AIDE AVEC HIJACK et virus MSN

Question

J'ai ramassé un ou deux virus sur msn en ouvrant un zip.

J'ia lancé hijackthis, voici le rapport :

Logfile of HijackThis v1.99.1
Scan saved at 14:34:13, on 23/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1&ltmpl=default&ltmplcache=2&emr=1&osid=1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.darty.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: (no name) - {BDF6CE3D-F5C5-4462-9814-3C8EAC330CA8} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Pcsv] C:\WINDOWS\system32\pcs\pcsvc.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BlockChecker] C:\Program Files\Block Checker\block-checker.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ORAHSSStartup] "C:\Program Files\OrangeHSS\Launcher\Launcher.exe" -appid connectivityapp
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Orange Desktop Search] "C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" /tray
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Snipe It with BidNip - http://www.bidnip.com/members/reg_snipe.php
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: MrBookmaker Poker - {1DAA624F-A7AB-4b31-97A4-67205FF6963C} - C:\Program Files\mrbookmakerfrMPP\MPPoker.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/23.17/uploader2.cab
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - https://www.linkedin.com/cab/LinkedInContactFinderControl.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/pm/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {BA83FD38-CE14-4DA3-BEF5-96050D55F78A} - https://www.flipviewer.com/exe/fv36.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.auctiva.com/hostedimages/activex/xupload/XUpload.ocx
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

Que dois-je faire ensuite pour me débarasser des virus?

Merci

Lyonnais92 · Accepted Answer

Bonsoir à tous,

désolé de doucher votre bel enthousiasme just1xpa2 et pops187500, mais franchement, ce post est un florilège que je vais soigneusement garder pour montrer.

Ca commence très fort avec la recommandation donnée à hugues0 d'analyser son log avec le robot. J'utilise le robot quasiment sustématiquement (ce qui n'est pas une pratique pronée par la majorité des bons intervenants des forums de sécurité). Mais jamais je en sugérerait à quelqu'un de l'utiliser. Un seul exemple, ici :
j ai un logiciel espion#0

Le log est au post 14. Faites le analyser par le robot. Que dit-il ? Qu'il n'y a pas d'antivirus et que la clé O4 - HKLM\..\Run: [SSA.exe] "C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe" /AUTORUN  doit être effacée en urgence car le fichier a toutes les chances d'être un spyware. Il n'est pas besoin de faire de grandes recherches pour s'apercevoir qu en réalité, ce malware est l'antivirus. Si cela ne vous  suffit pas, je vous en trouverait d'autres.

Je n'ai pas compté, mais je crois qu'à part Marie et Moks, vous n'avez jamais demandé un log Hijackthis. C'est à dire que vous ne vous êtes pas donné les moyens de regarder comemnt évoluaient une partie des traces de l'infection.

Plus généralement, Hugues fait le compte des outils qui n'ont pas fonctionné. Une vérification rapide montrerait que les logs correspondant n'ont pas été publiés sur le forum.

En particulier, le log de MSDFix ne figure pas. Or cet outil est spécifiquement dédié à ce type d'infection. Il  n'y a aucune raison pour que il n'ait pas été capable d'éradiquer la variante. Et ce d'autant plus que le traitement commence plusieurs jours après l'infection. La seule raison qui puisse expliquer l'inefficacité c'est qu'il est mal dézippé. Et , pouir le voir, il faur avoir le log. Et même si j'ai tort, alors le bon réflexe est de fair envoyer le fichier récalcitrant à l'auteur du fix pour qu'il le mette à jour. A ce propos, la version 320 ou à peu près est évoquée dans le post. On en est à la version 480 (au moins).

J'arrête là les critiques. Intervenir efficacement aujourd'hui sur un forum de sécurité demande d'avoir appris au préalable. Ne pas savoir n'est pas une tare, mais il faut apprendre. On a besoin d'aides. La demande augmente et vite. Les traitements sont à la fois plus simples et plus compliqués. Plus simples, car on a beaucoup de très bon outils. Plus colmpliqués car il faut connaître plus de choses et aussi parce que les infections coriaces sont franchement coriaces. Allez voir celle-là si vous êtes curieux :

au secours les virus font la teuf chez moi#0

_________________________________________________________________________________________________________


hugues0, j'espère que tu es encore là parce qu'il y a quelque chose que je veux vérifier.

Au post 38, dans le rapport de SDFix, il y a ça :

C:\WINDOWS\system32
toskrnl.exe 
:kernel ADS Found! 

ntoskrnl.exe: deleted 4864 bytes in 1 streams. 

et dans le post 54 (le rapport de Kaspersky) je lis 

C:\WINDOWS\system32
toskrnl.exe:kernel:$DATA Infecté : Rootkit.Win32.Agent.dm ignoré 
C:\WINDOWS\system32\poison.sys Infecté : Trojan-Downloader.Win32.Agent.cdb ignoré 

Je ne vois pas où ces 2 bestioles ont pu être éradiquées.

La seconde est un "downloader", c'est à dire un truc fait pour télécharger à l'insu du propriétaire de l'ordi.

Le premier est une variété de rootkit assez bien cachée et que je connais mal (et dont je connais mal aussi les conséquences).

Je voudrais donc voir un rapport d'antivirus ( on va commencer par celui de l'ordi après mise à jour de la base virale).

Pas besoin de scanner tout le poste de travail. Un scan sur C:\WINDOWS\system32\  suffit.

@+

--Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

just1xpa2 · Answer

en attendant l'intervention d'un autre et pour faire avancé la chose



Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau: 
http://sosvirus.changelog.fr/MSNFix.zip 
Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat. 
- Exécutez l'option R. 
-- Si l'infection est détectée, exécutez l'option N. 
--- Sauvegardez ce rapport puis faites un copier/coller de ce rapport sur le forum, ainsi qu'un nouveau scan HijackThis fait en mode normal. 

Note : 
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal 
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

pops187500 · Answer

Pour tous ceux qui ont installé Hijackthis mais qui ne savent pas comment interpréter le log, je vous conseille d'aller sur ce site qui est super: 

http://www.hijackthis.de/fr

Ya qu'à coller le log dedans et il interprète tout et dit tout ce qu'il faut faire... C'est un moyen rapide et simple de vérifier souvent que tout va bien dans l'ordi...

;)

Help! · Answer

J'ai collé mon log sur ce site il m'affiche des trucs dangereux :

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\Program Files\OrangeHSS\Launcher\Launcher.exe

C:\Program Files\OrangeHSS\Launcher\Launcher.exe

Ces trois là intégrent Orange et France telecom, mon provider, il vaut mieux que je les laisse, non?

Mais il y a aussi :

O2 - BHO: (no name) - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - (no file) 
Et la il me met :
Effacer à tout prix !
Inscription superflue (car sans effet) qui peut donc être effacée ! flen.dll - FlashEnhancer Adware variant, https://www.broadcom.com/support/security-center e.flashenhancer.html

O3 - Toolbar: (no name) - {BDF6CE3D-F5C5-4462-9814-3C8EAC330CA8} - (no file)
idem Effacre à tout prix

O4 - HKLM\..\Run: [BlockChecker] C:\Program Files\Block Checker\block-checker.exe
idem effacer à tout prix


JE FAIS QUOI?

Merci beaucoup.

(j'ai essayé avec msnfix, ça n'a rien donné)

Merci

Help! · Answer

quel souci?

Je fais quoi moi?


:)

Help! · Answer

lol, je bouge pas!

Merci

pops187500 · Answer

Et bien quand tu fais un log avec hijackthis, il t'enregistre le log dans un fichier .txt, mais si tu ne ferme pas le programme, alors à coté de chaque ligne tu as une case que tu peux cocher... donc là toutes les lignes qu'il te dit de supprimer tu les coches dans "hijackthis" et tu cliques après sur "FIX" en bas...

Ça t'aide?

just1xpa2 · Answer

si tu a des programmes que tu utilise et dont tu es sur, tu ne les effaces pas, tu peux supprimer tout ce qui est marqué en rouge, mais tu a des programmes que tu te sert dans les autres

pops187500 · Answer

Voilà !!!

Hijackthis ne connait pas tous les programmes, donc pour certains il te dit qu'il ne sait pas trop... si toi tu es sûr de ce que c'est, en l'occurence Orange, pas la peine de supprimer !!!!

Par contre ceux que tu ne sais pas du tout ce que ça peut être et qu'il te dit être dangereux, tu vires! ;)

Help! · Answer

ok, j'ai tout fixé. Est-il nécessaire que je redémarre le pv?

Merci

H

Help! · Answer

J'ai redémarré, il a tout viré.

Mais le virus, lui est encore là........ dès que je me connecte sur msn, un envoie des buzz et envoie et reçoit des fichiers zip infectés....

Une idée?

Merci

H

hugues · Answer

Un scan ad-aware est en cours, mais je doute que ça marche. Ca m'a l'air costaud.

H

just1xpa2 · Answer

tu est sur qu'il est sur msn au moins...que tu l'a chopé la dessus...

hugues · Answer

Je pense oui, ça ne se déclenche pas ailleurs. C'est venu de là et il n'y a que là que ça arrive.
 
Je désespère

just1xpa2 · Answer

pas grave si je me fais maudir , on va regarder dand l'ordi si il n'y a pas non plus un problème ailleurs

Fais un clic droit sur ce lien : 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisse-toi guider. Au menu principal, choisis 1 et valides. 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord) 

Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. 
Copie-colle l'intégralité dans une réponse. Referme le blocnote. 
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

hugues · Answer

Navilog en cours.

Croisons les doigts.

H

hugues · Answer

Voila le log Navilog :

Search Navipromo version 2.0.9 commencé le 23/08/2007 à 13:59:29,84
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Hugo\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 08/23/07 at 13:59:31.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .......................................................................................................................................................................................................
[+] Hidden process: C:\WINDOWS\system32\dllcache\explorer.exe (Action: none)
[+] Scanning for hidden items ...
[+] Hidden process: C:\WINDOWS\Explorer.EXE (Action: none)
[+] Scanning for hidden items ...
[+] Scan complete.
[+] Summary: 2 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 08/23/07 at 14:24:28 (return code = 1).


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !



*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 


*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 


3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 23/08/2007 à 14:25:21,12 ***

just1xpa2 · Answer

bien on va continuer 

Maintenant tu fais cela : 

Double cliques sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider. 
Au menu principal, choisis 2 et valides. 

Le fix va t'informer qu'il va alors redémarrer ton PC 
Fermes toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts 
Appuies sur une touche comme demandé. 
(si ton Pc ne redémarre pas automatiquement, fais le toi même) 
Au redémarrage de ton PC, choisis ta session habituelle. 

Patiente jusqu'au message : 
*** Nettoyage Termine le ..... *** 
Le bloc-notes va s'ouvrir. 
Sauvegarde le rapport de manière à le retrouver 
Referme le bloc-notes. Ton bureau va réapparaître 

PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" 
Tape explorer et valide. Cela te fera apparaître ton bureau. 

Postes le rapport ici.

J'EN PEUX PLUS!!!!!! · Answer

C'est fait. 

Voici le rapport :

Clean Navipromo version 2.0.9 commencé le 24/08/2007 à  0:15:50,51

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight

*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

*** Recherche avec GenericNaviSearch ***
!!! Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés supprimés avec backups :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\Hugo\Application Data ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Hugo\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche et Suppression Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 
3)Certificats :
Certificat Egroup absent !

*** Sauvegarde du registre vers dossier Backupnavi ***
sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***
Erreur application fixreg
Le registre n'a pas été nettoyé !

*** Nettoyage termine le 24/08/2007 à  0:18:45,23 ***

CE QUE JE CONSTATE ; j'ai beau effacer 100 fois les fichiers infectés, ils réapparaissent toujours.

IL Y EN A TROIS, ils sont toujours sur C

foto_celular   24 ko   Ecran de Veille
fotot_celular  17 ko  Zip Archive
foto_celular  (dans c:\foto_celular.zip     24 ko Ecran de Veille

COmment m'en débarrasser?

HELP

just1xpa2 · Answer

je vois que le rapport est nomal, c'est quoi foto cellular , un appareil photo, ...

J'EN PEUX PLUS!!!!!! · Answer

foto_celular c'est le nom du virus.

Ca marcha pas avec msnfix, pas avec clean, pas avec avast, pas avec naivlog, pas avec combofix, pas avec avg..........

Fait chier.

just1xpa2 · Answer

je reviens

moK´s@ · Answer

salut a vous deux.


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

just1xpa2 · Answer

Téléchargez MSNFix.zip sur ton bureau: 
http://sosvirus.changelog.fr/MSNFix.zip 

Décompresse-le (clic droit >> Extraire ici) et double clic sur le fichier MSNFix.bat. 
- Exécute l'option R. 
-- Si l'infection est détectée, exécute l'option N. 
--- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

J'EN PEUX PLUS!!!!!! · Answer

je vais essayer, à dans 5 mn

moK´s@ · Answer

bonsoir, et toi, comment va???

just1xpa2 · Answer

on fait aller, j'apprend beaucoup de chose ici, decouvrant l'informatique, et ses problèmes, en quelque sorte, pour pas etre emmerder, il faut être bien protéger a la base, chose que j'ai appris, et ne pas ouvrir , si on a un doute, annuler, ca coute moins chère, quitte a passer pou un débutant, ...on peut aider, en respectant ceux aussi qui était la avant..

moK´s@ · Answer

oui désolé je me suis incrusté...

je te laisse finir alors?!

bonne fin de soirée

@+

just1xpa2 · Answer

non mok j'ai pas dit ca pour ca , continue je suis ailleurs...

J'EN PEUX PLUS!!!!!! · Answer

Hello just1xpa2 : msnfix ne macrhe pas, déjà fait.

Voici le log de sdfix, proposé par mok's@

Ca a l'air de marcher :


SDFix: Version 1.100

Run by Hugo on 24/08/2007 at 01:01

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Hugo\Bureau\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

C:\Documents and Settings\Hugo\Application Data\addon.dat  - Deleted
C:\Foto_celular.scr  - Deleted
C:\Foto_celular.zip  - Deleted
C:\WINDOWS\system32\dllcache\klog.dat  - Deleted
C:\WINDOWS\system32\oddysee.exe  - Deleted
C:\WINDOWS\system32	mpC9.tmp  - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
  :kernel ADS Found!
 
ntoskrnl.exe: deleted 4864 bytes in 1 streams.

Checking for remaining Streams

C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\Hugo\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Program Files\Fichiers communs\aolshare\shell\fr\shellext.dll
C:\WINDOWS\system32\dllcache	sorfib.exe
C:\Documents and Settings\All Users\Application Data\GTek\GTUpdate\AUpdate\Channels\ch1\lock.tmp
C:\WINDOWS\system32\config\SAM.tmp.LOG
C:\WINDOWS\system32\config\Security.tmp.LOG

                                 Finished 
 
SAUF que si je fais recherche foto_cellular : il en trouve 3 fois plus qu'avant SDFIX.....

Donc? Une idée?

Merci

moK´s@ · Answer

ou est ce que tu les trouve??

et s itu les trouve : supprime les; si tu n´y arrive pas, fais le en mode sans echec, comme ceci :

¤Démarre en mode sans échec :
Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5) 

dis nous quoi...

@+

J'EN PEUX PLUS!!!!!! · Answer

Je les trouve en faisant "rechercher" sur mon disque.

Il m'en trouve 3 : je les efface (avec difficulté), je vide la corbeille. Y plus rien.

Je relance la recherche, il en trouve 6, etc.

Ce  sera plus efficace en mode sans echec?

Merci

moK´s@ · Answer

oui fais le en mode sans echec et reviens ? 

et refais une recherche..,

sinon on feras autre chose...

DEVIENT FOU · Answer

Je deviens fou.

J'ai lancé en mode sans échec.

J'ai cherché les fichiers, je les ai effacés. J'ai lancé 3 recherches, ils n'étaient plus là.

Je relance en mode normal , je fais la recherche : ils sont là!

Putain!!!

H

DEVIENT FOU · Answer

En fait, quand j'efface celui qui est dans c:\foto_celular.zip, on dirait qu'il mouline et qu'il en recrée avant de s'effacer....

C'est sans fin

67100 · Answer

tkt faut juste peter la source...

DEVIENT FOU · Answer

c'est à dire?

67100 · Answer

C'est un executable qui le protege...
En le supriment tu pourra suprimer le zip...

J'ai deja vu ca,
j'ai une idée mais attends les autres...

hugueso · Answer

C'est quoi la source? je la trouve où?

H

moK´s@ · Answer

fais un scan en ligne ave kaspersky et post le rapport stp :

https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr 

@+

hugueso · Answer

En cours. Merci

Y a pas un moyen pour dégager ces trois ficihiers er surtout le zip?

Merci

pops187500 · Answer

Salut tout le monde me voilà de retour !!!!!

As-tu essayé avec MSN_Fix 1.326 ?

pops187500 · Answer

OK alors essaie de supprimer manuellement:

C:\Foto_celular.scr 
Et tous les fichiers que tu as qui ont foto-celular dans le nom,

C:\WINDOWS\system32\oddysee.exe 

et :

C:\WINDOWS\system32\svschost.sys 
ATTENTION !!!!!   il y en a un qui s'appelle svchost.sys, celui là il faut le garder fait bien attention !!!!!

hugueso · Answer

C'est fait.

J'ai enelvé tous les foto_celular : marrant, aujourd'hui ça marche, alors que hier ils se reproduisaient.

J'ai effacé les fichiers de type oddysee, qui étaent nombreux en backup;

J'ia effacé le C:\WINDOWS\system32\svschost.sys 

Je fais quoi maintenant?

Je teste msn?

pops187500 · Answer

Vasy redémarre et test! ;)

pops187500 · Answer

Alors ?????

hugueso · Answer

Alors voilà, j'ai redémarré et lancé msn.

Le virus tente de rdémarrer, il envoie le wizz et cherche foto_celular sans le trouver. Donc il ne peut plus l'envoyer, c'est déjà ça.

Le problème cient peut-être du fichier oddyssee. J'ai eu beau l'effacer et redémarrer, il est toujours présent.

Comment faire?

H

pops187500 · Answer

Je regarde si je trouve quelque chose, c'est "odyssee.exe" qui revient quand tu supprimes?

hugueso · Answer

Alors voilà, j'ai redémarré et lancé msn. 

Le virus tente de rdémarrer, il envoie le wizz et cherche foto_celular sans le trouver. Donc il ne peut plus l'envoyer, c'est déjà ça. 

Le problème cient peut-être du fichier oddyssee. J'ai eu beau l'effacer et redémarrer, il est toujours présent. 

DE PLUS quand je veuix l'effacer maintenant, il me dit qu'il est protégé en écriture ou qu'il est utilisé -> impossible.

Comment faire? 

H

^^Marie^^ · Answer

Slt

Pour y voir plus clair

F -  Hijackthis - Outil de diagnostic et réparation 
télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 
Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/Hijenr.gif 
Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/demohijack.htm 

http://www.tutoriaux-excalibur.com/hijackthis.htm


Bon courage 

A+ -

pops187500 · Answer

OK alors je viens de regarder sur une page internet, apparemment le logiciel "bitdefender" est un des seuls à détecter tous les fichiers installés par ce virus. Je te propose donc d'essayer avec ça de les virer!!

(on va y arriver...)

^^Marie^^ · Answer

Quel est le lien entre ""help" et ""hugueso" ?????

hugueso · Answer

ok je le télécharge et je le lance

^^Marie^^ · Answer

C'est bien ce qu'il me semblait
Cela ne m'étonne pas que ce soit le foutoir

virus choppe sur msn messenger grrr help#dernier

Ciao

hugueso · Answer

Pour faire le point.

Aucun des softs essayés n'a marché, j'ai effacé les fichiers à la main et tous ont disparu sauf oddyssee.

J'ai lancé Kapersky qui tombe plein de fois sur le même cheval de troie, je lui dis d'effacer, il continue sa progression et continue à en trouver (mais c'es toujours les mêmes).

Je ne peux plus me connecter sur le pc en question.

Question de novice : j'ai acheté ce pc avec windows embarqué dans le commerce. Si je formate le disque dur, que vais-je perdre et comment vais-je faire pour récupérer windows? (je n'ai pas de cd, ou alors je l'ai perdu).

En parallèle, je suis en train de passer tous mes fichiers importants sur un disque dur extene.

H

pops187500 · Answer

Alors bitdefender n'a pas marché non plus???????

hugueso · Answer

je ne peux plus me connecter à internet à partir du pc infecté, donc je n'ai pas pu tester.

pops187500 · Answer

Pourquoi as-tu besoin d'internet pour bitdefender? tu peux pas le télécharger sur celui ci? Sinon tu démarres en mode sans échec avec prise en charge réseau et tu auras peut être internet sans les méfaits du virus

hugueso · Answer

j'ai besoin d'internet pour télécharger bitdefender.

Là je suis sur un autre pc, connecté en wifi à la même live box pourtant. mais celui infecté ne se connecte plus

pops187500 · Answer

Voilà, sur celui infecté, tu ne peux pas le démarrer avec mode sans échec prise en charge réseau?

^^Marie^^ · Answer

Ce topik est fermé
virus choppe sur msn messenger grrr help#0

Faut continuer ici

hugueso · Answer

J'ai lancé la restauration et j'ai un msg qui me dit :

Votre ordinateur n'a pu être restauré, etc.

J'ai choisi un autre point de restauration, j'attends.

H

pops187500 · Answer

Alors? on en est ou?

pops187500 · Answer

OK mais je comprends pas pourquoi tu as plus internet, j'espère que tu n'as pas effacé le mauvais svchost

hugueso · Answer

non.

Internet est revenu.

Je crois que je vais laiser tomber et vivre avec ce ver, qui ne se déclenche que sur msn.

Marie : est-ce le bon post?

^^Marie^^ · Answer

Oui,
C'est le bon poste
De toutes les façons l'autre est fermé, donc tu n'aurais pas pu répondre.

pops187500 · Answer

Oui, c'est le bon post, c'est l'autre qui a été fermé celui-ci est ouvert.

Je te conseille quand même d'essayer avec bitdefender ça ne coute rien et ça évite que tu envoies le virus à tes contacts MSN, et puis un ordi propre c'est toujours mieux...

hugueso · Answer

Ok Marie et pop.

J'essaie bitdefender.

Sinon, le ver se déclenceh sur msn, mais n'envoie plus parce qu'il n etrouve plus foto-celular sur mon disque.

AAAAh, la vie avec un ver, solitaire ou pas, je vais découvrir ça...

H

pops187500 · Answer

Ne désespère pas tout se résout faut juste de la patience!

hugueso · Answer

J'ai lancé bitdefender.

Il travaille

pops187500 · Answer

OK espérons qu'il puisse arranger ça normalement il le détecte en tout cas!

hugueso · Answer

J'ai trouvé ça sur le formum de malekal :

foto_celular est un vers qui se propage par MSN proposant de télécharger le fichier : foto_celular.scr
Le vers utilisé des techniques de rootkit (oddysee) pour se cacher des antivirus. 

Kaspesrky l'a détecté semble-t-il, mais il est incapable de l'enlever.

On va voir bitdefender

Tout est dans ce fichier oddyssee...

pops187500 · Answer

Ouai, c'est justement en regardant cette page que j'ai vu que bit defender lui détecte tout!!! 

Aparemment kapersky détecte rootkit mais pas le reste, dans les listes bitdefender semble le plus performant.... voyons ce ke ça donne!

hugueso · Answer

Bon...

J'ai peine à y croire, mais on dirait que ça marche après 2 jours de lutte
j'ai lancé msn mesenger, dialogué, aucun pb.

Ca a l'air clean.

BREF, la solution c'est BITDEFENDER sur ce virus.

Merci à tous, particulièrement à pops, Marie, moks, just1xpa2, etc.

VOUS m'AVEZ VRAIMENT AIDé

Merci!!!!!!!!!

pops187500 · Answer

Cooooooooool !!!!!!!!

Je commençais à désespérer je stressais à chaque fois que je voyais une nouvelle réponse à la discussion...    :D

Pense à bioen marquer la discussion comme "résolu", ya tellement de gens qui ont ce problèmes alors qu'au final un pti bitdefender était suffisant...

Amuse-toi bien avec MSN et attention à pas ouvrir les fichiers inconnus comme ça!!! ;)

A+ :)

hugueso · Answer

euh....

J'ai redémarré une 1ère fois, ça a marché. La seconde, ça charge depuis 10 minutes... (paramètres, etc.)

Pas gagné...

H

pops187500 · Answer

Hum.. mais serait-ce toujours ce virus qui fait des siennes ou autre chose?

Au fait tu as quoi comme protection? antivirus? firewall?

just1xpa2 · Answer

ca donne quoi...

coco80780 · Answer

slt nous c'est pareille ils envoi des dossiers a mes contacts alors que je n'ai rien envoyer merci de m'aider 

cordialement

hugueso · Answer

Ca avair l'air clean.

J'ai redémarré, j'ai chatté sur msn sans pb, le virus ne se lançant plus (à mon avis, il n'est plus là).

J'ai redémarré une seconde fois pour en avoir le coeur net et là il a bloqué au chargement des paramètres. Je l'ai redémarré une troisième fois.

Ca s'est bien passé jusqu'au moment où il n'a pas voulu se connecter à internet (pb technique lié à l'authentification si je me souviens bien)

J'ai bitdefender et kaspersky. Je suis en train d'enlever kaspersky pour ne laisser que bitdefender, peut-être que c'est ça.

Tic tac tic tac...

Désinstallation terminée, il me demande de redémarrer (4ème fois), ce que je fais.

Suspense... wanadoo/orange va-t-il démarrer? La boite de dialogue affiche "connecté".

j'ouvre IE.... ça marche, je surfe... ça marche.

Vous pesez que c'était lié à la cohabitation kaspersky et bitdefender?

Je redémarre encore une fois (5ème fois).... pour être sûr.... 

CA MARCHE!

(pour ce machin horrible, je pense qu'il faut tenter bitdefender directement..... ça m'aurait fait gagner 2 jours).

Merci à tous (mais je reste méfiant) sourire.

Au fait le dernier pb : cohabitation kaspersky et bitdefender vous croyez?

pops187500 · Answer

Voilà, c'est bien pour ça que je t'ai redemandé ta protection, deux antivirus ensemble, ça le fait pas!!!!

Par contre un pti pare-feu ne pourrait te faire que du bien ,et là je dis, vive KERIO (gratuit)

Ravie que tout ça soit enfin fini !!!!!

A+!!   ;)

just1xpa2 · Answer

ATTENTION NE PAS EXECUTER SANS L'ACCORD DE   MARIE , REGARDE SI DES FOIS IL NE PEUT PAS FAIRE CELA ?OUI ou NON...


télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau. 
double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

Citation : 
C:\WINDOWS\system32\oddysee.exe
 

clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 
http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg 

puis 

* Télécharge HijackThis et poste le rapport stp

^^Marie^^ · Answer

Bitdefender tu l'as installé pour SCANNER, donc en aucunayant une action d'anti virus.
Donc...
Pas trop le rapport

pops187500 · Answer

Tu dois garder UN antivirus (kapersky est très bien, sinon avast ou antivir) et UN parefeu, et la vie est belle

pops187500 · Answer

^^Marie^^

Pour ton info, Bitdefender est un antivirus, donc il a raison, c'est bitdefender et kapersky qui ne marchent pas ensemble, donc ya tout à fait un rapport, il a compris tout seul ce qui n'allait pas...

;)

just1xpa2 · Answer

KERIO n'est pas mal, pas de souci personnellement, et il bloque

just1xpa2 · Answer

le temps que je cherche... il avait trouvé... c'est tout

pops187500 · Answer

Par contre la discussion n'est toujours pas en "résolu" ...

Bravo à tous nous avons tué son virus

Lyonnais92 · Answer

Re,

je vais en rajouter une couche, mais uniquement parce que, à mon avis, ca va largement au dela du cas personnel. Et que c'est une réflexion générale sur le travail des helpeurs qui est en cause.

pops a écrit (peu import où et à qui) :

C'est quoi ton problème au juste? 
Moi je suis la pour tenter d'aider, je teste en premier ce qui a toujours marché avec moi, si ça marche pas je propose autre chose, ça me semble normal. 
A chaque fois que j'ai eu des virus dans ma vie, je me suis toujours servi de hijack et ad-aware ou spybot, j'ai jamais eu à installer quoi que ce soit d'autre. Donc je trouve ça plus intelligent de régler le problème avec un logiciel qui en règlera d'autres plus tard, que de trouver pile le fix pour ce virus et la prochaine fois la personne saura pas comment faire non plus. 
Jvois pas c'est quoi ton problème sérieux

J'ai mis en gras ce qui, a mon avis est faux (en tout cas dépassé). Dans la majorité des forums, c'est bien comme ça que ça se passe : la majorité des répondants le font à partir de leur expérience et de leurs conanissances personelles (de loisirs ou de travail). Ca fonctionne justement parce que un problème sous Word est un problème que vous rencontrez partout et que vous résolvez (je en sais pas pourquoi je dis vous, j'ai les mêmes). Les problèmes de Virus/sécurité out peu de profesionnels. Peu de gens ont une connaissance des problèmes posés, de solutions existantes. Il faut les acquérir.

C'est pour ça que le "ca a marché chez moi donc je le propose" est inefficace. Dans un autre forum, ca a marché parce c'est ce qu'il fallait faire et on le sait parce que quelqu'un a suivi la formation Word et donc a appris le truc (pas seulement parce qu'il a cherché par tatonnement). 

Au point où en sont les malwares aujourd"hui (et les ravages qu'ils peuvent causer, lisez ça :
http://technaute.lapresseaffaires.com/nouvelles/texte_complet.php?id=81,12399,0,082007,1375794.html&ref=nouvelles ) avec les connaissances et les outils que l'on a, ce n'est pas la bonne méthode (ou ce n'est plus). Il faut accepter une formation, l'acquisition de connaissances qui vont permettre de définir au plus vite la cause du dysfonctionnement dont se plaint l'internaute et les remèdes à y apporter.

J'arrête là car je suis en train de squatter un post que je considère comme non terminé (ce qu'il ne faut pas faire,  de mon point de vue)


@+

67100 · Answer

Qu'est ce que vous faites encore ici ? De toute façon son problème est résolu, ce serait pas mieux d'aller répondre à d'autres personnes que tu as commencé à aider et qui attendent la suite? Qq'un qui ne sait pas exactement comment faire mais qui decharge le travail des benevoles ok, mais contster l'avis d'un pro en racontent n'imp. c'est abusé

pops187500 · Answer

Bon je vois que pendant mon absence de 2 jours plusieurs personnes se sont "plaint" de ma participation ici alors je vais laisser la place aux "pros" après tout ça me laissera plus de temps libre pour moi je voulais juste tente d'aider des personnes qui ont du mal en informatique je pensais pas que ça poserait autant de problèmes, alors bon courage à tous ceux qui rencontreront des problèmes à l'avenir et à ceux qui seront là pour les aider!

A+

^^Marie^^ · Answer

Lol !!!!!!!!!!

ça a permis à ce gars de virer son virus

A part qu'il a perdu sa connexion !!!!! par un fichier que tu lui as fait supprimé !!!!! Tu l'as bien aidé !!!

^^Marie^^ · Answer

Si tu veux apprendre, suis les marches à suivre du forum.

Nous sommes en équipe ici, si certains te font des réflexions désobligeantes,
 c'est bien que tu risques de planter celui qui demande de l'aide.
6700 a eu droit à ce genre de réflexions, il essaie d'en prendre le chemin pour apprendre à son rythme.
J'ai débuté aussi, j'ai eu droit aux réflexions, j'ai pris le chemin.

Potasse les logiciels que des Helpers -- des pros, des vrais -- ont crée pour les désinfections, ce n'est pas pour rien.
Pourquoi on utilise BlakList pour l'un ou Navilog pour l'autre ??? Pour des Pubs, certes... Et ensuite ???

kris6943 aussi se prend des réflexions, mais il s'acharne à comprendre et à faire attention.
Tu lis les topiks, tu cherches les infections avec des logiciels adaptés, pas avec le robot...
Chaque ligne est à analyser, chaque infection à sa propre définition.
Sûr qu'avec le robot tu ne peux pas apprendre.


je teste en premier ce qui a toujours marché avec moi, Ce n'est pas parceque cela a fonctionné chez toi que cela fonctionnera chez les autres.
Y a des logiciels de désinfection qui ne passent pas chez moi (car j'ai testé) mais passe chez les autres.... et vice versa ;;))

Donc fais attention à ce que tu fais et dis...

Edit  ::  Affaire classée .-

pops187500 · Answer

C'est bien ce que je disais, je laisse la place aux "pros"!

A+

Lyonnais92 · Answer

Bonjour,

il y avait de l'agacement dans mes interventions pour 2 raisons :

- l'infection est traitée par MSNFix. L'outil n'a pas fonctionné parce que personne n'a exigé que hugues0 produise le log. On aurait vu soit que la version est obsolète, soit que l'outil a été mal dézippé. Avec un internaute qui exécute bien les consignes (et en absence d'autres infections), ça se règle en 10 posts.

- il est encore infecté, contrairement aux diverses affirmations. Et ça ne peut pas être satisfaisant. D'autant que, au moins pour une, c'est la porte ouverte à d'autres infections : un tropjan downloader, comme son nom l'indiue, est capable de télécharger du code, des programmes sur l'ordi et pas des bienveillants !!!

Je ne souhaite pas décourager les bonnes volontés. Mais je veux insister sur la nécessité d'interventions "professionnelles". Il faut accepter d'apprendre.

Je ne suis pas très pédagogue (désolé). mais, si tu me lis, tu verras de recommendations.

Un exemple : le robot. Je dis que c'est à toi de l'utiliser, à toi de l'interpréter, de faire le tri entre le vrai et le faux (il y en a), à toi de traduire ensuite en préconisation.

Un autre : j'ai parlé des outils qui n'ont pas fonctionné et dont on n'a pas vu le résultat. Implicitement, cela veut dire que la bonne méthode est de toujours exiger le log de l'outil quand il en produit un.

Comment apprendre ? Tous les pros ont commencé "amateurs" (évidemment). Il y a plusieurs méthodes. Lire ce que font les autres en est une (mais il faut distinguer les bons des mauvais). Chercher de l'aide auprès de ceux qui savent en est une autre. Trouver une communauté d'aide (il en existe plusieurs) en est une troisième.

A toi de voir pops (et d'autres). Si tu veux continuer, je peux te trouver des solutions pour apprendre et progresser.

@+

kris6943 · Answer

très instructif ce post et merci à Marie pour son indulgente réflexion à mon égard (N°129)

pas si évident que ça d'apprendre ... mais je suis vos messages et j'espère y arriver un jour

A+

AIDE AVEC HIJACK et virus MSN

96 réponses

Votre réponse

Discussions similaires

Newsletters