Se connecter / S'enregistrer
Votre question
Fermé

virus MSN "est-ce vous sur cette photo"

Tags :
  • photo
  • Sécurité
Dernière réponse : dans Sécurité et virus
24 Juin 2007 12:38:48

Bonjour, un fenêtre de conversation d'un contact s'est ouverte avec cette question : "est-ce vous sur cette photo" avec un lien...

Après avoir cliqué dessus trois icones sont apparues sur le bureau , msn déconnecté, et maintenant l'ordi rame tout ce qu'il peut, on peut plus rien faire...

Que peut-on faire pour le nettoyer, merci.

Autres pages sur : virus msn photo

25 Juin 2007 10:54:20

Salu tout le monde. Et bien voila, moi il m'est arivé le même chose.
depuis, dès que je vais sur msn, ce fameux trojan envoi le message que j'ai reçu pour me faire contaminer à tout mes contacts. il faut croire que c'est comme ça que ça se propage.
J'ai fais une analyse avec hijackthis. Est-ce-que vous pourriez me dire coment m'en sortir, parceque là c'est un peu la galère :fou: 
25 Juin 2007 10:56:15

Voici cette analyse:


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:44:52, on 25/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCWZRD.EXE
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\apps\ABoard\AOSD.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Program\fspex.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Securitoo\Av_Fw\FSGUI\fsguiexe.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Hugo\Mes documents\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-2821991762-3165789130-3667032445-1008\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM= (User 'Simon')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown owner - C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - Unknown owner - C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Unknown owner - C:\Program Files\Inventel\Gateway\wlancfg.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

--
End of file - 10044 bytes


voilà ^^. si vous pouriez m'aider ça serais vraiment cool, (et aider l'autre internaute avec le même problême que moi biensûr! Je te soutien man !
Contenus similaires
25 Juin 2007 22:18:48

Bonjour mogsoli, je ne pense pas que ce virus soit exactment un trojan ou bien alors nous avons reçu une variante, ma copine, mes contacts MSN et moi, qui se nomme apparement Downloader-BST qui serait, en fait, un virus de type Worm (asticot), pour le moment je connais encore pas grand chose sur celui-ci mise à part qu'il ne touche que les raccourcis permettant d'activer Windows Live Messenger (et MSN Messenger), vous pouvez donc toujours utiliser le logiciel sus-nommé en l'activant par son fichier source qui se trouve dans C:\Program Files\MSN Messenger\msnmgr.exe. C'est malheuresement tout ce que je peux vous apprendre à l'heure actuelle.


mogsoli a dit :
Salu tout le monde. Et bien voila, moi il m'est arivé le même chose.
depuis, dès que je vais sur msn, ce fameux trojan envoi le message que j'ai reçu pour me faire contaminer à tout mes contacts. il faut croire que c'est comme ça que ça se propage.
J'ai fais une analyse avec hijackthis. Est-ce-que vous pourriez me dire coment m'en sortir, parceque là c'est un peu la galère :fou: 

25 Juin 2007 22:23:04

Salut j'ai reussi a me debarassé de cette ******! en faite c'est tout con telecharger ad-aware vous faites un scan et vous supprimer tous les fichiers contaminé!et apres c'est bon!C'est tout simple :) 
MrPinaky
25 Juin 2007 22:28:31

J'ais aussi été infecté par cette saloperie et j'ai trouvé le moyen de s'en debarasser
lorsque vous avez accepté le fichier qui se trouvai sur le lien vous avez enregistré un fichier nommé "photo 8" qui est a supprimer bien evidemment ensuite il y a un fichier qui se trouve sur le bureau nommé "services" seulement impossible de le supprimer car il est en cours d'execution n'est ce pas ? alors il faut donc saisir sur le clavier "Ctrl + alt + suppr " afin d'acceder au "gestionnaire des taches windows" une foit que ceci est ouvert il faut cliquer sur l'onglet "processus" puis chercher une processus nommé "services.exe" avec un clic droit vous pourrez "definir la priorité", la plus basse possible pour que lors du demarrage de votre Pc le programme ne s'execute qu'apres tt les autres

Il faudra ensuite redemarrer votre ordi mais ne surtout pas profiter des ces 2 min de demarrage pour aller a vos lieux d'aisance ou bien vour faire un café car il faut supprimer le fichier "services" qui se trouve sur votre bureau ainsi qu'un autre qui n'apparaitra pas chez tt le monde nommé "call" des que votre bureau apparait lors du demarrage de votre ordinateur car comme la priorité a été definie en tant que basse le programme ne s'executera qu'en dernier et ainsi le fichier sera supprimable
normalement vous serez debarrassé de cette merde
Si vous avez des questions je reste a votre entiere disposition
>Cordialement
25 Juin 2007 22:44:35

Bonsoir a_caza_70, je ne peut malheureusement ni apercevoir ce famaux fichier photo8 ni le raccourci services sur le bureau, pourrais-tu nous donner plus d'indications (extension(s)) afin d'affiner nos recherches ? De plus il nous est impossible de redéfinir la priorité de services.exe.

a_caza_70 a dit :
J'ais aussi été infecté par cette saloperie et j'ai trouvé le moyen de s'en debarasser
lorsque vous avez accepté le fichier qui se trouvai sur le lien vous avez enregistré un fichier nommé "photo 8" qui est a supprimer bien evidemment ensuite il y a un fichier qui se trouve sur le bureau nommé "services" seulement impossible de le supprimer car il est en cours d'execution n'est ce pas ? alors il faut donc saisir sur le clavier "Ctrl + alt + suppr " afin d'acceder au "gestionnaire des taches windows" une foit que ceci est ouvert il faut cliquer sur l'onglet "processus" puis chercher une processus nommé "services.exe" avec un clic droit vous pourrez "definir la priorité", la plus basse possible pour que lors du demarrage de votre Pc le programme ne s'execute qu'apres tt les autres

Il faudra ensuite redemarrer votre ordi mais ne surtout pas profiter des ces 2 min de demarrage pour aller a vos lieux d'aisance ou bien vour faire un café car il faut supprimer le fichier "services" qui se trouve sur votre bureau ainsi qu'un autre qui n'apparaitra pas chez tt le monde nommé "call" des que votre bureau apparait lors du demarrage de votre ordinateur car comme la priorité a été definie en tant que basse le programme ne s'executera qu'en dernier et ainsi le fichier sera supprimable
normalement vous serez debarrassé de cette merde
Si vous avez des questions je reste a votre entiere disposition
>Cordialement

25 Juin 2007 23:32:27

Le fichier Photo8 se trouve la ou vous l'avez enregistré lorsque sur la page du lien la fenetre enregistrer le fichier est apparue vous avez du selectioner un lieu ou vous voulez l'enregistrer vous pouvez rechercher ds le systeme le fichier le supprimer et ainsi le fichier services apparaitra et vous pourrez modifier la priorité d'execution de ce programme

je ne suis pas expert en informatique j'explique juste la maniere dont j'ai reussi a m'en debarasser peut etre qu'elle ne fonctionne pas sur tous les ordinateurs
j'espere que mes derniers conseils vous aiderons a resoudre le probleme
> Cordialement
25 Juin 2007 23:46:55

de la part de verypunk72 (mon chéri) : je n'ai pas enregistrer le fichier .zip je l'ai ouvert directemment ce qui apparement supprime les effets hors msn car je n'ai de soucis que sur windows live messenger. Les autre programmes ne sont pas atteints et mon PC ne "rame" pas, sauf lorsque je me connecte à MSN Messenger.
26 Juin 2007 00:14:06

voila on m'a envoyé ce virus mais comme je sentais le coup venir quand j'ai vu que le fichier était un executable en ms dos j'ai dit on enregistre le fichier ,mais on le l'execute pas .Et j'aimerais savoir comment fait on pour obtenir le code ms -dos de se fichier pour que je puisse comprendre comment il marche ?



merci , en tout cas avg ne l'a pas détecté car il ne doit pas connaitre la signature du virus .


bonne nuit
26 Juin 2007 00:27:54

Bonjour,
J'ai egalement fait l'erreur de cliquer sur le lien que l'on m'a envoyé sur MSN avec le message "est-ce vous sur la photo?"...et (double erreur) sur le EXE qui s'est installé.
j'ai tt eteint coupé le reseau, redemaré mon PC, lancé Avast Ad Adware Windows Defender et autre logiciel de securité.
Résutat: mon PC marche normalement mais si j'ai le malheureux d'ouvrir MSN... je balance des message a tt va.
Et j'ai bien service.exe dans les processus (gestionnaire des taches)
Je ne sais pas quoi faire pour recuperer l'utilisation MSN ?
Si vous avez une idée ?
Je suis preneur ;-)

26 Juin 2007 00:32:50

Télécharge MSNFix.zip (!aur3n7) sur ton Bureau.
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout).

Ouvre le dossier MSNFix puis double-clique sur MSNFix.bat.
- Exécute l'option R.
-- Si l'infection est détectée, presse une touche pour lancer le nettoyage. (N)

Si tu dois redémarrer l’ordinateur fais le manuellement.

Poste le rapport situé dans le dossier MSNFix.
Le nom du rapport correspond au moment de sa création : date_heure.log
26 Juin 2007 00:39:09

Pas d'infection detectée
26 Juin 2007 00:45:44

Créé ton sujet avec un log hijackthis
[télécharge Hijackthis :
http://www.downloads.subratam.org/hijackthis.zip
Dézippe-le dans un dossier sur le bureau par exemple.
Double clique sur hijacthis.exe
Puis "Do a system scan and save a logfile" et poste le rapport.
]
26 Juin 2007 00:53:56

c'est fait. Sujet créé et rapport posté !
26 Juin 2007 02:13:41

J'ai réussi à virer le virus je crois grace à Ad-Aware. Mais quand j'ouvre MSN les 3/4 de mes contact on disparu !!! Comment je pourais revenir a la normale ?!
26 Juin 2007 10:00:00

voila j'ai eu le meme virus hier soir appars que moi je ne savais plus rien faire sur le pc donc je l'ai eteint et la au rallumage il me mette un ecran bleu avec marquer dessus "unmoutable_boot_volume" cet aprem je vais reformater mon pc et voir se que sa donne si quelqu'un a deja eu le cas pourais t'il me donner des conseil car pas envie de formater
26 Juin 2007 10:20:09

J'ai ce problème aussi.
J'ai réinstallé msn sans redémarrer après, donc pour l'instant ça marche.
Je ne sais pas si après reboot il ne va pas se remettre dans les raccourcis.
Je n'ai aucun fichier sur le bureau.



Scan HJT :


Logfile of HijackThis v1.99.1
Scan saved at 10:19:34, on 26/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (*.**.****.*****)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Visagesoft\eXPert PDF\vspdfprsrv.exe
C:\Program Files\Iconoid\iconoid.exe
C:\Program Files\TuneUp Utilities 2006\MemOptimizer.exe
C:\Program Files\AntiViral Toolkit Pro\avpm.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Documents and Settings\Romain\Mes documents\Romain\Diff prog install\hijackthis\bonjour.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NVIDIA Remote Control Panel] NVAREM.EXE /S /Q /R /L /A1 /B0 /C0 /D2 /E0
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
O4 - HKCU\..\Run: [Iconoid] "C:\Program Files\Iconoid\iconoid.exe" -wait 0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.encyclo.wanadoo.fr/JS/tdserver.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab301...
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP....
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/144000s/download.opis...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{9ED5B9B1-C4F9-4415-85DE-740B8385867D}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\WINDOWS\System32\x10nets.exe
26 Juin 2007 12:31:23

Bonjour,
J'ai téléchargé le virus pour pouvoir l'enlever au mieux pour un ami, j'en ai déduit la procédure suivante pour l'effacer :


Quitter msn

Ouvrir le gestionnaire des taches (ctrl+alt+suppr)

Arrêter les processus : services.exe (celui qui n'est pas géré par system)
msnmsgr.exe (si il est encore là)

Supprimer les fichiers : services.exe (la où vous aviez téléchargé photo8.com)
call.exe (la où vous aviez téléchargé photo8.com mais n'y est pas obligatoirement)
msnmsgr.exe (dans poste de travail>program files>msn messenger)

Double cliquer sur msnmgr.exe, il va faire installation de msn/windows live et va recréer le fichier msnmsgr.exe que vous venez de supprimer, c'est normal.

Le virus est supprimé, ou au moins inactif.

J'espére que pour vous ceci fonctionnera.

Aussi, si vous voulez retrouver tous vos contacts et pas seulement ceux en ligne cliquez sur les deux petites fléches sur la fenêtre principale de msn au dessus de vos contacts et choisissez "Afficher tous les contacts".

Amicalement,
Gaëtan
26 Juin 2007 12:32:14

Alosr quelqu'un peut me répondre ,sur comment je fais pour trouver le code source de ce virus ? sachant qu'il s'éxecute sous ms dos .Me faut t'il un décompilateur ?
26 Juin 2007 12:38:12

J'ai un ami qui cherche justement a faire là même chose que toi, s'il y arrive je te tiendrais au courant, il me semble qu'il te faut un décompilateur.
26 Juin 2007 12:46:10

@SilverNightfall : Il est juste inactif, ce qui m'intéresse c'est de le virer.
De plus, le processus service.exe ne peut pas s'arrêter...
26 Juin 2007 12:55:52

j'ai essayer de le décopmiler avec reshack mais cela ne donne rien .
26 Juin 2007 13:53:54

Je ne l'ai plus.... normalement
Faire un rapport Hi Jack This, Analyser le rapport HJT avec le site http://hijackthis.de, fixer les lignes marquées d'une croix rouge, redémarrer, réinstaller msn.
Je crois que je l'ai plus...
26 Juin 2007 14:16:55

Bonjour a_caza_70, malheureusement je n'ai pas enregistré le fichier en MS-DOS, je l'ai ouvert directemment ce qui, apparement, supprime les effets hors Windows LiveL Messenger car je n'ai de soucis que sur celui-ci. Les autre programmes ne sont pas atteints et mon PC ne "rame" pas, sauf lorsque je me connecte à WLM. Ce foutu virus est relativement dur à comprendre puisque il semble qu'il n'a pas les même symptomes pour tout le monde. J'aimerais en savoir plus sur sa provenance et sur les capacités de réaction de son créateur, car j'ai tout simplement l'impression que l'asticot est maléable à 100% (ce qui est une faiblesse en même temps qu'une force soit dit en passant).

a_caza_70 a dit :
Le fichier Photo8 se trouve la ou vous l'avez enregistré lorsque sur la page du lien la fenetre enregistrer le fichier est apparue vous avez du selectioner un lieu ou vous voulez l'enregistrer vous pouvez rechercher ds le systeme le fichier le supprimer et ainsi le fichier services apparaitra et vous pourrez modifier la priorité d'execution de ce programme

je ne suis pas expert en informatique j'explique juste la maniere dont j'ai reussi a m'en debarasser peut etre qu'elle ne fonctionne pas sur tous les ordinateurs
j'espere que mes derniers conseils vous aiderons a resoudre le probleme
> Cordialement

26 Juin 2007 14:21:15

Bonjour j'ai reçu ce message, et donc une fois que j'ai cliqué j'ai fait exécuter, puis il y a eu un message d'erreur, mais pour l'instant il ne se passe rien.

Spybot n'a rien détecté, msn messenger ne rame pas, bref serait-il possible que mon anti virus (norton) ait supprimé le virus?

Merci.
26 Juin 2007 14:23:39

Oui JBFR69, d'après plusieurs de mes contacts MSN, ceux qui avait Norton n'ont pas eu de soucis. Moi, pour ma part, j'ai Mc Afee et il n'a rien détécté sur le moment; en effet, ce n'est qu'après que je me soit rendu compte du désastre que Mc Afee à trouver un virus nommé Downloader-BCT.
26 Juin 2007 14:27:09

D'accord merci.

Cependant un ami m'a dit que le virus s'est manifesté quelques heures plus tard...

Mais si spybot n'a rien trouvé, et que le fichier photo8 n'est pas présent sur mon ordinateur, peut-être que Norton a pu s'occuper de lui avant qu'il devienne nuisible?!
26 Juin 2007 14:28:01

Si j'ai juste supprimé le dossier «image 41» parce que c'était son nom, suis-je correcte parce que j'ai vraiment peur de réouvrir msn, mon ami m'a dit que c'était juste msn qui était infecté, donc savez-vous si je peux continuer à aller sur le net? Moi Avast a ouvert une fenêtre tout de suite après l'installation de l'image, mais je crois ne l'a pas enlevé.
26 Juin 2007 14:28:32

Sans doute JBFR69, en revanche, pour ma part le fichier photo8 n'existe pas car j'ai cliquer directement sur Ouvrir et non sur Enregistrer.
26 Juin 2007 14:29:28

Moi aussi j'ai fait "exécuter"
26 Juin 2007 14:30:33

Moi aussi JBFR69, c'est pour cela que le fichier photo8 n'existe pas sur ton PC.
26 Juin 2007 14:32:02

Donc ça ne veut pas dire que je suis à l'abris...

Si je lance une analyse norton? Il devrait le trouver?
26 Juin 2007 14:35:00

En ce qui concerne Norton, je ne peux malheureusement pas te renseigner JBFR69 car je ne dispose pas de cet antivirus. Mais effectivement tu n'est pas à l'abri comme personne ne l'est entièrement.
26 Juin 2007 14:40:29

OK merci je vais lancer une analyse pour voir.
26 Juin 2007 16:01:49

Tu as réussi à extraire la source ? car moi rien du tout ,la seul ligne que j'obtient est <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
</assembly> avec reshack ,

et pour fouiller je suis aller sur le site mère de là ou tout le monde a DL le fichier et çà dit sur l'index de la page :http://www.lookatmedrunk.net/

The Page Cannot Be Found
The page you are looking for might have been removed, had its name changed, or is temporarily unavailable.



Please try the following:

* If you typed the page address in the address bar, make sure that it is spelled correctly.
* Open the home page and then look for links to the information you want.

voilà ,j'espère obtenir ce code source, merci .

26 Juin 2007 17:12:29

Bizarre je pense que je n'ai rien, j'ai téléchargé hijackthis mais je ne sais pas trop comment l'utiliser, j'ai eu mon rapport.
26 Juin 2007 17:15:52

HiJackThis est pourtant simple d'utilisation JBFR69 vas sur leur site qui est: http://www.hijackthis.de/fr puis copie ton log dans le cadre prévu à cet effet. Ensuite tu n'as qu'a supprimer les lignes que le site t'indiquera grâce à des croix rouge ou des point d'interrogation.
26 Juin 2007 17:27:02

Il ne me semble pas avoir vu ce genre de symbole.
26 Juin 2007 17:29:22

C'est que ton PC n'a rien mais de toute façon HiJackThis ne peut pas détécter ce virus du fait qu'il faut que MSN soit activé pour qu'il s'affiche dans le log. Hors si tu active MSN tu ne peut plus rien faire ! Le créateur de cette s*l*p*r*e à tout prévu !!!
26 Juin 2007 17:31:15

Là je suis sur msn, et norton n'a rien trouvé.

Donc je vois le bilan, il y a des croix rouges sur des fichiers qui ne sont pas à moi (c'est un ordi familial) cela veut dire qu'ils sont dangereux?

Et pous les effacer comment dois-je m'y prendre?
26 Juin 2007 17:34:47

Tu ne doit pas les effacés manuellement tu vois ta page de log sur HiJackThis ? celle où il y a des carrés de séléction à gauche des écritures, tu doit séléctionner les lignes qui sont en rouge sur ta page du site hijackthis et après tu clique sur Fix checked. Et tu relance HiJackThis pour voir si tout est OK.
26 Juin 2007 17:35:08

Je suis sur msn là et norton n'a rien détecté.
26 Juin 2007 19:10:06

Bon, étant donné que ce viorus a l'air de se répendre ... Je vais faire mes test sen émulation ;)  J evien vous dire quoi si je trouve une solution facile !
26 Juin 2007 19:39:39

bonjour moi je lé chopé ce matin é g norton...il me le detecte toute les 20 seconde a peu pret(trojan dropper) é a chaque foi il me di kil la effacé mé le virus est tjr la...moi c pareil g ke msn ki é infecté...CA MéNERVE!!
26 Juin 2007 19:52:06

Bon, désolé de vous dire ...
Ce virus est plutot gros ...

Il cré les fichiers suivants :
- services.exe
- call.exe
- second.exe
- Program Files\WinPop

Il y en a encore d'autre ... je continue mes analyse et je sors un batch d'arret d'ici peu ^^
26 Juin 2007 20:00:35

!! ATTENTION !!
Je vien de découvrir que le programme fait un loader pour messenger !!

C:\Program Files\MSN Messenger :
msnmsgr.exe => 80 Ko
msnmgr.exe => Original

Donc en clair, il faut faire tres attention, bvous ne saurez pas le supprimer comme vous voulez ...
26 Juin 2007 20:01:01

bonjour, j'ai aussi été infectée. j'ai suivi toutes les indications des autres posts. mais un probleme se pose. quand je suis sur le gestionnaire des taches porcessus blabla. et quand je clique sur terminer, il me met que c'est un dossier critique, qu'il peut pas le terminer. quelqu'un pourrait m'aider ?
26 Juin 2007 20:12:53

helpwindow>dit moi tu as le code source de cette merde je 'narrive pas à l'obtenir ,perso du moment que l'on ne l'execute pas il n'y arrive rien moi sa fait 1 jour qu'il est sur mon bureau.
      • 1 / 2
      • 2
      • Dernier
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS