virus msn michael jackson

Bjr,

Etant une vraie tache en informatique, j'aimerais virer ce virus de mon ordi.

Je vous joint mon log, si quelqu'un peut l'analyser... :

Code:

  Logfile of HijackThis v1.99.1
  Scan saved at 08:44:16, on 08/06/2006
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
  
  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\SYSTEM32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\system32\bgsvcgen.exe
  C:\WINDOWS\system32\drivers\CDAC11BA.EXE
  C:\WINDOWS\system32\cisvc.exe
  C:\Program Files\Fichiers communs\InstallShield\Driver\Intel 32\IDriverT.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\Explorer.exe
  C:\WINDOWS\services.exe
  C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
  C:\Program Files\MessengerPlus! 3\MsgPlus.exe
  C:\WINDOWS\system\taskmam.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\WINDOWS\system\msnmsgr.cmd
  c:\progra~1\intern~1\iexplore.exe
  C:\Program Files\SAGEM\SAGEM <a href="mailto:F@st800\dslmon.exe" target="_new">F@st800\dslmon.exe</a>
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\WINDOWS\SYSTEM32\cidaemon.exe
  C:\Program Files\Wanadoo\EspaceWanadoo.exe
  C:\Program Files\Wanadoo\ComComp.exe
  C:\Program Files\Wanadoo\Watch.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\Program Files\mozilla.org\Mozilla\mozilla.exe
  C:\WINDOWS\system32\LVComsX.exe
  C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
  
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr10.hpwis.com/
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://fr.search.yahoo.com
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcD3RW7BXlKjveXwxb5T1gVolMOlWMhclfMmRJhSMX/6Adkt2kNeNsVmGZSwOBptrGzhtj4LXmGqMRr6FY5WP9tG+Wiv+yJOQKrPjaHtQDw3V5Ic1jscv9+y4MmFANvxa1B4Ztcsq4jBpFtJPKZbbqK+7gGOp5W+pPQ
  R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://fr.search.yahoo.com
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
  R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
  R3 - URLSearchHook: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL
  R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} -  - (no file)
  F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
  O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
  O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
  O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
  O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL
  O2 - BHO: (no name) - {B22DC467-2976-1EAE-5527-09EB62B70203} - C:\DOCUME~1\PROPRI~1\APPLIC~1\EGGSHO~1\MFCDWIN.exe
  O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
  O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - C:\Program Files\Starware\bin\Starware.dll
  O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
  O3 - Toolbar: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - (no file)
  O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
  O3 - Toolbar: (no name) - {A20A76AD-7A29-4756-87FE-70C334CB40C0} - (no file)
  O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:\Program Files\Starware\bin\Starware.dll
  O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
  O4 - HKLM\..\Run: [datecitysignidol] C:\Documents and Settings\All Users\Application Data\Mail Book Date City\balm vga.exe
  O4 - HKLM\..\Run: [Shell] C:\WINDOWS\system\taskmam.exe
  O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [Okay phone] C:\DOCUME~1\PROPRI~1\APPLIC~1\AIMBIT~1\Else clock.exe
  O4 - Global Startup: DSLMON.lnk = ?
  O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
  O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
  O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
  O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
  O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
  O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
  O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
  O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
  O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab
  O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
  O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR_XP.cab
  O16 - DPF: {624321F1-0581-49D8-99BD-2E952C2DF31B} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_ASPIV4_XP.cab
  O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
  O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_FR_XP.cab
  O16 - DPF: {BA14D944-0D8C-4F16-A950-6E53EEBB558F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1040_FR_XP.cab
  O16 - DPF: {BE5A7132-329F-4319-B781-2A83BFE51534} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1045_FR_XP.cab
  O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR_XP.cab
  O16 - DPF: {D8B94E9A-A34B-4253-BF48-C7CB7F2CFDB0} - http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1046_FR_XP.cab
  O17 - HKLM\System\CCS\Services\Tcpip\..\{69506807-B3CB-403F-8586-E6F1397CC0DD}: NameServer = 80.10.246.130 80.10.246.3
  O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
  O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
  O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
  O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
  O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
  O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
  O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\Intel 32\IDriverT.exe
  O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Si quelqu'un peut me donner la démarche à suivre de façon simple avec un langage simple...
Merci


[ Ce message a ete modifié par : : vava288 le 08-06-2006 09:01 ]

salut
en utilisant ce lien:lien hijackthis

tu peux voir ce qui semble louche.avant de le fixer,il faut que tu fasses une recherche pour savoir si il faut l effacer ou non.

il semblerai que ses lignes soient louches:

C:\WINDOWS\services.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcD3RW7BXlKjveXw xb5T1gVolMOlWMhclfMmRJhSMX/6Adkt2kNeNsVmGZSwOBptrGzhtj4LXmGqMRr6FY5WP9tG+Wiv+yJO QKrPjaHtQDw3V5Ic1jscv9+y4MmFANvxa1B4Ztcsq4jBpFtJPKZbbqK+7gGOp5W+pPQ

O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab

O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR_XP.cab

O16 - DPF: {624321F1-0581-49D8-99BD-2E952C2DF31B} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_ASPIV4_XP.cab

O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_FR_XP.cab
Méchant Cette inscription est probablement méchante.
Il vaut mieux effacer cette inscription !
O16 - DPF: {BA14D944-0D8C-4F16-A950-6E53EEBB558F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1040_FR_XP.cab

O16 - DPF: {BE5A7132-329F-4319-B781-2A83BFE51534} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1045_FR_XP.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR_XP.cab


O16 - DPF: {D8B94E9A-A34B-4253-BF48-C7CB7F2CFDB0} - http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1046_FR_XP.cab

et tu as des choses inutiles,a toi de voir.
bon courage

Merci d'utiliser dorénavant la balise
code

[*code] et [/*code]

(enlever les *)

OK, merci

J'ai déjà analysé mon log avec le lien que tu m'a donné et en effet plusieurs choses sonsont louches.
Mais, étant une quiche en informatique, que dois-je faire concrètement après pour virer toutes ces ****** ?
La manip à suivre concrètement !!!???

Merci

Salut a toi, alors pour enlever tous ça, c'est simple.

Quand tu fais un scan avec hijackthis, a la fin, tu verra il y a des petites cases en début de chaque ligne, il te suffira de cocher celles qui sont louches , donc que tu veut enlever.
En suite tu clique sur "fixer l'objet" en bas

et voilou, il te restera plus a rescanner pour voir si tous vas bien et aussi de faire des scans antispywares et antiviraux

Dac !

Tout ce qui est "inconnu", "inutilement", "éventuellement méchant" faut-il les virer systématiquement ?
Si non, comment savoir ?

Par contre tout ce qui est "méchant" je suppose qu'il n'y a pas à se poser la question...on le vire !

Tout ce qui est "inconnu", "inutilement", "éventuellement méchant" faut-il les virer systématiquement ?
Si non, comment savoir ?


utilise

Bonjour ax59 et bienvenu Sur-La-Toile.J'analyse ton log et je te donne la marche à suivre.

Bonne aprés midi.

Clique sur le + pour voir mon message Code:

  Imprime cette réponse tu n'aura pas accés au net pendant le mode sans échec
  
  1) Télécharger et installer
  
  - Ccleaner =>www.clubic.com/telecharger-fiche14492-ccleaner-crap-cleaner-.html
  
  - La version d'évaluation d'ewido =>download.ewido.net/ewido-setup.exe
  
  * Pendant l'installation
  * Sur la page Additional Options
  * Décoche Install background guardet et Install scan via context menu
  Lance Ewido Security Suite. Clique sur Mise à jour La mise à jour faite quitte ewido.
  
  2) -Désactive la restauration systéme =>service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
  
  3) Redémarre ton PC en mode sans échec Imperatif !!! => service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924
  
  4) Relances Hijackthis, clique sur le bouton Scanner seuleument coche la case devant les lignes suivantes:
  
  
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcD3RW7BXlKjveXw xb5T1gVolMOlWMhclfMmRJhSMX/6Adkt2kNeNsVmGZSwOBptrGzhtj4LXmGqMRr6FY5WP9tG+Wiv+yJO QKrPjaHtQDw3V5Ic1jscv9+y4MmFANvxa1B4Ztcsq4jBpFtJPKZbbqK+7gGOp5W+pPQ
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
  R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
  R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} - - (no file)
  F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
  O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
  O2 - BHO: (no name) - {B22DC467-2976-1EAE-5527-09EB62B70203} - C:\DOCUME~1\PROPRI~1\APPLIC~1\EGGSHO~1\MFCDWIN.exe
  O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
  O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
  O3 - Toolbar: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - (no file)
  O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
  O3 - Toolbar: (no name) - {A20A76AD-7A29-4756-87FE-70C334CB40C0} - (no file)
  O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe
  O4 - HKLM\..\Run: [Shell] C:\WINDOWS\system\taskmam.exe
  O4 - HKCU\..\Run: [Okay phone] C:\DOCUME~1\PROPRI~1\APPLIC~1\AIMBIT~1\Else clock.exe
  O4 - Global Startup: DSLMON.lnk = ?
  O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
  O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab
  O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR_XP.cab
  O16 - DPF: {624321F1-0581-49D8-99BD-2E952C2DF31B} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_ASPIV4_XP.cab
  O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_FR_XP.cab
  O16 - DPF: {BA14D944-0D8C-4F16-A950-6E53EEBB558F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1040_FR_XP.cab
  O16 - DPF: {BE5A7132-329F-4319-B781-2A83BFE51534} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1045_FR_XP.cab
  O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR_XP.cab
  O16 - DPF: {D8B94E9A-A34B-4253-BF48-C7CB7F2CFDB0} - http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1046_FR_XP.cab
  
  -Clique sur Fixer obget
  
  5) Autorise l'affichage des fichiers et dossiers cachés
  
  -Poste de travail menu Outils
  - Option des dossiers onglet Affichage
  -Cocher Afficher les Fichiers et dossiers cachés
  -Décocher Masquer les fichiers protégés du système d'exploitation (recommandé)
  -Décocher Masquer les extensions dont le type est connu
  -clique sur Appliqueret Ok pour valider les changements.
  
  - Supprime ce qui est en gras si encore présent. 
  
  C:\WINDOWS\system32\fservice.exe
  C:\WINDOWS\system\taskmam.exe
  
  
  6) Utilise Ccleaner pour faire le ménage sur ton disque dur
  Dans Nettoyeur
  Laisse cochée les cases des onglets Windows et Applications
  Décoche dans Erreurs la case devant Intégrité du registre et Intégrité des fichiers
  Clique sur le bouton Analyse puis celle-ci finie sur Lancer le nettoyage
  
  7) Fais un scan avec ewido
  * Clique sur Scanner puis sur Scan complet du système
  * Si des fichiers infectés sont trouvés, garde l'option par défaut Supprime avec la ligne Créer des copies de sauvegarde cryptées dans la quarantaine cochée
  * A la fin du scan,Sauver le rapport.
  
  8) Redémarre ton pc en mode normal, poste un nouveau rapport d'hijackthis, poste aussi le rapport d'ewido
  
  9)N'oublie pas d'utiliser les BBcode pour mettre ton log