegardez ce rapport puis faites un copier/coller de ce rapport sur le forum, ainsi qu'un nouveau scan HijackThis fait en mode normal. 

Note : 
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal 
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

R2xUsss · Answer

[cote]AVG Anti-Spyware - Rapport d'analyse [/cote]
un troyen n'a rien a voir avec un Adware ou tout autre spyware!  
si tu es sur qu'il fait office d'antivirus tu peus dormir tranquilment parce que manifestement il dit que tout a été nettoyé

Fanny64 · Answer

Bonjour, 

ci-joint le rapport MSN.fix

MSNFix 1.537  
 
C:\Documents and Settings\Administrateur\Bureau\MSNFix 
Fix exécuté le 06/10/2007 - 10:40:38,78 By Administrateur 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
ts_000.tmp 
... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
ts3.tmp 
... C:\WINDOWS
ts.exe 

************************  MSNCHK ***** /!\ beta test /!\
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
ts_000.tmp  
.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
ts3.tmp  
/!\ ...  C:\WINDOWS
ts.exe   
 
 
 
************************ Nettoyage du registre 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
************************ Suppression des fichiers       
    
/!\ ...  C:\WINDOWS
ts.exe  
 
 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 06102007_10501594.zip
 
[color=#FF0000][b]==>[/b][/color] SVP merci d'envoyer le fichier  06102007_10501594.zip sur http://upload.changelog.fr
 
 
------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

^^Marie^^ · Answer

Bonjour

Tu peux toujours répondre à la question ==> cheval de troie via msn#1
Merci

CHEVAL DE TROIE VIA MSN

6 réponses

Discussions similaires