Virus msa.exe

emmanuel -  
Xplode Messages postés 9212 Statut Contributeur sécurité -
Bonjour,

mon pare feu me signale " cheval de troie " c:/windows/msa.exe
mon antivirus aussi quoi que je fasse ca revient toujours

merci de votre aide
Configuration: Windows XP Internet Explorer 7.0

4 réponses

  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    "F:\Incomplete\T-822792-serial avs4 (incl patch + crack from REVENGE).zip"
    Contain : patch.by.REVENGE.exe
    
    "F:\Incomplete\T-822792-serial avs4 (incl patch + crack from REVENGE).zip"
    Contain : setup.exe 8433664 DFLT-X 95% 414899 14-11-2009 17:04:34 86f8b69c
    
    "F:\Incomplete\T-842092-serial avs4 crack and patch.zip"
    Contain : patch.ECLiPSE.exe
    
    "F:\Incomplete\T-842092-serial avs4 crack and patch.zip"
    Contain : setup.exe 8444416 DFLT-X 95% 425067 14-11-2009 17:03:54 e530613a 
    


    --------> A supprimer, source d'infection.

    Tant qu'à faire on va vérifier si tu n'as pas d'autre infection :

    -+-+-+-> ZHPDiag <-+-+-+-

    [x] Télécharge ZHPDiag ( de Nicolas coolman ).

    [x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    [x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

    [x] Clique sur l'icône en forme de dossier avec une loupe " Analyse détaillée MD5 ", puis laisse l'outil scanner.

    [x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    [x] Rend toi sur Cijoint

    [x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

    [x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    [x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
    1
    1. emmanuel
       
      http://www.cijoint.fr/cjlink.php?file=cj200911/cijYg3FYtB.txt
      0
  2. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Salut,

    -+-+-+-> USBfix ( Infections USB ) <-+-+-+-

    [x] Télécharge USBfix ( de Chiquitine29 )

    [x] Un tutoriel est disponible ici

    [x] Installe le

    /!\ Branche tout tes médias amovibles ( clés USB, DD externe, Cartes SD ) /!\

    [x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

    [x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

    [x] Au menu principal, choisis l'option 2

    [x] Laisse l'outil travailler puis poste le rapport dans ton prochain message
    0
    1. emmanuel
       
      ############################## | UsbFix V6.056 |


      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe 484
      C:\WINDOWS\system32\csrss.exe 540
      C:\WINDOWS\system32\winlogon.exe 564
      C:\WINDOWS\system32\services.exe 608
      C:\WINDOWS\system32\lsass.exe 620
      C:\WINDOWS\System32\Ati2evxx.exe 776
      C:\WINDOWS\system32\svchost.exe 792
      C:\WINDOWS\system32\svchost.exe 856
      C:\WINDOWS\System32\svchost.exe 924
      C:\WINDOWS\System32\svchost.exe 1008
      C:\WINDOWS\System32\svchost.exe 1128
      C:\WINDOWS\Explorer.EXE 1272
      C:\WINDOWS\system32\spoolsv.exe 1380
      C:\Program Files\Avira\AntiVir Desktop\sched.exe 1436
      C:\DOCUME~1\MANU\LOCALS~1\Temp\b.exe 1576
      C:\WINDOWS\msa.exe 1660
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1688
      C:\Program Files\Java\jre6\bin\jqs.exe 1732
      C:\Program Files\Kerio\Personal Firewall\persfw.exe 1764
      C:\WINDOWS\System32\svchost.exe 1896
      C:\WINDOWS\system32\wuauclt.exe 140
      C:\WINDOWS\System32\wbem\wmiprvse.exe 908
      C:\WINDOWS\System32\alg.exe 1596
      C:\WINDOWS\system32\wscntfy.exe 1812

      ################## | Fichiers # Dossiers infectieux |

      Supprimé ! C:\WINDOWS\msa.exe

      ################## | Registre # Clés infectieuses |

      Supprimé ! [HKCU\SOFTWARE\MailBlocker]
      Supprimé ! [HKCU\SOFTWARE\XML]
      Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MailBlocker"

      ################## | Registre # Mountpoints2 |


      ################## | Listing des fichiers présent |

      [22/02/2000 13:21|--a------|7] C:\FLAG.ID
      [22/02/2000 13:21|--a------|7] C:\FR.ID
      [22/02/2000 13:21|--a------|7] C:\XPSP1.ID
      [10/11/2009 16:25|---hs----|512] C:\BOOTSECT.DOS
      [24/01/2003 10:40|--a------|441555] C:\TXTSETUP.SIF
      [29/08/2002 01:06|--a------|249136] C:\$LDR$
      [28/08/2001 20:00|-rahs----|4952] C:\Bootfont.bin
      [10/11/2009 18:04|-rahs----|251712] C:\ntldr
      [10/11/2009 18:04|-rahs----|47564] C:\NTDETECT.COM
      [19/11/2009 17:40|-rahs----|216] C:\boot.ini
      [10/11/2009 16:43|--a------|0] C:\CONFIG.SYS
      [10/11/2009 16:43|--a------|0] C:\AUTOEXEC.BAT
      [10/11/2009 16:43|-rahs----|0] C:\IO.SYS
      [10/11/2009 16:43|-rahs----|0] C:\MSDOS.SYS
      [?|?|?] C:\hiberfil.sys
      [?|?|?] C:\pagefile.sys
      [24/11/2009 17:35|--a------|2184] C:\UsbFix.txt
      [09/11/2009 21:43|--a--c---|1776] F:\carnet adresse.csv
      [09/11/2009 21:45|--a--c---|244826] F:\contacts.WAB
      [18/10/2009 15:21|--ahsc---|1062400] F:\Thumbs.db

      ################## | Vaccination |

      # C:\autorun.inf -> Dossier créé par UsbFix.
      # F:\autorun.inf -> Dossier créé par UsbFix.

      ################## | Suspect | https://www.virustotal.com/gui/ |


      ################## | Cracks / Keygens / Serials |

      "F:\Incomplete\T-822792-serial avs4 (incl patch + crack from REVENGE).zip"
      Contain : patch.by.REVENGE.exe

      "F:\Incomplete\T-822792-serial avs4 (incl patch + crack from REVENGE).zip"
      Contain : setup.exe 8433664 DFLT-X 95% 414899 14-11-2009 17:04:34 86f8b69c

      "F:\Incomplete\T-842092-serial avs4 crack and patch.zip"
      Contain : patch.ECLiPSE.exe

      "F:\Incomplete\T-842092-serial avs4 crack and patch.zip"
      Contain : setup.exe 8444416 DFLT-X 95% 425067 14-11-2009 17:03:54 e530613a


      ################## | Upload |

      Veuillez envoyer le fichier : C:\DOCUME~1\MANU\Bureau\UsbFix_Upload_Me_OEM-ZTXVJ9DKQVP.zip : https://www.ionos.fr/?affiliate_id=77097
      Merci pour votre contribution .

      ################## | ! Fin du rapport # UsbFix V6.056 ! |
      0
  3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok, tu as d'autres infections, on va s'en occuper :

    -+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-

    [x] Télécharge Malwarebyte's anti-malware

    [x] Installe le en prenant soin de le mettre à jour à la fin de l'installation.

    [x] Lance un scan complet.

    [x] Coche bien tout les éléments trouvés et supprime les.

    [x] A la fin du scan, copie/colle le contenu du rapport qui s'ouvrira. S'il ne s'ouvre pas, il se trouve dans la partie " Rapports/Logs " de malwarebyte's.

    [x] N'oublie pas de vider la quarantaine de malwarebyte's.

    Nb : Un tutoriel pour son utilisation est disponible à cette adresse
    0
    1. emmanuel
       
      Malwarebytes' Anti-Malware 1.41
      Version de la base de données: 3223
      Windows 5.1.2600 Service Pack 2

      24/11/2009 18:32:58
      mbam-log-2009-11-24 (18-32-58).txt

      Type de recherche: Examen complet (C:\|F:\|)
      Eléments examinés: 147311
      Temps écoulé: 34 minute(s), 53 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 1
      Clé(s) du Registre infectée(s): 4
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 10

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      c:\WINDOWS\system32\sshnas.dll (Trojan.FakeAlert) -> Delete on reboot.

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sshnas (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sshnas (Trojan.FakeAlert) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mailblocker (Trojan.Agent) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Documents and Settings\MANU\Local Settings\Temp\a.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      F:\System Volume Information\_restore{1D0AFD18-16A9-490C-9885-B972BC83E155}\RP50\A0008646.exe (Malware.Packer) -> Quarantined and deleted successfully.
      F:\System Volume Information\_restore{1D0AFD18-16A9-490C-9885-B972BC83E155}\RP50\A0008672.exe (Malware.Packer) -> Quarantined and deleted successfully.
      F:\System Volume Information\_restore{4D95CE77-A721-4CE6-A010-FEEB25477196}\RP370\A0086640.exe (Trojan.Tracur) -> Quarantined and deleted successfully.
      F:\System Volume Information\_restore{4D95CE77-A721-4CE6-A010-FEEB25477196}\RP370\A0086646.exe (Trojan.Tracur) -> Quarantined and deleted successfully.
      C:\Documents and Settings\MANU\Local Settings\Temp\b.exe (Trojan.Agent) -> Delete on reboot.
      C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\MANU\Local Settings\Temp\c.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\sshnas.dll (Trojan.FakeAlert) -> Delete on reboot.
      0
  4. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bien, refais maintenant un ZHPDiag stp
    0