Virus avec msn ?

greg_gonzal · le 3 mai 2005

Bonjou,

depuis hier que j'ai cliquer sur un lien que m'avait envoyé un copain (sans qu'il fasse exprès, c'est partis tout seul de son ordi) je me retrouve à envoyer à tout mes contacts en ligne ce lien! S'ils cliquent dessus ça fait comme chez moi, ils l'envoient à leur tour à leurs contact en ligne.

Avec mon antivirus avast, j'ai fait analyser mon PC et il n'a rien trouver de suspect... pourtant je continue à infecter tout le monde...

Que puis-je fait pour ça???????

voila le lien qui s'affiche: ( attention, ne cliquez pas dessus ) <- édit ipl_001 si ce n'est pas bon pour toi, si ce n'est pas bon pour tes amis, comment est-ce que ça ne pourrait pas être néfeste sur un forum ??? :-(

Suite à la demande de queruak, j'ai enlever le lien... désolé de l'avoir mis, je ne savais pas que c'était pas bon...

Modifié le 3 mai 2005 par ipl_001

Clément64 · le 3 mai 2005

Bonjour a toi,

Et bienvenue Sur Zebulon.fr!

Si tu crains une infection, commence par faire un peu de ménage dans le système :

lance l'Explorateur Windows et supprime le contenu de
--- C:\Temp
--- C:\Windows\Temp
suppression des fichiers inutiles par :
-----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles
----- EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm
nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm
examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; [red](à faire avec Internet Explorer) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent
examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve
examen antispyware par
------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve
----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve.

Ton p.c respirera un peu mieux après ça!

Ensuite poste un rapport hijackthis.

- télécharger HijackThis de Merijn Belekom

http://www.merijn.org/files/hijackthis.zip

- l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp)

- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé.

- cliquer sur 'Scan', l'affichage est instantané.

- à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.

- une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

- mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire.

- fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.

- attendre l'analyse et la réponse.

Modifié le 3 mai 2005 par Clément64

queruak · le 3 mai 2005

Bonjour,

greg_gonzal

C'est quoi ce lien de m...que tu as mis là?

Désactive le vite s'il te plait

Attention ne cliquez pas dessus !!!

le 3 mai 2005

Queruak ça ressemble à Serflog. Qu'est-ce que tu en penses?

queruak · le 3 mai 2005

Queruak ça ressemble à Serflog. Qu'est-ce que tu en penses?

496831[/snapback]

Salut Stonangel

Serflog se présente sous la forme d'un message contenant un lien vers un fichier au nom aléatoire avec une extension en .PIF ou .SCR

Ce lien est vers un fichier avec une extension .exe

De plus greg_gonzal ne décrit pas les manifestations habituelles en cas d'infection par Seflog.

Si ce fichier est exécuté, le virus se copie alors dans le répertoire Système sous le nom formatsys.exe ou serbw.exe ou bien dans le répertoire Windows sous le nom msmbw.exe, modifie la base de registres pour s'exécuter à chaque démarrage, puis s'envoie à tous les contacts MSN, se copie des plusieurs répertoires mis en partage, modifie le système pour empêcher la connexion aux sites des principaux éditeurs d'antivirus, puis tente de désactiver certains antivirus et pare-feux personnels

http://www.secuser.com/alertes/2005/serflog.htm

Rappelle toi aussi les discussions qu'on avait sur PCA,ou ce Serflog "gelait" meme les autres outils de sécurité.

Clément64 · le 4 mai 2005

Up, si on pouvait avoir le rapport hijackthis...

greg_gonzal · le 4 mai 2005

voila le rapport...

Merci de me dire les eventuels problèmes...

Logfile of HijackThis v1.99.1

Scan saved at 20:23:38, on 04.05.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Fichiers communs\BullGuard\BullGuard Communicator\xcommsvr.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Progra~1\Launch Manager\LaunchAp.exe

C:\Progra~1\Launch Manager\PowerKey.exe

C:\Progra~1\Launch Manager\HotkeyApp.exe

C:\Progra~1\Launch Manager\CtrlVol.exe

C:\Progra~1\Launch Manager\Wbutton.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

C:\WINDOWS\system32\msncheck32.exe

C:\Program Files\Fichiers communs\BullGuard\BullGuard Scan Server\bdss.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\msncheck32.exe

C:\Program Files\BullGuard\vsserv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\a2\a2guard.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\DOCUME~1\chef\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [LaunchApp] LaunApp

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe

O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe

O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe

O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

O4 - HKLM\..\Run: [Microsoft Windows DLL 32-BIT] msncheck32.exe

O4 - HKLM\..\Run: [FILE] C:\WINDOWS\abcdefg.exe

O4 - HKLM\..\RunServices: [Microsoft Windows DLL 32-BIT] msncheck32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Microsoft Windows DLL 32-BIT] msncheck32.exe

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab30149.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab30149.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: BullGuard Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\BullGuard\BullGuard Scan Server\bdss.exe

O23 - Service: BullGuard Virus Shield (VSSERV) - Unknown owner - C:\Program Files\BullGuard\vsserv.exe

O23 - Service: BullGuard Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\BullGuard\BullGuard Communicator\xcommsvr.exe

Clément64 · le 4 mai 2005

Re

Pour n'anlyse, je peux pas t'aider. Par contre, hijackthis est mal installé :

C:\DOCUME~1\chef\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

Il faut installer le logiciel dans un répertoire dédié (comme C:\Program Files\Hijackthis) mais pas sur le bureau ou dans un fichier temp...

queruak · le 4 mai 2005

Bonjour,

-1-Télécharge et installe CleanUp !

http://cleanup.stevengould.org/

-2-Assure toi d'avoir accés à tous les fichiers.

Poste de travail
Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer".

-3-Termine le(s) processus suivant(s).

-msncheck32.exe

Appuyer simultanement sur les touches Ctrl+Alt+supp-->le gestionnaire des taches s'ouvre-->onglet processus--->terminer processus.

-4-Lance Hijackthis,scan,et coche les lignes en gras ci-dessous.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [LaunchApp] LaunApp