Infection MSA.exe

[invite807674f2]

Bonjour à tous
Depuis quelques jours, zone alarm m'a signalé les tentatives d'accès de msa.exe et b.exe, je leur ai toujours refusé l'accès. Mais depuis aujourd'hui, dès l'ouverture de windows, mon antivirus antivir, repère un virus à l'emplacement C:\WINDOWS\msa.exe et qu'il contient le cheval de Troie TR/FraudPack.AF. J'ai beau lui refusé l'accès ou le supprimer toutes les applications (firefox, nettoyage du disque...) me sont alors impossible d'accès. Pour poster ce message j'ai appuyer sur firefox avant même d'ordonner une action d'antivir, mes fenetres sont toujours là en attendant une décision de ma part mais j'ai peur qu'en cliquant dessus cela fasse tout planter comme cela a été le cas précédement.
J'ai essayé de me rendre sur le lieu de l'infection et de supprimer le fichier en question mais rien à faire il ne peut être supprimer car en cours de processus. Et dans Gestionnaire je ne peux l'arrêter sous peine de tout faire planter une nouvelle fois.
Si quelqu'un pourrait m'aider se serait vraiment sympa.
Merci et bonne journée!
-----

[JPL]

Applique cette procédure : http://www.futura-sciences.com/fr/do...701/c3/221/p1/

[invite807674f2]

Ah désolé, je ne pensais pas que cela faisait partie des malwares!
Voici donc les deux fichiers demandés...

[invitec04351b8]

Bonjour,

--> Télécharge et installe UsbFixUsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres...653/UsbFix.exe

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton Bureau
• Choisis l' option 2 ( Suppression )
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

===


Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

@+

[A voir en vidéo sur Futura]

[invite807674f2]

Ca à l'air d'aller mieux déjà! Faudra que je garde malware Bytes pour le faire tourner en cas de problème et même à le faire tourner de temps en temps!
Merci!

[invitec04351b8]

Bonjour,

le rapport de USBFix ne me semble pas complet.

Vérifie par rapport à C:\USBFix.txt.

Dans le rapport MBAM, je lis "no action taken". Tu as bien supprimé (mis en quarantaine) tout ce qu'il a trouvé ?

Si oui, fais redémarrer l'ordi, refais tourner RSIT et poste le rapport obtenu.

@+

[invite807674f2]

Bonjour!
Ah oui, il est possible que usbfix ne soit pas complet car l'ordi a piné alors qu'il était à la recherche mais vu qu'après redémarrage manuel je me suis dit que c'était réglé.
Pour MBAM oui, j'ai bien mis supprimer les fichiers après scannage mais je crois que j'ai envoyé le rapport d'avant la suppression. Je vais donc faire ce que vous m'avez dit et je vous poste les trois rapports!
Bonne journée et à plus tard alors...

[invite807674f2]

Voilà donc les trois nouveaux fichiers et le dernier est le fichier MBAM après suppression des fichiers hier soir.
Bonne journée.

[invitec04351b8]

Bonjour,

OK, ça va beaucoup mieux, on va fignoler.

Double clic sur User.exe sur ton Bureau pour lancer HijackThis.

Si tu ne le trouves pas, ouvre l'explorateur Windows, cherche

C:\Program Files\trend micro\USER.exe

et double clique dessus.

Choisis Do a scan only

Coche la case devant les lignes suivantes

Code:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

Si le Tea Timer de Spybot S&D te demande si tu veux accepter les modifications du Registre, réponds oui.

==

Mets à jour Acrobar Reader :

http://www.futura-sciences.com/fr/se...be-reader_247/

==

L'ordi refonctionne normalement ?

@+

[invite807674f2]

Yeah c'est bon tout remarche bien!!!
Merci beaucoup! J'ai eu vraiment un coup de chaud hier en voyant ce virus comme quoi ça ne sert à rien de se précipiter au moindre problème!
Bonne soirée et merci encore!!!
@+

[invitec04351b8]

Bonjour,

pour vérifier,

fais redémarrer l'ordi.

Relance RSIT par double clic sur l'icône qui est sur ton Bureau.

Poste le nouveau rapport obtenu.

@+

[invite807674f2]

Bonsoir
Désolé pour le retard... voici donc les rapports RSTI
Bonne soirée.

[invitec04351b8]

Bonsoir,

tout ça est très bien.

On nettoie des outils de désinfection.

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/TC/ToolsCleaner2.exe
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

@+

[invite807674f2]

Bonjour!
Voici donc le rapport.
Merci et bonne journée!

[invitec04351b8]

Bonjour,

supprime ToolsCleaner sur ton Bureau et C:\TCleaner.txt.

===

Tu "peux reprendre une activité normale".

Ne pas oublier les mises à jour systématiques de l'OS, du navigateur, de la Console java, ... de tous les logiciels en général.

===

Bon surf.

@+ (de préférence ailleurs qu'ici !) lol

[invite807674f2]

Je te remercie pour ton aide! Je ne sais pas comment j'aurais fait sinon!

Par contre j'ai fait une analyse avec antiVir et il a repéré un cheval de Troie du même nom que le précédant mais dans une autre source C:\System Volume Information\_restore{966E94D1-9547-4C8-9582-F030D8FB7F38\A0238643.exe je l'ai mis en quarantaine tout comme le précédent C:\Windows\msa.exe que dois-je faire avec eux? Je les supprime ou je les laisse là où ils sont?

Merci beaucoup et bonne journée!!

[invitec04351b8]

Re,

de rien pour l'aide, ce fut un plaisir.

Par contre, fais ceci pour purger ta Restauration système ,et prendre un point propre :

Ouvre ce lien : Restauration du système

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

[invite807674f2]

Re!
Ca y ait! J'ai crée un point de restauration!
En fait la restauration sert si j'ai besoin de retrouver un ordinateur "propre" si j'ai un souci avec un virus, c'est ça?
Je laisse les fichiers en quarantaine dans l'antivirus?
Bonne journée!
@+

[invitec04351b8]

Re,

oui, la Restauration système sert à annuler les modifications faites depuis la date du point de restauration utilisé.

Tu peux vider tes quarantaines.

@+