Virus sur msn (myspace)

lejojo17 · Février 3, 2010, 10:09

Bonjour. je viens de cliquer (malheureusement) sur un lien que l’un de mes contacts m’a envoyé dans lequel j’etais sensé voir une photo de moi sur myspace!
il s’avère que ce n’est autre qu’un virus qui se diffuse dans tous mes contacts connecté des que je suis sur msn :s
Voila mon analyse HijackThis :

"Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:08:13, on 03/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.EXE
C:\WINDOWS\infocard.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.findarticlesblog.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\RazaWebHook32.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM…\Run: [StartCCC] “C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” MSRun
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [avast!] “C:\Program Files\Alwil Software\Avast4\ashDisp.exe”
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”
O4 - HKLM…\Run: [Adobe ARM] “C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe”
O4 - HKLM…\Run: [Firewall Administrating] infocard.exe
O4 - HKCU…\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19…\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-20…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User ‘Default user’)
O4 - HKUS.DEFAULT…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘Default user’)
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = C:\Program Files\SAGEM WiFi manager\WLANUTL.EXE
O8 - Extra context menu item: Download with &Shareaza - C:\Program… Files\Shareaza\RazaWebHook32.dll/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Droppix Service - Droppix - C:\Program Files\Fichiers communs\Droppix\DxService.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

–
End of file - 5731 bytes"

Si quelqu’un pouvait m’eclairer sur la procedure pour eliminer ce virus je suis preneur!! Car la je suis perdu :s
Merci d’avance
Edité le 03/02/2010 à 22:11

cricri58 · Février 4, 2010, 3:51

Salut

==> lignes montrant quun Windows a été modifié

Anthony5151 · Février 4, 2010, 2:13

Bonjour,

L’infection est visible ici sur le rapport :
O4 - HKLM…\Run: [Firewall Administrating] infocard.exe

Fais ce scan généraliste stp :

Télécharge et installe Malwarebytes’ Anti-Malware
A la fin de l’installation, veille à ce que l’option « mettre a jour Malwarebyte’s Anti-Malware » soit cochée
Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
Puis va dans l’onglet “Recherche”, coche “Exécuter un examen complet” puis “Rechercher”
Sélectionne tes disques durs" puis clique sur “Lancer lexamen”
A la fin du scan, clique sur Afficher les résultats
Coche tous les éléments détectés puis clique sur Supprimer la sélection
Enregistre le rapport
S’il t’est demandé de redémarrer l’ordinateur, clique sur Yes
Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

Remarque : Même si les symptômes disparaissent, la désinfection n’est pas terminée après ça ==> merci de revenir jusqu’au bout

lejojo17 · Février 4, 2010, 4:28

Voila j’ai terminer le scan et j’ai supprimer les 22 elements detectés !!

Malwarebytes’ Anti-Malware 1.44
Version de la base de données: 3688
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04/02/2010 16:26:57
mbam-log-2010-02-04 (16-26-57).txt

Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 312037
Temps écoulé: 1 hour(s), 13 minute(s), 59 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 18

Processus mémoire infecté(s):
C:\WINDOWS\infocard.exe (Backdoor.IRCBot) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\firewall administrating (Backdoor.IRCBot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Christophe.CHRISTOPHE1\Local Settings\Application Data\icegcb_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Christophe.CHRISTOPHE1\Local Settings\Application Data\icegcb_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Christophe.CHRISTOPHE1\Local Settings\Application Data\icegcb.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Christophe.CHRISTOPHE1\Local Settings\Application Data\icegcb.exe (Adware.Navipromo.H) -> Quarantined and deleted successfully.
D:\Mes programmes\Logiciels TV\TVTool\TVtool 9.5.5.5\Keygen.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Mes programmes\Windows XP\WindowsXP Product Key Viewer.exe (Hacktool.KeySteal) -> Quarantined and deleted successfully.
D:\Mes programmes\Windows XP\Crack Windows XP Édition familiale\Crack Windows XP Édition familiale\reset2.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Mes programmes\WinRAR 3.20 Fr\Crack WinRAR 3.20 fr.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\System Volume Information_restore{1CB2ABA9-3C39-4391-B769-ACDFBC410C35}\RP12\A0004697.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\System Volume Information_restore{1CB2ABA9-3C39-4391-B769-ACDFBC410C35}\RP12\A0004701.exe (Hacktool.KeySteal) -> Quarantined and deleted successfully.
D:\System Volume Information_restore{1CB2ABA9-3C39-4391-B769-ACDFBC410C35}\RP12\A0004755.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\System Volume Information_restore{1CB2ABA9-3C39-4391-B769-ACDFBC410C35}\RP12\A0005030.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\System Volume Information_restore{1CB2ABA9-3C39-4391-B769-ACDFBC410C35}\RP12\A0005152.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\System Volume Information_restore{1CB2ABA9-3C39-4391-B769-ACDFBC410C35}\RP13\A0008263.exe (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
D:\System Volume Information_restore{1CB2ABA9-3C39-4391-B769-ACDFBC410C35}\RP54\A0033628.exe (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\minftnet.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Christophe.CHRISTOPHE1\Application Data\urlredir.cfg (Adware.AdRotator) -> Quarantined and deleted successfully.
C:\WINDOWS\infocard.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.