High-Tech Santé Médecine Droit-Finances

Auto-Entrepreneur

Comment faire ?

Rechercher : dans
Par :

CHEVAL DE TROIE VIA MSN

Dernière réponse le 6 oct 2007 à 12:28:03 Fanny64, le 6 oct 2007 à 10:23:41 
 Signaler ce message aux modérateurs

Bonjour,
mon ordinateur est infecté depuis deux jours par plusieurs chevaux de troie via msn.
J'ai regardé plusieurs conseils déjà postés et voici le rapport d'erreur établi via Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 10:12:19, on 06/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\Ati2evxx.exe
D:\Logiciels\iTunesHelper.exe
C:\Documents and Settings\Administrateur\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\Documents and Settings\Administrateur\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Skype\Phone\Phone\Skype.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\nts.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.icrfast.com/index.php?rvs=hompag
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 142.34.1.4:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\skew.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - (no file)
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Logiciels\iTunesHelper.exe"
O4 - HKLM\..\Run: [Network Translation Service] "c:\skew.exe" *
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Documents and Settings\Administrateur\Bureau\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Network Translation Service] "c:\skew.exe" *
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {001EE746-A1F9-460E-80AD-269E088D6A01} (Infotl Control) - http://site.ebrary.com/support/plugins/ebraryRdr.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://labuze64.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://intranet.k-buy.com/dwa7W.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - {FA6447E7-9383-4913-80B6-E20EEA3B579F} - (no file)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Documents and Settings\Administrateur\Bureau\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Network Translation Service (NTS) - Unknown owner - C:\WINDOWS\nts.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE

Merci par avance de votre aide!!!

Configuration: Windows XP professionnel
Internet Explorer 7.0

Meilleures réponses pour « CHEVAL DE TROIE VIA MSN » dans :
Virus/Ver MSN/WLM VoirACTION À MENER ! SUPPRIMER L'INFECTION. Vous avez reçu via vos conversations MSN/Windows Live Messenger un fichier ou un message accompagné d’un lien du style : "Album photo.zip" "t'es tres jolie sur cet tof..." "ta tof fait quoi...
Comment savoir si le compte MSN de quelqu'un est désactivé Voir
Introduction aux chevaux de Troie VoirLes chevaux de Troie On appelle « Cheval de Troie » (en anglais trojan horse) un programme informatique effectuant des opérations malicieuses à l'insu de l'utilisateur. Le nom « Cheval de Troie » provient d'une légende narrée dans l'Iliade (de...
Posez votre question Répondre

1

R2xUsss, le 6 oct 2007 à 10:29:58

Bonjour
Quel antivirus avez vous?

   
Répondre à R2xUsss

2

Fanny64, le 6 oct 2007 à 10:30:29

Bonjour,
ci-joint également le rapport d'erreur de l'anti virus AVG:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 09:49:33 06/10/2007

+ Résultat de l'analyse:



HKLM\SOFTWARE\msbb -> Adware.180Solutions : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-2382750585-2826650621-1664671890-500\Software\msbb -> Adware.180Solutions : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Wanadoo\Utilisateur1\Mes fichiers reçus\picts-8570.zip/img0794-www.photoshare.com -> Backdoor.IRCBot.aiu : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{FF12949A-8EF7-4672-BE74-A93E6FF260E5}\RP954\A0204057.exe -> Backdoor.IRCBot.aiu : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\picts-1672.zip/img0794-www.photoshare.com -> Backdoor.IRCBot.aiu : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\picts-3107.zip/img0794-www.photoshare.com -> Backdoor.IRCBot.aiu : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\picts-6398.zip/img0794-www.photoshare.com -> Backdoor.IRCBot.aiu : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\picts-9290.zip/img0794-www.photoshare.com -> Backdoor.IRCBot.aiu : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\picts-9768.zip/img0794-www.photoshare.com -> Backdoor.IRCBot.aiu : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\Downloaded Program Files\IberoDialerHTML.dll -> Dialer.IberoDial : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Administrateur\Application Data\iqodetki.exe -> Downloader.Swizzor.bd : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Administrateur\Application Data\eszxbdxg.exe -> Downloader.Swizzor.cw : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Administrateur\Application Data\hjbufkci.exe -> Downloader.Swizzor.cw : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Administrateur\Bureau\SetupInstRe.exe/Setup.exe -> Dropper.Agent.asf : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

Merci d'avance.

   
Répondre à Fanny64

3

^^Marie^^, le 6 oct 2007 à 10:31:29

Bonjour

Faudra avertir tes copains MSN, si eux aussi ont chopé le virus...

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip
Tuto
http://www.malekal.com/tutorial_MSNFix.php

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, exécutez l'option N.
--- Sauvegardez ce rapport puis faites un copier/coller de ce rapport sur le forum, ainsi qu'un nouveau scan HijackThis fait en mode normal.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.
Je suis entrée dans CCM, La cigarette dans une main,
Les Tongs dans l’autre main, Les ***** nus sous la chemise

   
Répondre à ^^Marie^^

4

R2xUsss, le 6 oct 2007 à 10:34:05

[cote]AVG Anti-Spyware - Rapport d'analyse [/cote]
un troyen n'a rien a voir avec un Adware ou tout autre spyware!
si tu es sur qu'il fait office d'antivirus tu peus dormir tranquilment parce que manifestement il dit que tout a été nettoyé

   
Répondre à R2xUsss

5

Fanny64, le 6 oct 2007 à 12:16:46

Bonjour,

ci-joint le rapport MSN.fix

MSNFix 1.537

C:\Documents and Settings\Administrateur\Bureau\MSNFix
Fix exécuté le 06/10/2007 - 10:40:38,78 By Administrateur
mode normal

************************ Recherche les fichiers présents

... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nts_000.tmp
... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nts3.tmp
... C:\WINDOWS\nts.exe

************************ MSNCHK ***** /!\ beta test /!\

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nts_000.tmp
.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nts3.tmp
/!\ ... C:\WINDOWS\nts.exe



************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


************************ Suppression des fichiers

/!\ ... C:\WINDOWS\nts.exe



************************ Fichiers suspects

Aucun Fichier trouvé


Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 06102007_10501594.zip

[color=#FF0000][b]==>[/b][/color] SVP merci d'envoyer le fichier 06102007_10501594.zip sur http://upload.changelog.fr


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

   
Répondre à Fanny64

6

 ^^Marie^^, le 6 oct 2007 à 12:28:03

Bonjour

Tu peux toujours répondre à la question ==> cheval de troie via msn#1
Merci
Je suis entrée dans CCM, La cigarette dans une main,
Les Tongs dans l’autre main, Les ***** nus sous la chemise

   
Répondre à ^^Marie^^
Posez votre question Répondre
Ils ont besoin de votre aide