Est-ce un malware

[bedouin]

Bonjour,

 

En allant sur hijackthis.de, le fichier "winmsgr.exe" a été décrit comme peu sûr. En écrivant ce nom dans google je suis tombé sur un forum où ce fichier était décrit comme un malware. Qu'en pensez-vous?

 

Merci d'avance

[angelique]

la question se pose meme pas!!

 

http://www.bleepingcomputer.com/startups/w....exe-16932.html

 

 

tu postes ton rapports hijackthis afin qu'un membre sécurité te donne la marche à suivre.

[bruce lee]

Bonjour bedouin, angelique

 

bedouin, telecharge la version original de hijackthis http://www.merijn.org/files/hijackthis.zip

 

déconnecte toi du net et installe le sur ton bureau

 

lance le en cliquant sur Do a system scan and save a logfile a la fin du scan le bloc note va s'ouvrir tu fais un copier coller de tout son contenu.

[bedouin]

Voilà mon hijack:

 

Logfile of HijackThis v1.99.1

Scan saved at 23:14:10, on 18/02/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Program Files\AntiVir PersonalEdition Classic\sched.exe

D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\devldr32.exe

C:\PROGRA~1\WANADOO\TaskBarIcon.exe

D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

D:\Program Files\WinZip\WZQKPICK.EXE

C:\WINDOWS\System32\wuauclt.exe

D:\Program Files\mozilla\firefox.exe

D:\Program Files\Hijack This\bedouin.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_SE6.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [WinMsg] C:\WINDOWS\winmsgr.exe

O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

[bruce lee]

Bonjour bedouin,

 

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

Je te conseille d'enregistrer la page web compléte sous Internet Explorer comme ceci :

 

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau,comme cela tu retrouvera la mise en forme ou imprime cette réponse. Une partie de la désinfection se déroulera en mode sans échec.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

 

2/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

 

3/lance hijackthis en cliquant sur do a scan system only et coche cette ligne:

 

O4 - HKLM\..\Run: [WinMsg] C:\WINDOWS\winmsgr.exe

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

4/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

 

Décocher la case : Masquer les extensions des fichiers dont le type est connu

 

Décocher la case : Masquer les fichiers protégés du système d'exploitation

 

cliquer sur "Appliquer"

 

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

5/Supprime ce qui est en gras:

 

C:\WINDOWS\ winmsgr.exe<== le fichier

 

6/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

7/Redémarre en mode normal

 

8/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis.

 

Bon courage, et si tu as la moindre question n'hésite surtout pas

 

@+

[bedouin]

Sur bitdefender : rien à signaler.

 

Avec avg non plus :

voilà le résultat de l'analyse avant même que je supprime winmsg.exe

D:\softwares\Diskeeper_6fr\Diskeeper6cr.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Aucune action entreprise.

D:\softwares\Groove Mechanic\Groove_Mechanic_2.4b_Patch.zip/GrooveMech24b_p.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Aucune action entreprise.

D:\softwares\ReGetdx_2.1ab107fr\Groove Mechanic\Groove_Mechanic_2.4b_Patch.zip/GrooveMech24b_p.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Aucune action entreprise.

D:\softwares\dBpowerAmp Music Converter_7a\tC_dMC-PowerPack.zip/Powerpack_crack.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Aucune action entreprise.

:mozilla.16:C:\Documents and Settings\louis\Application Data\Mozilla\Firefox\Profiles\tz1mnllx.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.

:mozilla.9:C:\Documents and Settings\louis\Application Data\Mozilla\Firefox\Profiles\tz1mnllx.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.

C:\Documents and Settings\didier\Cookies\didier@gettyimages.122.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.

C:\Documents and Settings\didier\Cookies\didier@advertising[2].txt -> TrackingCookie.Advertising : Aucune action entreprise.

C:\Documents and Settings\didier\Cookies\didier@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.

C:\Documents and Settings\didier\Cookies\didier@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.

C:\Documents and Settings\didier\Cookies\didier@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.

C:\Documents and Settings\didier\Cookies\didier@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.

C:\Documents and Settings\didier\Cookies\didier@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.

C:\Documents and Settings\didier\Cookies\didier@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.

:mozilla.11:C:\Documents and Settings\agathe\Application Data\Mozilla\Firefox\Profiles\7lqooqr1.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.

:mozilla.12:C:\Documents and Settings\agathe\Application Data\Mozilla\Firefox\Profiles\7lqooqr1.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.

C:\Documents and Settings\didier\Cookies\didier@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.

 

 

Fin du rapport

 

 

Maintenant j'ai supprimé le fichier soi-disant infecté (je dis soi-disant car apparemment aucun antispyware ne m'a trouvé un spyware ou un malware).

Voilà le nouvel hijack

Logfile of HijackThis v1.99.1

Scan saved at 23:05:30, on 19/02/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Program Files\AntiVir PersonalEdition Classic\sched.exe

D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\devldr32.exe

D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\PROGRA~1\WANADOO\TaskBarIcon.exe

C:\PROGRA~1\WANADOO\EspaceWanadoo.exe

C:\PROGRA~1\WANADOO\ComComp.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\PROGRA~1\WANADOO\Toaster.exe

C:\PROGRA~1\WANADOO\Inactivity.exe

C:\PROGRA~1\WANADOO\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

D:\Program Files\WinZip\WZQKPICK.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\PROGRA~1\WANADOO\Watch.exe

D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

D:\Program Files\mozilla\firefox.exe

D:\Program Files\Hijack This\bedouin.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_SE6.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

[bruce lee]

Bonjour bedouin,

 

Tu as mal utilisé AVG Anti Spyware il te faut recommencer.

 

@+

Modifié le 20 février 2007 par bruce lee

[bedouin]

Que veux-tu dire par "j'ai mal utilisé avg ?"

[bruce lee]

re,

 

Je veux dire que tu n'as pas fait ceci:

 

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

 

Il te faut donc recommencer et poster le nouveau rapport après.

 

@+