virus msn w139_jpg.zipRésolu/Fermé

Question

Bonjour,

Même problème avec le virus se faufilant sur MSN via un fichier compressé dénommé " W139_jpg.zip".

Voici mon rapport MSN fix, après que celui ai détecté quelque chose et après rallumage du PC :


MSNFix 1.507  
 
C:\Documents and Settings\HP\Bureau\MSNFix 
Fix exécuté le 17/09/2007 - 21:43:59,31 By HP 
mode normal    
    
************************ Recherche les fichiers présents      
    
Aucun Fichier trouvé 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
 
 
 
************************ Nettoyage du registre 
 
 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 17092007_21445556.zip
 
 
------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   --------------------------------------------- 
 

Et le rapport Hijack this :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:48:21, on 17/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\AOL\1174568343\ee\AOLSoftware.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AOL 9.0\aoltray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1174568343\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: &AIM Search - res://C:\Program Files\AIM Toolbar\AIMBar.dll/aimsearch.htm
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin
pjpi160_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin
pjpi160_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Program Files\AWS\WeatherBug\Weather.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

philae83 · Answer

bonsoir,

* Fait un scan antivirus en ligne ICI
https://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

tuto en image

http://pageperso.aol.fr/rginformatique/mapage/defender.htm

Nusse · Answer

Voici le scan :

Statistiques

Temps
	

01:52:03

Fichiers
	

245593

Directoires
	

6127

Secteurs de boot
	

7

Archives
	

8300

Paquets programmes
	

23190
	

 
	

 

Résultats

Virus identifiés
	

4

Fichiers infectés
	

13

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

11
	

 
	

 

Info sur les moteurs

Définition virus
	

808218

Version des moteurs
	

AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

Analyse des plugins
	

14

Archive des plugins
	

38

Unpack des plugins
	

7

E-mail plugins
	

6

Système plugins
	

1
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

*;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/g7n4l2o4i4v4.exe
	

Infecté par: Trojan.Dialer.VUY

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/services.exe
	

Infecté par: Backdoor.SDBot.DEXB

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/services.exe
	

Echec de la désinfection

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/services.exe
	

Supprimé

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip
	

Mis à jour

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/W139_jpg.zip=>www.W139_jpg-msn.com
	

Infecté par: Backdoor.SDBot.DEXB

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/W139_jpg.zip=>www.W139_jpg-msn.com
	

Echec de la désinfection

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/W139_jpg.zip=>www.W139_jpg-msn.com
	

Supprimé

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip=>backup/W139_jpg.zip
	

Mis à jour

C:\Documents and Settings\HP\Bureau\MSNFix\17092007_19374509.zip
	

Mis à jour

C:\Documents and Settings\HP\Local Settings\Temporary Internet Files\Content.IE5\WWEMHGWB\dual[1].jpg
	

Infecté par: Trojan.Dialer.VUY

C:\Program Files\Fichiers communs\Carlson\carlton
	

Infecté par: Trojan.Dialer.VUY

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044959.exe=>(Quarantine-2)
	

Infecté par: Win32.Worm.RJump.F

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044959.exe=>(Quarantine-2)
	

Echec de la désinfection

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044959.exe=>(Quarantine-2)
	

Supprimé

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044960.exe=>(Quarantine-2)
	

Infecté par: Win32.Worm.RJump.B

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044960.exe=>(Quarantine-2)
	

Echec de la désinfection

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044960.exe=>(Quarantine-2)
	

Supprimé

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044961.exe=>(Quarantine-2)
	

Infecté par: Win32.Worm.RJump.B

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044961.exe=>(Quarantine-2)
	

Echec de la désinfection

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP496\A0044961.exe=>(Quarantine-2)
	

Supprimé

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049290.exe
	

Infecté par: Trojan.Dialer.VUY

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049327.exe
	

Infecté par: Backdoor.SDBot.DEXB

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049327.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049327.exe
	

Supprimé

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049329.exe
	

Infecté par: Trojan.Dialer.VUY

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049337.exe
	

Infecté par: Backdoor.SDBot.DEXB

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049337.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP546\A0049337.exe
	

Supprimé

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP547\A0049349.com
	

Infecté par: Backdoor.SDBot.DEXB

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP547\A0049349.com
	

Echec de la désinfection

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP547\A0049349.com
	

Supprimé

philae83 · Answer

parfait, je pense que maintenant, tout est ok si tu n'as pas d'autres soucis, * Tu peux supprimer tous les logiciels que nous avons utilisés * démarrer-----------panneau de configuration------------système---------- onglet Restauration système-----------coche la case (Désactiver la restauration système)-------------- redémarre l'ordinateur réactive la ensuite * Pour améliorer la sécurité de ton PC prend quelques instants pour lire CECI * Dénonce ton infection pour faire condamner les auteurs. Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection : - Voir les règles du forum : https://malwarecomplaints.info/ - Après t'être enregistré à l'aide du bouton en haut se nommant "Register" Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age" Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age" Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..). La tienne = ****** ---> https://malwarecomplaints.info/ Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..) Indique aussi le nom du Forum qui t'a aidé, CommentCaMarche bonne fin de soirée

Nusse · Answer

Ok, merci beaucoup...

J'ai lu que Hijackthis pouvait permettre d'éviter que certains logiciels ralentissent le démarrage (c'est ce que j'ai compris...). 

D'après mon rapport ,est-ce possible d'en enlever certains ?

philae83 · Answer

oui au vu du rapport, on peut en supprimer certains du démarrage, très certainement, mais tu n'as pas forcément besoin d'hijackthis pour le faire, en passant par 

démarrer-----------exécuter-----msconfig puis l'onglet démarrage, tu décoches tout ce dont tu n'as pas besoin au démarrage de ton pc.

Nusse · Answer

Face aux nombreux programmes aux noms peu évocateurs, j'en ai juste supprimé quelques uns.

Merci beaucoup pour ton aide !

philae83 · Answer

bon mais tu n'as viré n'importe quoi tout de même ? 

enfin ils ne sont retirés que du démarrage, tu peux tjs les y remettre en faisant la manip inverse

Virus msn w139_jpg.zip

7 réponses

Discussions similaires

Newsletters