virus MSN "est-ce vous sur cette photo"

Salu tout le monde. Et bien voila, moi il m'est arivé le même chose.
depuis, dès que je vais sur msn, ce fameux trojan envoi le message que j'ai reçu pour me faire contaminer à tout mes contacts. il faut croire que c'est comme ça que ça se propage.
J'ai fais une analyse avec hijackthis. Est-ce-que vous pourriez me dire coment m'en sortir, parceque là c'est un peu la galère

Bonjour mogsoli, je ne pense pas que ce virus soit exactment un trojan ou bien alors nous avons reçu une variante, ma copine, mes contacts MSN et moi, qui se nomme apparement Downloader-BST qui serait, en fait, un virus de type Worm (asticot), pour le moment je connais encore pas grand chose sur celui-ci mise à part qu'il ne touche que les raccourcis permettant d'activer Windows Live Messenger (et MSN Messenger), vous pouvez donc toujours utiliser le logiciel sus-nommé en l'activant par son fichier source qui se trouve dans C:\Program Files\MSN Messenger\msnmgr.exe. C'est malheuresement tout ce que je peux vous apprendre à l'heure actuelle.

J'ais aussi été infecté par cette saloperie et j'ai trouvé le moyen de s'en debarasser
lorsque vous avez accepté le fichier qui se trouvai sur le lien vous avez enregistré un fichier nommé "photo 8" qui est a supprimer bien evidemment ensuite il y a un fichier qui se trouve sur le bureau nommé "services" seulement impossible de le supprimer car il est en cours d'execution n'est ce pas ? alors il faut donc saisir sur le clavier "Ctrl + alt + suppr " afin d'acceder au "gestionnaire des taches windows" une foit que ceci est ouvert il faut cliquer sur l'onglet "processus" puis chercher une processus nommé "services.exe" avec un clic droit vous pourrez "definir la priorité", la plus basse possible pour que lors du demarrage de votre Pc le programme ne s'execute qu'apres tt les autres

Il faudra ensuite redemarrer votre ordi mais ne surtout pas profiter des ces 2 min de demarrage pour aller a vos lieux d'aisance ou bien vour faire un café car il faut supprimer le fichier "services" qui se trouve sur votre bureau ainsi qu'un autre qui n'apparaitra pas chez tt le monde nommé "call" des que votre bureau apparait lors du demarrage de votre ordinateur car comme la priorité a été definie en tant que basse le programme ne s'executera qu'en dernier et ainsi le fichier sera supprimable
normalement vous serez debarrassé de cette merde
Si vous avez des questions je reste a votre entiere disposition
>Cordialement

Le fichier Photo8 se trouve la ou vous l'avez enregistré lorsque sur la page du lien la fenetre enregistrer le fichier est apparue vous avez du selectioner un lieu ou vous voulez l'enregistrer vous pouvez rechercher ds le systeme le fichier le supprimer et ainsi le fichier services apparaitra et vous pourrez modifier la priorité d'execution de ce programme

je ne suis pas expert en informatique j'explique juste la maniere dont j'ai reussi a m'en debarasser peut etre qu'elle ne fonctionne pas sur tous les ordinateurs
j'espere que mes derniers conseils vous aiderons a resoudre le probleme
> Cordialement

voila on m'a envoyé ce virus mais comme je sentais le coup venir quand j'ai vu que le fichier était un executable en ms dos j'ai dit on enregistre le fichier ,mais on le l'execute pas .Et j'aimerais savoir comment fait on pour obtenir le code ms -dos de se fichier pour que je puisse comprendre comment il marche ?



merci , en tout cas avg ne l'a pas détecté car il ne doit pas connaitre la signature du virus .


bonne nuit

Télécharge MSNFix.zip (!aur3n7) sur ton Bureau.
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout).

Ouvre le dossier MSNFix puis double-clique sur MSNFix.bat.
- Exécute l'option R.
-- Si l'infection est détectée, presse une touche pour lancer le nettoyage. (N)

Si tu dois redémarrer l’ordinateur fais le manuellement.

Poste le rapport situé dans le dossier MSNFix.
Le nom du rapport correspond au moment de sa création : date_heure.log

Créé ton sujet avec un log hijackthis
[télécharge Hijackthis :
http://www.downloads.subratam.org/hijackthis.zip
Dézippe-le dans un dossier sur le bureau par exemple.
Double clique sur hijacthis.exe
Puis "Do a system scan and save a logfile" et poste le rapport.
]

J'ai réussi à virer le virus je crois grace à Ad-Aware. Mais quand j'ouvre MSN les 3/4 de mes contact on disparu !!! Comment je pourais revenir a la normale ?!

J'ai ce problème aussi.
J'ai réinstallé msn sans redémarrer après, donc pour l'instant ça marche.
Je ne sais pas si après reboot il ne va pas se remettre dans les raccourcis.
Je n'ai aucun fichier sur le bureau.



Scan HJT :


Logfile of HijackThis v1.99.1
Scan saved at 10:19:34, on 26/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (*.**.****.*****)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Visagesoft\eXPert PDF\vspdfprsrv.exe
C:\Program Files\Iconoid\iconoid.exe
C:\Program Files\TuneUp Utilities 2006\MemOptimizer.exe
C:\Program Files\AntiViral Toolkit Pro\avpm.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Documents and Settings\Romain\Mes documents\Romain\Diff prog install\hijackthis\bonjour.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NVIDIA Remote Control Panel] NVAREM.EXE /S /Q /R /L /A1 /B0 /C0 /D2 /E0
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
O4 - HKCU\..\Run: [Iconoid] "C:\Program Files\Iconoid\iconoid.exe" -wait 0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.encyclo.wanadoo.fr/JS/tdserver.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binar [...] _FR_XP.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/ [...] 1.14.0.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9ED5B9B1-C4F9-4415-85DE-740B8385867D}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\WINDOWS\System32\x10nets.exe

Alosr quelqu'un peut me répondre ,sur comment je fais pour trouver le code source de ce virus ? sachant qu'il s'éxecute sous ms dos .Me faut t'il un décompilateur ?

@SilverNightfall : Il est juste inactif, ce qui m'intéresse c'est de le virer.
De plus, le processus service.exe ne peut pas s'arrêter...

Je ne l'ai plus.... normalement
Faire un rapport Hi Jack This, Analyser le rapport HJT avec le site http://hijackthis.de, fixer les lignes marquées d'une croix rouge, redémarrer, réinstaller msn.
Je crois que je l'ai plus...

Bonjour j'ai reçu ce message, et donc une fois que j'ai cliqué j'ai fait exécuter, puis il y a eu un message d'erreur, mais pour l'instant il ne se passe rien.

Spybot n'a rien détecté, msn messenger ne rame pas, bref serait-il possible que mon anti virus (norton) ait supprimé le virus?

Merci.

D'accord merci.

Cependant un ami m'a dit que le virus s'est manifesté quelques heures plus tard...

Mais si spybot n'a rien trouvé, et que le fichier photo8 n'est pas présent sur mon ordinateur, peut-être que Norton a pu s'occuper de lui avant qu'il devienne nuisible?!

Sans doute JBFR69, en revanche, pour ma part le fichier photo8 n'existe pas car j'ai cliquer directement sur Ouvrir et non sur Enregistrer.

Moi aussi JBFR69, c'est pour cela que le fichier photo8 n'existe pas sur ton PC.

En ce qui concerne Norton, je ne peux malheureusement pas te renseigner JBFR69 car je ne dispose pas de cet antivirus. Mais effectivement tu n'est pas à l'abri comme personne ne l'est entièrement.

Tu as réussi à extraire la source ? car moi rien du tout ,la seul ligne que j'obtient est <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
</assembly> avec reshack ,

et pour fouiller je suis aller sur le site mère de là ou tout le monde a DL le fichier et çà dit sur l'index de la page //www.lookatmedrunk.net/

The Page Cannot Be Found
The page you are looking for might have been removed, had its name changed, or is temporarily unavailable.



Please try the following:

* If you typed the page address in the address bar, make sure that it is spelled correctly.
* Open the home page and then look for links to the information you want.

voilà ,j'espère obtenir ce code source, merci .

HiJackThis est pourtant simple d'utilisation JBFR69 vas sur leur site qui est: http://www.hijackthis.de/fr puis copie ton log dans le cadre prévu à cet effet. Ensuite tu n'as qu'a supprimer les lignes que le site t'indiquera grâce à des croix rouge ou des point d'interrogation.

C'est que ton PC n'a rien mais de toute façon HiJackThis ne peut pas détécter ce virus du fait qu'il faut que MSN soit activé pour qu'il s'affiche dans le log. Hors si tu active MSN tu ne peut plus rien faire ! Le créateur de cette s*l*p*r*e à tout prévu !!!

Là je suis sur msn, et norton n'a rien trouvé.

Donc je vois le bilan, il y a des croix rouges sur des fichiers qui ne sont pas à moi (c'est un ordi familial) cela veut dire qu'ils sont dangereux?

Et pous les effacer comment dois-je m'y prendre?

Je suis sur msn là et norton n'a rien détecté.

bonjour moi je lé chopé ce matin é g norton...il me le detecte toute les 20 seconde a peu pret(trojan dropper) é a chaque foi il me di kil la effacé mé le virus est tjr la...moi c pareil g ke msn ki é infecté...CA MéNERVE!!

!! ATTENTION !!
Je vien de découvrir que le programme fait un loader pour messenger !!

C:\Program Files\MSN Messenger :
msnmsgr.exe => 80 Ko
msnmgr.exe => Original

Donc en clair, il faut faire tres attention, bvous ne saurez pas le supprimer comme vous voulez ...

helpwindow>dit moi tu as le code source de cette merde je 'narrive pas à l'obtenir ,perso du moment que l'on ne l'execute pas il n'y arrive rien moi sa fait 1 jour qu'il est sur mon bureau.