Tout d´abord bonjour ^^
Voila, j´ai un virus sur msn qui chaque fois que j´ouvre une conversation envoie un message en espagnol contenant l´adresse d´un site pornographique.
J´ai été faire des recherches, j´ai fais mon hijackthis. Alors si quelqu´un avait un peu de temps pour m´aider, ce serait sympa de m´aider à déchiffrer mon scan. Merci d´avance

Logfile of HijackThis v1.99.1
Scan saved at 18:58:21, on 15/03/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\NVATray.exe
C:\Program Files\Speed Disk\nopdb.exe
C:\WINDOWS\System32\Tablet.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0
8.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Windows\Cursors\Rg2catbd.exe
C:\WINDOWS\ying.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Utilisateur\Bureau\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.belgacom.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0
8.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
O4 - HKLM\..\Run: [iVISTA] C:\Program Files\Inetcam\iVISTA40\programs\ivista.exe -tray
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [LyraHD2TrayApp] "C:\Program Files\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OFFICEKB] C:\Program Files\Trust\3010A WIRELESS DESKSET\Keyboard\kbdap32a.EXE
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Trust\3010A WIRELESS DESKSET\Mouse\mouse32a.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\ying.exe
O4 - HKLM\..\Run: [Rg2catbd] C:\Windows\Cursors\Rg2catbd.exe
O4 - HKLM\..\Run: [ying] C:\WINDOWS\ying.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra ´Tools´ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ´Tools´ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .ssc: C:\WINDOWS\Downloaded Program Files\Ubizen\SmartStart\NPSmartStart32.dll
O14 - IERESET.INF: START_PAGE_URL=
http://www.belgacom.net
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) -
http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{C0ED30A9-038E-4
7E0-A7DD-049F27C9561D}: NameServer = 195.238.2.22 195.238.2.21
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpdj - HP - C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\hpdj.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

Bonsoir

Déjà mets IE à jour, passe à la version 7.

Je te conseil d´exécuter Hiajckthis dans un dossier à son nom, par exemple dans programme files dans un dossier nommé hijackthis, ça permet d´avoir recourt aux sauvegardes.

Ensuite coche les lignes ci dessous:

C:\Windows\Cursors\Rg2catbd.exe

C:\WINDOWS\ying.exe

O4 - HKLM\..\Run: [svchost] C:\WINDOWS\ying.exe

O4 - HKLM\..\Run: [Rg2catbd] C:\Windows\Cursors\Rg2catbd.exe

O4 - HKLM\..\Run: [ying] C:\WINDOWS\ying.exe

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

On continu, redémarre en mode sans échec:
http://service1.symantec.[...]d/20020905112131924

Cliques droit sur la Barre des Tâches > Gestionnaire des Tâches > Processus > Stoppe ces processus:

Rg2catbd.exe
ying.exe

Explorateur windows->outils->options des dossiers->affichage

"Afficher les fichiers cachés"->coché

"Masquer les extensions.."->décoché)

Supprime les fichiers:

C:\Windows\Cursors\Rg2catbd.exe
C:\WINDOWS\ying.exe
C:\Windows\Cursors\Rg2catbd.exe

Démarrer > Executer > Tape msconfig > Onglet démarrage > si tu vois des fichiers ayant le même noms que les fichiers cités ci dessous, supprime l´entrée.

(Ne supprime pas les dossiers eux-mêmes, mais tous les fichiers contenus.)

C\temp\ <-- supprimer tout le contenu du dossier

C:\windows\temp\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\<-- supprimer tout le contenu du dossier

A suivre..

++

Merci, je vais essayer ça

Ps: je n´utilise plus IE, mais il est tjr installé ^^

Oui mais tu dois quand même faire la mise à jour, conseillé.

Oki
Mais euh ton lien pour redémarrer en mode sans échec est mort ..

F8 au démarrage

sinon evilelf commen tu fais pour analyser un log?
moi je ne repère qu´un trucs les malware

Voici le bon lien:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020905112131924

C´est normal que j´ai énormément de fichiers dans C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\ ?

Pff sa fait longtemps que je n´utilsie pplus le client officiel.

Tu devrais faire comme moi tu aurait moins de pb

GOO AMSN!

J´ai pris amsn en attendant mais je préfère msn ^^

Oui c´est normal, as tu suivis toute la procédure ?

Et surtout j´ai oublié, as tu toujours le même souci?

Je vais d´abord supprimer mon temp, puis je vais réessayer mais la je vais devoir quitter, je dirai quoi plus tard
Merci beaucoup en tout cas

Avant que tu parte, après avoir suivis toute la procédure refaire un log hijackthis.

>>Si et seulement si<< le problème est résolue:

Fais ce scan en ligne :
http://www.bitdefender.fr/bd/site/page.php?tab=0

Clique, en bas à gauche sur "scan on line (nouveau)" Accepte ensuite la licence puis installe l´ActiveX. Continu.

Lorsqu´il a terminé, désactive ta restauration système :

http://service1.symantec.[...]_docid/2002083(...)

Redémarre et Créer un point de restauration système

http://www.vulgarisation-[...]nt-restauration.php

J´arrive à un écran blanc quand je veux faire mon scan online ..

Et les 2 derniers liens sont morts

Excuse moi encore une fois

http://www.bitdefender.fr/ pour le scan

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

pour le reste.

Créer un point de système n´est pas compliqué, il suffit d´ouvrir la restauration de système, ensuite tout est indiqué

Merci pour tout en tout cas
Bonne soirée