Virus phot msn

gwen -  
DeNisCoOl Messages postés 2871 Statut Membre -
Bonjour,
comme tout le monde j'ai moi aussi cliquer sur le fameux lien qui s'affichait dans msn, qui provenait d'une amie donc je n'ai pas réfléchit une seconde. Je ne me souvient plus trod du lien mais c'était un truc du style 'ha ha ta photo" avec derrière mon adresse hotmail. J'ai enregistrer et executer le fichier puisque la photo ne voulait pas s'ouvrir et depuis, le virus se transmet à mes contacts (je leur ai dit de ne pas cliquer sur le lien) et lorsque je lance un antivirus souvent mon ordi se bloque et ma navigation sur internet ne fonctionne plus très bien (j'arrive sur une page non demandée, toujours la même.)
J'ai téléchargé msnfix, redémarrere en mode sans échec. une erreur a été trouvé mais il ne la pas supprimer et ma demandé de redemarrer normalement. Quand j'ai redemarrer lordi, une fenêtre (toujours la meme depuis que j'ai ce virus) s'affichait "picture can nit be dislayed" ou un truc dans le genre, ce qui me fait dire que le virus est toujours présent.
Dans mon fichier msnfix, il n'y a pas de dossier date_heure.text alors je ne sais pas où trouver le rapport d'erreur pour que vous puissiez m'aider. Merci par avance de votre aide.
GWEN
Configuration: Windows XP
Internet Explorer 6.0

2 réponses

  1. DeNisCoOl Messages postés 2871 Statut Membre 224
     
    salut gwen,

    - Le rapport s'appelle msnfix.txt il doit se trouver, soit dans le dossier msnfix, soit sous répertoire windows C:\**windir**
    Faire une recherche dans votre disque msn*.txt
    Il était inutile de redémarrer en mode sans échec, la procédure ne le nécessite pas.
    Et même parfois il est plus facile de détecter tous les éléments d'une infection quand elle est active.

    ------------
    - Pour compléter le nettoyage, utiliser SDFix, bien suivre la procédure ci dessous:
    https://www.malekal.com/slenfbot-still-an-other-irc-bot/

    Ensuite
    ------------
    - Cliquer sur HiJackThis pour télécharger (la dernière version) sur votre bureau :
    - Le tutoriel pour Vista et XP (2 pages) : https://blog.sosordi.net/category/articles

    - Installer le sur un répertoire dédié (pas un dossier temporaire).
    - Double-clic sur Hijackthis.exe.
    tuto HJThis
    - Cliquer sur Do a scan and save log file.
    - Le rapport s'ouvre sur le Bloc-Note , tout sélectionner (Ctrl+A).
    - Copier (Ctrl+C) et Coller (Ctrl+V) le rapport dans le prochain message.

    A+

    Denis
    0
    1. gwen
       
      Bonjour et merci d'abord pour l'aide. Je viens de suivre la procédure sdfix.

      Voici le rapport d'erreur


      [b]SDFix: Version 1.240 [/b]
      Run by Administrateur on 17/02/2009 at 15:36

      Microsoft Windows XP [version 5.1.2600]
      Running From: C:\SDFix

      [b]Checking Services [/b]:


      Restoring Default Security Values
      Restoring Default Hosts File

      Rebooting


      [b]Checking Files [/b]:

      Trojan Files Found:

      C:\Documents and Settings\Administrateur\Local Settings\Temp\aax5A.tmp.exe - Deleted
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp33.tmp - Deleted
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp45.tmp - Deleted
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp7.tmp - Deleted
      C:\U.exe - Deleted
      C:\Program Files\Setup.exe - Deleted
      C:\WINDOWS\winlogon.exe - Deleted





      Removing Temp Files

      [b]ADS Check [/b]:



      [b]Final Check [/b]:

      catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-02-17 15:58:47
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden services & system hive ...

      disk error: C:\WINDOWS\system32\config\system, 0
      scanning hidden registry entries ...

      disk error: C:\WINDOWS\system32\config\software, 0
      disk error: C:\Documents and Settings\Administrateur\ntuser.dat, 0
      scanning hidden files ...

      disk error: C:\WINDOWS\

      please note that you need administrator rights to perform deep scan

      [b]Remaining Services [/b]:




      Authorized Application Key Export:

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
      "C:\\Documents and Settings\\All Users.WINDOWS\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.325\\French\\setup.exe"="C:\\Documents and Settings\\All Users.WINDOWS\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.325\\French\\setup.exe:*:Enabled:Programme d'installation de Kaspersky Anti-Virus 7.0"
      "C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"
      "C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
      "C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
      "C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

      [b]Remaining Files [/b]:


      File Backups: - C:\SDFix\backups\backups.zip

      [b]Files with Hidden Attributes [/b]:

      Mon 16 Feb 2009 25,088 ..SHR --- "C:\WINDOWS\wuauclx.exe"
      Wed 14 May 2008 0 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\Cache\Indiv01.tmp"

      [b]Finished![/b]




      POur msnfix j'ai été obligé de le faire en mode sans echec car sinon la procedure se bloque à un moment donné, tout est figé, certainement à cause de ce virus.

      J'ai aussi essayé clean virus msn, mais il se bloque aussi.

      Après avoir utilisé sdfix, le virus est toujours là puisque le message "picture can not be displayed s'affiche toujours sur le bureau dès que mon ordi est allumé.

      Je vais essayer avec hijackthis mais jattends dejà votre reponse pour la suite de ce rapport.

      Merci encore.

      A bientot
      gwen
      0
    2. gwen
       
      Rebonjour, voici le rapport hijackthis.

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 16:17:38, on 17/02/2009
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\WgaTray.exe
      C:\WINDOWS\system32\notepad.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
      C:\WINDOWS\PixArt\PAC207\Monitor.exe
      C:\Program Files\MessengerPlus! 3\MsgPlus.exe
      C:\WINDOWS\system32\LVCOMSX.EXE
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
      C:\WINDOWS\wuauclx.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
      C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
      C:\Program Files\iPod\bin\iPodService.exe
      C:\WINDOWS\winlogon.exe
      C:\WINDOWS\winlogon.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.postarticles.net
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
      O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
      O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S186.tmp" /EF "HKLM"
      O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
      O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
      O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [Windowsx Updater] wuauclx.exe
      O4 - HKLM\..\Run: [Window UDP Control Servic] winlogon.exe
      O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
      O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - S-1-5-18 Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe (User 'SYSTEM')
      O4 - .DEFAULT Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe (User 'Default user')
      O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
      O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
      O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
      O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - http://bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
      O20 - AppInit_DLLs: C:\PROGRA~1\Kaspersky Lab\Kaspersky Anti-Virus 2009\mzvkbd.dll,C:\PROGRA~1\Kaspersky Lab\Kaspersky Anti-Virus 2009\mzvkbd3.dll
      O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      O23 - Service: Kaspersky Anti-Virus (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
      0
  2. DeNisCoOl Messages postés 2871 Statut Membre 224
     
    salut,

    - POur msnfix j'ai été obligé de le faire en mode sans echec car sinon la procedure se bloque à un moment donné, tout est figé, certainement à cause de ce virus.
    Si vous ne l'avez pas déjà fait réessayer MSNFix.

    J'ai aussi essayé clean virus msn, mais il se bloque aussi.
    Normal car c'est une copie de MSNFix

    - Relancer HiJackthis cliquer sur Do a scan only et cocher les lignes en gras:


    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
    O4 - HKLM\..\Run: [Windowsx Updater] wuauclx.exeO4 - HKLM\..\Run: [Window UDP Control Servic] winlogon.exe
    O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
    O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe


    Comment fixer une ligne: (Merci a Balltrap34 pour cette réalisation vidéo)
    http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
    Fermer toutes tes applications et ton navigateur puis fix checked.

    A+

    Denis
    0