virus sur msn besoin d'aide svpFermé

Question

Bonjour à vous mes camarades, je me suis chope un virus qui harcèle mes contacts avec un automessage, j'ai passe mon pc au scan , avec avg antirootkit, et MBAM, mais il est bien logé, puisque je n'arrive pas à m'en défaire.....  

pourriez vous m'aider s'il vous plait...  

voici le message suspect :  
regardez cette photo :D https://tinyurl.com/nospam.php?id=facebook-id48634524jpg  

"hxxp//tinyurl.com/facebook-id48634524jpg"  

Configuration: Windows XP / Firefox 3.5.4

Edit : édition lien.

voici mon log hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:44:19, on 20/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\msnmls.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hercules\Deluxe Optical Glass\Camservice.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
c:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Avira\AntiVir Desktop\avscan.exe
C:\monjack\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2567681
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France	bMess.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\msnmls.exe,
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France	bMess.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France	bMess.dll
O4 - HKLM\..\Run: [CamserviceDeluxe2] C:\Program Files\Hercules\Deluxe Optical Glass\Camservice.exe /startup
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "c:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "c:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

okay · Answer

Salut, télécharge : A-SQUARED FREE 

fais la mise à jour et un scan en détails

tu mets tout se qu'il trouve en quarantaine

commentcamarcheeay · Answer

Bonjour,

As tu essayé de désinstaller et réinstaller msn? Ça a marché pour certains de mes amis.

Polpot · Answer

merci okay, j'essaye ça tout de suite, je tiens a préciser que j'ai scanne le pc avec avira=rien, Mbam=1trojan, avg antirootkit=rien, spybot plein de véroles... j'ai nettoyé et refait un scan spybot, plus rien.... 

commentçamarcheeay, oui je l'ai désinstallé et réinstallé 3 fois, mais rien n'y fait.. msn fonctionne correctement 8 à 10 minutes, mais re-balance sa vérole à tous mes contacts en ligne. 
En attendant, j'ai installe amsn, mais c'est pas le top....d'autant que je conserve une vermine quelque part bien planquée dans mon pc. 

merci de votre aide....

PS : a-squared free peut pas nettoyer il demande une clé... c'est pas cool...

okay · Answer

Re-Salut, prends la version Free, 

https://www.commentcamarche.net/telecharger/securite/8995-emsisoft-anti-malware/

Polpot · Answer

oui, désolé okay, il y a eu une fausse manipulation, en fait je décontamine le pc d'un pote a distance, il a pas téléchargé le bon logiciel ;-(

okay · Answer

Dacodac, demande lui les versions de ses logiciels, 

et surtout, de ne pas oublier de faire la mises à jour avant le scan de A-SQUARED FREE(important)

Polpot · Answer

Okay, 

Tous ses logiciels sont à jour, j'ai effectue une mise a jour avant d'effectuer des scans... j' étais chez lui cet après midi.
A²free, est à jour, et est en train de scanner, je pense qu'il va y en avoir pour une heure, il a déjà trouve quelques petites contaminations..
( en ce moment, je lui fais ses manipulations à distance... )
encore merci..

okay · Answer

dacodac, 

télécharge : https://www.commentcamarche.net/telecharger/securite/19879-secunia-personal-software-inspector/

mets le en mode avancer et fais un scan, stp

Polpot · Answer

Je le laisse finir le scan de A²free avant ?? 
Pour le moment, il a trouve 6 infections moyennes...
trace.directory.virus.keeper.pro-A2
trace.tracking.cookie.bs.serving.sys!a2
trace.tracking.cookie.serving.sys!a2
trace.trackingCookie.www.googleadservices.com!a2

okay · Answer

Oui, fini le scan, tu mettras en quarantaine, 

ensuite tu fais: Secunia

Polpot · Answer

c'est bon j'ai fait le scan , comment je fais pour te faire un rapport ??

okay · Answer

Tu fais un copier/coller  

clic droit/tout copier et ici coller

Polpot · Answer

de quelle page ?? vulnerables ??

okay · Answer

Je te parle du rapport de A-SQUARED FREE 

le scan est fini? 

tu as tout mis en quarantaine?

Polpot · Answer

oui, j'ai tout mis en quarantaine mon camarade...

Version - a-squared Free 4.5
Dernière mise à jour : 20/04/2010 20:11:39

Paramètres des balayages :

Type de balayage : Scan en Détail
Objets : Mémoire, Traces, Cookies, C:\
Balayage dans les archives : Marche
Analyse heuristique : Arrêt
Balayage dans les ADS : Marche

Début du balayage :	20/04/2010 20:13:42

c:\program files\axbx 	Objets détectés : Trace.Directory.VirusKeeper 2009 Pro!A2
C:\Documents and Settings\alain\Cookies\alain@bs.serving-sys[2].txt 	Objets détectés : Trace.TrackingCookie.bs.serving-sys!A2
C:\Documents and Settings\alain\Cookies\alain@serving-sys[1].txt 	Objets détectés : Trace.TrackingCookie.serving-sys!A2
C:\Documents and Settings\alain\Cookies\alain@serving-sys[2].txt 	Objets détectés : Trace.TrackingCookie.serving-sys!A2
C:\Documents and Settings\alain\Application Data\Mozilla\Firefox\Profiles\xj4yhup0.default\cookies.sqlite:1271779386359000 	Objets détectés : Trace.TrackingCookie.www.googleadservices.com!A2
C:\Documents and Settings\alain\Application Data\Mozilla\Firefox\Profiles\xj4yhup0.default\cookies.sqlite:1271784602281000 	Objets détectés : Trace.TrackingCookie.www.googleadservices.com!A2

Analysé

Fichiers : 	48271
Traces : 	672624
Cookies : 	167
Processus : 	39

Objets trouvés

Fichiers : 	0
Traces : 	1
Cookies : 	5
Processus : 	0
Clés de Registre : 	0

Fin du balayage :	20/04/2010 21:05:40
Temps du balayage :	0:51:58

C:\Documents and Settings\alain\Application Data\Mozilla\Firefox\Profiles\xj4yhup0.default\cookies.sqlite:1271779386359000	En Quarantaine Trace.TrackingCookie.www.googleadservices.com!A2
C:\Documents and Settings\alain\Application Data\Mozilla\Firefox\Profiles\xj4yhup0.default\cookies.sqlite:1271784602281000	En Quarantaine Trace.TrackingCookie.www.googleadservices.com!A2
C:\Documents and Settings\alain\Cookies\alain@serving-sys[1].txt	En Quarantaine Trace.TrackingCookie.serving-sys!A2
C:\Documents and Settings\alain\Cookies\alain@serving-sys[2].txt	En Quarantaine Trace.TrackingCookie.serving-sys!A2
C:\Documents and Settings\alain\Cookies\alain@bs.serving-sys[2].txt	En Quarantaine Trace.TrackingCookie.bs.serving-sys!A2
c:\program files\axbx	En Quarantaine Trace.Directory.VirusKeeper 2009 Pro!A2

En Quarantaine

Fichiers : 	0
Traces : 	1
Cookies : 	5

okay · Answer

Tu as quel version de Malwarbyte's ??

Polpot · Answer

j'étais en 4011, maintenant je suis en 4013.. je viens de refaire une mise à jour

okay · Answer

Regarde dans : à propos, normalement, tu as là version: 1.45

c'est sà?

Polpot · Answer

oui c'est bien ça..

okay · Answer

Le trojan, que t'a trouver Malwarbyte's, 

il s'appelle comment? 

car apparament, tu n'as plus rien, 

tu as fais: Secunia?

Polpot · Answer

attends je vais regarder je dois avoir un fichier journal....
Fichier(s) infecté(s):
C:\Documents and Settings\alain\Mes documents\Téléchargements\photo180410-jpg-www-facebook-com.scr (Trojan.Agent) -> Quarantined and deleted successfully.

Polpot · Answer

oui j'ai fait secunia, j'ai mis les correctifs de flash player de adobe reader etc....

okay · Answer

Dacodac,

fais ceci: Telecharge >>> Ccleaner <<< (si tu la deja passe directement au chiffre 1) ..
--> Noublie pas de decocher installer yahou toolbar...
1-> Une fois installer..Lance le et va dans l'onglet option...Qui se trouve a gauche..puis sur avancé et decoche la case effacer uniquement les fichiers temporaires de windows datant de plus de 24h
--> Retourne dans l'onglet nettoyeur...
--> commence par cliquer en bas sur analyse..une fois l'analise terminer..clique sur netoyer...

--> une fois que tu a fini le netoyage.. va dans l'onglet registre...
--> commence par cliquer sur chercher les erreur...
--> une fois quil a terminer de rechercher les erreur..Clique sur corriger les erreur selectionnees..il te demandera si tu veux faire une sauvegarde..noublie surtout pas de confirmer sur oui..et d'installer la sauvegarde la ou tu t'en souviendra.
Car il se peu que tu ai quelque probleme avec certain logiciel d'ou la sauvegarde pour restaurer ton registre..

polpot · Answer

voilà okay,
 j'ai fait tout ce que tu m'as demande...

okay · Answer

Okay, Je pense que tu n'as plus d'infections sur ton ordi,  

Bon Surf et Bonne Soirée

kalimusic · Answer

Bonsoir à tous,

Okay, Je pense que tu n'as plus d'infections sur ton ordi, ?????? Aucune des infections présentes sur le rapport hijackThis n'ont été traitées !

polpot,
Nous allons d'abord utiliser cet outil de diagnostic plus complet que HJT afin d'identifier les problèmes de ta machine.
 
Télécharge  random's system information tool (RSIT)  (de Random/Random) sur le bureau.

 !! Ferme toutes tes applications en cours !! 

    * Lance RSIT en double cliquant sur son icône
    * La fenêtre de Disclaimer apparait : clique sur "Continue" (laisse par défaut 1 month)
    * Si HijackThis n'est pas présent, pas à jour ou non détecté sur l'ordinateur, il sera téléchargé : Tu dois l'autoriser et accepter la licence.
    * Après le balayage, 2 rapports vont s'ouvrir au format bloc-note : log.txt (qui sera affiché) ainsi que de info.txt (réduit dans la barre des tâches)
    * Copie-colle les rapports dans ton prochain message 

Si les rapports ne s'ouvrent pas spontanément ils se trouvent dans le répertoire suivant : C:\rsit\

Pour me les transmettre tu peux te rendre sur ce site http://www.cijoint.fr/  , tu cliques sur parcourir et tu sélectionnes le premier rapport, tu coches "Rendre public le fichier" et ensuite tu cliques sur "Cliquez ici pour déposer le fichier", il va te donner un lien de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt  que tu copies/colles dans ton message. idem pour le 2nd rapport.  

A +

Polpot · Answer

merci de ton aide Okay, 

Je vais maintenant essayer de réinstaller WLM, et je mettrais un dernier post, pour clôturer le topic, si il n'envoie plus de saloperies à mes contacts...

encore un grand merci à toi...

polpot · Answer

Kalimusic,

après redémarrage et installation des correctifs de logiciels, et de windows, dont Ie8, l' outil de suppression des logiciels malveillants de windows, m'indique qu'il y a des logiciels malveillants, mais qu'il ne parvient pas a les effacer !!

http://www.cijoint.fr/cjlink.php?file=cj201004/cijvf2P4RD.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijmiv7Lfb.txt

kalimusic · Answer

polpot,

Durant la désinfection, il est préférable de ne pas :

1. Ajouter de programmes à ton PC
2. Utiliser d'outil de désinfection de ta propre initiative
3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours

Il est préférable de terminer la procédure même si ton PC semble aller mieux.

N'hésite pas à me faire part d'éventuelles difficultés dans les manipulations démandées.

****

Pendant la durée de la procédure, tu dois désactiver le module Tea Timer de Spybot S&D sous peine de faire échouer la désinfection.
https://www.commentcamarche.net/telecharger/securite/20939-spybot-search-and-destroy/

****

1. Désinstalle Avanquest_FR Toolbar

Les toolbars c'est pas obligatoire! 

2. Télécharge OTM  (de Old_Timer) sur le bureau

    * Lance l'outil en faisant un double clic sur l'icône OTM
    * La fenêtre principale de l'outil s'ouvre :
    * Copie la liste en citation ci-dessous et colle-la dans le cadre "Paste instructions for Items to be Moved"

:Files
C:\a.txt 
C:\WINDOWS\msnmls.exe 
C:\Documents and Settings\alain\Mes documents\Téléchargements\photo180410-jpg-www-facebook-com.scr

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6ec85fcf-87ad-41d7-ae1f-f116f8ad4848}] 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] 
"C:\Documents and Settings\alain\Mes documents\Téléchargements\photo180410-jpg-www-facebook-com.scr"=-

:Commands
[emptytemp]
    * Clique sur MoveIt ! pour lancer la suppression
    * A la fin du processus le PC va redémarrer
    * Poste le rapport dans qui se trouve dans le répertoire suivant C:\_OTM\MovedFile

A +

polpot · Answer

Kalimusic, 

j'ai effectue les operations demandees mon camarade...

voilà le rapport :

All processes killed
========== FILES ==========
C:\a.txt moved successfully.
C:\WINDOWS\msnmls.exe moved successfully.
File/Folder C:\Documents and Settings\alain\Mes documents\Téléchargements\photo180410-jpg-www-facebook-com.scr not found.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit"|"C:\WINDOWS\system32\userinit.exe," /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6ec85fcf-87ad-41d7-ae1f-f116f8ad4848}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6ec85fcf-87ad-41d7-ae1f-f116f8ad4848}\ not found.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\C:\Documents and Settings\alain\Mes documents\Téléchargements\photo180410-jpg-www-facebook-com.scr deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: alain
->Temp folder emptied: 463739 bytes
->Temporary Internet Files folder emptied: 3813041 bytes
->FireFox cache emptied: 42084468 bytes
->Flash cache emptied: 550 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 49152 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 4703590 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 21348119 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 13008738 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 1749 bytes
 
Total Files Cleaned = 82,00 mb
 
 
OTM by OldTimer - Version 3.1.10.2 log created on 04202010_235417

Files moved on Reboot...
File C:\Documents and Settings\NetworkService\Local Settings\Temp\Perflib_Perfdata_17c.dat not found!

Registry entries deleted on Reboot...

kalimusic · Answer

polpot,

1. Supprime ce dossier écrit en gras si présent C:\Program Files\Conduit     

2. Exécute HijackThis (ce logiciel a été installé par l'outil de diagnostic rsit, tu peux le retrouver ici : C:\Program Files\Trend Micro)

    * Dans la fenêtre principale "Main Menu" clique sur le bouton "None of the above, just start the program"
    * Clique sur le bouton Scan (dans le sous-menu Scan & fix stuff)
    * Après le balayage, coche les cases des lignes indiquées si toujours présentes : 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2500339 
R3 - URLSearchHook: Avanquest FR Toolbar - {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files\Avanquest_FR	bAvan.dll     
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\msnmls.exe,     
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: Avanquest FR Toolbar - {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files\Avanquest_FR	bAvan.dll     
O3 - Toolbar: Avanquest FR Toolbar - {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files\Avanquest_FR	bAvan.dll     
    * ! Ferme toutes les applications en cours et surtout le navigateur Internet !
    * Clique ensuite sur le bouton Fix checked (dans le sous-menu Scan & fix stuff)
    * Répond "Oui" dans la fenêtre d'avertissement, referme le programme après la suppression. 

3. Effectue un scan en ligne en suivant ce tutoriel :
https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky
Utilise le lien alternatif de téléchargement et sauvegarde le rapport au format texte que tu hébergeras ici : http://www.cijoint.fr/

4. Comment se comporte le PC maintenant ?

A demain

polpot · Answer

Kalimusic,

alors, j'ai fait les modifs demandees avec >Hijackthis, mon pc va beaucoup mieux,j'effectuerais le scan en ligne demain , et aussitôt fini, je posterais le rapport.

Merci à vous et surtout merci pour les contacts que je ne contaminerais pas !!

Pour le moment messenger tient le choc, et n'envoie plus de virus...

A demain

voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:33:08, on 21/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Hercules\Deluxe Optical Glass\Camservice.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Secunia\PSI\psi.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\TeamViewer\Version5\TeamViewer.exe
C:\Program Files	rend micro\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bing.com/spresults.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [CamserviceDeluxe2] C:\Program Files\Hercules\Deluxe Optical Glass\Camservice.exe /startup
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: aMSN.lnk = C:\Program Files\aMSN\amsn.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: aMSN.lnk = C:\Program Files\aMSN\amsn.exe (User 'Default user')
O4 - .DEFAULT Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe (User 'Default user')
O4 - Startup: aMSN.lnk = C:\Program Files\aMSN\amsn.exe
O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

polpot · Answer

bonjour Kalimusic,
voici le rapport kaspersky en ligne :
Juste une petite question, quels genre d'infos ce Trojen envoyait-il sur le serveur distant ??
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
 Wednesday, April 21, 2010
 Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
 Kaspersky Online Scanner version: 7.0.26.13
 Last database update: Wednesday, April 21, 2010 08:12:50
 Records in database: 3954751
--------------------------------------------------------------------------------

Scan settings:
	scan using the following database: extended
	Scan archives: yes
	Scan e-mail databases: yes

Scan area - My Computer:
	A:\
	C:\
	D:\
	E:\

Scan statistics:
	Objects scanned: 32879
	Threats found: 0
	Infected objects found: 0
	Suspicious objects found: 0
	Scan duration: 02:14:53

No threats found. Scanned area is clean.

Selected area has been scanned.

kalimusic · Answer

Bonjour polpot, 

Les rapports sont maintenant bons. 

Juste une petite question, quels genre d'infos ce Trojen envoyait-il sur le serveur  distant ??  exactement je ne peux pas te dire, en tout cas ton infection est décrite ici : https://www.symantec.com?md5=0a4b2fc0c64b1b82e8453d02a108eafe 

Je te conseille vivement de changer tous des mots de passe. 

**** 

1. On va désinstaller les outils utilisés car ils ne peuvent pas rester sur ton système.      

Télécharge Tools Cleaner (par A.Rothstein & dj QUIOU) sur le bureau et exécute le en double cliquant sur son icone.  

* Clique sur Recherche et laisse le scan se terminer      
* Clique ensuite sur Suppression      
* Clique sur Quitter, pour que le rapport puisse se créer      
* Poste le dans ton prochain message      

Le rapport (TCleaner.txt) se trouve à la racine du disque dur (C:\)      

Relance Tools cleaner  
Clique sur le bouton Pt Restauration, puis successivement sur OK dans les boites de dialogue pour créer un nouveau point de restauration du système.   
Supprime Tools cleaner ainsi que les autres outils restant sur le bureau  

2. Nous allons maintenant supprimer les anciens points de restauration pour finir le nettoyage.      

Clique sur Poste de travail, puis fait un clic droit sur le disque dur principal (en général C:/)  
    * Clique sur Propriétés  
Dans la fenêtre qui s'ouvre dans l'onglet général  
    * Clique sur Nettoyage de disque  
Une boîte de dialogue te demande de patienter le temps du calcul, une nouvelle fenêtre va s'ouvrir.  
    * Choisit le 2ème onglet Autres options puis l'item Restauration du système  
    * Valide la boîte de dialogue qui s'affiche en cliquant sur Oui  
    * Ferme ensuite la fenêtre Nettoyage de disque en cliquant sur OK   

A + pour la dernière étape       

   -- 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

Polpot · Answer

Kalimusic, 

Je te remercie vivement pour ton aide précieuse, et pour avoir débusqué ce fameux "msnmls.exe"
Et merci également à Okay, car son intervention m'a permis d' installer des correctifs de securite critiques sur des applications.

Je ne peux pas faire le nettoyage dans l' immédiat car je n'ai pas accès au pc distant de mon ami, mais dès que je rentre en contact avec lui j'effectue le nettoyage, et je poste le rapport que tu m'as demande.. 

Encore merci

kalimusic · Answer

Salut, 

Ok lu, ne néglige pas les dernières vérifications et conseils 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

Polpot · Answer

non , ne t'inquiète pas il est absent en ce moment, mais je suivrais tes conseils jusqu'au bout

Polpot · Answer

Kalimusic, bonjour

Voici le rapport de Tcleaner :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\_OTM: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\alain\Bureau\antivirus\OTM.exe: trouvé !
C:\Documents and Settings\alain\Mes documents\Téléchargements\Rsit.exe: trouvé !
C:\monjack\hijackthis.log: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\alain\Bureau\antivirus\OTM.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Documents and Settings\alain\Mes documents\Téléchargements\Rsit.exe: supprimé !
C:\monjack\hijackthis.log: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\_OTM: supprimé !
C:\Rsit: supprimé !

kalimusic · Answer

Bonjour polpot, 

Tu as créer le point de restauration et supprimer les anciens, tu peux supprimer Tools Cleaner 

1. Les logiciels de sécurité 

Tu peux garder Malwarebytes qui est un excellent logiciel anti-malware et t'en servir régulièrement pour un scan rapide sur ton PC sans oublier de le mettre à jour.  
Il remplaceras avantageusement les 2 anti-spywares présents sur ta machine. 
Spybot S&D a encore ses partisans, mais il est devenu au fil du temps de moins en moins intéressant. Il fut un excellent outil mais désormais il est dépassé par les nouvelles menaces. La fonction "tea timer" pèse sur le système et la vaccination a tendance à ralentir la navigation. 
Attention, ce logiciel a une désinstallation spécifique : https://jesses.pagesperso-orange.fr/Docs/Logiciels/SpybotAnnexe.htm   
Pour A-Squared, il trouve pas mal de faux positifs et des cookies pas bien méchants et il n'a pas été bien efficace dans ton cas ? A désinstaller aussi. 
infos : https://forum.malekal.com/viewtopic.php?t=8046&start= 

Pour l'antivirus :

Tu peux garder Antivir 
Tuto : http://www.libellules.ch/tuto_antivir.php 

2. Nettoyage  Windows  

Ccleaner 
Tuto : http://www.6ma.fr/tuto/ccleaner+v202-411 
Ce logiciel doit être utilisé régulièrement pour nettoyer les fichiers temporaires et les cookies. 


3. Mises à jour des logiciels présents sur ta machine

Télécharge et installe  JRE 6 Update 20 , normalement maintenant il supprimera les anciennes versions présentes si nécessaires, sinon tu peux le faire via Ajout/Suppression de Programme,  
Aide en images (merci Batch-man) : Installation/Mise à jour Java 

Vérifie si tes autres logiciels sont à jour sur  Sécunia 

    * Clique sur Start Scanner 
    * Une fois "Java applet" chargé, coche : 
      Enable thorough system inspection 
      Display only insecure programs 
    * Clique sur Start 

Patiente le scan peut être long ! Le résultat t'indiquera les logiciels à mettre à jour ainsi que les liens pour le faire. Les fois suivantes tu pourras juste faire Display only insecure programs pour te maintenir à jour. 


      4. Quelques règles simples : 

    * La multiplication des protections est une source de conflit et n'est pas plus efficace pour la sécurité :  1 seul anti-virus à jour, 1 seul pare-feu (celui de Windows peut suffire), 1 seul anti-spyware (une préférence pour Malwarebytes)  
    *  Ne pas surfer en droits administrateurs 
    * Tenir Windows et les autre logiciels sensibles à jour : Anti-Virus, Java, Adobe, etc.. 
    * Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant. Les télécharger dans la mesure du possible sur le site de l'éditeur. Éviter d'installer les diverses barres d'outils ou de recherches, etc....proposés lors de l'installation.  
    * Bannir les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....) 
    * Ne pas cliquer aveuglement sur des liens contenus dans les e-mails, les messageries instantanées, les réseaux sociaux, etc ...même si l'expéditeur est connu et à plus forte raison s'il est inconnu ou suspect. 
     * Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT, etc...)  


Je t'invite à lire ces différents articles, afin de surfer plus sereinement :

Prévention & Protection  

Les idées reçues en sécurité logicielle   

************************** 
  
N'oublies pas de me faire part d'éventuelles difficultés dans les dernières étapes. 
Si tout se passe bien clique ensuite sur résolu, merci. 



«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

Polpot · Answer

Merci pour tout....
vous pouvez marquer mon post comme résolu ( désolé, je n'y arrive pas..)

Bon courage, et bonne continuation.

kalimusic · Answer

Merci pour le retour, 

vous pouvez marquer mon post comme résolu ( désolé, je n'y arrive pas..)  c'est normal, pour pouvoir cliquer sur résolu, il faut être membre.
mon discours de fin comporte des copié/collé dont cette phrase.
le plus important c'est que tout roule sur le PC.
Bonne continuation à toi aussi.

Virus sur msn besoin d'aide svp

41 réponses

Discussions similaires

Newsletters