rss
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
Statut : Non résolu

Virus msn lien youtube

Kentin, le mardi 3 juin 2008 à 20:51:02
Bonjour,
J'ai recu un virus par msn, me demandant d'ouvrir une video youtube
Et comme un c** je l'ai ouvert.
Après quelques heures de surf sur le web, je n'ai pas trouvé de solution donc je cri à l'aide
Apparemment le virus serait ehsched.exe situé dans C:/Windows/ehshed.exe

Que dois-je faire ?

Voici le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:25:58, on 03/06/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Acer\OrbiCam10\OrbiCam.exe
C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Common Files\microsoft shared\Works Shared\WkUFind.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe­
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\QUENTI~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Quentin HUGUET\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [AcerOrbicamRibbon] "C:\Program Files\Acer\OrbiCam10\OrbiCam.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Windows UDP Control Center] ehSched.exe
O4 - HKLM\..\Run: [MSN] scvhost.exe
O4 - HKLM\..\Run: [Nod32 Runtime] sysregi.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Nod32 Runtime] sysregi.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\EROProj.dll
O13 - Gopher Prefix:
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/VistaMSNPUpldfr-fr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9E2F35F-BBFC-4BB9-B35B-D014EFE9A452}: NameServer = 192.168.1.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Unknown owner - C:\Acer\Empowering Technology\admServ.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
End of file - 7820 bytes
Configuration: Windows Vista
Firefox 2.0.0.14
Répondre à Kentin  Signaler ce message aux modérateurs Aller au dernier message
52 réponses 123

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
jlpjlp, le mardi 3 juin 2008 à 21:15:38
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

_____________________


scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

_____________________

il faudra mettre ad aware a jour :
http://www.01net.com/...
_____________________

recolle un rapport hijackthis et dis tes soucis
   
Répondre à jlpjlp

2


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Kentin, le mardi 3 juin 2008 à 21:44:44
Ok merci du conseil

Cependant impossible de lancer l'application RunThis.bat en mode sans echec

La fenetre se ferme trop rapidement je n'ai pas le temps de taper "Y"

Blocage dans le protocole detaillé que tu m'a filé :s

Une solution ?
   
Répondre à Kentin

3


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
jlpjlp, le mardi 3 juin 2008 à 22:48:32
Télécharge MSNFix de Laurent
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.


envoyer le fichier [b] C:\DOCUME~1\florian\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr pour faire evoluer msnfix


___________________
scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php­

_____________________

il faudra mettre ad aware a jour :
http://www.01net.com/...
_____________________

recolle un rapport hijackthis et dis tes soucis
   
Répondre à jlpjlp

4


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
, le mercredi 4 juin 2008 à 00:51:32
O4 - HKLM\..\Run: [Windows UDP Control Center] ehSched.exe
O4 - HKLM\..\Run: [MSN] scvhost.exe
O4 - HKLM\..\Run: [Nod32 Runtime] sysregi.exe
O4 - HKLM\..\RunServices: [Nod32 Runtime] sysregi.exe

C'est beau 3 bots différents... Grand chelem :]
   
Répondre à

5


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Kentin, le mercredi 4 juin 2008 à 15:47:52
Le MSNFix ainsi que le SDFix ne peuvent s'éxecuter en mode sans echec chez moi :

La procédure du scan semble marcher cependant aucune progression n'a lieu et rien ne se passe malgré la fenetre

"scan................" qui apparait a l'ecran.

Cependant j'ai Lancer un scan MalwareByte's Anti-Malware et voici le rapport :

Malwarebytes' Anti-Malware 1.14
Version de la base de données: 818

03:27:55 04/06/2008
mbam-log-6-4-2008 (03-27-36).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 141912
Temps écoulé: 41 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSN (Backdoor.Bot) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\images.zip (Worm.NetSky) -> No action taken.
C:\Windows\sysutili.exe (Trojan.FakeAlert) -> No action taken.


Que me conseillez-vous ?

Car pour l'instant le virus ne s'est pas déclenché mais a chaque démarrage de windows, Antivir me signale qu'un virus est présent dans mon systeme...

Une idée ? Merci =)

(Merci beaucoup a jlpjlp qui se décortique pour moi...)

J'attends vos réponses...
   
Répondre à Kentin

6


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Kentin, le mercredi 4 juin 2008 à 15:53:34
Je viens de relancer une analyse avec Antivir

Dès l'analyse terminée je vous poste un nouveau rapport hijackthis

A tout a l'heure
   
Répondre à Kentin

7


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
jlpjlp, le mercredi 4 juin 2008 à 16:22:15
comme tu as netsky fais stinger et vire ce qui est trouvé:

http://download.nai.com/products/mcafee-avert/stng399.exe

et

fais msnfix en mode normal alors et colle le rapport

puis colle le rapport antivir aussi

et un nouvel hijakchits
   
Répondre à jlpjlp

8


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Kentin, le mercredi 4 juin 2008 à 16:23:05
Pour répondre a "..." qui m'a affirmé:


"O4 - HKLM\..\Run: [Windows UDP Control Center] ehSched.exe
O4 - HKLM\..\Run: [MSN] scvhost.exe
O4 - HKLM\..\Run: [Nod32 Runtime] sysregi.exe
O4 - HKLM\..\RunServices: [Nod32 Runtime] sysregi.exe

C'est beau 3 bots différents... Grand chelem :]"

Comment les virer ? =]
   
Répondre à Kentin

10


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
jlpjlp, le mercredi 4 juin 2008 à 16:39:29
avec msnfix ou sdfix ou ... on verra si tu n'arrive toujours pas a faire msnfix
   
Répondre à jlpjlp

9


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Kentin, le mercredi 4 juin 2008 à 16:30:17
Ok ok jlpjlp je me lance a tout à l'heure.
   
Répondre à Kentin

11


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Kentin, le mercredi 4 juin 2008 à 17:58:13
Même probleme que tout à l'heure pour msnfix (ou sdfix)

Le scan ne se lance pas donc pas de rapport possible ...

Un autre .fix a essayé ? ou une autre technique ?

PS: Stinger n'a rien trouvé .
   
Répondre à Kentin

12


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
jlpjlp, le mercredi 4 juin 2008 à 20:02:24
pour faire msn fix désactive tes protections avant (antivir, spybot tea timer...)

si impossible:

Télécharge MsnCleaner.zip de ElPiedra et décompresse le sur ton bureau. (Clic droit sur le fichier .zip puis Extraire tout).
Copier l’adresse suivante dans ton lien :
http://www.forospyware.com/Msncleaner/MsnCleaner.zip
· Redémarre le PC en Mode sans échec et connecte toi sous ton nom d'utilisateur habituel.Pour démarrer en mode sans échec.
· Double-clique sur MsnCleaner.exe pour le lancer.
· Sous Language, clique sur la petite flèche et choisis French.
· Clique sur le bouton Analyse.
· A la fin du scan un rapport va être créé.
· Si l'outil trouve une infection, clique sur le bouton Supprimer.
· Redémarre en mode normal.
· Poste le rapport C:\MsnCleaner.txt dans ta prochaine réponse..


________________

puis colle le rapport antivir aussi

et un nouvel hijakchits
   
Répondre à jlpjlp

13


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Kentin, le mercredi 4 juin 2008 à 20:05:02
Je viens de réussir a passer msnfix en mode normal ,

Voici le rapport :



MSNFix 1.720

C:\Users\Quentin HUGUET\Desktop\MSNFix
Fix exécuté le 04/06/2008 - 18:59:16,20 By Quentin HUGUET
mode normal

************************ Recherche les fichiers présents

... C:\Windows\images.zip
... C:\Windows\images.zip
... C:\Windows\images.zip
... C:\Windows\scvhost.exe
... C:\Windows\scvhost.exe
... C:\Windows\images.zip
... C:\Windows\images.zip
... C:\Windows\scvhost.exe
... C:\Windows\images.zip

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... C:\Windows\images.zip
.. OK ... C:\Windows\images.zip
.. OK ... C:\Windows\images.zip
.. OK ... C:\Windows\scvhost.exe
.. OK ... C:\Windows\scvhost.exe
.. OK ... C:\Windows\images.zip
.. OK ... C:\Windows\images.zip
.. OK ... C:\Windows\scvhost.exe
.. OK ... C:\Windows\images.zip



************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun Fichier trouvé



************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\Windows.exe] 5199F56F68A7A5806CD2B9362B387176

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier [b] C:\Users\QUENTI~1\Desktop\Upload_Me.zip /b sur http://upload.changelog.fr



Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 04062008_19590521.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\Windows\system32\userinit.exe,

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------



Je lance Antivir là et apres hijackthis, je poste les rapports au plus vite ;)
   
Répondre à Kentin

14


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Kentin, le mercredi 4 juin 2008 à 20:08:26
On se loupe de peu a chaque fois ... lol
   
Répondre à Kentin

15


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Kentin, le mercredi 4 juin 2008 à 20:35:15
JE SUIS FIER DE MOI, VOICI LE RAPPORT MSNFIX EN MODE SANS ECHEC :



MSNFix 1.720

C:\Users\Quentin HUGUET\Desktop\MSNFix
Fix exécuté le 04/06/2008 - 20:13:27,68 By Quentin HUGUET
mode sans échec

************************ Recherche les fichiers présents

... C:\Users\QUENTI~1\AppData\Local\Temp\1.reg

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... C:\Users\QUENTI~1\AppData\Local\Temp\1.reg



************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun Fichier trouvé



************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\Windows.exe] 5199F56F68A7A5806CD2B9362B387176

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier [b] C:\Users\QUENTI~1\Desktop\Upload_Me.zip /b sur http://upload.changelog.fr



Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 04062008_20314110.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\Windows\system32\userinit.exe,

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------
   
Répondre à Kentin

16


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
jlpjlp, le mercredi 4 juin 2008 à 21:00:38
analyse ce fichiers sur virus total et colle le rapport: http://www.virustotal.com/fr/

C:\Windows.exe

____________________
Télécharge MsnCleaner.zip de ElPiedra et décompresse le sur ton bureau. (Clic droit sur le fichier .zip puis Extraire tout).
Copier l’adresse suivante dans ton lien :
http://www.forospyware.com/Msncleaner/MsnCleaner.zip
· Redémarre le PC en Mode sans échec et connecte toi sous ton nom d'utilisateur habituel.Pour démarrer en mode sans échec.
· Double-clique sur MsnCleaner.exe pour le lancer.
· Sous Language, clique sur la petite flèche et choisis French.
· Clique sur le bouton Analyse.
· A la fin du scan un rapport va être créé.
· Si l'outil trouve une infection, clique sur le bouton Supprimer.
· Redémarre en mode normal.
· Poste le rapport C:\MsnCleaner.txt dans ta prochaine réponse..


________________

puis colle le rapport antivir aussi

et un nouvel hijakchits
   
Répondre à jlpjlp

17


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Kentin, le mercredi 4 juin 2008 à 21:34:47
OK Voila le rapport antivir pour commencer :



Avira AntiVir Personal
Report file date: mercredi 4 juin 2008 20:38

Scanning for 1309825 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows Vista
Windows version: (Service Pack 1) [6.0.6001]
Boot mode: Save mode
Username: Quentin HUGUET
Computer name: PC-ADMIN

Version information:
BUILD.DAT : 8.1.0.308 16478 Bytes 28/05/2008 17:03:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56
AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37
LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23
LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58
ANTIVIR2.VDF : 7.0.4.120 2206720 Bytes 01/06/2008 16:52:54
ANTIVIR3.VDF : 7.0.4.142 82432 Bytes 04/06/2008 13:50:08
Engineversion : 8.1.0.51
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
AESCRIPT.DLL : 8.1.0.37 270715 Bytes 03/06/2008 16:53:52
AESCN.DLL : 8.1.0.20 119157 Bytes 03/06/2008 16:53:49
AERDL.DLL : 8.1.0.20 418165 Bytes 03/06/2008 16:53:47
AEPACK.DLL : 8.1.1.5 364918 Bytes 03/06/2008 16:53:43
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 03/06/2008 16:53:33
AEHEUR.DLL : 8.1.0.29 1253750 Bytes 03/06/2008 16:53:31
AEHELP.DLL : 8.1.0.15 115063 Bytes 03/06/2008 16:53:15
AEGEN.DLL : 8.1.0.25 307573 Bytes 03/06/2008 16:53:12
AEEMU.DLL : 8.1.0.6 430451 Bytes 03/06/2008 16:53:06
AECORE.DLL : 8.1.0.30 168311 Bytes 03/06/2008 16:53:00
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53
AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47
AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 4 juin 2008 20:38

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsm.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'wininit.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
17 processes with 17 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '12' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Windows\System32\drivers\sptd.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <ACERDATA>


End of the scan: mercredi 4 juin 2008 21:29
Used time: 51:47 min

The scan has been done completely.

17137 Scanning directories
301039 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
301039 Files not concerned
3975 Archives were scanned
2 Warnings
0 Notes
   
Répondre à Kentin

18


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Kentin, le mercredi 4 juin 2008 à 21:38:46
Voila le nouveau Hijackthis aussi :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:38:18, on 04/06/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Acer\OrbiCam10\OrbiCam.exe
C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\microsoft shared\Works Shared\WkUFind.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Users\QUENTI~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe­
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\sysregi.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Quentin HUGUET\Desktop\Virus msn\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [AcerOrbicamRibbon] "C:\Program Files\Acer\OrbiCam10\OrbiCam.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Nod32 Runtime] sysregi.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\RunServices: [Nod32 Runtime] sysregi.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\EROProj.dll
O13 - Gopher Prefix:
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/VistaMSNPUpldfr-fr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9E2F35F-BBFC-4BB9-B35B-D014EFE9A452}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Unknown owner - C:\Acer\Empowering Technology\admServ.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
End of file - 7299 bytes
   
Répondre à Kentin

19


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Kentin, le mercredi 4 juin 2008 à 21:48:54
Voila le rapport virustotal :


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.30.1 2008.06.04 -
AntiVir 7.8.0.26 2008.06.04 -
Authentium 5.1.0.4 2008.06.04 -
Avast 4.8.1195.0 2008.06.04 -
AVG 7.5.0.516 2008.06.04 -
BitDefender 7.2 2008.06.04 -
CAT-QuickHeal 9.50 2008.06.04 -
ClamAV 0.92.1 2008.06.04 -
DrWeb 4.44.0.09170 2008.06.04 -
eSafe 7.0.15.0 2008.06.04 Suspicious Archive Structure
eTrust-Vet 31.6.5847 2008.06.04 -
Ewido 4.0 2008.06.04 -
F-Prot 4.4.4.56 2008.06.04 -
F-Secure 6.70.13260.0 2008.06.04 -
Fortinet 3.14.0.0 2008.06.04 -
GData 2.0.7306.1023 2008.06.04 -
Ikarus T3.1.1.26.0 2008.06.04 VirTool.Win32.VBInject.C
Kaspersky 7.0.0.125 2008.06.04 -
McAfee 5310 2008.06.04 -
Microsoft 1.3604 2008.06.04 VirTool:Win32/VBInject.gen!C
NOD32v2 3158 2008.06.04 a variant of Win32/Injector.AU
Norman 5.80.02 2008.06.04 -
Panda 9.0.0.4 2008.06.04 -
Prevx1 V2 2008.06.04 Cloaked Malware
Rising 20.47.22.00 2008.06.04 -
Sophos 4.30.0 2008.06.04 -
Sunbelt 3.0.1144.1 2008.06.04 -
Symantec 10 2008.06.04 -
TheHacker 6.2.92.333 2008.06.03 -
VBA32 3.12.6.7 2008.06.04 -
VirusBuster 4.3.26:9 2008.06.04 -
Webwasher-Gateway 6.6.2 2008.06.04 -
Information additionnelle
File size: 4025601 bytes
MD5...: b018ff6d9942f2a3c30356d8d2652137
SHA1..: a3ce04c3074a89a492cb2836e63f72fb6d54ed5d
SHA256: dfeaa6913507be1cf22187f6c360ec44c4574ecf0684964c348470b2f631­a9a6
SHA512: 92da8d792563b2a047b15e8ada10bda3ff685121f5683926b8bc862d3862­48e8
7ebb3062dd62feafd03452e749e3e041a4dbab9a40d6eedccdc912839423­e5aa
PEiD..: -
PEInfo: -
Prevx info: http://info.prevx.com/...
   
Répondre à Kentin

20


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Kentin, le mercredi 4 juin 2008 à 22:01:39
Voici le rapport de Msn Cleaner :

Mode sans echec :

- Rapport MSNCleaner 1.6.4 by www.forospyware.com
- Rapport créé: 04/06/2008 on 21:54:44
- Système d'exploitation: Windows Vista
- Mode de démarrage: Mode sans échec
_________________________________________

Fichiers détectés: 0
Fichiers supprimés: 0
Fichiers non supprimés: 0

<<<<<<< Pas de fichiers trouvés >>>>>>>

Mode Normal:

- Rapport MSNCleaner 1.6.4 by www.forospyware.com
- Rapport créé: 04/06/2008 on 22:00:05
- Système d'exploitation: Windows Vista
- Mode de démarrage: Normal
_________________________________________

Fichiers détectés: 0
Fichiers supprimés: 0
Fichiers non supprimés: 0

<<<<<<< Pas de fichiers trouvés >>>>>>>


QUELLE EST LA PROCHAINE ETAPE ?

Merci encor jlpjlp
   
Répondre à Kentin
52 réponses 123Posez votre question Répondre