Victime d'un virus sur msn très paniqué
Victime d'un virus sur msn très paniqué - Virus/Spywares - Windows & Software
Marsh Posté le 08-08-2007 à 20:50:06
Regarde ce sujet :
http://forum.hardware.fr/hfr/Windo [...] 7491_1.htm
C'était quoi comme genre de virus ?
---------------
.: Mastodon :. // • Radio Fediverse •
Marsh Posté le 08-08-2007 à 21:03:55
Un virus du type myalbum.zip, un lien était envoyé et j'ai cliqué dessus croyant qu'il émanant de mon contact msn. Il, ce virus, ouvrait toutes les fenêtres des autres contacts , ceux en ligne, pour se propager.
Marsh Posté le 08-08-2007 à 23:18:21
Bonsoir boubouleon,
*** Bienvenue sur HFR !!! ***
1) Télécharge MSNFix.zip (de !aur3n7) sur ton bureau:
Décompresse-le (clic droit >> Extraire ici) et double-clique sur le fichier MSNFix.bat
- Exécute l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage
Notes :
- Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt
@ plus,
Marsh Posté le 08-08-2007 à 23:38:36
Euh... les gens!
Dans le 1er post, le rapport dit que le virus a été supprimé. Il fallait donc demander gentiment si le problème a été éradiqué. 
Marsh Posté le 09-08-2007 à 00:07:14
Je vais essayer d'installer MSNFix.zip, et de relater ce que je vois. Vous m'assiterez dites, hein, je suis vraiment vraiment en état de choc.
Merci de votre soutien d'avance.
Dans un premier temps, mes amis experts, une analyse faite par l'utilitaire HIJACK.THIS, voilà ce que j'obtiens :
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:34:56, on 09/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\FICHIE~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\AOL\1140103288\ee\AOLSoftware.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\apps\ABoard\AOSD.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\system32\ctfmon.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\AOL 9.0d\aoltray.exe
C:\Program Files\Last.fm\LastFMHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
c:\program files\fichiers communs\aol\1140103288\ee\services\antiSpywareApp\ver2_0_28_1\AOLSP Scheduler.exe
c:\program files\fichiers communs\aol\1140103288\ee\aolsoftware.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\AOL Compagnon\COMPANION.EXE
D:\Documents and Settings\José Henriques.111526690313\Bureau\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/i [...] earch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/y [...] .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XBTP00001 Class - {0668F6DB-F45E-4034-9AB1-F6FA6D135F11} - C:\PROGRA~1\LASUPE~1.3\tbu03433\SUPER-~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1140103288\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0d\aoltray.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Program Files\Last.fm\LastFMHelper.exe
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll/search.htm
O8 - Extra context menu item: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 2.0\resources\fr-FR\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {26FCCDF9-A7E1-452A-A73D-7BF7B4D0BA6C} (AOL Pictures Uploader Class) - http://o.aolcdn.com/pictures/ap/Re [...] .2.0.0.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.co [...] nPUpld.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
--
End of file - 14215 bytes
Message édité par boubouleon le 09-08-2007 à 00:36:53
Marsh Posté le 09-08-2007 à 00:36:26
J'aime bien poster dans le vide et que personne ne m'écoute.
Le virus est déjà supprimé.
Allo terre? Il y a quelqu'un?
Marsh Posté le 09-08-2007 à 00:42:58
| ogaby a écrit : J'aime bien poster dans le vide et que personne ne m'écoute. |
Excuse-moi, je suis vraiment dans tous mes états lol, rired nerveux. J'ai lancé une analyse en mode sans échec de Antivir, en "manual selection " et au bout de 1h 21 minutes, l'analyse s'est bloquée à ce niveau : C:\WINDOWS\ assembly...\System.Design.Resources.dll
Crois-tu que je doive procédér à une nouvelle analyse avec MSNFIX ? là j'ai lancé AVG anti-spyware, il scanne très lentement mais rien n'a encore été trouvé.
Je me sens complètement abattu et perdu ! Merci pour ton aide. 
Je viens de procéder avec MSNFIX, il est dit :
" Infection absente "
L'infection n'a pas été détectée
A.Afficher le rapport et quitter.
R.Nettoyer le registre et quitter.
Q. Quitter
Dans un précédent examen avec MSNFIXE, je n'avais pas ces résultats. Donc, comme le disait Ogaby, il semble que l'infection soit éradiquée, non ? J'ai peur de rouvrir MSN maintenant, et pourquoi l'analyse avec l'antivirus avait bloqué ?
Pour l'instant je choisis l'option " R ". Vous êtes géniaux, vous me tien drez au courant s'il faut que j'utilise CCleaner et qu'effacer avec ?
Merci du fond, du tréfonds du coeur, Ogaby et tous, mais je vais attendre la fin de l'analyse avec AVG. c'est normal que cela prenne plus d'une heure ?
voilà le rapport du deuxième scan MSNFIXE :
MSN_Fix 1.457
D:\Documents and Settings\.111526690313\Local Settings\Temp\MSNFix-2\MSNFix
Fix exécuté le 09/08/2007 - 1:09:35,62
mode normal
************************ Recherche les fichiers présents
Aucun Fichier trouvé
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Fichiers suspects
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention
[C:\WINDOWS\itsME19.zip] 76CDB2BAD9582D23C1F6F4D868218D6C
[C:\WINDOWS\itsME25.zip] 76CDB2BAD9582D23C1F6F4D868218D6C
[C:\WINDOWS\itsME94.zip] 76CDB2BAD9582D23C1F6F4D868218D6C
[C:\WINDOWS\system32\ArKaos.scr] A74314F8F04C4B5FAB3FD01BDCC3D4D2
[C:\WINDOWS\system32\showtime.scr] C0ECBEAFB2A811E244380F42CD197289
[C:\AlbumArtSmall.jpg.zip] 71A811665C0B90D8D4E2E7EDF4129D29
[C:\AlbumArt_{D0FF310B-1EF7-42AF-8844-5D760783BC98}_Large.jpg.zip] 7BEE45606BCDE9D00FCF8C5A6904FFF4
[C:\AlbumArt_{D0FF310B-1EF7-42AF-8844-5D760783BC98}_Small.jpg.zip] C03212D5A6FA3FDE03CC148390804619
[C:\AlbumArt_{DBCAF583-9E16-414F-9043-ABCE799B3A44}_Large.jpg.zip] 72CCBA4635155ECD8F939A24B0656768
[C:\AlbumArt_{DBCAF583-9E16-414F-9043-ABCE799B3A44}_Small.jpg.zip] B9D0880932A8EBAD94154677A2B9FEBE
[C:\bookmark.htm.zip] D568492EB855BD3439921CA7F72D1471
[C:\brochuretarif_lacarte.pdf.zip] CA9CD7151366B4FA89046EB37BE6515D
[C:\Casse-couille.wmv.zip] D5A0C8FC8448FBDFB8B6CDE5481B0DAA
[C:\desktop.ini.zip] 44A9841AD58704423375783382D2E114
[C:\Doc1.doc.zip] C37F5DE371B7D0177C1F6C987D7EB8BB
[C:\Données_060313_0032.pxj.zip] 1E71B02FA247A2F39CB62667AD4D4965
[C:\Folder.jpg.zip] 8DBD12F77CA08D97FEB09EFBB448A4C4
[C:\Masauvegarde.sav.zip] F82146E47F74F111182E76273BC6BBE3
[C:\MichaelJackson-SomeonePutYourHandout.wma.zip] A3338908F33FEAE091C8FE3F7761BED3
[C:\MichaelJackson-TheyDon'tCareAboutUs.wma.zip] EDBBBBE3424D337B62618CC6B6BB4A0C
[C:\Oulala.net.URL.zip] 524F4ADCF1FE6BBDE267193351E53309
[C:\Sunday.doc.zip] A4D4558FE35206006831AAFFA8B95431
[C:\tweakui133.exe.zip] F0208584DA88A0DC2366CCAD47547E8D
[C:\Unidialog_3461583_1141245561437.pdf.zip] 26C6F70B93F75FEEFD419A3640C755BA
[C:\Unidialog_3461583_1144407784093.pdf.zip] 61269E11001B0231B13838C2EA952AA4
[C:\~$Doc1.doc.zip] 7EA9BADE51D4EAC85802618DCAA46C4C
Aucun Fichier trouvé
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://www.changelog.fr
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Message édité par boubouleon le 09-08-2007 à 01:12:24
Marsh Posté le 09-08-2007 à 11:42:40
Ces 3 fichiers paraissent très louches:
C:\WINDOWS\itsME19.zip
C:\WINDOWS\itsME25.zip
C:\WINDOWS\itsME94.zip
Si tu ne connais pas leurs noms, efface les. Surtout ne les ouvre pas.
Sinon le rapport de hijackthis est bon et ton ordi semble bel et bien désinfecté.
Message édité par ogaby le 09-08-2007 à 11:43:53
Marsh Posté le 09-08-2007 à 15:53:06
Bonjour à toi, Ogaby
Peux-tu m'indiquer comment faire pour les éradiquer, j'ai peur ded toucher au registre et pense ne pas pouvoir localiser les fichiers. Je ne dois pas double-cliquer mais faire un clic droit dessus, une fois retrouvés et les détruire , avec l'option " suppression " pas vrai ?
Je ne sais pas comment te remercier pour toute ta généreuse aide. Crois-moi.
En utilisant la fonction "rechercher " de Windows, crois-tu que je puisse les localiser, puis clic droit puis supprimer ?
Dois-je refaire de nouveaux rapports HIJACK et MSNFIXE puisque je les ai effacés et qu'entre-temps la menace a peut-être évolué ? Merci, je suis obséquieux, mais sincère, je ne m'en sortirai pas tout seul.
Message édité par boubouleon le 09-08-2007 à 16:03:30
Marsh Posté le 09-08-2007 à 16:03:16
Va dans c:\windows et cherche les fichiers. Puis clique une fois pour sélectionner le 1er. Ensuite tu appuies sur les touches shift et suppr. Ca le supprime définitivement. Sinon il sera déplacé dans la corbeille.
Fais la même chose pour les 2 autres.
Marsh Posté le 09-08-2007 à 16:05:33
Merci, Ogaby
Je vais sur le lecteur C dans poste de travail, c'est ça ?
Dois-je refaire de nouveaux rapports HIJACK et MSNFIXE puisque je les ai effacés et qu'entre-temps la menace a peut-être évolué ? Merci, je suis obséquieux, mais sincère, je ne m'en sortirai pas tout seul.
Marsh Posté le 09-08-2007 à 16:19:52
Oui tu vas dans c: puis windows.
Tu n'as plus besoin de rapports hijackthis et msnfix.
Marsh Posté le 09-08-2007 à 16:25:55
Merci, heureusement que tu es là et en plus tu fais cela bénévolement. J'ajoute juste qu' à l'instant l'anti-virus a détecté un virus avec extension pskill.exe, j'ai mis en 40 aine, j'ai bien fait, non ?
Une fois ces dossiers trouvés et éliminés, je refais un test anti-virus général en mode sans échec et, devrais-je nettoyer le registre ou les fichiers temporaires parce que là encore, je me sens submergé.
Heureusement, heureusement que tu me rassures !
Marsh Posté le 09-08-2007 à 16:35:49
pskill.exe vient de msnfix. Il n'est pas dangereux mais beaucoup d'anti-virus le détecte comme un virus. Perso, je n'aime pas beaucoup conseiller msnfix à cause de ca.
Oui efface les fichiers temporaires. On aurait dû commencer par ca mais msnfix l'avait fait en partie.
Marsh Posté le 09-08-2007 à 16:46:38
Je vais effacer les fichiers temporaires. J'ai commencé à explorer le disque C, dans l'arborescence du volet de gauche le dossier " Windows ", j'ai exploré les sous dossiers mais pas de trace pour l'instant des C:\WINDOWS\itsME19.zip
C:\WINDOWS\itsME25.zip
C:\WINDOWS\itsME94.zip
en utilisant la fonction " rechercher " c'est déconseillé , tu crois ?
Je parcours un à un les dossiers de l'arborescence et dans le volet de droite j'examine soigneusement les sous-dossiers et pour l'instant je ne trouve pas de traces des "itsME....", peut-être se déplacent-ils très vite dans le système d'exploitation ?
Je crois que les dossiers ne sont plus présents (ou ont " migré " ) car voici ce que donne un nouveau rapport MNSFIX :ils ne mentionnent plus les 3 fichiers que l'on cherche ! J'ai omis du rapport la
MSN_Fix 1.458
D:\Documents and Settings\.111526690313\Local Settings\Temp\MSNFix\MSNFix
Fix exécuté le 09/08/2007 - 16:18:57,67
mode normal
************************ Recherche les fichiers présents
Aucun Fichier trouvé
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Fichiers suspects
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention
[C:\WINDOWS\system32\ArKaos.scr] A74314F8F04C4B5FAB3FD01BDCC3D4D2
[C:\WINDOWS\system32\showtime.scr] C0ECBEAFB2A811E244380F42CD197289
[C:\AlbumArtSmall.jpg.zip] 71A811665C0B90D8D4E2E7EDF4129D29
[C:\AlbumArt_{D0FF310B-1EF7-42AF-8844-5D760783BC98}_Large.jpg.zip] 7BEE45606BCDE9D00FCF8C5A6904FFF4
[C:\AlbumArt_{D0FF310B-1EF7-42AF-8844-5D760783BC98}_Small.jpg.zip] C03212D5A6FA3FDE03CC148390804619
[C:\AlbumArt_{DBCAF583-9E16-414F-9043-ABCE799B3A44}_Large.jpg.zip] 72CCBA4635155ECD8F939A24B0656768
[C:\AlbumArt_{DBCAF583-9E16-414F-9043-ABCE799B3A44}_Small.jpg.zip] B9D0880932A8EBAD94154677A2B9FEBE
[C:\bookmark.htm.zip] D568492EB855BD3439921CA7F72D1471
[C:\brochuretarif_lacarte.pdf.zip] CA9CD7151366B4FA89046EB37BE6515D
[C:\Casse-couille.wmv.zip] D5A0C8FC8448FBDFB8B6CDE5481B0DAA
[C:\desktop.ini.zip] 44A9841AD58704423375783382D2E114
[C:\Doc1.doc.zip] C37F5DE371B7D0177C1F6C987D7EB8BB
[C:\Données_060313_0032.pxj.zip] 1E71B02FA247A2F39CB62667AD4D4965
[C:\Folder.jpg.zip] 8DBD12F77CA08D97FEB09EFBB448A4C4
[C:\Masauvegarde.sav.zip] F82146E47F74F111182E76273BC6BBE3
[C:\MichaelJackson-SomeonePutYourHandout.wma.zip] A3338908F33FEAE091C8FE3F7761BED3
[C:\MichaelJackson-TheyDon'tCareAboutUs.wma.zip] EDBBBBE3424D337B62618CC6B6BB4A0C
[C:\Oulala.net.URL.zip] 524F4ADCF1FE6BBDE267193351E53309
[C:\Sunday.doc.zip] A4D4558FE35206006831AAFFA8B95431
[C:\tweakui133.exe.zip] F0208584DA88A0DC2366CCAD47547E8D
[C:\Unidialog_3461583_1141245561437.pdf.zip] 26C6F70B93F75FEEFD419A3640C755BA
[C:\Unidialog_3461583_1144407784093.pdf.zip] 61269E11001B0231B13838C2EA952AA4
[C:\~$Doc1.doc.zip] 7EA9BADE51D4EAC85802618DCAA46C4C
Aucun Fichier trouvé
Message édité par boubouleon le 09-08-2007 à 17:35:46
Marsh Posté le 10-08-2007 à 04:17:01
Merci infiniment Ogaby pour ta patience.
Si tu connais sun anti-virus gratuit et performant mais moins long à scanner que Antivir pense à moi.
Dernière question : pas d'entrées à effacer dans le registre ni de manipulations à effectuer dans la restauration du système ?
Je ne sais pas comment te remercier !
Marsh Posté le 10-08-2007 à 10:18:24
Il n'y a plus rien à faire... c'est bon.
Et je ne connais pas plus rapide que antivir.
Marsh Posté le 10-08-2007 à 16:03:05
Merci, je me répète ad nauséam (pour toi), sans toi je crois que j'aurais fait une dépression. Maintenant, puisque tu connais bien la sécurité informatique, penses -tu que la fonction " rootkit" de Antivir soit suffisante ?
Marsh Posté le 10-08-2007 à 23:59:29
Arf, y'en as encore qui ce font avoir par les virus ? xD
---------------
Miranda-IM - Multi-protocole Open-Source - Compatible MSN, JABBER, ICQ, IRC, YAHOO, AIM, Skype, Myspace, etc... et + de 400 plugins | Tenir son miranda à jour
Marsh Posté le 11-08-2007 à 00:05:51
Slt,
Ceux-là avaient déjà été nettoyés par BitDefender :
| Citation : C:\WINDOWS\itsME19.zip=>itsME19.scr |
Par contre, celui-ci court toujours :
C:\WINDOWS\system32\libmsns.dll
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\system32\libmsns.dll
Echec de la désinfection
C:\WINDOWS\system32\libmsns.dll
Echec de la suppression
Marsh Posté le 11-08-2007 à 00:13:18
Fais-lui supprimer avec par exemple KillBox et un "Delete on reboot". 
Marsh Posté le 11-08-2007 à 00:22:22
Et si je lui conseille en mode sans échec, ça devrait passer non?
La bibliothèque n'est pas de dans ce cas utilisée et ça devrait marcher sans problème.
J'aime pas trop conseiller différents utilitaires car j'aime faire au plus simple.
Message édité par ogaby le 11-08-2007 à 00:22:40
Marsh Posté le 11-08-2007 à 15:36:12
Bonjour,
Pouvez-vous me donner un lien officiel pour télécharger Killbox, s'il existe encore, et " delete on reboot " c'est une des commandes de ce logiciel ? Merci infiniment, je suis à nouveau mort d'angoisse !
Je l'ai téléchargé d'un site : http://www.generation-nt.com/killb [...] 25430.html , puis ai téléchargé un fichier compressé de ce site-là : http://www.malwareremoval.com/downloads.html, pour le premier site j'obtiens une icône sur le bureau quand je clique dessus, sur l'icône : jai un message d'erreur disant " le composant que vous essayez d'utiliser se trouve sur une ressource réseau non disponible. Cliquez sur "ok " pour réessayer ou entrez dans la zone ci-dessous un autre chemin d'accès à un dossier contenant le package d'installation " conjugaison.msi " (nom d'un logiciel que j'avais installé ". Je vais peut-être essayer de désinstaller ce logiciel " conjug ".
J'ajoute que le fichier à décompresser contient je crois le logiciel, il faut entrer dans une zone " C:\WINDOWS\system32\libmsns.dll " puis il y a 3 boutons à côté du champ de saisie, et en dessous cocher " delete on reboot " mais je ne peux pas avoir ce fichier décompressé en mode sans échec certainement. Je crois que je suis perdu !
Il y a une indication du programme conjugaison dans " ajout et suppression de programmes " mais plus le bouton " modifier/supprimer ", cependant pour les autres programmes, les boutons figurent.
Ne puis-je point à partir du dossier compressé que j'ai téléchargé, créer une icône sur le bureau pour le lancer en mode sans échec ?
Les amis, j'ai réussi à partir du fichier compressé à créer une icône sur le bureau au lancement, je vais essayer de passer en "mode sans échec ", de lire un didacticiel et de faire les manip correspondantes !
Merci pour votre soutien ! Dieu sait que j'en ai besooin
Message édité par boubouleon le 11-08-2007 à 16:14:29
Marsh Posté le 11-08-2007 à 16:59:07
Il y a plus simple. Tu fermes msn (car c'est un fichier de msn). Ensuite tu analyse le répertoire Windows avec bitedefender.
Marsh Posté le 11-08-2007 à 17:06:39
Ogaby et acrobaze, excusez-moi de faire du flooding, mais je vous tiens au courant de mes dernières tentatives d'éradication.
La version de Killbox que j'ai réussi à installer est celle de ce site http://www.malwareremoval.com/downloads.html et ne semble pas être la dernière en date, laquelle ne s'installait pas sur mon pc.
Une fois en mode sans échec, j'ai rempli le champ " Full path of file to delete " avec la mention " C:\WINDOWS\system32\libmsns.dll ", jai appuyé sur le bouton logo rouge avec une croix blanche, j'ai coché " delete on reboot " et " end explorer shell while killing file " et "unregister.dll before deleting ". Puis ai obtenu deux boites de dialogue avec , pour la première " File will be removed on reboot " et pour la seconde " Pending file remove operations registry data has been removed by external process " puis j'ai cliqué sur "ok ".
M' y suis-je bien pris, sachant que je n'arrivais pas à installer la dernière version en date ?
dois-je recommencer avec un autre logiciel de désinfection ?
Dois-je relancer un rapport hijack, lancer l'anti-virus ?
ça fait beaucoup de questions mes amis experts, j'envie votre calme et détachement, mais j'ai remarqué que des mails à moi ont été piratés alors je suis encore plus dans tous mes états...
Marsh Posté le 11-08-2007 à 17:11:14
| ogaby a écrit : Il y a plus simple. Tu fermes msn (car c'est un fichier de msn). Ensuite tu analyse le répertoire Windows avec bitedefender. |
pour analyser le répertoire windows, ogaby, il y a une indication du dossier à examiner ? j'ai passé un coup de bitdefender hier et ne me rappelle plus. Je ne sais plus 's il faut choisir des sections écrites en anglais " local disc " " files " laquelle dois-je choisir " ? Je ne sais plus, je crois que je craque 
Il faut que j'entre la commande " windows registry "("répertoire windows " ) à la main ? Bitdefender, ne désinfecte pas en plus tout seul je crois...
En plus, je suis pas prêt d'arrêter de vous demender de l'aide, parce que si les mails trafiqués, des mails à moi reçus et déjà ouverts quelques jours en arrière mais qui contenaient du texte, aujourd'hui ils avaient comme des suites de calculs, ont ouverts d'autres virus.
Je fais une analyse complète avec Bit Defender, il me dira si C:\windows\System32\libmsns.dll est présent, non Ogaby et si d'autres sont là... Et puis passer mon antivirus, antispywares en mode sans échec et pourrais-je vous en envoyer les rapports ?
Message édité par boubouleon le 11-08-2007 à 17:36:59
Marsh Posté le 11-08-2007 à 18:53:27
Je viens d'effectuer une analyse complète par le bais de Bitdefender.
Comme j'avais écrit plus haut, je ne savais pas sous quel dossier se trouvait " répertoire windows " donc ne sais toujours pas si "C:\WINDOWS\system32\libmsns.dll " a été supprimé lors de mon essai avec une version pas à jour de killbox.
Je vais relater un fait survenu lors de l'analyse complète avec Bitdefender, un virus a été trouvé, une alerte s'est affichée avec les éléments suivants :
C:\WINDOWS\system32\ActiveScan\pskavs.dll
et " virus W95/Blumblebee.1738 . J'ai mis le virus en quarantaine, ne va-t'il pas récidiver.
Je vous poste joint le rapport de BitDefender :
BitDefender Online Scanner - Rapport virus en temps réel
Généré à: Sat, Aug 11, 2007 - 18:43:42
Info d'analyse
Fichiers scannés
402868
Infectés Fichiers
0
Virus Détectés
Aucun virus trouvé.
Je vais continuer, essayer de refaire un Killbox, et trouver des infos sur des outils pour éliminer Bumblebee s'il était encore actif.
Merci pour votre lecture et aide Ogaby et Acrobaze.
Vous me direz quelle section de Bitdefender cocher pour avoir le répertoire windows ?
Encore merci du fond du coeur !
Marsh Posté le 11-08-2007 à 19:31:19
pskavs.dll est un fichier de l'antivirus en ligne Panda.
Pas de panique. C'était une fausse alerte.
Marsh Posté le 11-08-2007 à 22:15:18
Merci Ogaby,
Je crois que j'ai supprimé ce fichier avec Killbox, c'est pas grave je pense ?
Pour savoir si" C:\WINDOWS\system32\libmsns.dll " ne figure plus , je fais un hijack rapport, passe un coup d'antispyware ?
Voici un rapport HIJACKTHIS, fait ce soir, peux-tu me dire s'il est inquiétant ?
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:17:45, on 11/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\FICHIE~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\wanmpsvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\apps\ABoard\AOSD.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\AOL\1140103288\ee\AOLSoftware.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\AOL 9.0d\aoltray.exe
C:\Program Files\Last.fm\LastFMHelper.exe
c:\program files\fichiers communs\aol\1140103288\ee\services\antiSpywareApp\ver2_0_28_1\AOLSP Scheduler.exe
c:\program files\fichiers communs\aol\1140103288\ee\aolsoftware.exe
C:\Program Files\AOL Compagnon\COMPANION.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\.111526690313\Bureau\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/i [...] earch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/y [...] .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XBTP00001 Class - {0668F6DB-F45E-4034-9AB1-F6FA6D135F11} - C:\PROGRA~1\LASUPE~1.3\tbu03433\SUPER-~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1140103288\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0d\aoltray.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Program Files\Last.fm\LastFMHelper.exe
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll/search.htm
O8 - Extra context menu item: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 2.0\resources\fr-FR\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {26FCCDF9-A7E1-452A-A73D-7BF7B4D0BA6C} (AOL Pictures Uploader Class) - http://o.aolcdn.com/pictures/ap/Re [...] .2.0.0.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.co [...] nPUpld.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
--
End of file - 13713 bytes
ça fait vide de sens après l'avoir moultes fois écrit, mais MERCI MERCI pour votre disponibilité toi et Acrobaze !
Message édité par boubouleon le 11-08-2007 à 22:21:51
Marsh Posté le 11-08-2007 à 22:29:06
Le dernier rapport Antivir, ça fait énormément de lecture et d'analyse pour vous, j'en suis conscient. Je vous garantis que si l'on arrive à purger mon ordi, je serai des plus vigilants !
Pour savoir si" C:\WINDOWS\system32\libmsns.dll " ne figure plus , je fais un hijack rapport, passe un coup d'antispyware ?
Donc, rapport Antivir :
AntiVir PersonalEdition Classic
Report file date: samedi 11 août 2007 19:37
Scanning for 1014788 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Computer name:
Version information:
BUILD.DAT : 247 14437 Bytes 10/05/2007 11:55:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20/04/2007 11:37:14
AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:54
LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:04
LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:18:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 18:47:09
ANTIVIR2.VDF : 6.39.0.226 1223680 Bytes 10/08/2007 11:22:35
ANTIVIR3.VDF : 6.39.0.230 86016 Bytes 10/08/2007 15:54:51
AVEWIN32.DLL : 7.4.0.60 2716160 Bytes 10/08/2007 11:22:35
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 08/08/2007 18:47:11
AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:08
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:05
AVARKT.DLL : 1.0.0.17 278568 Bytes 02/05/2007 10:32:26
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:18
RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:42
Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: D:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: I:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,
Start of the scan: samedi 11 août 2007 19:37
Starting search for hidden objects.
The driver could not be initialized.
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'SDMCP.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
14 processes with 14 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
Master boot sector HD1
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD2
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD3
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD4
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] In the drive 'F:\' no data medium is inserted!
Boot sector 'G:\'
[NOTE] In the drive 'G:\' no data medium is inserted!
Boot sector 'H:\'
[NOTE] In the drive 'H:\' no data medium is inserted!
Boot sector 'I:\'
[NOTE] In the drive 'I:\' no data medium is inserted!
Starting to scan the registry.
The registry was scanned ( '20' files ).
Starting the file scan:
Begin scan in 'C:\' <HDD>
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <DATA>
Begin scan in 'E:\'
Search path E:\ could not be opened!
Le périphérique n'est pas prêt.
Begin scan in 'F:\'
Search path F:\ could not be opened!
Le périphérique n'est pas prêt.
Begin scan in 'G:\'
Search path G:\ could not be opened!
Le périphérique n'est pas prêt.
Begin scan in 'H:\'
Search path H:\ could not be opened!
Le périphérique n'est pas prêt.
Begin scan in 'I:\'
Search path I:\ could not be opened!
Le périphérique n'est pas prêt.
End of the scan: samedi 11 août 2007 22:01
Used time: 2:23:51 min
The scan has been done completely.
12427 Scanning directories
430158 Files were scanned
0 viruses and/or unwanted programs were found
0 classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
430158 Files not concerned
9217 Archives were scanned
1 Warnings
1 Notes
0 Hidden objects were found
Tous ces " WARNING" c'est pas préoccupant ? que je peux être angoissé...Sans vous, je serai désespéré, ce ne sont pas de vains mots.
Marsh Posté le 11-08-2007 à 23:06:47
libmsns.dll Est bien une partie du worm IRCBot :
http://www.sophos.com/security/ana [...] botxg.html
(Onglet "Advanced" )
-----
Tu as bien utilisé KillBox. Mais ce n'est pas la peine en mode sans échec.
Le dernier rapport BitDefender est un scan complet ?
Message édité par acrobaze le 12-08-2007 à 09:47:27
---------------
Safety mod HERE.
Marsh Posté le 12-08-2007 à 00:49:15
Les 2 rapports, Antivir, celui de ma réponse précédant la tienne et celui de Bitdefender sont des scans complets oui.
Je voulais ajouter, Acrobaze, que je viens de scruter le scan, en mode sans échec de AVG Antispyware, et à la section C:\WINDOWS\system32\ je n'ai pas retrouvé la suite problématique " libmsns.dll ", ce qui pourrait dire que Killbox l'a éradiqué. Je vais re-contrôler avec Spybot et Adaware si l'entrée en question C:\....libmsns.dll figure toujours.
Dois-je supprimer quelque chose dans la base de registres ? Je le crains d'après l'article que tu as posté gentiment, un petit coup de Faith No More et j'essaie !
Bonne nuit à toi et à Ogaby, et dites moi demain si mes rapports d'anti-virus et d' HIJACK vous semblent inquiétants, s'il vous plaît. En vous exprimant à nouveau toute ma gratitude.
Message édité par boubouleon le 12-08-2007 à 00:57:34
Marsh Posté le 12-08-2007 à 02:18:13
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
printers
{BED56B71-F844-4A27-82A5-56AF62D49FF4}
The file libmsns.dll is registered as a COM object, creating registry entries under:
HKCR\CLSID\{BED56B71-F844-4A27-82A5-56AF62D49FF4}
Je n'ai pas trouvé ces entrées dans la base de registre, entrées qui d'après ton article, Acrobaze indiquent la présence d' une partie du worm IRCBot :
Est-ce que j'ai bien fait de regarder dans la base ? dois-je recommencer ?
Marsh Posté le 12-08-2007 à 09:44:32
Si tu ne l'as pas trouvée, c'est tant mieux. Et si BitDefender ne trouve plus rien, c'est tant mieux aussi.
Juste pour vérifier (C'est un outil contre IRCBot) :
Télécharge SDFix sur ton bureau.
Redémarre ne mode sans échec.
Double clique SDFix.exe et décompresse-le dans son propre dossier.
Va dans ce dossier et double-clique RunThis.bat
Tape Y pour démarrer le script.
Il va te demander de redémarrer. Tape "any key" : n'importe quelle touche.
Le redémarrage sera très lent : c'est normal.
Lorsqu'il a terminé, tape de nouveau n'importe quelle touche.
Va dans son dossier et copie/colle Report.txt.
Message édité par acrobaze le 12-08-2007 à 09:47:55
---------------
Safety mod HERE.
Marsh Posté le 12-08-2007 à 12:00:07
Bonjour Acrobaze
Tout d'abord j'espère que tu vas bien.
Merci pour l'outil SDFix.exe, je l'ai éxécuté, avec un peu de mal, mais je crois que le Report.txt donne ceci : c'est très long et rébarbatif à lire, et dire que vous en parcourez comme ça des dizaines de dizaines par jour.
Bref, voilà ce que j'obtiens :
SDFix: Version 1.97
Run by on 12/08/2007 at 11:23
Microsoft Windows XP [version 5.1.2600]
Running From: D:\DOCUME~1\JOSHEN~1.111\Bureau\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
D:\Documents and Settings\111526690313\aria.txt - Deleted
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%ProgramFiles%\\AOL 9.0\\aol.exe"="%ProgramFiles%\\AOL 9.0\\aol.exe:*:Enabled:AOL"
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"="%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe:*:Enabled:SPLINTER CELL PANDORA"
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"="%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe:*:Enabled:PANDORA"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\APPS\\Inventime\\my.exe"="C:\\APPS\\Inventime\\my.exe:*:Enabled:INVENTIME"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"C:\\Program Files\\AOL 9.0a\\waol.exe"="C:\\Program Files\\AOL 9.0a\\waol.exe:*:Enabled:AOL 9.0a"
"C:\\Program Files\\AOL 9.0b\\waol.exe"="C:\\Program Files\\AOL 9.0b\\waol.exe:*:Enabled:AOL 9.0b"
"C:\\Program Files\\AOL 9.0d\\waol.exe"="C:\\Program Files\\AOL 9.0d\\waol.exe:*:Enabled:AOL 9.0d"
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe:*:Enabled:AOL"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Cobian Backup 7\\CobBU.exe"="C:\\Program Files\\Cobian Backup 7\\CobBU.exe:*:Enabled:Cobian Backup 7 Application"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Disabled:RealPlayer"
"D:\\StubInstaller.exe"="D:\\StubInstaller.exe:*:Enabled:LimeWire swarmed installer"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\WINDOWS\\system32\\mcoinstall.exe"="C:\\WINDOWS\\system32\\mcoinstall.exe:*:Enabled:mcoinstall"
"C:\\Program Files\\Mercora\\MercoraClient.exe"="C:\\Program Files\\Mercora\\MercoraClient.exe:*:Enabled:Mercora IM Radio Client 5.1"
"C:\\Program Files\\Last.fm\\LastFM.exe"="C:\\Program Files\\Last.fm\\LastFM.exe:*:Enabled:LastFM"
"C:\\APPS\\skype\\phone\\Skype.exe"="C:\\APPS\\skype\\phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\Fichiers communs\\AOL\\Loader\\aolload.exe"="C:\\Program Files\\Fichiers communs\\AOL\\Loader\\aolload.exe:*:Enabled:AOL Loader"
"C:\\Program Files\\Fichiers communs\\AOL\\1140103288\\ee\\aolsoftware.exe"="C:\\Program Files\\Fichiers communs\\AOL\\1140103288\\ee\\aolsoftware.exe:*:Enabled:AOL Services"
"C:\\Program Files\\Fichiers communs\\AOL\\1140103288\\ee\\aim6.exe"="C:\\Program Files\\Fichiers communs\\AOL\\1140103288\\ee\\aim6.exe:*:Enabled:AIM"
"C:\\Program Files\\eDonkey2000\\edonkey2000.exe"="C:\\Program Files\\eDonkey2000\\edonkey2000.exe:*:Disabled:edonkey2000"
"C:\\Program Files\\Cobian Backup 7\\cobui.exe"="C:\\Pro"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Fichiers communs\\AOL\\1140103288\\ee\\AOLServiceHost.exe"="C:\\Program Files\\Fichiers communs\\AOL\\1140103288\\ee\\AOLServiceHost.exe:*:Enabled:AOL Services"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"C:\\Program Files\\AOL 9.0a\\waol.exe"="C:\\Program Files\\AOL 9.0a\\waol.exe:*:Enabled:AOL 9.0a"
"C:\\Program Files\\AOL 9.0b\\waol.exe"="C:\\Program Files\\AOL 9.0b\\waol.exe:*:Enabled:AOL 9.0b"
"C:\\Program Files\\AOL 9.0d\\waol.exe"="C:\\Program Files\\AOL 9.0d\\waol.exe:*:Enabled:AOL 9.0d"
"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe:*:Enabled:AOL"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
Remaining Files:
---------------
Backups Folder: - D:\DOCUME~1\JOSHEN~1.111\Bureau\SDFix\backups\backups.zip
Files with Hidden Attributes:
C:\Program Files\AOL 9.0d\aolphx.exe
C:\Program Files\AOL 9.0d\aoltray.exe
C:\Program Files\AOL 9.0d\RBM.exe
C:\WINDOWS\SoftwareDistribution\Download\93a233c2dff315e0408559775486f5b2\BIT637.tmp
Finished
Je vais rescanner avec un antivirus en ligne et poster, je m'en excuse les résultats.
Bon appétit et à tout à l'heure, et bravo pour votre dévouement et philanthropie !
N.B : il y a des smileys qui sont apparus après relecture, j'espère que ce n'est pas encore le signe d'une infection, jje les supprime du corps du rapport ci-dessus ?
Nouvel élément : je viens d'essayer par deux fois un scan sous BitDefender et presque à la fin de ceux-ci un message d'erreur prévenant que I.E 7 doit fermer. Je clique sur la section "plus d'infos du message d'erreur " et il est écrit que sur l'un des disques un "fichier " ou " une entrée " D:\DOCUME~1\.....~1 111\LOCALS~1\Temp\f282-appcompat.txt poserait problème ?
qu'est-ce -que c'est encore que cela ? Je vous harcèle, je vous demande pardon, je ne sais plus que faire, nouveau HIJACK.THIS, re-tentative de Bit-Defender ou autre anti-virus en ligne, mon propre anti-virus ? D'ailleurs, faut-il désactiver son anti-virus lorsque l'on recourt à un anti-virus en ligne ?
Message édité par boubouleon le 12-08-2007 à 14:20:15
Marsh Posté le 12-08-2007 à 15:26:15
Sur le site de sophos, tu vois qu'il y a 3 fichiers à effacer:
aria.txt (effacé avec sdfix)
libmsns.dll (effacé avec killbox)
msninet.exe (effacé avec bitdefender)
Tu n'as pas vu les clés dans la base de registres donc maintenant ca doit être bon.
Tu peux effacer tes fichiers temporaires et relancer bitdefender. Il est par contre inutile de poster les logs. Tu peux regarder par toi même si il a détecté quelque chose ou non.
Message édité par ogaby le 12-08-2007 à 15:26:27
Marsh Posté le 12-08-2007 à 15:49:22
J'ai effacé les fichiers temporaires une première fois avec Cleanup 40, mais la boite de dialogue de message d'erreur survenait encore, à la presque toute fin de l'analyse par Bitdefender.
Chèr(e) Ogaby, lorsque tu dis que j'ai effacé aria.txt (effacé avec sdfix)
libmsns.dll (effacé avec killbox)
msninet.exe (effacé avec bitdefender), c'est bien ce que tu constates en lisant les rapports précédents que j'ai posté ?
Dans ma base de registre pour "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
printers
{BED56B71-F844-4A27-82A5-56AF62D49FF4}" je n'ai rien de correspondant, mais je me demande si la valeur que je vois " (Par défaut " ) REG_SZ (valeur non définie ) est suspecte ou pas ?
Même chose pour la clé de registre concernant "libmsns.dll" :
HKCR\CLSID\{BED56B71-F844-4A27-82A5-56AF62D49FF4}, j'ai la même indication dans le volet de droite : "(Par défut ) REG_SZ (valeur non définie ), est-ce aussi suspect comme code ?
Message édité par boubouleon le 12-08-2007 à 16:25:26
Sujets relatifs:
- [Windows Server 2003] Gravure tres lente
- Virusprotectpro: add in ou virus? Comment le désinstaller.
- p3D8WxNe.exe , est-ce un virus?
- Mon PC ( neuf) se connecte à internet tres lentement
- Virus ?
- Virus "Numeroteur" comment désinfecter ??
- Virus qui reviennent a répétition, même aprés supression...
- swdsvc.exe = spyware doctor ou virus?
- Partition trés problématique ?
- Xp: mode normale instable suite à un virus.
Marsh Posté le 08-08-2007 à 19:57:21
Bonsoir à tous les forumeurs,
J'ai été victime d'un virus sur MSN.
J'ai lancé une analyse en ligne avec bit-defender dont voici les résultats, pourriez-vous me donner la marche à suivre et poursuivre pour éliminer ce qui semble être le virus " Backdoor.IRCBot.ABEU '"
Résultats :
BitDefender Online Scanner
Rapport d'analyse généré à: Wed, Aug 08, 2007 - 19:15:35
Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;I:\;
Statistiques
Temps
00:50:12
Fichiers
395565
Directoires
12924
Secteurs de boot
4
Archives
8300
Paquets programmes
14785
Résultats
Virus identifiés
2
Fichiers infectés
29
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
28
Info sur les moteurs
Définition virus
690254
Version des moteurs
AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)
Analyse des plugins
14
Archive des plugins
38
Unpack des plugins
6
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
*;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut
C:\APPS\DOC\SETUP\INSTINFO.EXE
Infecté par: Trojan.Patched.T
C:\APPS\DOC\SETUP\INSTINFO.EXE
Echec de la désinfection
C:\APPS\DOC\SETUP\INSTINFO.EXE
Supprimé
C:\WINDOWS\album11.zip=>album11.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\album11.zip=>album11.scr
Supprimé
C:\WINDOWS\album11.zip
Mis à jour
C:\WINDOWS\album38.zip=>album38.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\album38.zip=>album38.scr
Supprimé
C:\WINDOWS\album38.zip
Mis à jour
C:\WINDOWS\album47.zip=>album47.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\album47.zip=>album47.scr
Supprimé
C:\WINDOWS\album47.zip
Mis à jour
C:\WINDOWS\album50.zip=>album50.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\album50.zip=>album50.scr
Supprimé
C:\WINDOWS\album50.zip
Mis à jour
C:\WINDOWS\album53.zip=>album53.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\album53.zip=>album53.scr
Supprimé
C:\WINDOWS\album53.zip
Mis à jour
C:\WINDOWS\album71.zip=>album71.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\album71.zip=>album71.scr
Supprimé
C:\WINDOWS\album71.zip
Mis à jour
C:\WINDOWS\images00.zip=>images00.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\images00.zip=>images00.scr
Supprimé
C:\WINDOWS\images00.zip
Mis à jour
C:\WINDOWS\images021.zip=>images021.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\images021.zip=>images021.scr
Supprimé
C:\WINDOWS\images021.zip
Mis à jour
C:\WINDOWS\images03.zip=>images03.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\images03.zip=>images03.scr
Supprimé
C:\WINDOWS\images03.zip
Mis à jour
C:\WINDOWS\images036.zip=>images036.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\images036.zip=>images036.scr
Supprimé
C:\WINDOWS\images036.zip
Mis à jour
C:\WINDOWS\itsME19.zip=>itsME19.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\itsME19.zip=>itsME19.scr
Supprimé
C:\WINDOWS\itsME19.zip
Mis à jour
C:\WINDOWS\itsME25.zip=>itsME25.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\itsME25.zip=>itsME25.scr
Supprimé
C:\WINDOWS\itsME25.zip
Mis à jour
C:\WINDOWS\itsME94.zip=>itsME94.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\itsME94.zip=>itsME94.scr
Supprimé
C:\WINDOWS\itsME94.zip
Mis à jour
C:\WINDOWS\photo33.zip=>photo33.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\photo33.zip=>photo33.scr
Supprimé
C:\WINDOWS\photo33.zip
Mis à jour
C:\WINDOWS\photo6.zip=>photo6.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\photo6.zip=>photo6.scr
Supprimé
C:\WINDOWS\photo6.zip
Mis à jour
C:\WINDOWS\photo63.zip=>photo63.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\photo63.zip=>photo63.scr
Supprimé
C:\WINDOWS\photo63.zip
Mis à jour
C:\WINDOWS\photos034.zip=>photos034.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\photos034.zip=>photos034.scr
Supprimé
C:\WINDOWS\photos034.zip
Mis à jour
C:\WINDOWS\system32\libmsns.dll
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\system32\libmsns.dll
Echec de la désinfection
C:\WINDOWS\system32\libmsns.dll
Echec de la suppression
C:\WINDOWS\system32\msninet.exe
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\system32\msninet.exe
Supprimé
C:\WINDOWS\webcam-photos023.zip=>webcam-photos023.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\webcam-photos023.zip=>webcam-photos023.scr
Supprimé
C:\WINDOWS\webcam-photos023.zip
Mis à jour
C:\WINDOWS\webcam-photos026.zip=>webcam-photos026.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\webcam-photos026.zip=>webcam-photos026.scr
Supprimé
C:\WINDOWS\webcam-photos026.zip
Mis à jour
C:\WINDOWS\webcam-photos032.zip=>webcam-photos032.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\webcam-photos032.zip=>webcam-photos032.scr
Supprimé
C:\WINDOWS\webcam-photos032.zip
Mis à jour
C:\WINDOWS\webcam-photos035.zip=>webcam-photos035.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\webcam-photos035.zip=>webcam-photos035.scr
Supprimé
C:\WINDOWS\webcam-photos035.zip
Mis à jour
C:\WINDOWS\webcam-photos038.zip=>webcam-photos038.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\webcam-photos038.zip=>webcam-photos038.scr
Supprimé
C:\WINDOWS\webcam-photos038.zip
Mis à jour
C:\WINDOWS\webcam-photos05.zip=>webcam-photos05.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\webcam-photos05.zip=>webcam-photos05.scr
Supprimé
C:\WINDOWS\webcam-photos05.zip
Mis à jour
C:\WINDOWS\webcam-photos056.zip=>webcam-photos056.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\webcam-photos056.zip=>webcam-photos056.scr
Supprimé
C:\WINDOWS\webcam-photos056.zip
Mis à jour
C:\WINDOWS\webcam-photos080.zip=>webcam-photos080.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\webcam-photos080.zip=>webcam-photos080.scr
Supprimé
C:\WINDOWS\webcam-photos080.zip
Mis à jour
C:\WINDOWS\webcam-photos098.zip=>webcam-photos098.scr
Infecté par: Backdoor.IRCBot.ABEU
C:\WINDOWS\webcam-photos098.zip=>webcam-photos098.scr
Supprimé
C:\WINDOWS\webcam-photos098.zip
Mis à jour
En vous remerciant INFINIMENT, je me sens submergé et suis complètement affolé.