Trojan de msn
Bob the spaghetti
Messages postés
5
Date d'inscription
Statut
Membre
Dernière intervention
-
Bob the spaghetti -
Bob the spaghetti -
Bonjour !
J'ai été infecté par le très célèbrevirus de msn, celui qui vous fait dire des trucs genre "regarde mes photos", car je ne l'avais pas vu depuis des mois.
Avant toute chose, je tiens a préciser que j'ai 3 systemes d'exploitation :
-Un windows production que j'utilise tout le temps (celui qui est infecté)
-un windows XP test de secours (qui n'est pas infecté)
-un linux.
Sur la session infectée, l'antivirus est avast!, qui, si j'ai bien compris, est tres mauvais. Sur la session non infectée, j'ai AVG. J'ai utilisé un scan avast du disque C (parce que le virus a des chances d'etre là, si j'ai bien compris) en mode sans échec, sans succès. Avec la session de test, j'ai lancé un scan AVG sur le disque C, sans succes aussi.
Alors, j'ai telechargé MSNfix, et l'ai executé sur la session de test. Celui-ci a detecté l'infection, et j'ai demandé le nettoyage. Ensuite, il m'a mis un ecran rouge pour me dire que la suppression ne se déroulait pas bien et qu'il fallait redémarrer. Ce que j'ai fait. Puis il m'a mis un petit "catchme" et un "upload_me" sur mon bureau : catchme est un fichier txt qui dit :
read file error: H:\DOCUME~1\Thomas\LOCALS~1\Temp\winlogon.exe, Le fichier spécifié est introuvable.
read file error: H:\DOCUME~1\Thomas\LOCALS~1\Temp\winlogon.exe, Le fichier spécifié est introuvable.
read file error: H:\DOCUME~1\Thomas\LOCALS~1\Temp\services.exe, Le fichier spécifié est introuvable.
read file error: H:\DOCUME~1\Thomas\LOCALS~1\Temp\services.exe, Le fichier spécifié est introuvable.
Et upload_me est une archive dans laquelle il y a plusieurs truc, dont un texte qui dit que j'ai besoin d'un avis expérimenté. plus précisément, le voici :
MSNFix 1.685
H:\Outils H\msnfix\MSNFix\MSNFix
Fix exécuté le 18/03/2008 - 11:17:15,25 By Thomas
mode normal
************************ Recherche les fichiers présents
... H:\WINDOWS\system32\RemSvc.exe
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Suppression des fichiers
.. OK ... H:\DOCUME~1\Thomas\LOCALS~1\Temp\winlogon.exe
.. OK ... H:\DOCUME~1\Thomas\LOCALS~1\Temp\services.exe
.. OK ... H:\WINDOWS\system32\RemSvc.exe
************************ Nettoyage du registre
Les fichiers encore présents seront supprimés au prochain redémarrage
Aucun Fichier trouvé
************************ Fichiers suspects
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention
[H:\vista-inspirat-pack_vista_inspirat_pack_2.0_francais_15013.zip] 31AC9E21CF0147D3602E974ED81271E5
[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier [b] H:\DOCUME~1\Thomas\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 18032008_11192876.zip
************************ HKLM\...\Winlogon\Userinit
Userinit = H:\WINDOWS\system32\userinit.exe,
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Voila.
S'il vous plaît : Comment etre sûr que l'infection est partie ? Est-ce que je devrais pas plutôt éxécuter MSNfix sur la session infectée ? Est-ce que, en gros le rapport dit quelque chose d'inquiétant ?
Merci à tous ceux qui répondront, ou réfléchiront.
Bye !
EDIT: oh, et tant que j'y pense ; d'apres avast, ce trojan s'appelle Win32:Small-JMH[tri]
J'ai été infecté par le très célèbrevirus de msn, celui qui vous fait dire des trucs genre "regarde mes photos", car je ne l'avais pas vu depuis des mois.
Avant toute chose, je tiens a préciser que j'ai 3 systemes d'exploitation :
-Un windows production que j'utilise tout le temps (celui qui est infecté)
-un windows XP test de secours (qui n'est pas infecté)
-un linux.
Sur la session infectée, l'antivirus est avast!, qui, si j'ai bien compris, est tres mauvais. Sur la session non infectée, j'ai AVG. J'ai utilisé un scan avast du disque C (parce que le virus a des chances d'etre là, si j'ai bien compris) en mode sans échec, sans succès. Avec la session de test, j'ai lancé un scan AVG sur le disque C, sans succes aussi.
Alors, j'ai telechargé MSNfix, et l'ai executé sur la session de test. Celui-ci a detecté l'infection, et j'ai demandé le nettoyage. Ensuite, il m'a mis un ecran rouge pour me dire que la suppression ne se déroulait pas bien et qu'il fallait redémarrer. Ce que j'ai fait. Puis il m'a mis un petit "catchme" et un "upload_me" sur mon bureau : catchme est un fichier txt qui dit :
read file error: H:\DOCUME~1\Thomas\LOCALS~1\Temp\winlogon.exe, Le fichier spécifié est introuvable.
read file error: H:\DOCUME~1\Thomas\LOCALS~1\Temp\winlogon.exe, Le fichier spécifié est introuvable.
read file error: H:\DOCUME~1\Thomas\LOCALS~1\Temp\services.exe, Le fichier spécifié est introuvable.
read file error: H:\DOCUME~1\Thomas\LOCALS~1\Temp\services.exe, Le fichier spécifié est introuvable.
Et upload_me est une archive dans laquelle il y a plusieurs truc, dont un texte qui dit que j'ai besoin d'un avis expérimenté. plus précisément, le voici :
MSNFix 1.685
H:\Outils H\msnfix\MSNFix\MSNFix
Fix exécuté le 18/03/2008 - 11:17:15,25 By Thomas
mode normal
************************ Recherche les fichiers présents
... H:\WINDOWS\system32\RemSvc.exe
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Suppression des fichiers
.. OK ... H:\DOCUME~1\Thomas\LOCALS~1\Temp\winlogon.exe
.. OK ... H:\DOCUME~1\Thomas\LOCALS~1\Temp\services.exe
.. OK ... H:\WINDOWS\system32\RemSvc.exe
************************ Nettoyage du registre
Les fichiers encore présents seront supprimés au prochain redémarrage
Aucun Fichier trouvé
************************ Fichiers suspects
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention
[H:\vista-inspirat-pack_vista_inspirat_pack_2.0_francais_15013.zip] 31AC9E21CF0147D3602E974ED81271E5
[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier [b] H:\DOCUME~1\Thomas\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 18032008_11192876.zip
************************ HKLM\...\Winlogon\Userinit
Userinit = H:\WINDOWS\system32\userinit.exe,
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Voila.
S'il vous plaît : Comment etre sûr que l'infection est partie ? Est-ce que je devrais pas plutôt éxécuter MSNfix sur la session infectée ? Est-ce que, en gros le rapport dit quelque chose d'inquiétant ?
Merci à tous ceux qui répondront, ou réfléchiront.
Bye !
EDIT: oh, et tant que j'y pense ; d'apres avast, ce trojan s'appelle Win32:Small-JMH[tri]
A voir également:
- Trojan de msn
- Telecharger msn - Télécharger - Messagerie
- Msn messenger - Télécharger - Messagerie
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Msn plus - Télécharger - Messagerie
- Msn explorer - Télécharger - Divers Web & Internet
8 réponses
Bonjour,
Télécharge HiJackThis: http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
* Dézippe-le dans un dossier prévu à cet effet à la racine du disque. Par exemple C:\hijackthis
* Exécute-le puis clic sur "Do a system scan and save a logfile"
* Copie-colle le rapport dans ta prochaine réponse.
Télécharge HiJackThis: http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
* Dézippe-le dans un dossier prévu à cet effet à la racine du disque. Par exemple C:\hijackthis
* Exécute-le puis clic sur "Do a system scan and save a logfile"
* Copie-colle le rapport dans ta prochaine réponse.
tres bien, j'ai fait le scan hijackthis. Mais j'insiste : qui peut me dire si MSNfix a servi a quek'chose dans ce cas là ?
Sinon, voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:00:56, on 18/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
H:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
H:\PROGRA~1\Grisoft\AVG7\avgemc.exe
H:\WINDOWS\system32\CTsvcCDA.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\WINDOWS\System32\GEARSec.exe
H:\Program Files\Norton Ghost\Agent\PQV2iSvc.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Program Files\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
H:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
H:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
H:\WINDOWS\CTHELPER.EXE
H:\WINDOWS\system32\CTXFIHLP.EXE
H:\Program Files\Creative\Shared Files\CTSched.exe
H:\Program Files\Creative\Sound Blaster X-Fi\Entertainment Center\EAXLoadr.exe
H:\WINDOWS\SYSTEM32\CTXFISPI.EXE
H:\Program Files\ASUS\AI Nap\AiNap.exe
H:\PROGRA~1\Grisoft\AVG7\avgcc.exe
H:\Program Files\ASUS\AI Gear\GearHelp.exe
H:\Program Files\ASUS\WLAN Card Utilities\Center.exe
H:\Program Files\Norton Ghost\Agent\GhostTray.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Creative\MediaSource5\Go\CTCMSGoU.exe
H:\Outils H\DAEMON\daemon.exe
H:\Program Files\Creative\ShareDLL\CADI\NotiMan.exe
H:\WINDOWS\system32\wuauclt.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTDVDDET] "H:\Program Files\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "H:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "H:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "H:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "H:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] H:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CreativeTaskScheduler] "H:\Program Files\Creative\Shared Files\CTSched.exe" /logon
O4 - HKLM\..\Run: [AsusStartupHelp] H:\Program Files\ASUS\AASP\1.00.15\AsRunHelp.exe
O4 - HKLM\..\Run: [Launch Ai Booster] "H:\Program Files\ASUS\AI Booster\OverClk.exe"
O4 - HKLM\..\Run: [Ai Nap] "H:\Program Files\ASUS\AI Nap\AiNap.exe"
O4 - HKLM\..\Run: [AVG7_CC] H:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Ai Gear Help] "H:\Program Files\ASUS\AI Gear\GearHelp.exe"
O4 - HKLM\..\Run: [Control Center] H:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] H:\Program Files\Norton Ghost\Agent\GhostTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] "H:\Program Files\Creative\MediaSource5\Go\CTCMSGoU.exe" /SCB
O4 - HKCU\..\Run: [DAEMON Tools Lite] "H:\Outils H\DAEMON\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] H:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O23 - Service: ASWLSVC - Unknown owner - H:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - H:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - H:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - H:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - H:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: GEARSecurity - GEAR Software - H:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton Ghost - Symantec Corporation - H:\Program Files\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
Sinon, voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:00:56, on 18/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
H:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
H:\PROGRA~1\Grisoft\AVG7\avgemc.exe
H:\WINDOWS\system32\CTsvcCDA.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\WINDOWS\System32\GEARSec.exe
H:\Program Files\Norton Ghost\Agent\PQV2iSvc.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Program Files\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
H:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
H:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
H:\WINDOWS\CTHELPER.EXE
H:\WINDOWS\system32\CTXFIHLP.EXE
H:\Program Files\Creative\Shared Files\CTSched.exe
H:\Program Files\Creative\Sound Blaster X-Fi\Entertainment Center\EAXLoadr.exe
H:\WINDOWS\SYSTEM32\CTXFISPI.EXE
H:\Program Files\ASUS\AI Nap\AiNap.exe
H:\PROGRA~1\Grisoft\AVG7\avgcc.exe
H:\Program Files\ASUS\AI Gear\GearHelp.exe
H:\Program Files\ASUS\WLAN Card Utilities\Center.exe
H:\Program Files\Norton Ghost\Agent\GhostTray.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Creative\MediaSource5\Go\CTCMSGoU.exe
H:\Outils H\DAEMON\daemon.exe
H:\Program Files\Creative\ShareDLL\CADI\NotiMan.exe
H:\WINDOWS\system32\wuauclt.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTDVDDET] "H:\Program Files\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "H:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "H:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "H:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "H:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] H:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CreativeTaskScheduler] "H:\Program Files\Creative\Shared Files\CTSched.exe" /logon
O4 - HKLM\..\Run: [AsusStartupHelp] H:\Program Files\ASUS\AASP\1.00.15\AsRunHelp.exe
O4 - HKLM\..\Run: [Launch Ai Booster] "H:\Program Files\ASUS\AI Booster\OverClk.exe"
O4 - HKLM\..\Run: [Ai Nap] "H:\Program Files\ASUS\AI Nap\AiNap.exe"
O4 - HKLM\..\Run: [AVG7_CC] H:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Ai Gear Help] "H:\Program Files\ASUS\AI Gear\GearHelp.exe"
O4 - HKLM\..\Run: [Control Center] H:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] H:\Program Files\Norton Ghost\Agent\GhostTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] "H:\Program Files\Creative\MediaSource5\Go\CTCMSGoU.exe" /SCB
O4 - HKCU\..\Run: [DAEMON Tools Lite] "H:\Outils H\DAEMON\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] H:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O23 - Service: ASWLSVC - Unknown owner - H:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - H:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - H:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - H:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - H:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: GEARSecurity - GEAR Software - H:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton Ghost - Symantec Corporation - H:\Program Files\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
************************ Suppression des fichiers
.. OK ... H:\DOCUME~1\Thomas\LOCALS~1\Temp\winlogon.exe
.. OK ... H:\DOCUME~1\Thomas\LOCALS~1\Temp\services.exe
.. OK ... H:\WINDOWS\system32\RemSvc.exe
=> il a bien supprimé les fichiers ;o)
Je regarde le rapport HiJAck ^^
.. OK ... H:\DOCUME~1\Thomas\LOCALS~1\Temp\winlogon.exe
.. OK ... H:\DOCUME~1\Thomas\LOCALS~1\Temp\services.exe
.. OK ... H:\WINDOWS\system32\RemSvc.exe
=> il a bien supprimé les fichiers ;o)
Je regarde le rapport HiJAck ^^
PArfait, aucune ligne suspecte.
Petite remarque pour la prochaine fois: tu n'as pas installé HiJackThis au bon endroit, mais comme on ne fixe rien c'est pas grave ;o)
Bon surf ! ^^
Petite remarque pour la prochaine fois: tu n'as pas installé HiJackThis au bon endroit, mais comme on ne fixe rien c'est pas grave ;o)
Bon surf ! ^^
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Me revoici. Euh alors je suis content de savoir MSNfix a supprimé les fichiers et que Hijackthis ne trouve rien, seulement, je rappelle que ces tests n'ont pas été fait (et je m'en excuse) sur la session infectée. Je m'appretais a les refaire sur celle-ci, et vérifier que le trojan ne fonctionnait plus, seulement j'ai un big probleme : lorsque je démarre le windows infecté, on me demande mon nom d'utilisateur et mon mot de passe. je donne ceux d'habitude, il se connecte, et là, à peine ai-je vu mon fond d'écran, que deja il me dit deconnexion, et me redemande mon nom et mon mot de passe.
Uh ?
Uh ?
oui, sans succes
EDIT : Eh bien apparemment, ce cas est courant, et pas seulement pour ceux qui ont le virus MSN... Et apparemment aussi, il va falloir que je formate !
Avant de dire que ce topic est résolu, j'aimerais poser la question : n'est il pas possible de résoudre le probleme autrement, étant donné que je possede un linux et une autre partition de windows ? En effet, j'ai tout de même acces aux fichiers donc...
merci de vos potentielles aides.
EDIT : Eh bien apparemment, ce cas est courant, et pas seulement pour ceux qui ont le virus MSN... Et apparemment aussi, il va falloir que je formate !
Avant de dire que ce topic est résolu, j'aimerais poser la question : n'est il pas possible de résoudre le probleme autrement, étant donné que je possede un linux et une autre partition de windows ? En effet, j'ai tout de même acces aux fichiers donc...
merci de vos potentielles aides.
UP
Je n'attends pas un miracle, je voudrais simplement qu'on me dise : "Oui il y a une autre solution", "Non, tu vas devoir formater", ou même "j'en sais rien"
Je n'attends pas un miracle, je voudrais simplement qu'on me dise : "Oui il y a une autre solution", "Non, tu vas devoir formater", ou même "j'en sais rien"
Voui, j'ai deja scanné maintes fois la partition infectée, avec msnfix, avg, et adaware...
Sauf que maintenant c'est autre chose, je pense que c'est une question de fichiers.
D'autant plus qu'en cherchant dans les cas similaires, j'ai trouvé ces liens intéressants : https://support.microsoft.com/fr-fr/help/892893 et http://www.hotline-pc.org/demarrageproblemes.htm#0101 qui disent que c'est une question de fichier userinit... Donc j'ai pris mon fichier userinit sur la session infectée et j'ai fait copier-coller, de sorte a remplacer le fichier userinit de la session infectée, toujours sans succès...
Il semblerait que je vais devoir utiliser la console de récupération.
Sauf que maintenant c'est autre chose, je pense que c'est une question de fichiers.
D'autant plus qu'en cherchant dans les cas similaires, j'ai trouvé ces liens intéressants : https://support.microsoft.com/fr-fr/help/892893 et http://www.hotline-pc.org/demarrageproblemes.htm#0101 qui disent que c'est une question de fichier userinit... Donc j'ai pris mon fichier userinit sur la session infectée et j'ai fait copier-coller, de sorte a remplacer le fichier userinit de la session infectée, toujours sans succès...
Il semblerait que je vais devoir utiliser la console de récupération.
