Votre question

Problème firewall auto setup

Tags :
  • windows live
  • Sécurité
Dernière réponse : dans Sécurité et virus
30 Juillet 2007 21:36:53

Bonjour ! :hello: 

J'ai quelque ptit problème, sur windows live messenger, dans un fenêtre de conversation j'ai cliquer sur un lien qu'une personne m'avez envoyer, c'était des photos de lui en webcam soit disant, je l'ai télécharger et depuis sur windows live messenger toutes les fenêtre des contactes connecté reçoit le même message avec le même lien, alors j'ai fait des analyses complète de mon ordi par avast, puis par spybot, et ensuite régler quelque ptit problème par tunuep utilities 2007, mais en vain, toujours la même chose, toujours le même problème a chaque fois, alors j'ai supprimer de mon ordi tout ce qui pouvait être windows live messenger, puis j'ai refais des analyses et j'ai remarquer par spybot que 1 problème revenais a chaque fois, un problème de mon registre.

[+ Win32.Agent.bid
Réglages Autorun (Firewall auto setup)
HKEY_USERS\S-1-5-21-682003330-220523388-2146828391\SOFTWARE\Microsft\Windows\Current\Version\Run\Firewall auto setup

Et a chaque fois que je vérifie mon ordi par spybot il me ressort le même problème alors je me demander si c'était a cose de ça.
Merci de me répondre au plus vite si possible merci encore.

Autres pages sur : probleme firewall auto setup

30 Juillet 2007 21:40:41

Bonjour ,

Télécharge MSNFix.zip (de !aur3n7) sur le bureau:


Décompresse-le (clic droit : Extraire ici) et double clique sur le fichier MSNFix.bat.
- Exécutez l'option R.
- Si l'infection est détectée, exécutez l'option N.
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum, ainsi qu'un nouveau scan HijackThis fait en mode normal.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.
30 Juillet 2007 21:41:54


Bonsoir :) 

Grilled by sly290

Je surveille :lol: 
Contenus similaires
30 Juillet 2007 21:49:45

Arf ! Je suis suivis !! :lol:  Je veut bien que tu surveille et que tu m'indique les erreurs que j'ai faites (s'il y en à ) . :) 
30 Juillet 2007 21:58:18

Voici le rapport:

MSN_Fix 1.448

C:\Documents and Settings\David.XPDAVID\Local Settings\Temp\MSNFix\MSNFix
Fix exécuté le 30/07/2007 - 21:44:49,15 By David
mode normal

************************ Recherche les fichiers présents

... C:\??.tmp
... C:\???.tmp
... C:\WINDOWS\album??.zip
... C:\WINDOWS\album???.zip
... C:\WINDOWS\image??.zip
... C:\WINDOWS\image???.zip
... C:\WINDOWS\images??.zip
... C:\WINDOWS\images???.zip
... C:\WINDOWS\photo??.zip
... C:\WINDOWS\photo???.zip
... C:\WINDOWS\photos??.zip
... C:\WINDOWS\photos???.zip
... C:\WINDOWS\photos2007_*.zip
... C:\WINDOWS\system32\libcintles3.dll
... C:\WINDOWS\system32\msn.exe

************************ Recherche les dossiers présents

... C:\Temp\




************************ Suppression des fichiers

.. OK ... C:\??.tmp
.. OK ... C:\???.tmp
.. OK ... C:\WINDOWS\album??.zip
.. OK ... C:\WINDOWS\album???.zip
.. OK ... C:\WINDOWS\image??.zip
.. OK ... C:\WINDOWS\image???.zip
.. OK ... C:\WINDOWS\images??.zip
.. OK ... C:\WINDOWS\images???.zip
.. OK ... C:\WINDOWS\photo??.zip
.. OK ... C:\WINDOWS\photo???.zip
.. OK ... C:\WINDOWS\photos??.zip
.. OK ... C:\WINDOWS\photos???.zip
.. OK ... C:\WINDOWS\photos2007_*.zip
/!\ ... C:\WINDOWS\system32\libcintles3.dll
.. OK ... C:\WINDOWS\system32\msn.exe


************************ Suppression des dossiers

.. OK ... C:\Temp\


************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun dossier trouvé
************************ Suppression des fichiers

.. OK ... C:\DOCUME~1\DAVID~1.XPD\LOCALS~1\Temp\winlogon.exe
.. OK ... C:\WINDOWS\system32\libcintles3.dll



************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\WINDOWS\photo_album1.zip] 5A82F25EEFFB750980B5B421AEF3DF1F
[C:\WINDOWS\system32\AvastSS.scr] B85760414C16DF79A27A3646108C172E
[C:\WINDOWS\system32\Flurry.scr] 04810EC57CBBDD1F047C8217B9F6C092
[C:\WINDOWS\system32\Nostalgic.scr] E2A7262E2C24EAF1C15CBDDA29E1D1EA
[C:\WINDOWS\system32\ParticleFountain.scr] 4C1323520EB29618930875E0EB1907E0
[C:\WINDOWS\system32\Pernille.scr] D247CF88FBF08AC06C039CAC6DC3B864
[C:\WINDOWS\system32\ReallySlick_Skyrocket_v1.scr] F28C4A08C0C29AAC9DBBF531ED21D63D
[C:\WINDOWS\system32\Tunnel-B12.scr] 35141648A5AAFEC3D4F07EBBD9B83F6C
[C:\WINDOWS\system32\Tunnel.scr] 343DCEFF1015FF19E5297AFBE879C0B8
[C:\WINDOWS\system32\X64.scr] AC2B49472830C950E439C7E7BEEED099


Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 30072007_21541826.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://246694.aceboard.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------


Maintenant je vais faire une analyse avec HijackThis
30 Juillet 2007 22:00:03

Et voici le rapport de Hijackthis,veulliez m'excuser pour le double post:

Logfile of HijackThis v1.99.1
Scan saved at 21:59:09, on 30/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\David.XPDAVID\Local Settings\Temp\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.ircfast.com/index.php?rvs=hompag
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
30 Juillet 2007 22:00:07

Est ce que l'infection est toujours présentes ?
30 Juillet 2007 22:01:10

Euh comment savoir ? -_-"
j'espère ne pas avoir louper une étape
30 Juillet 2007 22:02:38

Tu va sur msn et tu regarde si le fichier n'est plus envoyer à tout le monde comme avant .
30 Juillet 2007 22:05:19

D'accord je retélécharge windows live messenger et je vous tien au courant.
30 Juillet 2007 22:15:43

Ben je remarque que plus aucun messages a était envoyé, c'est que ce que tu ma demander de faire a fonctionner a merveille, merci beaucoup je sais pas comment tu as fais ou comment sa c'est passé mdr mais c'est bon tout fonctionne a merveille, des collège m'ont dit que c'était un virus mais bon va savoir, merci encore. ^.^
30 Juillet 2007 22:19:22


Un fichier à l'air suspect et pas beaucoup d'infos dessus

Juste pour être sur qu'il est clean , peux-tu faire ceci :

Fais analyser ce fichier ici : Virustotal

Clique sur Parcourir ( en haut ) , choisis Poste de travail , puis C:\
puis Windows , puis photo_album1.zip

Clique maintenant sur Send ( en haut à droite )

il sera analysé par une plusieurs Antivirus

copie / colle le rapport
30 Juillet 2007 22:41:27

Comment j'analyse Virustotal ou plutot comment je le télécharge ?
30 Juillet 2007 22:44:10

Citation :
comment je le télécharge ?

C'est une analyse en ligne , rien à télécharger :) 

Clique sur mon lien Virustotal et suis les indications que je t'ais donné
30 Juillet 2007 22:49:00

Voilà pardon j'avais pas mis mes lunettes lol:

AhnLab-V3 2007.7.28.0 2007.07.30 -
AntiVir 7.4.0.54 2007.07.30 Worm/IRCBot.116736.3
Authentium 4.93.8 2007.07.30 -
Avast 4.7.997.0 2007.07.30 Win32:Agent-JVL
AVG 7.5.0.476 2007.07.30 Proxy.RBD
BitDefender 7.2 2007.07.30 Backdoor.IRCBot.IS
CAT-QuickHeal 9.00 2007.07.30 (Suspicious) - DNAScan
ClamAV 0.91 2007.07.30 Trojan.IRCBot-1089
DrWeb 4.33 2007.07.30 -
eSafe 7.0.15.0 2007.07.29 Suspicious Trojan/Worm
eTrust-Vet 31.1.5016 2007.07.30 -
Ewido 4.0 2007.07.30 Backdoor.IRCBot.acd
FileAdvisor 1 2007.07.30 -
Fortinet 2.91.0.0 2007.07.30 W32/IRCBot.ACD!tr.bdr
F-Prot 4.3.2.48 2007.07.30 -
F-Secure 6.70.13030.0 2007.07.30 Backdoor.Win32.IRCBot.acd
Ikarus T3.1.1.8 2007.07.30 Backdoor.Win32.IRCBot.acd
Kaspersky 4.0.2.24 2007.07.30 Backdoor.Win32.IRCBot.acd
McAfee 5086 2007.07.30 -
Microsoft 1.2704 2007.07.30 -
NOD32v2 2429 2007.07.30 Win32/IRCBot.WO
Norman 5.80.02 2007.07.30 -
Panda 9.0.0.4 2007.07.30 Suspicious file
Prevx1 V2 2007.07.30 Backdoor.IRCBot.gen
Rising 19.34.02.00 2007.07.30 Backdoor.Win32.IRCbot.bcg
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.28 -
Symantec 10 2007.07.30 W32.Mubla.B
TheHacker 6.1.7.158 2007.07.30 -
VBA32 3.12.2.1 2007.07.30 -
VirusBuster 4.3.26:9 2007.07.30 -
Webwasher-Gateway 6.0.1 2007.07.30 Worm.IRCBot.116736.3
Additional information
File size: 116866 bytes
MD5: 5a82f25eeffb750980b5b421aef3df1f
SHA1: e16b0478667ba492fc274112e3fca41c93864a6a
packers: NTKrnl
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=AA0E97410065...
30 Juillet 2007 23:01:30

Voilà, je sais pas ce que sa signifie mais bon tu me la demander lol
30 Juillet 2007 23:23:06

Euh voilà je pense avoir tout fait correctement, je pense l'avoir aussi envoyer plusieur fois peur que sa ne fonctionne pas et que sa ne l'ai pas envoyer, merci encore mais quesque vous allez faire maintenant !?
Car je pence que Msn fix vous appartient non ?
30 Juillet 2007 23:33:19

Citation :
je pence que Msn fix vous appartient non ?

Non , pas à moi :) 

On attends avant de le détruire ;) 

Télécharge clean <- ici

décompresse-le sur ton bureau ( extraire tous les fichiers) , tu obtient un dossier clean

Ouvre le dossier clean, double-clique sur clean.cmd ( le .cmd peut ne pas apparaitre )

choisis l'option 1 puis patiente

un rapport est généré , poste ce rapport
30 Juillet 2007 23:44:59

Voilà:

30/07/2007 a 23:43:02,64

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\Adverts\" FOUND
*** Fin du rapport !
30 Juillet 2007 23:50:29


Pas grand chose :) 

Imprime cette page car tu n'auras pas accès à internet durant la procédure !

Télécharge puis installe AVG Anti-Spyware <~ Clique ici

Fais les mises à jour mais ne lance pas de scan tout de suite

Redémarre en mode sans échec ( démarrer / redémarrer / tapotte sur F8 jusqu'a l'apparition du menu / monte avec les fleches sur mode sans echec / choisis ta session )

Relance AVG

Choisis l'onglet Analyse , puis l'onglet Paramètres
Sous la question Comment réagir ? clique sur Actions recommandées et choisis Quarantaine
Reclique sur l'onglet Analyse puis fais Analyse complète du système

a la fin de l'analyse ,si un fichier est infecté clique sur Appliquer toutes les actions

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous ( enregistre sur ton Bureau )

Ouvre le dossier clean, double-clique sur clean.cmd
Choisis l'option 2 et patiente

Redémarre normalement

Poste le rapport AVG
le rapport clean : C:\rapport clean.txt
et un rapport Hijackthis
31 Juillet 2007 12:19:13

O_O je suis obligé de le faire !?
31 Juillet 2007 13:02:40

Citation :
O_O je suis obligé de le faire !?

Bah on à pas terminé , si tu veux garder des infections , c'est toi qui choisis ....
31 Juillet 2007 13:41:42

J'ai fait une analyse de avast et j'ai trouvé ça:

C:\Documents and settings\DavidXPDAVID\Local Settings\Temp\MSNFix\MSNFix\30072007_21541826.zip Infection: Win32:AgentJVL [Trj] Le fichier a été supprimer avec succés...

C:\Documents and settings\DavidXPDAVID\Local Settings\Temp\MSNFix\MSNFix\incl\fichier.txt Infection: Win32: Dadobra-EY [Trj] Le fichier a été supprimer avec succés...

C:\WINDOWS\photo_album1.zip Infection: Win32:AgentJVL [Trj] Le fichier a été déplacé avec succés vers la zone de quarantaine...

Ai-je fait des bétises en les supprimant la plupart ?
31 Juillet 2007 13:48:28

J'ai pas vus que tu avais écris "ne pas lancé de scan" :( 
31 Juillet 2007 19:39:48

Citation :
Ai-je fait des bétises en les supprimant la plupart ?

Non , pas de problème :) 
Citation :
J'ai pas vus que tu avais écris "ne pas lancé de scan"

Relis bien , c'est ne pas lancer le scan tout de suite , seulement en mode sans échec ;) 

Poste le rapport AVG , clean option 2 et Hijackthis

Comme indiqué plus haut

Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS