Virus MSN

Yuangua Messages postés 10 Statut Membre -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Voila un proche ma confié son ordinateur car elle a récemment été infecté par un virus (via msn) et ce virus l'empêche d'aller sur sa session.
Pour rentrer un minimum dans le détail, au menu des sessions, la bannière de WGA indique que le logiciel n'est pas valide. De plus dès que l'on souhaite accéder a l'une des session un avertissement apparait avec deux choix possible. Cet avertissement dit que le produit n'est pas valide et qu'il faut soit le valider maintenant soit plus tard. Les deux cas on été essayé sans succès.
En vu de cela, J'ai monter le disque dur sur un autre ordinateur et j'ai supprimer (pas définitivement au cas ou) les fichier en relation avec le WGA. J'ai remonté le disque dur et lancé la session. La session se lance et se referme de suite(je ne vois juste que le fond d'écran). Cela du au virus. J'ai pensé a faire une désinfection mais la session sur laquel le virus ce trouve est protégé par un mot de passe (je peux avoir le mot de passe sans soucis) et vu que je ne peux ouvrir de session je ne peut faire une désinfection que sur mon ordinateur, la ou je n'arrive pas a accéder a ces dossier, car protégé. J'aimerais donc savoir comment virer ce virus et surtout une autre idée me viens en tête, comment accéder aux fichier de la session protéger via l'explorateur windows car cela me permettrais de supprimer le virus (ou plutôt une partie car il se lance au démarrage). Autre question, puis-je faire un rapport Hijackthis ou puis-je accéder a msconfig du disque dur infecté alors celui-ci est monté sur mon PC?

Dernière bizarrerie que je viens de voir, le système installé est windows Xp Home Sp2 et lors du lancement de l'ordinateur en mode sans échec il marquait "Microsoft Windows Professionnel".....

Merci d'avoir tout lu et merci d'avance.
Bonne journée (pardon pour les fautes d'orthographe au cas ou :p )
Configuration: Windows XP
Firefox 2.0.0.13

20 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    Télécharge MSNFix de Laurent
    http://sosvirus.changelog.fr/MSNFix.zip

    Décompresse-le et double clic sur le fichier MSNFix.bat.
    - Exécute l'option R.
    --Si l'infection est détectée, exécute l'option N
    - Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
    Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

    envoyer le fichier [b] C:\DOCUME~1\florian\Bureau\Upload_Me.zip [/b] sur http://upload.changelog.fr pour faire evoluer msnfix

    ______________

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :
    http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."
    0
  2. Yuangua Messages postés 10 Statut Membre
     
    Salut, bon le Hijackthis et le msnfix n'ont pas fonctionné, il ne se servent que du disque dur ou le système est activé et non pas l'autre. Merci quand même :)
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    mets les sur le disque concérné pour voir
    0
  4. Yuangua Messages postés 10 Statut Membre
     
    Déjà fait, mais merci quand même :)

    Sinon j'ai essayé de lancé l'utilitaire de gestion de copte ainsi que msconfig mais logiquement sans succès. Pense tu que je puisse modifier le mot de passe du compte protégé via regedit? Et comment?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    demarre sur le disque concerné en mode sans echec et scan avec et colle le rapoprt

    Télécharge MSNFix de Laurent
    http://sosvirus.changelog.fr/MSNFix.zip

    Décompresse-le et double clic sur le fichier MSNFix.bat.
    - Exécute l'option R.
    --Si l'infection est détectée, exécute l'option N
    - Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
    Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

    envoyer le fichier [b] C:\DOCUME~1\florian\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr pour faire evoluer msnfix
    0
  7. Yuangua Messages postés 10 Statut Membre
     
    Merci mais le mode sans échec ne me permet pas d'accéder aux sessions même administrateur, donc je ne peut lancer MSNfix. Je vais tout de même essayer avec un live cd, si je trouve msnfix sur Linux
    0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    sinon

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

    -------------------------------------

    scan avec
    MalwareByte's Anti-Malware et vire ce qui est trouvé

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
  9. Yuangua Messages postés 10 Statut Membre
     
    Enfaite, le virus est plus pervers que je ne le pensais. En effet je ne peux pas lancer quoique ce soit comme mode de démarrage, ils sont tous désactivé (mode sans echec avec ou sans prise en charge réseau, mode sans echec avec invite de commande ms-dos...)
    Sinon j'ai réussi a faire un scan du logiciel que tu ma proposé mais il n'a rien trouvé, j'ai essayé avec le logiciel qui avait trouvé le virus (msncleaner) mais il ne trouve plus rien non plus :s
    0
  10. Yuangua Messages postés 10 Statut Membre
     
    Voila le rapport hijackthis que j'ai fais, tu le vera il ne toruve rien sauf un Win32 classe louche....c'est tout. "The Anti-RMDR Temp File." Voila ce que ce serais....

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:26:42, on 31/03/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Safe mode

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\explorer.exe
    E:\MSNCleaner.exe
    E:\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: Win32 Classes -
    0
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    le rapport hijakchtis est incomplet
    0
  12. Yuangua Messages postés 10 Statut Membre
     
    !?
    Je viens de le retester, il est complet......il ne manque rien.....!?

    J'ai refais un log hijackthis j'ai le même résultat.....mais l'ordinateur sur lequel il a été fais viens juste d'être installé donc il n'y a rien de rien d'installé
    0
  13. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    alors aucune protection dessus?
    mets un antivirus, antiespion ... et scan avec

    antivir:
    https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)

    spybot
    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

    _____________

    sinon pour le virus msn: il y a d'efficace sdfix, msnfix , msn cleaner, MalwareByte's Anti-Malware,

    et

    Clean Virus MSN
    https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/50571.html

    ______________
    pour protéger gratos ton ordi

    http://www.commentcamarche.net/telecharger/logiciel 4 securite

    mettre un antivirus

    AVAST en français ou ANTIVIR (en anglais mais très efficace)
    https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
    -------------
    des anti-espions :
    MalwareByte's Anti-Malware + SPYBOT +/- si tea timer non active de spybot:
    WINDOWS DEFENDER ou SPYWARE TERMINATOR

    +
    SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

    Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
    --------
    un pare feu :
    celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

    http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

    https://forum.pcastuces.com/sujet.asp?f=25&s=35606
    https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
    https://manuelsdaide.com/contact/
    http://www.open-files.com/forum/index.php?showtopic=29277
    http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

    -----------
    CCLEANER pour effacer les traces de surf
    ---------
    naviguer avec firefox ou safari ou opera et non internet explorer plus touché par les virus
    http://www.mozilla-europe.org/fr/products/firefox/
    0
  14. Yuangua Messages postés 10 Statut Membre
     
    Bon la je suis entrain d'installer plein de logiciel de securité (kaspersky en évaluation, ad-aware, spybot, les log msn) et je fais des annalyse. ça va prendre du temps mais je suis motivé :p
    En attendant le nouveau rapport Hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:13:27, on 31/03/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
    E:\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: Win32 Classes -
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
    O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    0
  15. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    rien dans hijkachits

    a plus
    0
  16. Yuangua Messages postés 10 Statut Membre
     
    J'ai analysé avec Spybot S&D et Ad-aware, j'ai trouvé plusieurs trojan que j'ai supprimé (d'autres fichier moins dangereux aussi) Seulement aucun changement et la j'effectue une analyse poussé sur Kaspersky, la dernière version et pour le moment sans succès (70%)
    Sachant que la personne q ui appartient le PC avait fait un MSNCleaner sans supprimer le virus trouvé et aucune des logiciels n'a trouvé le virus a l'emplacement donnée dans le rapport de MSNCleaner.
    0
  17. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    sinon pour le virus msn: il y a d'efficace sdfix, msnfix , msn cleaner, MalwareByte's Anti-Malware,

    et

    Clean Virus MSN
    https://www.01net.com/
    0
  18. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    mais dans les infections msn il y a des trucs de ce genre sur hijakchits:

    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\^^^^^.exe

    O4 - HKLM\..\Run: [Flash Media] C:\WINDOWS\system32\^^^^^.exe
    0
  19. Yuangua Messages postés 10 Statut Membre
     
    Le soucis c'est que les logiciel que tu me propose n'analyse pas le système infecté.

    Enfaite, je ne peut pas analyser le Windows infecté car il faut que j'accède aux sessions pour lancer les application. La ce système Windows est sur un autre ordinateur ou il y a aussi Windows mais si je lance les logiciels ils vont m'analyser le système qui est lancé donc celui qui n'est pas infecté, celui qui est infecté est considéré comme disque dur de donnée non pas comme disque dur système donc on ne peut pas faire d'analyse. C'est pour cela que j'arrive pas a virer ce virus. :)
    Et le rapport Hijackthis a été fait sur le système non infecté avec le système infecté en tant que disque dur de donnée.

    Je ne sais pas si tu avais compris cela?
    0
  20. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ne peux tu pas demarrer a partir du disque infécté?
    0