Virus msngrpmsg

Résolu
Nico26 -  
 gen-hackman -
Bonjour, depuis hier j'ai ce processus lancé, j'ai tenté un nettoyage avec combofix mais c'est revenu.

Un rapport ZHP : http://www.cijoint.fr/cjlink.php?file=cj201104/cij3E8w7FY.txt

un rapport Hijackthis: http://www.cijoint.fr/cjlink.php?file=cj201104/cij3Gszmzt.txt

Si quelqu'un peut m'aider, merci

26 réponses

  • 1
  • 2
  1. Nico26
     
    salut

    voilà : http://www.cijoint.fr/cjlink.php?file=cj201104/cijpPiOPFW.txt
    0
  2. gen-hackman
     

    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    File::
    c:\documents and settings\Nicolas\Application Data\73.tmp

    Folder::
    c:\documents and settings\Nicolas\Application Data\D-82492-8216-3216

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WindowsLiveMessenger"=-
    "Ttgqgj"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "NoAutorun"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]


    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
    0
  3. Nico26
     
    salut et merci pour ton aide, mais sans vouloir parraitre "bête", tu dis "Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix", sur l'exe de combofix?
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Nico26
     
    voilà:
    http://www.cijoint.fr/cjlink.php?file=cj201104/cijjrKhteC.txt
    0
  6. Nico26
     
    http://www.cijoint.fr/cjlink.php?file=cj201104/cijoPOGAya.txt
    0
  7. gen-hackman
     
    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
  8. Nico26
     
    http://www.cijoint.fr/cjlink.php?file=cj201104/cijzr5aGGK.txt

    au démarrage j'ai 2 fichiers desktop.ini qui s'ouvrent, avec incris:
    "[.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787"

    Normal ou pas à ton avis?

    Merci pour tout en tout cas.
    0
  9. Nico26
     
    Quelqu'un peut me dire si c'est bon? S'il vous plait, merci.
    0
  10. gen-hackman
     
    hey si t'es pressé tu formates ton pc y'en a pour deux heures

    on est bénévoles et on vit aussi

    desactive tes protections puis enregistre ceci sur ton bureau

    Pre_Scan

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan puis colle le contenu de "Pre_scan.txt" qui apparaitra à son terme , sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
    0
  11. Nico26
     
    Non je ne suis pas pressé, mais jusque là tu répondais très rapidement, j'ai trouvé ça bizarre...Et quand tu vois ton post descendre en bas de page tu as peur qu'on t'ait oublié voilà tout! Je reconnais tout ce que vous faites et je vous en remercie.

    Pre_scan ne veut pas se lancer chez moi
    0
  12. gen-hackman
     
    oui je programme à coté en meme temps :)

    oui "duplicate fonction name"

    beug corrigé à l'instant tu peux le retelecherger
    G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
    0
  13. Nico26
     
    oki merci

    voilà:

    http://www.cijoint.fr/cjlink.php?file=cj201104/cijU17yIq3.txt

    ps: pour mon pc fixe il faudra que je fasse la même procédure ou ça change selon le pc?
    0
  14. gen-hackman
     
    une procedure par pc c'est le mieux beaucoup de choses peuvent entrer en jeu

    =========================================

    refais zhpdiag
    0
  15. Nico26
     
    http://www.cijoint.fr/cjlink.php?file=cj201104/cijpXx5YOW.txt

    ça te gênes si ensuite on se penche sur mon fixe?
    Je ne comprends toujours comment j'ai pu être infecté, je n'ai jamais cliqué sur un lien bizarre msn, juste récemment j'ai eu un souci sur mon dd externe et ma clé usb, j'ai tenté de les nettoyer, c'est peut être là
    0
  16. gen-hackman
     
    ok on ouvrira un autre topic

    que peux-tu me dire la-dessus ?

    C:\WINDOWS\System32\win64app.txt
    0
  17. Nico26
     
    je ne sais pas, je suis allé voir, il n'y a pas ce fichier.

    il a quelque chose de particulier?

    ps il était caché, mais il est vide
    0
  • 1
  • 2