Infecté par MESSENGER SKINNER:'(
Résolu
ylônen
Messages postés
36
Date d'inscription
Statut
Membre
Dernière intervention
-
Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Comme beaucoup d'autres,j'ai été infectée par messenger skinner...
Après diverses recherches sur le net,j'ai téléchargé "Navilog1" et lancé la recherche...
J'ai obtenu ceci:
Search Navipromo version 3.3.6 commencé le 25/11/2007 à 1:29:20,03
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\marie\Application Data ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun fichier trouvé dans :
- C:\WINDOWS\system32
- C:\DOCUME~1\MARIE\LOCALS~1\APPLIC~1
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans C:\DOCUME~1\MARIE\LOCALS~1\APPLIC~1 *
Fichiers trouvés :
cqemchvdrg.exe trouvé !
cqemchvdrg.dat trouvé !
*** Recherche fichiers ***
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-0F29A897.pf trouvé !
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
3)Recherche Certificats :
Certificat Egroup absent !
*** Analyse terminée le 25/11/2007 à 1:30:36,51 ***
J'attend l'avis de qqn qui s'y connait pour savoir ce que je dois faire à présent...
Merci d'avance pour votre aide.
P.S:je précise que contrairement aux autres,je n'ais pas de fenètres de publicités qui s'ouvrent tte seules,j'ai simplement le PC qui rame rame rame raaaaaaame,et l'anti virus (kaspersky) qui affiche des alertes toutes les 5 minutes...
Comme beaucoup d'autres,j'ai été infectée par messenger skinner...
Après diverses recherches sur le net,j'ai téléchargé "Navilog1" et lancé la recherche...
J'ai obtenu ceci:
Search Navipromo version 3.3.6 commencé le 25/11/2007 à 1:29:20,03
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\marie\Application Data ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun fichier trouvé dans :
- C:\WINDOWS\system32
- C:\DOCUME~1\MARIE\LOCALS~1\APPLIC~1
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans C:\DOCUME~1\MARIE\LOCALS~1\APPLIC~1 *
Fichiers trouvés :
cqemchvdrg.exe trouvé !
cqemchvdrg.dat trouvé !
*** Recherche fichiers ***
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-0F29A897.pf trouvé !
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
3)Recherche Certificats :
Certificat Egroup absent !
*** Analyse terminée le 25/11/2007 à 1:30:36,51 ***
J'attend l'avis de qqn qui s'y connait pour savoir ce que je dois faire à présent...
Merci d'avance pour votre aide.
P.S:je précise que contrairement aux autres,je n'ais pas de fenètres de publicités qui s'ouvrent tte seules,j'ai simplement le PC qui rame rame rame raaaaaaame,et l'anti virus (kaspersky) qui affiche des alertes toutes les 5 minutes...
A voir également:
- Infecté par MESSENGER SKINNER:'(
- Cette personne n'est pas disponible sur messenger - Guide
- Spam messenger - Guide
- Yahoo messenger - Télécharger - Messagerie
- Bloquer sur messenger - Guide
- Invitation par message messenger ✓ - Forum Mail
51 réponses
Bonsoir
Aucune lignes de fixées, il y a quelque chose que tu dois mal faire.
Applique toi :
Démo : "Fixer les lignes " http://pageperso.aol.fr/balltrap34/demohijack.htm
1) HijackThis
Desactive le TeaTimer tout d abord via click droit sur son icone avec le petit cadenas dans barre des taches "quitter resident de Spybot"
Puis
Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes :
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.
Clique sur Fix Checked puis clique sur OK
Puis ferme hijackthis.
2) Rapports
Redemarre ton PC.
Poste ce nouveau rapport HijackThis et dis moi si tu constates des améliorations.
@ suivre
Aucune lignes de fixées, il y a quelque chose que tu dois mal faire.
Applique toi :
Démo : "Fixer les lignes " http://pageperso.aol.fr/balltrap34/demohijack.htm
1) HijackThis
Desactive le TeaTimer tout d abord via click droit sur son icone avec le petit cadenas dans barre des taches "quitter resident de Spybot"
Puis
Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes :
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.
Clique sur Fix Checked puis clique sur OK
Puis ferme hijackthis.
2) Rapports
Redemarre ton PC.
Poste ce nouveau rapport HijackThis et dis moi si tu constates des améliorations.
@ suivre
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re
Tuto/ Démo en image a consulter avant :
"Fixer les lignes " http://pageperso.aol.fr/balltrap34/demohijack.htm
"Générer un rapport" http://pageperso.aol.fr/balltrap34/demohijack.htm
@+
Tuto/ Démo en image a consulter avant :
"Fixer les lignes " http://pageperso.aol.fr/balltrap34/demohijack.htm
"Générer un rapport" http://pageperso.aol.fr/balltrap34/demohijack.htm
@+
j'ai beau rééssayer et réésayer rien n'y fait...
par contre j'ai remarqué qu'à chaque fois que je clique sur "fix checked" puis "ok",un mesage de mon anti-virus apparait,du style"supression composition des modules chargés au démarrage de l'ordinateur "
c'est peut être à cause de ça que ça ne marche pas?j'en sais rien du tt,je demande juste,parce que franchemant je ne comprend pas pourquoi ça ne marche pas...
par contre j'ai remarqué qu'à chaque fois que je clique sur "fix checked" puis "ok",un mesage de mon anti-virus apparait,du style"supression composition des modules chargés au démarrage de l'ordinateur "
c'est peut être à cause de ça que ça ne marche pas?j'en sais rien du tt,je demande juste,parce que franchemant je ne comprend pas pourquoi ça ne marche pas...
Rebelote
C'est une de tes protections qui doit géner .. TeaTimer et Kaspersky, on va faire cela en mode sans échec :
Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
1) Redémarre en mode sans échec
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuyer sur [Entrée]
Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
2) HijackThis
Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes :
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.
Clique sur Fix Checked puis clique sur OK
Puis ferme hijackthis.
3) Rapports
Redemarre ton PC en mode normal.
Poste ce nouveau rapport HijackThis et dis moi si tu constates des améliorations.
@ suivre
C'est une de tes protections qui doit géner .. TeaTimer et Kaspersky, on va faire cela en mode sans échec :
Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
1) Redémarre en mode sans échec
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuyer sur [Entrée]
Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
2) HijackThis
Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes :
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.
Clique sur Fix Checked puis clique sur OK
Puis ferme hijackthis.
3) Rapports
Redemarre ton PC en mode normal.
Poste ce nouveau rapport HijackThis et dis moi si tu constates des améliorations.
@ suivre
j'ai relancé hijackthis en mode sans echec et les lignes ne sont tjr pas fixées...je comprend rien là...
en + j'ai rééssayé de lancer hijackthis et les lignes que tu m'as dit de cocher n'y sont meme plus à part une ou deux...:S
toutefois est-ce que tu pourrais jeté un coup d'oeil à ça Processus - wuauclt - wuauclt.exe
car mon anti-virus affiche sans arrêt des alertes "Processus C:\WINDOWS\system32\wuauclt.exe(PID...):action chargement d'un nouveau module ou d'un module modifié bloquée"
(je précise que le "PID" change c'est pourquoi j'ai mis des points de suspensions.)
Ne serait-ce pas ça l'origine du problème?
toutefois est-ce que tu pourrais jeté un coup d'oeil à ça Processus - wuauclt - wuauclt.exe
car mon anti-virus affiche sans arrêt des alertes "Processus C:\WINDOWS\system32\wuauclt.exe(PID...):action chargement d'un nouveau module ou d'un module modifié bloquée"
(je précise que le "PID" change c'est pourquoi j'ai mis des points de suspensions.)
Ne serait-ce pas ça l'origine du problème?
Bonsopir Ylonen
Wuauclt est un processus légitime pour effectuer les mises a jours Windows
https://www.processlibrary.com/en/directory/a/1/
Il peut néanmoins poser parfois soucis.
Fais ce qui suit :
) Cleanzip
* Télécharge clean zip de Malekal_Morte http://www.malekal.com/download/clean.zip
* Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
* Ouvre le dossier Clean qui se trouve sur ton bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,
choisis l'option 1
Puis poste le rapport qui se trouve ici C:\rapport_clean.txt ainsi qu' un nouveau log HijackThis stp.
@ suivre.
Wuauclt est un processus légitime pour effectuer les mises a jours Windows
https://www.processlibrary.com/en/directory/a/1/
Il peut néanmoins poser parfois soucis.
Fais ce qui suit :
) Cleanzip
* Télécharge clean zip de Malekal_Morte http://www.malekal.com/download/clean.zip
* Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
* Ouvre le dossier Clean qui se trouve sur ton bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,
choisis l'option 1
Puis poste le rapport qui se trouve ici C:\rapport_clean.txt ainsi qu' un nouveau log HijackThis stp.
@ suivre.
j'ai choisi l'option 1 et j'obtiens ça :( :
Merci de lire ce qui suit
--------------------------
Veuillez svp envoyer le fichier C:\upload_moi_NOM-999186DFF5A.tar.gz a l'adresse
http://upload.malekal.com
Ce fichier peut contenir des fichiers infectieux collectes sur votre ordinateur
Les fichiers mal detectes seront envoyes aux editeurs d'antivirus
Lorsque vous allez appuyer sur une touche, le site d'envoi de fichiers s'ouvira
Cliquez alors sur le bouton parcourir, selectionner le fichier C:\upload_moi_NOM
-999186DFF5A.tar.gz (Poste de travail / Disque C / upload_moi.Zip
Cliquez sur le bouton "Envoyer le fichier"
Merci!
Appuyez sur une touche pour continuer...
et quand j'appuie sur une touche ça m'envoie sur un site...
Merci de lire ce qui suit
--------------------------
Veuillez svp envoyer le fichier C:\upload_moi_NOM-999186DFF5A.tar.gz a l'adresse
http://upload.malekal.com
Ce fichier peut contenir des fichiers infectieux collectes sur votre ordinateur
Les fichiers mal detectes seront envoyes aux editeurs d'antivirus
Lorsque vous allez appuyer sur une touche, le site d'envoi de fichiers s'ouvira
Cliquez alors sur le bouton parcourir, selectionner le fichier C:\upload_moi_NOM
-999186DFF5A.tar.gz (Poste de travail / Disque C / upload_moi.Zip
Cliquez sur le bouton "Envoyer le fichier"
Merci!
Appuyez sur une touche pour continuer...
et quand j'appuie sur une touche ça m'envoie sur un site...
bonsoir au fait^^
et d'ailleurs,dans hijackthis il n'y a plus les lignes que tu m'avais dis de coché alors je sais pas trop quoi faire avec...?
et d'ailleurs,dans hijackthis il n'y a plus les lignes que tu m'avais dis de coché alors je sais pas trop quoi faire avec...?
bonsoir ylonen et a toi sioux
je mi nteresse a comment ca marche
je suis un peu neophyte en informatique
qu est ce qu il y a comme probleme virus
je ne sais pas si c etait deja comme ca six mois auparavant
je jette un oeil a ces problemes d infection et constate que de suite les bons interviennent
pour aider c est hyper sympa
mais je remarque que dans tous les sujets traites les personnes ne disent pas ou ils ont attrapes cela
je crois que ce serait interressant pour ceux qui jettent un oeil a vos debats que a un moment
on ait une idee de ou il vient ce virus afin que l on fasse gaffe et que l on repercute l info
amical
lolo
je mi nteresse a comment ca marche
je suis un peu neophyte en informatique
qu est ce qu il y a comme probleme virus
je ne sais pas si c etait deja comme ca six mois auparavant
je jette un oeil a ces problemes d infection et constate que de suite les bons interviennent
pour aider c est hyper sympa
mais je remarque que dans tous les sujets traites les personnes ne disent pas ou ils ont attrapes cela
je crois que ce serait interressant pour ceux qui jettent un oeil a vos debats que a un moment
on ait une idee de ou il vient ce virus afin que l on fasse gaffe et que l on repercute l info
amical
lolo
comme indiqué dans le titre " infecté par MESSENGER SKINNER:'(" ,cette infection provient de cette connerie de messenger skinner.
Alors un conseil:
NE TELECHARGEZ PAS MESSENGER SKINNER (c'est pas un pack d'émoticons,c'est un pack de trojan:S)
Alors un conseil:
NE TELECHARGEZ PAS MESSENGER SKINNER (c'est pas un pack d'émoticons,c'est un pack de trojan:S)
relolo
j ai repercuté linfo sur tous les forums
pour nous les debutants
tout ca c es t un vocabulaire nouveau pour moi
comme pour les autres je suppose
lolo
j ai repercuté linfo sur tous les forums
pour nous les debutants
tout ca c es t un vocabulaire nouveau pour moi
comme pour les autres je suppose
lolo
