Palmyre
J'ai lu avec interêt votre article sur le virus msn "résultats du bac" en pièce
jointe .Ma fille l'a ouvert et de ce fait mon pc est infecté.Avast le bloque
mais se lance toutes les 5 secondes .Je fais un scan , Avast me dit qu'il est supprimé et pourtant , il revient en permanence .J'ai fait également un scan sur Bitdefender.com ,mais sans plus de succès.Pouvez-vous m'aider ? Merci d'avance (win32:warezov.BYG[wrm] ou
.CLB
Et les derniers Norton?
J'ajoute que j'ai fait une analyse avec Hijackthis ci cela peut vous aider ....Envoyé par Palmyre
Bonjour Palmyre,
Un Bonjour n'aurait pas été de trop.
Bonne soiréeConsulte je te prie la procédure préliminaire du forum.
Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 5 du dossier.
Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure.
Cyrrus
PS : Bienvenue sur Futura
Bonsoir ! Je te remercie de tout coeur de t'occuper de "mon"cas ,car c'est la panique à la maison (et c'est pour cela que j'en oublie de saluer les internautes ) ! Bon , j'ai effectué la procédure indiquée sur le site et voici les résultats des scans . Merci pour ta rapidité et bonne soirée
Palmyre
Re,
Il manque juste les rapports en pièces jointes
Désolée mauvaise manipulation ....
Dernière modification par Cyrrus ; 08/07/2007 à 15h30.
Le rapport diaghelp est le fichier resultat.txt, non un screenshot de la fenetre de diaghelp pendant son fonctionnement.
Il n'y a pas de vers msn là dedans, du moins à première vue. Cela viendrait plus d'un mail infectieux...non de msn.
Je te donnerait la marche à suivre une fois que j'aurai le rapport de diaghelp sous les yeux.
Bonne soirée
Cyrrus
Je pense que c'est ça qui te manque (je te prie de m'excuser mais je suis un peu dans le brouillard)
Merci
Normalement le fichier resultat.txt devrait se trouver dans le dossier Diaghelp, celui ou se trouve tous les composants de Diaghelp.
Bonjour ....Alors serait-ce ceci ???
Nop, toujours pas. Le rapport s'appelle resultat.txt, et se trouve ici : C:\resultat.txt
peut-être ceci ...
Re,
On y arrive...ouf !
1.
[Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip
Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage
Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt
2. Télécharge AVG Anti-SpywareRedémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
- Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
- Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
- Du mode Sans Échec, lance AVG Anti-Spyware,
- Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
- Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
- AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
- Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
3. Télécharge Navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistre-le sur ton Bureau.
Double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. Enregistre le rapport sur ton Bureau.
Poste le, en pièce jointe, dans ta prochaine réponse.
Note : Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Poste moi les rapports de msnfix, avg as, fixnavilog, et un nouveau rapport hijackthis.
Cyrrus
Dernière modification par Cyrrus ; 08/07/2007 à 15h23.
Je poste le log hijackthis anonymisé, ne t'en occupe pas.
Re re re....
Apparemment ta fille utilise le logiciel 3dsmax. Vu le prix de la licence il se peut bien que celui ci soit cracké (donc illégal). Si le logiciel est configuré pour faire des mises à jour automatique (ce qui est le cas), elle va se faire choper, avec dommages et intérets à la clé.
Pas besoin de lui sauter dessus la hache à la main, juste lui expliquer ce que je viens de te dire.
Bonjour , je suis désolée de ne pas pouvoir te donner plus d'informations car ma 9box s'est arrétée hier après-midi , ce matin elle s'est remise en route mais pour l'instant elle ne veut plus reconnecter mon deuxième pc (l'infecté justement !) J'attends qu'il veuille bien se reconnecter sur internet pour te donner les résultats des scans . A bientôt et un grand merci
Palmyre
(je suis en ligne avec l'assistance technique et je crains le pire !)
Re-Bonjour
Voilà , je commence la procédure que tu m'as indiquée. Problème résolu avec le neuf , grâce à moi-même puisque l'assistance technique est encore plus incapable que moi , j'ai donc trouvé la panne toute seule . Je te tiens au courant ....
OK ,juste une question ...En mode sans échec je passe en mode administrateur ? C'est ce que j'ai fait ,ensuite j'ai lancé avg ,il a trouvé mes trucs bizarres mais seulement on ne voit rien des commandes !J'ai cliqué au pif , il a bien supprimé mes virus mais le rapport s'est evaporé (erreur dans le chargement du rapport ) .Bon je relance à tout hasard avg .
Je crois avoir tout fini ! Bonne lecture et bon courage ...
Bonjour Palmyre,
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
2. Lance Hijackthis, clique sur Do a system scan only et coche les lignes suivantes :
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [plg] C:\WINDOWS\plg.exe s
O4 - HKLM\..\Run: [cnndiag] C:\WINDOWS\sysc10trg.exe
O4 - HKLM\..\Run: [aqw] C:\WINDOWS\aqw.exe s
O4 - HKLM\..\Run: [.nvsvc] C:\DOCUME~1\FAMILL~1\LOCALS~1\ Temp\sxe54.tmp
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://213.249.155.71/activex/AMC.cab
O20 - AppInit_DLLs: confcnn.dll j6w5b1ksec.dll e1.dll e2vst1jl.dll
O20 - Winlogon Notify: msprwinn - C:\WINDOWS\system32\msprwinn.d ll (file missing)
Clique sur Fix Checked.
3. Déroule la liste des instructions ci-dessous :
- Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
4. Télécharge ce fichier - combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.
NoteNe pas cliquer dans la fenêtre de combofix durant le passage de l'outils.
5. Double clique sur le raccourci Navilog1 présent sur le Bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.
Le fix va t'informer qu'il va alors redémarrer ton PC.
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.
Patiente jusqu'au message : *** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver. ( sur ton Bureau par exemple )
Referme le blocnote. Ton bureau va réapparaitre.
Note : Si ton bureau ne réapparait pas, déroule les instructions suivantes:
- Fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
- Rends-toi à l'onglet "processus".
- Clique en haut à gauche sur fichiers et choisis "exécuter"
- Tape explorer et valide. Celà te fera apparaitre ton bureau.
Poste le rapport en pièce jointe dans ta prochaine réponse.
Poste moi les rapports (sdfix, combofix, fixnavilog et un nouvel hijackthis) en pièces jointes.
A partir de demain je ne serai plus là. Ce sera Synthexe ou Igor51 qui prendront le relais.
Bon courage
Cyrrus
Bonjour Cyrrus
Bon tu vas te dire que je suis la reine de la cata mais voilà ce qui s'est passé :j'ai lancé Hijackthis mais j'ai appuyé sur oui à la fin au lieu de ne rien faire et lancer Fix Checked ...Donc forcément les résultats ne vont pas être les mêmes j'imagine. De plus il y a un enfant qui est passé sur internet pendant la procédure de Combofix .Bref tout a coincé j'ai redémarré le pc et là windows a réparé des fichiers . Tout a redémarré et j'ai continué la suite ...Relancé Combofix ect ... Bon , encore mille excuses .. Merci pour ton aide (est-ce que le formatage me pend au nez ???)
Palmyre
Je n'arrive plus à t'envoyer les pièces jointes ...
Je suis bloquée je n'arrive pas à télécharger les rapports. Comment puis-je faire pour te les envoyer ???
J'ai du utiliser l'autre pc , parce que celui ci ne veut plus télécharger les pièces jointes à partir du site... Je cours au plantage ...
Bonjour Palmyre
Cyrrus est parti pour quelques jours, je prends donc le relais.
Tu n'as pas de firewall, il te faut absolument en installer un, c'est la protection élémentaire pour sécuriser un minimum ta machine...
Le parefeu windows ne bloque QUE LES ENTREES, il ne bloque aucune sortie, ce qui fait que lorsque l'on est infecté, toutes les infos récupérées par les éditeurs de malwares peuvent sortir en douce sans que tu ne les apercoives, ce qui n'est pas le cas des parefeux suivants, qui bloque les entrées ET les sorties.
Tu DOIS ABSOLUMENT installer un FIREWALL, en voila 4, gratuits et performants :
Zone alarm, parefeu gratuit et performant :Kerio Personnal Firewall très bon et gratuit aussi :
- Téléchargement de ZoneAlarm : http://www.zonelabs.com/store/conten...&ctry=&lang=fr
- Tutorial de configuration : http://speedweb1.free.fr/frames2.php?page=tuto1
Jetico, que je n'ai pas testé mais dont j'ai eu de très bons échos :
- Téléchargement de Kerio : http://telechargement.zebulon.fr/license-1-82.html
- Tutorial de configuration : http://www.vulgarisation-informatique.com/kerio.php
Outpost
- Téléchargement de Jetico : http://www.jetico.com/download.htm
- Tutorial de configuration : http://www.malekal.com/tutorial_JeticoFirewall.php
- Téléchargement d'Outpost : http://www.agnitum.com/products/outp...e/download.php
- Tutorial de configuration : http://c.rosu.free.fr/Conf_outpost.htm
==============================
Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :
Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dl l
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O20 - AppInit_DLLs: e1.dll
=======================
- Télécharge OTMoveIt de OldTimer.
- Sauvegarde le sur ton Bureau.
- Double-Clique sur OTMoveIt.exe pour le lancer.
- Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :
Code:C:\WINDOWS\system32\e1.dll C:\WINDOWS\system32\e2vst1jl.dll C:\WINDOWS\system32\thhd69.dll C:\WINDOWS\system32\qv6lt5d.exe C:\WINDOWS\system32\j6w5b1ksec.dll C:\WINDOWS\aqw.exe C:\WINDOWS\aqw.da C:\WINDOWS\xdr.dat C:\WINDOWS\fjp2bux.reg C:\WINDOWS\system32\msprwinn.dat
- Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
- Clique sur le bouton rouge Moveit!.
- Ferme OTMoveIt.
Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.
Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles, en pièce jointe.
==========================
AIDE : Configurer le contrôle des ActiveX
- Fais un scan en ligne Kaspersky avec Internet Explorer :
- Dans la nouvelle fenêtre, clique sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail
- Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
======================
Poste-nous (en pièces jointes) les rapports demandés : OTmoveIT, KasperskyOnline et un nouveau hijackthis.
Où en sont tes dysfonctionnements ?
Bonne journée
Je poste les rapports 'anonymisés'
Bonjour , je te remercie pour ta rapidité ,je vais essayer toute la procédure ce soir .Pour information , quand je clique pour télécharger les pièces jointes , ça ne fait rien et la petite icone carrée reste avec un petit panneau interdit dans la barre en bas à droite alors qu'avant elle était active .Bon , je te tiens au courant des suites de ma manoeuvre !
Palmyre
J'ai un petit peu de temps donc me revoici sur mon pc .Je confirme il ,m'est impossible de télécharger à partir des liens que tu m'as envoyés.J'ai donc tout mis sur une clé usb et je suis en train de transferer sur "l'infecté"!
Arrivé sur le site de zone Alarm ,la page d'accueil m'indiquait que le site était fermé et que je ne pouvais pas y acceder , alors j'ai pris l'autre pc et tout fonctionnait .... Attention , je crains que je vais craquer et que je vais prendre du temps sur mes vacances pour formater
A bientôt
Bon , on dirait que ce soir j'arrive à nouveau à télécharger les pièces jointes. Voilà les derniers scans . Bonne lecture et merci beaucoup
Palmyre
Bonsoir
Relance OTmoveIT (comme demandé précedemment, en copiant/collant la boite ci-dessous :
==================Code:C:\WINDOWS\aqw.dat C:\WINDOWS\sysc10trg.exe C:\WINDOWS\system32\confcnn.dll C:\WINDOWS\system32\msnmsg.exe C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery
Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :
Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.O20 - AppInit_DLLs: e1.dll
==============================
Refais un scan KasperskyOnline.
==============================
Poste moi les nouveaux rapports d'OTmoveIT, de KasperskyOnline et un nouveau hijackthis.
Bonne soirée/nuitée
