virus photo album

[inviteb66eecb3]

bonsoir a tous!
comme beaucoup j'ai eu le malheur de recevoir ce virus qui se propage par msn. Un contact avait écri un message en anglais accompagné du document qui j'ai cru était un de ces album photo je l'ai ouvert et j'ai reçu ce virus.
Il envoie environ toutes les 5 min des messages en anglais avec un document a tous mes contact connecté et je ne peux pa l'empecher d'agir pendant que il envoie ces messages.
-----

[Cyrrus]

Bonjour sasuke,

1.

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, exécutez l'option N.
--- Sauvegardez ce rapport puis faites un copier/coller de ce rapport sur le forum, ainsi qu'un nouveau scan HijackThis fait en mode normal.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

2. Lance Hijackthis, clique sur Do a system scan only, et coche les lignes suivantes (certaines peuvent avoir disparues, une notamment) :

Code:

O4 - HKLM\..\Run: [Video Process] MSlti64.exe
O4 - HKLM\..\Run: [team grey lite base] C:\Documents and Settings\All Users\Application Data\trayforkteamgrey\surfmix.exe
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
O4 - HKCU\..\Run: [plan ping] C:\DOCUME~1\matinda\APPLIC~1\MEDIAN~1\Cdrom sign.exe
O21 - SSODL: rdihost - {920C291D-ABBD-4817-9048-0C1B86652493} - rdihost.dll (file missing)

Clique sur Fix Checked.

3.

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

4. Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\windows\system32\mslti64.exe
  C:\Documents and Settings\All Users\Application Data\trayforkteamgrey
  c:\Documents and Settings\matinda\Application Data\Media Noun Ref

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

5.

Télécharge Dr Web Cure it

• Double clique sur drweb-cureit.exe puis sur Analyse. Accepte le scan rapide en cliquant sur Ok.
• Le programme va scanner la mémoire ton pc. Clique sur Oui pour supprimer ce qu'il te trouve. Cela ne devrai pas prendre longtemps.
• Une fois cela fait, clique sur Tous les disques durs.
• Clique sur la flèche verte à droite, en dessous du logo. Le scan va démarrer.
• Choisis "Oui pour tous" s'il te demande de nettoyer/déplacer (cure/move) les fichiers trouvés.
• Une fois le scan finis, tu devrais pouvoir cliquer sur cette icône =>
• Clique ensuite sur l'icône suivant et sélectionne "Move incurable".
  
• Une fois cela fait, fait Fichier - Enregistrer le rapport.
• Sauvegarde le rapport sur ton Bureau. Il devrait se nommer DrWeb.csv.
• Redemarre ton ordinateur, car des fichiers peuvent necessiter un redemarrage pour être supprimés.
• Poste le rapport en pièces jointes (pense à renommer DrWeb.csv en DrWeb.txt).

6. Poste moi :

• Le rapport de Dr Web
• Le rapport de OTMoveIT
• Un nouveau rapport Hijackthis.

La procédure est longue mais tout y est expliquée. Si tu as une question n'hésite pas à la poser.


Bonne soirée
Cyrrus

[inviteb66eecb3]

bonjour!
dr web ne détecte aucun virus.
est ce que je continue comme meme ou j'arrete

[inviteb66eecb3]

non enfaite il détecte des virus ( dr web):
tout est bientot fini ^^ du moins je l'éspere a moins que d'autre procédure sont a faire?

[A voir en vidéo sur Futura]

[inviteb66eecb3]

j'ai enfin fini. Y'a t'il d'autre procédure a effectué?
mais je ne trouve pa le rapport de OTmovelt.

[Cyrrus]

Bonjour sasuke,

Si tu as fait la procédure complètement, poste moi les rapports demandés que je puisse vérifier que tout à fonctionné.

Bonne soirée
Cyrrus

[inviteb66eecb3]

avez vous vérifié? c'est bon?

[Cyrrus]

Lol, 2 sec, on s'est croisé, je regarde tes rapports

Il manque celui de OTmove It, poste le moi

[Cyrrus]

Re,

Le log Hijackthis est le même qu'au début (même date/heure). Poste moi un nouveau log Hijackthis, en plus de celui de OTMove IT

[inviteb66eecb3]

je ne trouve pa le rapport de OTmove it mais par contre la j'ai le nouveau rapport d"hijackthis

[inviteb66eecb3]

voila le bon rapport d'hijackthis

[inviteb66eecb3]

comment je fais pour avoir un nouveau rapport de ot move it

[Cyrrus]

Le rapport d'OTMoveit se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles

Coche dans Hijackthis :

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe

Clique sur Fix Checked.

Supprime le fichier suivant si trouvé :
C:\foo.mht!

Vas sur le site http://virusscan.jotti.org/
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : sp.exe (fais une recherche avant pour le trouver)
- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici - ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens!

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Bonne soirée
Cyrrus

[inviteb66eecb3]

je poste imédtiatement le rapport de ot moved it

[inviteb66eecb3]

je dois cocher quoi dans hijackthis?

[Cyrrus]

Cette ligne, comme indiqué :

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!hxxp://www.free32.com/POP.CHM::/sp.exe

Et cliquer ensuite sur Fix Checked.

[inviteb66eecb3]

ok mais je trouve pa le fichier sp.exe

[Cyrrus]

ok mais je trouve pa le fichier sp.exe

Même en faisant une recherche ?

Si non, passe à la suite.

[inviteb66eecb3]

oui j'ai fait une recherche j'ai pa trouvé.
je commence a fatigué je vais passer a la suite
mais dis moi c'est encore long?

[Cyrrus]

Désolé que ce soit long mais

C:\Program Files\Montorgueil\webcam2;Dial er.Hot

Ce n'est pas de ma faute...

Continue la procédure, il reste quelques manip,s mais on touche au but, du moins je l'espère.

Cyrrus

[inviteb66eecb3]

la je suis entrain de faire l'analyse avec kaspersky

[inviteb66eecb3]

c'est bizzare je viens de remarquer dans le rapport de dr web que diaghelp et msn fix sont des fichié irréparable et en quarantaine
c'est censé enlevé lé virus ou en rajouté sur mn ordi

[inviteb66eecb3]

mais bon je vous fait confiance mais si vous pouvié répondre a la question que je vous ait posé ci dessus sa serait bien.
l'analyse kaspersky est tres tres lente

[inviteb66eecb3]

vous ne répondez pas?

[Cyrrus]

Bonjour sasuke,

mais bon je vous fait confiance mais si vous pouvié répondre a la question que je vous ait posé ci dessus sa serait bien.

Si j'installais des virus sur les pc des internautes on ne m'aurait pas mis dans le groupe antimalware, ni même laissé poster.

Ils sont qualifiés de Risktool, car ils permettent de supprimer des fichiers. Dans de mauvaises mains ils pourraient être dangereux, ce qui n'est pas le cas ici.

vous ne répondez pas?

Si, mais la nuit je dors, et le matin je bosse (l'après midi aussi d'ailleurs).

Bonne journée
Cyrrus

[inviteb66eecb3]

ok d'accord
j'ai oublié d'enregistrer le rapport générée pa kaspersky
on peut passer a la suite
il avait détecté 4 virus 8 fichié infecté
et 16 fichié menacé
j'ai supprimé msn fix et dr web car j'ai supposé que on en avait plus besoin et leur rapport aussi car je l'ai est déja posté
j'ai laissé par contre ot moved it au cas ou

[inviteb66eecb3]

j'ai décocher la case : Afficher les fichiers et dossiers cachés, j'ai cocher la case masquer les extensions des fichiers dont le type est connu et j'ai cocher la case masquer les fichié protégés du systeme d'exploitation apres l'analyse kapersky.
je suis désolé... j'éspere que on peut quand meme continué
mais par contre j'ai fait une recherche ce matin du fichier photo album.zip et il n'y est plus
peut etre que il a été éradiqué
du moins je l'éspere

[inviteb66eecb3]

mais on effectuant une recherche
tout est la
j'attend vos consignes pour la suite

[Cyrrus]

Bonsoir sasuke,

j'ai oublié d'enregistrer le rapport générée pa kaspersky
on peut passer a la suite

Tu trouves que c'est long mais tu fais tout pour

Si je ne vois pas les rapports je ne peux pas savoir s'il reste des infections ou non...je ne suis pas devin !

mais on effectuant une recherche
tout est la

De quoi parles tu ? Des fichiers infectieux ? ...tu me dis ca avec le sourire ?

Refais le scan avec Kaspersky et poste moi le log.

Poste moi aussi un nouveau log Hijackthis et un nouveau log Diaghelp option1.

Bonne soirée
Cyrrus