Trojan via msn, help!!

Résolu

sandydu38 Messages postés 234 Statut Membre -
sandydu38 - 2 mai 2010 à 15:48

je me suis fait avoir comme un bleu!!

en pleine conversation avec un contact sur mon msn, dans la fenêtre de conversation je reçoit: regardez cette photo + un lien!!!

j'ai cliqué dessus hélas!!!

depuis des fenêtres publicitaire envahissent mon ordi!!

mon antivirus et malwarebytes non rien trouvé!!

besoin d'aide svp!

merci

Afficher la suite

A voir également:

Trojan via msn, help!!
Telecharger msn - Télécharger - Messagerie
Msn explorer - Télécharger - Divers Web & Internet
Msn messenger - Télécharger - Messagerie
Trojan remover - Télécharger - Antivirus & Antimalwares
Via michelin carte - Télécharger - Transports & Cartes

155 réponses

Précédent

1
2
3
4
5
6
7
8

Suivant

Réponse 61 / 155

moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274

non

dans ce cas en mode normal

option 2

Réponse 62 / 155

sandydu38 Messages postés 234 Statut Membre 4

ok

je tente ça et j ereviens

juste pour savoir , mes fichiers perso nottement la music ne vont pas disparaitre ??

et

c'est quoi que j'ai chopé une trojan? un vers?...

Réponse 63 / 155

moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274

non aucun risque pour tes musiques et autres

=> un malware en règle generale qui se transmet par support usb

Réponse 64 / 155

sandydu38 Messages postés 234 Statut Membre 4

re

alors usbfix a fonctionné, mais une page de pub c'est ouverte pendant son travail!

sinon le fichier analysé par virus total me dit que ça a deja été analyser donc je clic sur le lien fourni mais maintenant comment je copie ça sur le bloc note?

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 65 / 155

sandydu38 Messages postés 234 Statut Membre 4

http://www.cijoint.fr/cjlink.php?file=cj201004/cijCrIsOMe.txt

j'espere ça a marché, voici le rapport de virus total

Réponse 66 / 155

moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274

1)

me poster le rapport de suppression usbfix qui se trouve ici C:\UsbFix.txt

.................

2)

Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ces lignes

[MD5.00000000000000000000000000000000] - (.Pas de propriétaire - Pas de description.) -- C:\Users\6le20\AppData\Local\BHLEFMRB\StartService.exe [475136]
[MD5.78A185597F17E0C1F541CD78037BB0A3] - (.mIRC Co. Ltd. - mIRC.) -- C:\Windows\system32\config\systemprofile\AppData\Local\BHLEFMRB\StartService.exe [475136]
O4 - HKLM\..\Run: [StartServiceBHLEFMRB] . (.Pas de propriétaire - Pas de description.) -- C:\Users\6le20\AppData\Local\BHLEFMRB\StartService.exe
O4 - HKCU\..\Run: [StartServiceBHLEFMRB] . (.Pas de propriétaire - Pas de description.) -- C:\Users\6le20\AppData\Local\BHLEFMRB\StartService.exe
O4 - HKUS\S-1-5-18\..\Run: [StartServiceBHLEFMRB] . (.mIRC Co. Ltd. - mIRC.) -- C:\Windows\system32\config\systemprofile\AppData\Local\BHLEFMRB\StartService.exe
O4 - HKUS\S-1-5-18\..\Run: [StartServiceBHLEFMRB] . (.mIRC Co. Ltd. - mIRC.) -- C:\Windows\system32\config\systemprofile\AppData\Local\BHLEFMRB\StartService.exe
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
O47 - AAKE:Key Export SP - "..." [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Users\6le20\AppData\Local\Temp\ib02bp9p.tmp\PICT17082010-jpg-www-facebook-com.exe

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message

( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )

Réponse 67 / 155

sandydu38 Messages postés 234 Statut Membre 4

je dois quitter, je serais sur le net demain en espérant résoudre ce soucis.

merci pour ton aide et à demain

bonne soirée.

moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274

ok

https://forums.commentcamarche.net/forum/affich-17389163-trojan-via-msn-help?page=4#70

@+

Réponse 68 / 155

sandydu38 Messages postés 234 Statut Membre 4

############################## | UsbFix V6.104 |

User : 6le20 (Administrateurs) # PC-DE-6LE20
Update on 14/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:59:31 | 16/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) Dual Core Processor 4450e
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Disabled

C:\ -> Disque fixe local # 456,93 Go (296,52 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 458,58 Go (218,38 Go free) [DATA] # NTFS
E:\ -> Disque amovible
G:\ -> Disque CD-ROM

################## | Elements infectieux |

Supprimé ! C:\Windows\csrssm.exe
Supprimé ! C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Supprimé ! C:\Users\6le20\AppData\Local\Temp\a.dat
Supprimé ! C:\Users\6le20\AppData\Local\Temp\54.exe
Supprimé ! C:\Users\6le20\AppData\Local\Temp\61.exe
Supprimé ! C:\Users\6le20\AppData\Local\Temp\94.exe
Supprimé ! C:\a.txt
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1905823726-3514215153-141796406-1000
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1905823726-3514215153-141796406-500
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2760852498-2543259003-1422614318-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1312206614-4212129118-1979242869-500
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1905823726-3514215153-141796406-1000

################## | Registre |

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{0a9cfa88-e984-11de-82de-001d72b067a2}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{1053508f-e60d-11de-965f-001d72b067a2}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{53817b73-58ab-11db-954d-806e6f6e6963}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[18/09/2006 23:43|---------|24] C:\autoexec.bat
[11/04/2009 08:36|-rahs----|333257] C:\bootmgr
[08/05/2008 21:20|-r--s----|8192] C:\BOOTSECT.BAK
[18/09/2006 23:43|--a------|10] C:\config.sys
[10/05/2009 08:27|-rahs----|0] C:\IO.SYS
[10/05/2009 08:27|-rahs----|0] C:\MSDOS.SYS
[29/02/2004 17:44|--a------|52576] C:\orange.bmp
[?|?|?] C:\pagefile.sys
[16/04/2010 21:09|--a------|2262] C:\UsbFix.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-6le20.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.104 ! |

Réponse 69 / 155

sandydu38 Messages postés 234 Statut Membre 4

bonjour

je n'arrive pas a copier coller le slignes que tu me dit.

je peux les copier mais pas les coller .

il faut bien les coller dans la fenetre du logiciel zhp diag?

Réponse 70 / 155

moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274

Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ces lignes

une fois ZHPdiag fait as tu lancer ZHPfix en cliquant sur l'écusson vert

je crois qu'il faut cliquer ensuite sur la seringue à droite

puis clic droit coller

Réponse 71 / 155

sandydu38 Messages postés 234 Statut Membre 4

ça semble avoir fonctionné voici le rapport

ZHPFix v1.12.3087 by Nicolas Coolman - Rapport de suppression du 17/04/2010 10:26:11
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Processus mémoire :
C:\Users\6le20\AppData\Local\BHLEFMRB\StartService.exe [475136] => Fichier supprimé au reboot
C:\Windows\system32\config\systemprofile\AppData\Local\BHLEFMRB\StartService.exe [475136] => Fichier supprimé au reboot

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
O4 - HKLM\..\Run: [StartServiceBHLEFMRB] . (.Pas de propriétaire - Pas de description.) -- C:\Users\6le20\AppData\Local\BHLEFMRB\StartService.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [StartServiceBHLEFMRB] . (.Pas de propriétaire - Pas de description.) -- C:\Users\6le20\AppData\Local\BHLEFMRB\StartService.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [StartServiceBHLEFMRB] . (.mIRC Co. Ltd. - mIRC.) -- C:\Windows\system32\config\systemprofile\AppData\Local\BHLEFMRB\StartService.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [StartServiceBHLEFMRB] . (.mIRC Co. Ltd. - mIRC.) -- C:\Windows\system32\config\systemprofile\AppData\Local\BHLEFMRB\StartService.exe => Valeur absente
O47 - AAKE:Key Export SP - "..." [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Users\6le20\AppData\Local\Temp\ib02bp9p.tmp\PICT17082010-jpg-www-facebook-com.exe => Valeur absente

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\users\6le20\appdata\local\bhlefmrb\startservice.exe => Fichier supprimé au reboot
c:\windows\system32\config\systemprofile\appdata\local\bhlefmrb\startservice.exe => Fichier supprimé au reboot
c:\windows\tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 2
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 5
Elément de données du Registre : 0
Dossier : 0
Fichier : 3
Logiciel : 0
Autre : 0

End of the scan

Réponse 72 / 155

moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274

ok

redémarrer le pc si ce n'est pas déjà fait

comment va le pc maintenant ?

Réponse 73 / 155

sandydu38 Messages postés 234 Statut Membre 4

par contre j'ai un nouveau message de windows qui apparait depuis ce matin:

"windows ne trouve pas
c:\users\6le20\appdata\local\temps_windows update_KB237643-x86-ENV.exe'

veridiez que vous avez entré le nom correct puis réessayez"

aucune mis a jour windows n'est possible également .

Réponse 74 / 155

moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274

hum

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\Windows\explorer.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK

Réponse 75 / 155

sandydu38 Messages postés 234 Statut Membre 4

http://www.cijoint.fr/cjlink.php?file=cj201004/cijpiULqDO.txt

une pub est revenue entre temps!!

Réponse 76 / 155

moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274

y a un truc qui colle pas

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

? Télécharge : Gmer (by Przemyslaw Gmerek)

http://www.gmer.net/

? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Réponse 77 / 155

sandydu38 Messages postés 234 Statut Membre 4

bon je n'ai plus d'antivirus, j'ai desactivé le pare feu seul windows defender reste activé, je ne sais pas le désactiver.

je fais la manoeuvre et te poste le rapport.

moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274

https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

Pas de restauration systeme !!!

Réponse 78 / 155

sandydu38 Messages postés 234 Statut Membre 4

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-17 11:05:42
Windows 6.0.6002 Service Pack 2
Running: h61ylknm.exe; Driver: C:\Users\6le20\AppData\Local\Temp\kwlyyaob.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 857601F8
Device -> \Driver\nvstor32 \Device\Harddisk0\DR0 85967AC8

---- Files - GMER 1.0.15 ----

File C:\Windows\system32\drivers\nvstor32.sys suspicious modification

---- EOF - GMER 1.0.15 ----

Réponse 79 / 155

moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

File C:\Windows\system32\drivers\nvstor32.sys

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK

Réponse 80 / 155

sandydu38 Messages postés 234 Statut Membre 4

Information additionnelle
File size: 140832 bytes
MD5 : fa7b8eca6e845b244b7e30a9dcd82c6c
SHA1 : d2f51da2bb37f024259796eb6b1094ed1a42bbd1
SHA256: ca1d5463c13596761b630314530ab12c7c63d6961eccf2cd0409d58b6be9c11e
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x20005
timedatestamp.....: 0x479AA26E (Sat Jan 26 04:01:02 2008)
machinetype.......: 0x14C (Intel I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x16A96 0x16C00 6.35 4cf7fb5c89d912d7ede267fb03edfca5
.rdata 0x18000 0x1E3 0x200 4.99 9f9d4f68349cd6b2628a5d33068f0dcb
.data 0x19000 0x668C 0x6600 0.52 2d24bd187ab751cca63e9bd2218a14f9
INIT 0x20000 0x77E 0x800 4.91 a1c43a08815d2526f341d6f674658624
.rsrc 0x21000 0x1B60 0x1C00 7.37 db49c33dff2d43f27dc4558d5e4de86b
.reloc 0x23000 0xE76 0x1000 5.00 764ede4b8702386716eca7340d6f6735

( 2 imports )

> ntoskrnl.exe: KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, _allmul, _aulldiv, memset, _aulldvrm, KeTickCount, KeBugCheckEx, _aullshr
> storport.sys: StorPortExtendedFunction, StorPortGetLogicalUnit, StorPortResume, StorPortPause, StorPortFreeRegistryBuffer, StorPortFreeDeviceBase, StorPortGetUncachedExtension, StorPortGetDeviceBase, StorPortRegistryRead, StorPortAllocateRegistryBuffer, StorPortSetDeviceQueueDepth, StorPortInitialize, StorPortReadPortUchar, StorPortReadPortUshort, StorPortReadPortUlong, StorPortReadPortBufferUchar, StorPortReadPortBufferUshort, StorPortNotification, StorPortReadRegisterUchar, StorPortReadRegisterUshort, StorPortReadRegisterUlong, StorPortReadRegisterBufferUchar, StorPortReadRegisterBufferUshort, StorPortReadRegisterBufferUlong, StorPortWritePortUchar, StorPortWritePortUshort, StorPortWritePortUlong, StorPortWritePortBufferUchar, StorPortWritePortBufferUshort, StorPortWritePortBufferUlong, StorPortWriteRegisterUchar, StorPortWriteRegisterUshort, StorPortWriteRegisterUlong, StorPortWriteRegisterBufferUchar, StorPortWriteRegisterBufferUshort, StorPortWriteRegisterBufferUlong, StorPortGetBusData, StorPortSetBusDataByOffset, StorPortMoveMemory, StorPortGetScatterGatherList, StorPortStallExecution, StorPortGetPhysicalAddress, StorPortLogError, StorPortSynchronizeAccess, StorPortDebugPrint, StorPortReadPortBufferUlong, ScsiPortMoveMemory, ScsiPortNotification

( 0 exports )
TrID : File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 3072:DE940f8DnyjvkhGTRHaGumibZIfoFbudaGEunsM:I4RDnyghGTRHT3iVIfoVcakH
sigcheck: publisher....: NVIDIA Corporation
copyright....: Copyright(C) 2001-2008 NVIDIA Corporation
product......: NVIDIA nForce(TM) SATA Driver
description..: NVIDIA_ nForce(TM) Sata Performance Driver
original name: nvstor.sys
internal name: NVIDIA nForce(TM) SATA Driver
file version.: 10.3.0.21 built by: WinDDK
comments.....: n/a
signers......: NVIDIA Corporation
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 4:02 AM 1/26/2008
verified.....: -
PEiD : -
RDS : NSRL Reference Data Set

Discussions similaires

symboles et écritures pour nick msn

Menace détectée TrojanSMS-PA sur Google Huawei/Android

Que veut dire Msn

Forum Virus

Trouvez des solutions pour détecter et éliminer les menaces, des astuces pour prévenir les infections, et discutez des dernières menaces en ligne

Newsletters

Newsletters

Actu du jour

Voir un exemple