infecté par virus ou quelque chose...

[invitec5c3f201]

bonjour
J'ai été infecté par un virus ou quelque qui y ressemble.
Sur msn j'ai reçu un fichier dont je croyer que ça venait d'un ami, qui disait "matte les photosc'est mes tof" et comme la veille on avait fait une féte.J'ai accepté depuis cette merde le renvoye à toute ma liste de contact connecté et bloque msn donc je suis obligé de le désactivé puis l'activé pour pourvoir connituer à discuter.
Help me
j'ai scanné mon ordi avec avast,j'ai fait ccleane spybot schear&destroy,adaware.Rien ni fait j'arrive pas à le virer
Merci
PS: j'ai aussi desintaller msn vivré dans programme file les residu,et il a recommencer à me faire chier
-----

[JPL]

Il ne fallait pas te greffer sur une désinfection en cours mais dréer une nouvelle discussion (ce que j'ai dû faire à ta place). En outre il est inutile d'employer un langage grossier : j'ai été obligé de modifier ton titre.

Consulte je te prie la procédure préliminaire du forum.

Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 5 du dossier.

Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure.

[invitec5c3f201]

désolé pour ce que j'ai écrit c'est que ce virus m'énerve, les personne qui font ca non rien d'autre à foutre,qu'il utilise leur don à faire avancé l'informatique au lieu d'emmerder les simple internaute.
Je vais faire toute suite la manipe et merci de votre rapidité de réponse

[JPL]

les personne qui font ca non rien d'autre à foutre

Tu te trompes complètement : c'est une activité extrêmement rentable qui intéresse des groupes divers, y compris maffieux. La possibilité de contrôler à distance des milliers d'ordinateurs infectés pour envoyer des spams (et encore ce n'est que l'aspect le plus innocent), la rentabilité des spywares qui peuvent espionner ton n° de carte bancaire ou tes codes d'achats en ligne... tout ceci n'a plus grand chose à voir avec les virus d'antan qui n'avaient en effet pas d'autre but que de satisfaire des egos surdimensionnés, un peu pervers ou acnéïques.

[A voir en vidéo sur Futura]

[invitec5c3f201]

voici les rapports des analyses

[invitebf5cd8b2]

Bonjour JPL, fufu,

D'autant plus que là, c'est toi qui t'es infecté, en acceptant les sponsors de MsnPlus! à l'installation. J'ai supprimer tes rapports car ils montraient tes noms/prénoms. Je joins les eux rapports anonymisés.

~

1. Lance Hijackthis, clique sur Do a system scan only et coche les lignes suivantes :

Code:

O4 - HKLM\..\Run: [Dead regs amok noun] C:\Documents and Settings\All Users\Application Data\OozePlatformDeadRegs\NAME PROC.exe
O4 - HKCU\..\Run: [multimeal] C:\DOCUME~1\FURGAU~1\APPLIC~1\COPYID~1\CdromItchBook.exe

Clique sur Fix Checked

2.

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

3. Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

4. Supprime les fichiers/dossiers suivants :

Code:

C:\Documents and Settings\All Users\Application Data\OozePlatformDeadRegs
c:\Documents and Settings\furgau*******\Application Data\CopyIdleView

5.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

6. Redémarre en mode normal.

7. Rend toi sur ce site http://www.virustotal.com/en/indexf.html

• Clique enhaut à droite sur Parcourir
• Navigue dans les dossier pour trouvé ce fichier : C:\Windows\system32\96.dll
• Clique sur Send
• Le scan peut etre long à se lancer, donc soit patient
• A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte
• Poste ce fichier dans ta prochaine réponse

Attention : Assure toi de prendre le résultat du scan de ton fichier ( le nom du fichier apparaît en haut )

Poste moi le rapport d'AVG-AS, le rapport de Virus Total ainsi qu'un nouveau rapport Hijackthis.

Bonne journée
Cyrrus

PS : Utilises tu le logiciel WindowsBlind ?

[invitec5c3f201]

bonjour cyrrus et merci à toi et jpl de votre aide, je me lance toute suite dans la procédure que tu m,à dit de faire merci merci
Je vous tiens au courant

[invitec5c3f201]

j'ai un probléme dans la procédure
Lorsque je veux supprime " C:\Documents and Settings\All Users\Application Data\OozePlatformDeadRegs "
le pc me dit: "erruer lors de la uppression du fichier ou du dossier"
"impossible de supprimer bonedashhelp: cette ressource est utilisée par une autre personne ou autre programme.
Fermez les programmes susceptibles d'utiliser le fichier et essayer à nouveau"
Que doit je faire?
merci

[invitebf5cd8b2]

Re,

Supprime les dossiers en mode sans échec.

[invitec5c3f201]

pour le démarrage sans échec il y avait 1st floppy drive
et PM-Maxter 6B120P0 et ce dernier qui est le mode sans echec etait en deuxieme position sur la liste et comme tu disait qu'il fallait selectionné le 1er je me suis obstiné et j'ai tenté le deuxieme par hasard.voila bref

Sinon en allant sur les ite de la 7eme etapes je n'arrive pa a trouver le 96.dll dans system32
voila le premier rappor de avg
bonne soirée

[invitebf5cd8b2]

Re,

Il manque le rapport Hijackthis

Pour le mode sans échec, ce n'est pas ca. Là visiblement tu étais dans le BIOS. PM-Maxter... étant ton disque dur...



Cyrrus

[invitec5c3f201]

voila le rapport hijackthis
y en a deux je savait pas lequel il fallait celui au debut de la manipe donc j'en ai fait un autre aprés avoir redémarer en mode normal c'est celui qui termine en 2.
merci à demain

[invitebf5cd8b2]

Bonjour fufu,

Peux tu me poster un nouveau log hijackthis en pièces jointes ?

Je joins le rapport d'avg modifiés.

Bonne journée
Cyrrus

[invitec5c3f201]

salut cyrrus voila le rapport

[invitebf5cd8b2]

Re,

Es tu sûr d'avoir lu mes instructions ?

1. Lance Hijackthis, clique sur Do a system scan only, et coche les lignes suivantes :

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.owvuomvcnkxoo.com/hS4_NG3...KvjHlB4f2.html
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)
O4 - HKLM\..\Run: [Dead regs amok noun] C:\Documents and Settings\All Users\Application Data\OozePlatformDeadRegs\File internet.exe
O4 - HKCU\..\Run: [multimeal] C:\DOCUME~1\FURGAU~1\APPLIC~1\COPYID~1\CdromItchBook.exe
O20 - AppInit_DLLs:96.dll

Clique sur Fix Checked.

2.

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\Documents and Settings\All Users\Application Data\OozePlatformDeadRegs
  C:\Documents and Settings\furgaut mathieu\Application Data\CopyIdleView
  C:\WINDOWS\system32\96.dll
  C:\Program Files\Need2Find

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

3.

Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip

1. Fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, choisis extrait tout ou extraire ici
2. Cela va créer un dossier clean.
3. Double-clique sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
4. Double-clique sur clean. Cela va ouvrir une fenêtre noire.
5. Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.

Clean va travailler.
Un rapport va etre généré, poste ce rapport dans ta prochaine réponse.

4.

Crées un fichier avec le bloc note et colle ce texte dedans :

Code:

@ECHO OFF
dir %Windir%\tasks /a h > files.txt
notepad files.txt
del /q files.txt
exit

- Dans le menu "Fichier":"Enregistrer sous"
- Enregistrer dans : Bureau
- Nom du fichier : findjob.bat
- Type : tous les fichiers
- cliquer sur Enregistrer
- quitter Notepad

Double clique sur le fichier findjob.bat : une fenêtre va s'ouvrir rapidement,c'est normal.

Poste moi un nouveau rapport Hijackthis, ainsi que le rapport de Clean, et celui de findlop, en pièces jointes.

Suis bien attentivement les instructions, tout est expliqué !

Cyrrus

[invitec5c3f201]

bonsoir cyrrus voila les trois rapport

[invitec5c3f201]

bonsoir cyrrus voila les piece jointe

bonne soirée

[invitebf5cd8b2]

Bonsoir fufu,

Ou en sont les symptômes ?

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi le rapport en pièces jointes.

Bonne soirée
Cyrrus

[invitec5c3f201]

je n'ai pas ouvert msn depuis hier en milieu d'aprés midi donc je c'est pas ou s'en est les symptomes

[invitec5c3f201]

bonsoir cyrrus voila le rapport de kaspersky
Pour les symptomes je ne sait pas ou ils en sont car je n'ai ouvert msn depuis hier
Bonne soirée et encore merci de ton aide
FUFU002

[invite9bff601c]

Bonjour à tous,


je m'incruste pour poster les rapports modifiés.

Bonne continuation

[invitec5c3f201]

bonjour igor51

qu'est ce que je doit faire maintenant pour me debarasser des 4 virus trouvés et des 18 objets infectés

merci

[invitebf5cd8b2]

Bonsoir fufu,

1.

[Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

2. Redémarre en mode sans échec.

3.

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

4. Supprime le dossier suivant :

C:\Documents and Settings\All Users\Application Data\OozePlatformDeadRegs

5.

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

Poste moi le rapport de msnfix, un nouveau rapport hijackthis.

Bonne soirée
Cyrrus

[invitec5c3f201]

bonsoir cyrrus
voila les rapport que tu m'as demandé
hier tu m'avait dit de taper sur F8 pour aller en mode sans échec en faite il fallait que j'appuie en F5

[invitebf5cd8b2]

Bonjour fufu,

Pourrais tu te connecter à msn pour vérifier si tu n'envois plus de messages ?

Peux tu me faire un nouveau rapport avec Diaghelp option 1 pour vérifier une dernière fois ?

Bonne journée
Cyrrus

[invitec5c3f201]

bonjour cyrrus voila rapport
merci de ton aide
je te tiens si ca merde encore avec msn
bon dimanche

[invitec5c3f201]

bojour cyrrus c'est bon msn marche bien plus de probléme avec le virus

[invitebf5cd8b2]

Bonjour fufu,

Relance OTMoveit et clique sur le bouton "CleanLog". Cela effacera les programmes installées pendant la désinfection (ce dont on s'est servit et qui ne te serviront plus).

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Bonne journée
Cyrrus