virus

Jo Van Gasse

10/10/2004 à 23:10

Fais Menu Démarrer -> Exécuter -> msconfig, OK, va dans l'onglet
Démarrage: est-ce qu'il y a une ligne qui fait référence à sys.msd ??

Non... j'avais déjà fait cette opération pour un problème très ancien et
j'avais éradiqué un virus à cette époque.

As-tu un anti-spyware (Ad-aware par exemple) ? Si non, installe-le et
fais une analyse.

J'ai Ad-aware en permanence... il ne détecte rien dans ce domaine.

J'ai aussi Zone Alarm....

Ce qui m'étonne, c'est que l'antivirus en ligne de "Secure" ne détecte
strictement rien. Il est pourtant renommé pour ne rien laisser passer.

Encore merci... je t'aurai créé bien des problèmes... c'est TRES gentil de
ta part.

Jo

"Maryse Levavasseur" a écrit dans le
message de news:

Bonjour,

In news:4168197d$0$24606$,
Jo Van Gasse typed:
oui... voici exactement (copier/coller) ce qu'il indique:

sys.msd - infected by Backdoor.Win32.Beastdoor.206.a

Rien trouvé sur internet... on n'est pas aidés :-(

Il indique que l'installation a échoué !
et dans la liste des mises à jour il indique simplement "Echec".

--
Maryse

---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.775 / Virus Database: 522 - Release Date: 8/10/2004

Jhuit

11/10/2004 à 06:03

Dans ce message à l'humanité souffrante news:,
Maryse Levavasseur a écrit:

Bonjour,

In news:4168197d$0$24606$,
Jo Van Gasse typed:
oui... voici exactement (copier/coller) ce qu'il indique:

sys.msd - infected by Backdoor.Win32.Beastdoor.206.a

Rien trouvé sur internet... on n'est pas aidés :-(

Il semble que Pest Patrol puisse éradiquer ce backdoor (porte dérobée qui
permet de prendre le contrôle de la machine):

http://www.pestpatrol.com/PestInfo/b/backdoor_beastdoor_206_b.asp

--
Amicalement, Jhuit.

Maryse Levavasseur

11/10/2004 à 10:08

In news:4169a566$0$10410$,
Jo Van Gasse typed:

Encore merci... je t'aurai créé bien des problèmes... c'est TRES
gentil de ta part.

Non non, on n'arrête pas là ! :-)
Peux-tu poster ici un rapport HijackThis ?
http://joke0.free.fr/ht.html

(j'insiste surtout pour ton problème de mise à jour Windows, car sans
ça, tu n'aurais probablement pas attrapé ce virus :-/ )

--
Maryse
<si on trouve toujours rien, je propose la solution radicale>

Jo Van Gasse

11/10/2004 à 16:22

Voici mon rapport hijack:

----------------------------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 16:18:26, on 11/10/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:WINDOWSEXPLORER.EXE
C:WINDOWSSVCHOST.EXE
C:WINDOWSSYSTEMRESTORESTMGR.EXE
C:WINDOWSSYSTEMMAPIICON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
D:PROGRAM FILESGRISOFTAVG6AVGCC32.EXE
C:PROGRAM FILESFICHIERS COMMUNSREALUPDATE_OBREALSCHED.EXE
D:PROGRAM FILESZONE LABSZONEALARMZLCLIENT.EXE
C:WINDOWSRunDLL.exe
D:PROGRAM FILESSPYBOT - SEARCH & DESTROYTEATIMER.EXE
C:PROGRAM FILESWEBSHOTSWEBSHOTSTRAY.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
C:WINDOWSSYSTEMZONELABSVSMON.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSSYSTEMDDHELP.EXE
D:LOGICIELSHIJACKTHIS.EXE
C:PROGRAM FILESOUTLOOK EXPRESSMSIMN.EXE
C:WINDOWSSYSTEMPSTORES.EXE
C:PROGRAM FILESMSN MESSENGERMSNMSGR.EXE
C:WINDOWSSYSTEMSPOOL32.EXE
C:WINDOWSSYSTEMHPFSTSC0.EXE
C:WINDOWSSYSTEMHPZSTATX.EXE

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.skynet.be/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak http://www.skynet.be/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
R3 - Default URLSearchHook is missing
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
D:PROGRAM FILESADOBEACROBAT 5.0READERACTIVEXACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:Program
FilesSpybot - Search & DestroySDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper -
{601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
O3 - Toolbar: (no name) - {99AFC088-C0DD-40ED-92D8-0C53E8997510} - (no file)
O3 - Toolbar: @msdxmLC.dll,,&Radio -
{8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX
O4 - HKLM..Run: [ADSL_A2] C:WINDOWSSYSTEMMapiIcon.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [AVG_CC] D:PROGRA~1GRISOFTAVG6avgcc32.exe /STARTUP
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [COM Service] C:WINDOWSCOMMANDmsrjwc.com
O4 - HKLM..Run: [Zone Labs Client] "D:Program FilesZone
LabsZoneAlarmzlclient.exe"
O4 - HKLM..RunServices: [Avgserv9.exe]
D:PROGRA~1GRISOFTAVG6Avgserv9.exe
O4 - HKLM..RunServices: [*StateMgr] C:WINDOWSSystemRestoreStateMgr.exe
O4 - HKLM..RunServices: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [TrueVector]
C:WINDOWSSYSTEMZONELABSVSMON.EXE -service
O4 - HKCU..Run: [Taskbar Display Controls] RunDLL
deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU..Run: [COM Service] C:WINDOWSCOMMANDmsrjwc.com
O4 - HKCU..Run: [SpybotSD TeaTimer] D:Program FilesSpybot - Search &
DestroyTeaTimer.exe
O4 - Startup: Webshots.lnk = C:Program FilesWebshotsWebshotsTray.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
present
O9 - Extra button: RadioWeb - {FF4DF9E0-E3DE-11CE-BFCF-ABCD1DE12346} -
D:PROGRAM FILESRADIOWEB PLAYERRadiowebPlayer.exe
O12 - Plugin for .pdf: C:PROGRA~1INTERN~1PLUGINSnppdf32.dll
O16 - DPF: Yahoo! Chess - http://yog16.yahoo.com/yog/y/cp0_x.cab
O16 - DPF: {713AE1D4-897C-11D2-B2A0-00C04F94B4D5} (WUCorpSuppControl
Class) - http://corporate.windowsupdate.microsoft.com/fr/wucorpct.CAB
O16 - DPF: {5CE8C9BE-B561-4311-8C03-D6F6C1CAF7E1} (CSND_AX.ctlCSND_AX) -
http://www3.compaq.com/support/sndetect/CSND_AX.CAB
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) -
http://www.parentwatch.com/content/demo/push.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) -
http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! WebCam Viewer
Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -
http://81.1.41.137/activex/AxisCamControl.cab
O16 - DPF: {CD17FAAA-17B4-4736-AAEF-436EDC304C8C} (ContentAuditX Control) -
http://a840.g.akamai.net/7/840/5805/v1000/www.contentwatch.com/audit/includes/ContentAuditControl.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} -
http://apple.speedera.net/qtinstall.info.apple.com/sikes/fr/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer
Class) -
http://a532.g.akamai.net/f/532/6712/1d/player.virtools.com/downloads/player/Install2.1/Installer.exe
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) -
http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) -
http://www.live365.com/players/play365.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX
Control) - http://www.mapsonline.be/bin/mgaxctrl.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) -
http://www.lizardtech.com/plugins/en_US/DjVuControl_en_US.cab
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Environnement d'exécution
Java 1.4.0) -
O16 - DPF: {1358E11F-ADE8-4D2B-9135-1A4CB9A23D7B} (Install Class) -
https://genius.belgacom.be/esupport/download/IPGInstaller.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13}
(PPSDKActiveXScanner.MainScreen) -
http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) -
https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/fr/win/QuickTimeInstaller.exe
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) -
http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:counter.cab

-----------------------------------------------------------------

Si tu parviens à faire qq chose de ça ....

Amicalement.

Jo

---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.775 / Virus Database: 522 - Release Date: 8/10/2004

Voici mon rapport hijack:

----------------------------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 16:18:26, on 11/10/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:WINDOWSEXPLORER.EXE
C:WINDOWSSVCHOST.EXE
C:WINDOWSSYSTEMRESTORESTMGR.EXE
C:WINDOWSSYSTEMMAPIICON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
D:PROGRAM FILESGRISOFTAVG6AVGCC32.EXE
C:PROGRAM FILESFICHIERS COMMUNSREALUPDATE_OBREALSCHED.EXE
D:PROGRAM FILESZONE LABSZONEALARMZLCLIENT.EXE
C:WINDOWSRunDLL.exe
D:PROGRAM FILESSPYBOT - SEARCH & DESTROYTEATIMER.EXE
C:PROGRAM FILESWEBSHOTSWEBSHOTSTRAY.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
C:WINDOWSSYSTEMZONELABSVSMON.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSSYSTEMDDHELP.EXE
D:LOGICIELSHIJACKTHIS.EXE
C:PROGRAM FILESOUTLOOK EXPRESSMSIMN.EXE
C:WINDOWSSYSTEMPSTORES.EXE
C:PROGRAM FILESMSN MESSENGERMSNMSGR.EXE
C:WINDOWSSYSTEMSPOOL32.EXE
C:WINDOWSSYSTEMHPFSTSC0.EXE
C:WINDOWSSYSTEMHPZSTATX.EXE

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.skynet.be/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak http://www.skynet.be/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
R3 - Default URLSearchHook is missing
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
D:PROGRAM FILESADOBEACROBAT 5.0READERACTIVEXACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:Program
FilesSpybot - Search & DestroySDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper -
{601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
O3 - Toolbar: (no name) - {99AFC088-C0DD-40ED-92D8-0C53E8997510} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio -
{8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX
O4 - HKLM..Run: [ADSL_A2] C:WINDOWSSYSTEMMapiIcon.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [AVG_CC] D:PROGRA~1GRISOFTAVG6avgcc32.exe /STARTUP
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [COM Service] C:WINDOWSCOMMANDmsrjwc.com
O4 - HKLM..Run: [Zone Labs Client] "D:Program FilesZone
LabsZoneAlarmzlclient.exe"
O4 - HKLM..RunServices: [Avgserv9.exe]
D:PROGRA~1GRISOFTAVG6Avgserv9.exe
O4 - HKLM..RunServices: [*StateMgr] C:WINDOWSSystemRestoreStateMgr.exe
O4 - HKLM..RunServices: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [TrueVector]
C:WINDOWSSYSTEMZONELABSVSMON.EXE -service
O4 - HKCU..Run: [Taskbar Display Controls] RunDLL
deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU..Run: [COM Service] C:WINDOWSCOMMANDmsrjwc.com
O4 - HKCU..Run: [SpybotSD TeaTimer] D:Program FilesSpybot - Search &
DestroyTeaTimer.exe
O4 - Startup: Webshots.lnk = C:Program FilesWebshotsWebshotsTray.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
present
O9 - Extra button: RadioWeb - {FF4DF9E0-E3DE-11CE-BFCF-ABCD1DE12346} -
D:PROGRAM FILESRADIOWEB PLAYERRadiowebPlayer.exe
O12 - Plugin for .pdf: C:PROGRA~1INTERN~1PLUGINSnppdf32.dll
O16 - DPF: Yahoo! Chess - http://yog16.yahoo.com/yog/y/cp0_x.cab
O16 - DPF: {713AE1D4-897C-11D2-B2A0-00C04F94B4D5} (WUCorpSuppControl
Class) - http://corporate.windowsupdate.microsoft.com/fr/wucorpct.CAB
O16 - DPF: {5CE8C9BE-B561-4311-8C03-D6F6C1CAF7E1} (CSND_AX.ctlCSND_AX) -
http://www3.compaq.com/support/sndetect/CSND_AX.CAB
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) -
http://www.parentwatch.com/content/demo/push.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) -
http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! WebCam Viewer
Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -
http://81.1.41.137/activex/AxisCamControl.cab
O16 - DPF: {CD17FAAA-17B4-4736-AAEF-436EDC304C8C} (ContentAuditX Control) -
http://a840.g.akamai.net/7/840/5805/v1000/www.contentwatch.com/audit/includes/ContentAuditControl.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} -
http://apple.speedera.net/qtinstall.info.apple.com/sikes/fr/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer
Class) -
http://a532.g.akamai.net/f/532/6712/1d/player.virtools.com/downloads/player/Install2.1/Installer.exe
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) -
http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) -
http://www.live365.com/players/play365.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX
Control) - http://www.mapsonline.be/bin/mgaxctrl.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) -
http://www.lizardtech.com/plugins/en_US/DjVuControl_en_US.cab
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Environnement d'exécution
Java 1.4.0) -
O16 - DPF: {1358E11F-ADE8-4D2B-9135-1A4CB9A23D7B} (Install Class) -
https://genius.belgacom.be/esupport/download/IPGInstaller.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13}
(PPSDKActiveXScanner.MainScreen) -
http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) -
https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/fr/win/QuickTimeInstaller.exe
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) -
http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:counter.cab

-----------------------------------------------------------------

Si tu parviens à faire qq chose de ça ....

Amicalement.

Jo

---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.775 / Virus Database: 522 - Release Date: 8/10/2004

Vous avez filtré cet utilisateur ! Consultez son message

Voici mon rapport hijack:

----------------------------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 16:18:26, on 11/10/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:WINDOWSEXPLORER.EXE
C:WINDOWSSVCHOST.EXE
C:WINDOWSSYSTEMRESTORESTMGR.EXE
C:WINDOWSSYSTEMMAPIICON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
D:PROGRAM FILESGRISOFTAVG6AVGCC32.EXE
C:PROGRAM FILESFICHIERS COMMUNSREALUPDATE_OBREALSCHED.EXE
D:PROGRAM FILESZONE LABSZONEALARMZLCLIENT.EXE
C:WINDOWSRunDLL.exe
D:PROGRAM FILESSPYBOT - SEARCH & DESTROYTEATIMER.EXE
C:PROGRAM FILESWEBSHOTSWEBSHOTSTRAY.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
C:WINDOWSSYSTEMZONELABSVSMON.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSSYSTEMDDHELP.EXE
D:LOGICIELSHIJACKTHIS.EXE
C:PROGRAM FILESOUTLOOK EXPRESSMSIMN.EXE
C:WINDOWSSYSTEMPSTORES.EXE
C:PROGRAM FILESMSN MESSENGERMSNMSGR.EXE
C:WINDOWSSYSTEMSPOOL32.EXE
C:WINDOWSSYSTEMHPFSTSC0.EXE
C:WINDOWSSYSTEMHPZSTATX.EXE

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.skynet.be/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak http://www.skynet.be/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
R3 - Default URLSearchHook is missing
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
D:PROGRAM FILESADOBEACROBAT 5.0READERACTIVEXACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:Program
FilesSpybot - Search & DestroySDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper -
{601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
O3 - Toolbar: (no name) - {99AFC088-C0DD-40ED-92D8-0C53E8997510} - (no file)
O3 - Toolbar: @msdxmLC.dll,,&Radio -
{8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX
O4 - HKLM..Run: [ADSL_A2] C:WINDOWSSYSTEMMapiIcon.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [AVG_CC] D:PROGRA~1GRISOFTAVG6avgcc32.exe /STARTUP
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [COM Service] C:WINDOWSCOMMANDmsrjwc.com
O4 - HKLM..Run: [Zone Labs Client] "D:Program FilesZone
LabsZoneAlarmzlclient.exe"
O4 - HKLM..RunServices: [Avgserv9.exe]
D:PROGRA~1GRISOFTAVG6Avgserv9.exe
O4 - HKLM..RunServices: [*StateMgr] C:WINDOWSSystemRestoreStateMgr.exe
O4 - HKLM..RunServices: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [TrueVector]
C:WINDOWSSYSTEMZONELABSVSMON.EXE -service
O4 - HKCU..Run: [Taskbar Display Controls] RunDLL
deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU..Run: [COM Service] C:WINDOWSCOMMANDmsrjwc.com
O4 - HKCU..Run: [SpybotSD TeaTimer] D:Program FilesSpybot - Search &
DestroyTeaTimer.exe
O4 - Startup: Webshots.lnk = C:Program FilesWebshotsWebshotsTray.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
present
O9 - Extra button: RadioWeb - {FF4DF9E0-E3DE-11CE-BFCF-ABCD1DE12346} -
D:PROGRAM FILESRADIOWEB PLAYERRadiowebPlayer.exe
O12 - Plugin for .pdf: C:PROGRA~1INTERN~1PLUGINSnppdf32.dll
O16 - DPF: Yahoo! Chess - http://yog16.yahoo.com/yog/y/cp0_x.cab
O16 - DPF: {713AE1D4-897C-11D2-B2A0-00C04F94B4D5} (WUCorpSuppControl
Class) - http://corporate.windowsupdate.microsoft.com/fr/wucorpct.CAB
O16 - DPF: {5CE8C9BE-B561-4311-8C03-D6F6C1CAF7E1} (CSND_AX.ctlCSND_AX) -
http://www3.compaq.com/support/sndetect/CSND_AX.CAB
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) -
http://www.parentwatch.com/content/demo/push.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) -
http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! WebCam Viewer
Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -
http://81.1.41.137/activex/AxisCamControl.cab
O16 - DPF: {CD17FAAA-17B4-4736-AAEF-436EDC304C8C} (ContentAuditX Control) -
http://a840.g.akamai.net/7/840/5805/v1000/www.contentwatch.com/audit/includes/ContentAuditControl.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} -
http://apple.speedera.net/qtinstall.info.apple.com/sikes/fr/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer
Class) -
http://a532.g.akamai.net/f/532/6712/1d/player.virtools.com/downloads/player/Install2.1/Installer.exe
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) -
http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) -
http://www.live365.com/players/play365.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX
Control) - http://www.mapsonline.be/bin/mgaxctrl.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) -
http://www.lizardtech.com/plugins/en_US/DjVuControl_en_US.cab
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Environnement d'exécution
Java 1.4.0) -
O16 - DPF: {1358E11F-ADE8-4D2B-9135-1A4CB9A23D7B} (Install Class) -
https://genius.belgacom.be/esupport/download/IPGInstaller.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13}
(PPSDKActiveXScanner.MainScreen) -
http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) -
https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/fr/win/QuickTimeInstaller.exe
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) -
http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:counter.cab

-----------------------------------------------------------------

Si tu parviens à faire qq chose de ça ....

Amicalement.

Jo

---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.775 / Virus Database: 522 - Release Date: 8/10/2004

joke0

11/10/2004 à 16:56

Salut,

Jo Van Gasse:

C:WINDOWSSVCHOST.EXE

Un svchost sous Windows ME? Certainement une bestiole.

O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} -
file://c:counter.cab

Ça aussi ça pue.

--
joke0

Maryse Levavasseur

11/10/2004 à 17:24

In news:416a972c$0$10409$,
Jo Van Gasse typed:

Voici mon rapport hijack:

Bon, je m'essaye à l'analyse de rapport. SVP corrigez-moi si je dis des
bêtises...

O4 - HKLM..Run: [COM Service] C:WINDOWSCOMMANDmsrjwc.com
O4 - HKCU..Run: [COM Service] C:WINDOWSCOMMANDmsrjwc.com

Rien trouvé là dessus sur internet. A analyser sur
http://www.kaspersky.com/remoteviruschk.html

O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} -
file://c:counter.cab

C'est louche, à analyser aussi

--
Maryse

joke0

11/10/2004 à 18:54

Salut,

Maryse Levavasseur:

Bon, je m'essaye à l'analyse de rapport. SVP corrigez-moi si
je dis des bêtises...
O4 - HKLM..Run: [COM Service] C:WINDOWSCOMMANDmsrjwc.com
O4 - HKCU..Run: [COM Service] C:WINDOWSCOMMANDmsrjwc.com

J'avais loupé celui-là :-/

--
joke0

Jo Van Gasse

12/10/2004 à 10:10

Bon, je m'essaye à l'analyse de rapport. SVP corrigez-moi si je dis des
bêtises...

O4 - HKLM..Run: [COM Service] C:WINDOWSCOMMANDmsrjwc.com
O4 - HKCU..Run: [COM Service] C:WINDOWSCOMMANDmsrjwc.com

Rien trouvé là dessus sur internet. A analyser sur
http://www.kaspersky.com/remoteviruschk.html

O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} -
file://c:counter.cab

C'est louche, à analyser aussi

Bon.... c'est bien mais que dois-je faire maintenant ?
1) Que devrais-je "sauver" avant de me lancer ?
2) Est-ce que je suis fidèlement ce que me propose hijack ?
3) le fichier msrjwc.com est sain
4) que puis-je faire avec counter.cab ?
Lorsque je le lance, mon firewall s'affolle tant il y a des tentatives
d'intrusion. Comment reconnaître les bonnes des mauvaises. On me dit
également que Spybqt a modifié des registres et on me propose "Allow" ou
"Deny".. que choisir ?

Un internaute qui s'affolle aussi :-)

Jo

--
Maryse

---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.775 / Virus Database: 522 - Release Date: 8/10/2004

Maryse Levavasseur

13/10/2004 à 22:46

Bonsoir,

In news:416b9179$0$7826$,
Jo Van Gasse typed:

O4 - HKLM..Run: [COM Service] C:WINDOWSCOMMANDmsrjwc.com
O4 - HKCU..Run: [COM Service] C:WINDOWSCOMMANDmsrjwc.com
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} -
file://c:counter.cab

Bon.... c'est bien mais que dois-je faire maintenant ?

Cochez les cases des lignes ci-dessus.
Ensuite,

<FAQ Hijackthis>
Fermez obligatoirement Internet Explorer et Outlook Express, puis
cliquez sur le bouton 'Fix checked'.
Ensuite redémarrez l'ordinateur et vérifiez que ce que vous avez coché
est bien parti. Si ce n'est pas le cas, republiez un rapport dans le fil
que vous avez commencé.
</FAQ>

Et s'il y a des problèmes, il faudra restaurer les sauvegardes
(Config -> Backup)

--
Maryse

joke0

14/10/2004 à 00:36

Salut,

Maryse Levavasseur:

Fermez obligatoirement Internet Explorer et Outlook Express,
puis cliquez sur le bouton 'Fix checked'.
Ensuite redémarrez l'ordinateur et vérifiez que ce que vous
avez coché est bien parti. Si ce n'est pas le cas, republiez
un rapport dans le fil que vous avez commencé.

J'ajoute que faire tout ça depuis le mode sans échec est une
très bonne idée.

--
joke0

virus

10 réponses

Veuillez sélectionner un problème