Virus Myalbum 2007

[invitefaaf49cc]

Bonjour,
J'ai été infecté par le virus Myalbum photo 2007 depuis quelques temps déjà, et je pensais pouvoir faire avec, mais mon ordi est tellement ralenti que le lecteur windows media + internet explorer arrivent à rendre le système instable. De plus il m'est quasiment impossible d'utiliser msn, et il semblerait que j'infecte moi même mes contacts...


J'ai donc fait quelques recherches et j'ai effectué les tests préliminaires du forum, les rapports sont joints en pièces jointes.

Merci d'avance,
Shinrei.

[invite9bff601c]

Bonjour Shinrei et Bienvenue sur Futura !


Tu es bien infecté, je te conseille donc, avant toute chose de sauvegarder tes documents importants si ton système ne supporte pas la désinfection.


Il est indispensable d'effecteur les actions dans l'ordre que je vais te dire, même si il y a beaucoup de redémarrage.
-----------------------------------------------------------------------------

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

============================== ============================

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

============================== ============================

color=#009900]Télécharge [/color]AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Redémarre en mode normal
============================== ============================

Télécharge ce fichier - combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Dans ta prochaine réponse, j'attends les rapports suivant :

-> le rapport de MSNfix
-> le rapport de AVG-AS
-> le rapport de Combofix
-> Un nouveau log Hijackthis
-> Un nouveau rapport diaghelp option 1 (comme indiqué dans la procédure )

Bonne journée

[invitefaaf49cc]

Bonjour Igor51,

Tout d'abord, merci de m'avoir répondu aussi vite !
Là, je te réponds d'un autre ordinateur, la situation de l'autre s'aggrave d'heure en heure, et il n'est plus en mesure de faire tourner ie et avg en même temps...

D'ailleurs rien que le test d'AVG a pris 2h.
Ci joint les rapports demandés.

Shinrei

[invite9bff601c]

Re,

Est-ce que après le passage, ton pc ne se comporte pas mieux ? Il a réalisé un gros travail.

On va continuer la désinfection.

============================== =============================

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\Downloaded Program Files\CONFLICT.1\msgrchkr.dll
  C:\WINDOWS\Downloaded Program Files\CONFLICT.18\UDC6V_0001_D19M0709NetInstaller.inf
  C:\WINDOWS\Downloaded Program Files\CONFLICT.21\UDC6V_0001_D19M0709NetInstaller.inf
  C:\WINDOWS\Downloaded Program Files\CONFLICT.1
  C:\WINDOWS\Downloaded Program Files\CONFLICT.10
  C:\WINDOWS\Downloaded Program Files\CONFLICT.11
  C:\WINDOWS\Downloaded Program Files\CONFLICT.12
  C:\WINDOWS\Downloaded Program Files\CONFLICT.13
  C:\WINDOWS\Downloaded Program Files\CONFLICT.14
  C:\WINDOWS\Downloaded Program Files\CONFLICT.15
  C:\WINDOWS\Downloaded Program Files\CONFLICT.16
  C:\WINDOWS\Downloaded Program Files\CONFLICT.17
  C:\WINDOWS\Downloaded Program Files\CONFLICT.18
  C:\WINDOWS\Downloaded Program Files\CONFLICT.19
  C:\WINDOWS\Downloaded Program Files\CONFLICT.2
  C:\WINDOWS\Downloaded Program Files\CONFLICT.20
  C:\WINDOWS\Downloaded Program Files\CONFLICT.21
  C:\WINDOWS\Downloaded Program Files\CONFLICT.3
  C:\WINDOWS\Downloaded Program Files\CONFLICT.4
  C:\WINDOWS\Downloaded Program Files\CONFLICT.5
  C:\WINDOWS\Downloaded Program Files\CONFLICT.6
  C:\WINDOWS\Downloaded Program Files\CONFLICT.7
  C:\WINDOWS\Downloaded Program Files\CONFLICT.8
  C:\WINDOWS\Downloaded Program Files\CONFLICT.9
  c:\Documents and Settings\Cell_I3oss\Application Data\tvmcwrd.dll
  c:\Documents and Settings\Cell_I3oss\Application Data\tvmknwrd.dll
  c:\Documents and Settings\Cell_I3oss\Application Data\tvmuknwrd.dll
  C:\WINDOWS\system32\svcnet.exe
  c:\windows\system32\msvcrtd.exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

---------------------------------------------------------------------------

Télécharge Gmer sur ce lien

Déconnecte toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
A droite, coche "Files" et "Services"
Clic sur Scan
Lorsque le scan est terminé, clique sur "copy"

Ouvre le bloc-note et clique sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et poste le rapport dans ta prochaine réponse.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Poste moi les deux rapports générés en pièce jointe.

Bonne journée

[A voir en vidéo sur Futura]

[invitefaaf49cc]

Re,

Eh bien il est encore trop tot pour que je puisse te dire s'il y a une amélioration, mais en tout cas l'état ne s'aggrave plus. (merci de m'aider au fait )

Voilà les deux rapports demandés.

Bonne soirée,

Shinrei.

[invite9bff601c]

Bonsoir,

voici la suite :

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Bonne soirée

[invitefaaf49cc]

Bonjour Igor,

En effet, mon ordinateur va de plus en plus vite, il reprend du service au fur et à mesure. (alors que j'ai toujours pensé que les virus n'influaient pas sur la vitesse)

Voilà le rapport Kaspersky.

Bonne journée,
Shinrei.

[invite9bff601c]

Bonjour,

Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

• Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
• Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

-=Suppression des incohérence du registre=-

• Clique sur l'icône Erreurs situé dans la marge à gauche.
• Puis clique sur Analyser les erreurs
• Patiente pendant que CCleaner scanne ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur Corriger les erreurs.
• Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

Je te donnerai d'autres indications plus tard.

bonne journée

[invitefaaf49cc]

Hello,

Je suis en train de faire ce que tu m'as demandé, mais était-ce vraiment nécessaire de cocher "avancé" dans le CCleaner, vu qu'il risque de nettoyer mon menu démarrer et mes propriétés d'affichage...

A plus tard,

Shinrei.

[invite9bff601c]

Re,

Non ce n'est pas nécessaire, tu peux juste faire un nettoyage normal, c'est surtout le registre que je veux te faire nettoyer.

============================== =============================

• Démarrer > Exécuter et taper Services.msc puis OK
• Choisir le mode "Etendu" (onglets inférieurs)
• Grâce à la barre de défilement (à droite) rechercher le service suivant : Microsoft security update service
• Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).
• Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,
• Dérouler le Type de Démarrage pour le modifier en Désactivé
• Cliquer sur Appliquer puis OK

• Lancer Hijackthis, choisir Open the Misc.Tools section, la fenêtre « Configuration » va s'ouvrir
• Cliquer sur Delete a NT service... : la fenêtre "Delete a Windows NT service" va s'ouvrir
• Entrer dans la zone de dialogue : msupdate
  Note : assurez-vous de ne mettre d'espace, ni avant, ni après !
• Cliquer OK
• Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.
• Cliquer NO

============================== =============================

Lance Hijackthis, choisis Do a system scan only et coche les lignes suivantes :

Code:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: Band Class - {01F44A8A-8C97-4325-A378-76E68DC4AB2E} - C:\WINDOWS\systb.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll (file missing)
O3 - Toolbar: (no name) - {2CDE1A7D-A478-4291-BF31-E1B4C16F92EB} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - hxxp://cdn.drivecleaner.com/installdrivecleanerstart_fr.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!hxxp://82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {321F38B6-7E5F-470E-B58C-927523B7AF92} - hxxp://es6-scripts.dlv4.com/binaries/egaccess4/egaccess4_1069_em_XP.cab
O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - hxxp://es6-scripts.dlv4.com/binaries/egaccess4/egaccess4_1070_em_XP.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - hxxp://www.winantivirus.com/download/2006/download.php?file=2&aid=swp_wa7p&lid=422&affid=pp_14512015501
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe

Ferme toutes les fenêtres sauf Hijackthis et clique sur Fix Checked

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  c:\windows\system32\msvcrtd.exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

---------------------------------------------------------------------------

poste moi un nouveau log Hijackthis ainsi que le rapport de OT move it

Bonne journée

[invitefaaf49cc]

Re,

Plusieurs problèmes (ou pas) : pour services.msc il était déjà arrêté, pour hijackthis quelques lignes étaient absentes, et dans otmoveit le fichier n'a pas été trouvé.

Je poste les 2 rapports

Bonne journée

Shinrei

[invite9bff601c]

Re,

Ok pour les problèmes que tu as rencontré, c'est normal mais c'était surtout pour s'en assurer.

---------------------------------------------------------------------------

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

Supprime ce dossier ainsi que son contenu : (si tu as le moindre problème, passe par le mode sans échec)

C:\Program Files\Fichiers Communs\TEKNUM~1\

Lance HijackThis, choisis do a system scan only et coche les lignes suivantes :

O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\ update.exe /startup
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} - http://cabs.media-motor.net/cabs/diamond.cab

Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked

Reviens pour me dire comment se comporte ton pc, les problèmes que tu pourraient encore rencontrer aussi.

Bonne journée