Fichier " loveyou.exe "

Fermé
bouquet03 - 3 juin 2008 à 08:56
 aico - 3 juin 2008 à 17:50
Bonjour,

Hier j' ai recç un spam sur mon email avec un lien internet sur lequel j'ai cliqué , j'ai vu apparaitre ensuite " loveyou.exe " , j'ai fais éxécuté et ensuite ayant un doute et eu un message de blocage de firewall j'ai pas autoriser l'accès .
Quand j'ai voulu eteindre mon ordinateur , j'ai vu apparaitre que le fichier loveyou.exe était en cours d'éxécution , j'ai ckiqué sur annuler dans le corps du message et mon ordi s'est eteinds .
Ci joint le rapport HIJACKTHIS , merci de me dire ce que je dois faire pour ne pas avoir de problèmes .
Bonne journée .

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:41:28, on 03/06/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Micro Application\Anti-Virus Personnel 2008\avp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Micro Application\Anti-Virus Personnel 2008\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Lyad] C:\Program Files\Lyad Messenger\lyad_messenger.exe autostart
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Micro Application\Anti-Virus Personnel 2008\scieplugin.dll
O13 - Gopher Prefix:
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\MICROA~1\ANTI-V~2\r3hook.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Anti-Virus Personnel 2008 (AVP) - Micro Application - C:\Program Files\Micro Application\Anti-Virus Personnel 2008\avp.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe
A voir également:

10 réponses

rasoa10 Messages postés 831 Date d'inscription mardi 20 mai 2008 Statut Membre Dernière intervention 8 février 2021 272
3 juin 2008 à 09:03
Bonjour,
Sans lire ton hijack (que je ne sais pas lire), je peux t'assurer à 99% que c'est un virus, et qui plus est probablement bien connu, car son nom ressemble très fortement à "I love you" qui a sévi il y a déjà 4 ou 5 ans. Un bon antivirus type Antivir ou Avast pourra peut-être le retirer de ton système, s'il t'en laisse le temps...
Autre chose : On ne clique pas sur un lien venant d'un spam, et on éxécute d'autant moins un programme qui vient de ces adresses, c'est trop risqué...
Bon courage
0
Bonjour ,

J' ai déjà un antivirus Kaspersky .
Si j'ai cliqué sur le lien dans mes spams , c'est parce que le nom de l'expéditeur me semblait être un client .
Je suis par nature quelqu'un de prudent , et je reçois des messages de clients dans mes spams .
Bonne journée
0
lenicois2 Messages postés 2340 Date d'inscription jeudi 15 mai 2008 Statut Contributeur Dernière intervention 5 novembre 2010 453
3 juin 2008 à 09:08
salut loveyou.exe
des que l'on parle d'amour...............:-)

bon tu as cette solution puisqu'il demarre pour ne pas le lancer il te faut etre en mode sans echec
demarre en mode sans echec en tapant f5 au demarrage

va dans msconfig qui te permet de pouvoir voir les differents programme intallé qui demarre

Clique sur le menu Démarrer
Clique sur Executer
Tape msconfig
et va sur onglet demarrage

cela permet de visualiser les programmes au démarrage de la session.
tu peux alors désactiver un programme en le décochant.
C'est une option très interressante pour désactiver les programmes afin de gagner en vitesse au
démarrage de Windows ou pour désactiver un malware.

cela n'entraine en aucun cas le non redemarrage de windows cela touche uniquement que les programmes installer
ca ne supprime pas un programme tu le desactive , <gras>a tout moment tu peux reactiver le programme
0
J' ai fais ce que vous m'avez dis , et je n'ai pas trouvé ce fichier dans l'onglet démarrage .
Comment peut t-on être certain que ce fichier " loveyou.exe " n'a pas endommagé mon pc ?
0
lenicois2 Messages postés 2340 Date d'inscription jeudi 15 mai 2008 Statut Contributeur Dernière intervention 5 novembre 2010 453
3 juin 2008 à 09:46
il n'endommagera pas ton pc
quand tu as redemarrer est il revenu?
0
lamaisondesmots Messages postés 26 Date d'inscription samedi 15 mars 2008 Statut Membre Dernière intervention 20 décembre 2008
3 juin 2008 à 11:22
bonjour lenicois

oui il n a pas eu de message de virus en démarrant
il a désactivé qq programmes qui démarrait automatiquement
voilà, dois il faire autre chose?
je réponds à sa place car il bosse là, je suis une amie.
voilà
bonne journée
0
lenicois2 Messages postés 2340 Date d'inscription jeudi 15 mai 2008 Statut Contributeur Dernière intervention 5 novembre 2010 453
3 juin 2008 à 11:33
oui ilencore ou non il ne l'as plus
qui lance une analyse antivirus
il regarde dans msconfig
si il ya concordance avec un programme qu'il a desactiver
il le supprime
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
J´ai le même virus et j´ai suivi la procédure. Dois-je désactiver tous les programmes dans msconfig ? Je ne comprends pas la dernière ligne (la correspondance entre le programme et le virus). Merci de m´apporter un peu de lumière
0
lamaisondesmots Messages postés 26 Date d'inscription samedi 15 mars 2008 Statut Membre Dernière intervention 20 décembre 2008
3 juin 2008 à 12:56
bonjour
et bien la personne a fait une analyse des disques durs, et a decelé ce trojan "loveyou.exe"
et ensuite il l'a supprimé , apparemment c est bon , à suivre.
concernant msconfig, non il ne faut pas désactiver tous tes programmes sinon je pense que tu vas avoir
qq soucis pour faire fonctionner ton pc...ce n'est pas moi l'experte informatique c est Lenicois2. si j ai bien compris
dans msconfig, tu décoches certains programmes afin qu'ils ne se lancent pas automatiquement si ce n est pas nécessaire pour toi .

je serai toi, j exposerai mon probléme précisémment dans ce meme forum, pour que des experts viennent t'aider.
j ai eu l'éxpérience ici pour une infection informatique et on m'a dépanné d'une facon trés professionnel.

bon courage à toi.
0
lenicois2 Messages postés 2340 Date d'inscription jeudi 15 mai 2008 Statut Contributeur Dernière intervention 5 novembre 2010 453 > lamaisondesmots Messages postés 26 Date d'inscription samedi 15 mars 2008 Statut Membre Dernière intervention 20 décembre 2008
3 juin 2008 à 13:02
salut tu peux desactiver oureactiver dans msconfig tout ce que tu veux sans soucis de redemarrage de windows

voila pour ton informatiion afin de ne pas dire JE PENSE QUE.....
https://www.zebulon.fr/dossiers/windows/41-msconfig.html
0
lenicois2 Messages postés 2340 Date d'inscription jeudi 15 mai 2008 Statut Contributeur Dernière intervention 5 novembre 2010 453
3 juin 2008 à 13:05
salut dans msconfig
en lancant une analyse antiviral au resumer tu as le chemein ou ce trouve ton fichiers.exe
si il ce trouve dans msconfig tu peux le desactiver pour pourvoir le supprimer plus facilement
cela evitera de te retrouver avec le message
impossible ce programme est utilser par un autre utilsateur.....................
0
lamaisondesmots Messages postés 26 Date d'inscription samedi 15 mars 2008 Statut Membre Dernière intervention 20 décembre 2008 > lenicois2 Messages postés 2340 Date d'inscription jeudi 15 mai 2008 Statut Contributeur Dernière intervention 5 novembre 2010
3 juin 2008 à 13:10
mais comment explique t on que loveyou.exe n apparait pas sur msconfig? et par contre sur l'analyse anti viral oui
c est une question que je me pose là
merci
0
lenicois2 Messages postés 2340 Date d'inscription jeudi 15 mai 2008 Statut Contributeur Dernière intervention 5 novembre 2010 453 > lamaisondesmots Messages postés 26 Date d'inscription samedi 15 mars 2008 Statut Membre Dernière intervention 20 décembre 2008
3 juin 2008 à 13:16
parce que il est peux etre associer a une autre apllication
0
lamaisondesmots Messages postés 26 Date d'inscription samedi 15 mars 2008 Statut Membre Dernière intervention 20 décembre 2008
3 juin 2008 à 13:26
merci pour cette précision.
bonne journée ,
0
Bonjour,

Il s'agit de la dernière vague de spam issue de l'infâme ver Storm (https://fr.wikipedia.org/wiki/Storm_botnet aka "Peacomm", "Nuwar", etc... Si vous souhaitez obtenir les meilleures chances de désinfection (si vous l'êtes effectivement), il sera nécessaire de retrouver la "souche" (le binaire qui était contenu dans le courriel). Suivant votre client de messagerie, il est possible de localiser ce fichier et le transmettre à un professionnel afin qu'il puisse vous fournir la solution la plus adaptée.

Ceci étant, vous avez probablement reçu un email avec quelque chose comme "You have touched my heart".
Pour plus d'infos, mon amie Kimberly vous offre ce bel espace "Rise of the Greeting Cards".
http://www.bluetack.co.uk/forums/index.php?showtopic=18151&mode=threaded&pid=87326

Si infection, vous devriez avoir ceci:
C:\WINDOWS\[nom].config (le fichier de config des peers)
C:\WINDOWS\[nom].exe <- (possible protection (rootkit))

Le nom dépends bien entendu de la variante.

Les derniers noms en liste sont:
- aromis
- nivavir
- kaglor
- gogora
- totacon
- herjek
- mahmud

Statistiquement, vous devriez avoir "totacon". Dans la mesure où Storm est connu pour utiliser des techniques de furtivité. Vous allez commencer par télécharger GMER ( http://www.gmer.net#files ) puis poster ici le rapport. Storm embarque un moteur SMTP pour diffuser du spam en mass, de plus il est capable de se propager sur d'autres réseaux, il est donc vivement conseillé d'installer un firewall.

Ces petits conseils devraient, espérons le, ré-orienter légèrement les helpers de CCM.
0
lenicois2 Messages postés 2340 Date d'inscription jeudi 15 mai 2008 Statut Contributeur Dernière intervention 5 novembre 2010 453
3 juin 2008 à 13:29
Merci pour ton intervention .
0
Je reprends plus précisément : je suis sous Windows Vista,
j´ai comme Bouquet03 téléchargé loveyou.exe (il n´était pas dans le mail mais à une adresse IP dans le mail) qui est un storm worm lancé en Espagne il y a dix jours, le fichier est sur le "bureau". JE N´AI PAS ENCORE ÉTEINT mon PC ni redémarré

Si je lance un scan antivirus, Avast! le repère mais avec un message semblable à ceci :

Il y a trop de mails identiques envoyés dans un faible intervalle de temps

Expéditeur : <a.hatherell@hpmg.com>
Destinataire : puzzy@doubleclick.net
Sujet : Lovin' You


preuve que le worm est actif. Hors ligne (si je coupe ma connexion internet) le scan antivirus semble ne pas fonctioner. Que puis-je tenter maintenant ? Comment trouver la souche ? le binaire du fichier téléchargé ?

Je poste le rapport de GMER dès que je l´ai.
aico
0
tycus Messages postés 74 Date d'inscription lundi 18 octobre 2004 Statut Membre Dernière intervention 2 septembre 2014 1
3 juin 2008 à 16:10
Bonjour
installé www.spybot.fr (où com) et scanné l'ordinateur
Bien cordialement
0
Après un écran bleu au lancement de GMER j´ai redémarré en mode sans échec et supprimer le fichier .exe du bureau (ce qui était impossible en mode normal). Après scan par spybot le worm semble totalement évacué. Je supprime les fichiers .tmp par sécurité.
Merci encore des conseils.
aico
0