Répondre à la discussion
Affichage des résultats 1 à 17 sur 17

Virus msa.exe et msb.exe



  1. #1
    captainb52

    Virus msa.exe et msb.exe

    Bonjour,

    Depuis hier, j'ai mon pare-feu qui me révèle des tentatives des processus "msa.exe" et "msb.exe" qui semblent liés aux "a.exe" et "b.exe".
    J'ai repéré les deux premiers dans "C:Windows\"...

    Depuis, j'ai eu quelques problèmes avec internet comme par exemple l'impossibilité de me connecter à mon webmail yahoo et facebook (les boutons "se connecter" restait insensibles à mes clics...)

    Je craint d'être infecté...

    Est-ce que vous pouvez m'aider svp ?

    Guillaume

    Ps: En pièces jointes, les fichiers log et info créés avec RSIT et HIJACKTHIS

    -----

    Fichiers attachés Fichiers attachés

  2. Publicité
  3. #2
    b marlow

    Re : Virus msa.exe et msb.exe

    Salut et Bienvenue sur F-S,
    Télécharge et installe Malwarebytes' Anti-Malware
    Fait un scan rapide,coche puis clique sur Supprimer la sélection
    puis poste le rapport final.
    Tutos sécurité: http://b.marlow.free.fr/

  4. #3
    captainb52

    Re : Virus msa.exe et msb.exe

    Bonsoir et merci pour la rapidité de réponse
    (par contre, moi, je n'étais pas chez moi du weekend donc je ne répond que maintenant)

    J'ai fait l'analyse et il m'a détecté 6 menaces (!!!) que j'ai supprimés (certaines après redémarrage)

    Voici le rapport:

    Malwarebytes' Anti-Malware 1.41
    Version de la base de données: 3134
    Windows 6.0.6002 Service Pack 2

    09/11/2009 19:14:26
    mbam-log-2009-11-09 (19-14-26).txt

    Type de recherche: Examen rapide
    Eléments examinés: 91388
    Temps écoulé: 4 minute(s), 16 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Nor dBull (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\pop rock (Trojan.Downloader) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\msa.exe (Trojan.Agent) -> Delete on reboot.
    C:\Windows\msb.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Windows\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

  5. #4
    b marlow

    Re : Virus msa.exe et msb.exe

    Télécharge et installe Toolbar-S&D (Team IDN) sur ton Bureau.
    Double-clique sur le raccourci de Toolbar-S&D.
    Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en valide avec Entrée.
    Choisis maintenant l'option 2 (Suppression).
    /!\ Ne ferme pas la fenêtre lors de la suppression /!\
    Un rapport sera généré, poste son contenu ici.

    NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr
    pour ouvrir le Gestionnaire des tâches.
    Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
    Tape explorer puis valide.
    Tutos sécurité: http://b.marlow.free.fr/

  6. #5
    captainb52

    Re : Virus msa.exe et msb.exe

    Y'a-t-il un-autre endroit où le télécharger ?

    "The bandwidth or page view limit for this site has been exceeded and the page cannot be viewed at this time. Once the site is below the limit, it will once again begin serving as normal."

  7. A voir en vidéo sur Futura
  8. #6
    captainb52

    Re : Virus msa.exe et msb.exe

    C'est bon je l'ai...

    Voici le rapport :


    -----------\\ ToolBar S&D 1.2.9 XP/Vista

    Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6002 ) Service Pack 2
    X86-based PC ( Multiprocessor Free : AMD Phenom(tm) 8450 Triple-Core Processor )
    BIOS : )Phoenix - Award WorkstationBIOS v6.00PG
    USER : guillaume ( Administrator )
    BOOT : Normal boot
    C:\ (Local Disk) - NTFS - Total:98 Go (Free:22 Go)
    D:\ (Local Disk) - NTFS - Total:142 Go (Free:30 Go)
    E:\ (Local Disk) - NTFS - Total:931 Go (Free:43 Go)
    F:\ (Local Disk) - NTFS - Total:42 Go (Free:1 Go)
    G:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
    H:\ (CD or DVD)
    I:\ (Local Disk) - NTFS - Total:232 Go (Free:72 Go)
    K:\ (Local Disk) - NTFS - Total:465 Go (Free:5 Go)

    "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
    Option : [2] ( 09/11/2009|19:59 )

    [ UAC => 0 ]
    C:\Windows\iun6002.exe

    -----------\\ SUPPRESSION

    Supprime! - C:\Program Files\Search Settings\kb128
    Supprime! - C:\Program Files\Search Settings\SearchSettings.exe
    Supprime! - C:\Windows\iun6002.exe
    Supprime! - C:\Program Files\DAEMON Tools Toolbar
    Supprime! - C:\Program Files\Search Settings

    -----------\\ Recherche de Fichiers / Dossiers ...


    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main]
    "Start Page"="http://www.google.fr/"
    "Local Page"="C:\\Windows\\system32\\ blank.htm"
    "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
    "Default_Page_URL"="http://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=1&o=v p32&d=1006&m=aspire_x3200"
    "Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

    [HKEY_LOCAL_MACHINE\Software\Mi crosoft\Internet Explorer\Main]
    "Start Page"="http://fr.fr.acer.yahoo.com"
    "Default_Page_URL"="http://fr.fr.acer.yahoo.com"
    "Default_Search_URL"="http ://go.microsoft.com/fwlink/?LinkId=54896"
    "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
    "Local Page"="C:\\Windows\\System32\\ blank.htm"


    --------------------\\ Recherche d'autres infections


    Aucune autre infection trouvée !

    [ UAC => 1 ]


    1 - "C:\ToolBar SD\TB_1.txt" - 09/11/2009|20:01 - Option : [2]

    -----------\\ Fin du rapport a 20:01:55,62


    Mais c'est le genre d'outil à utiliser en mode sans échec ?

  9. Publicité
  10. #7
    b marlow

    Re : Virus msa.exe et msb.exe

    non, le mode sans échec n'est pas nécessaire sur ce type de suppression
    en genral les Toolbars n'opposent aucune résistance. On peut meme les
    supprimer par le panneau ajout-supp de programmes, il faut seulement
    veiller à fermer son navigateur avant
    Ce que tu vas devoir faire en supprimant celle-ci C:\Program Files\Dealio Toolbar

    cherche le programme suivant C:\Program Files\Trend Micro\HijackThis\guillaume.exe
    double clique dessus, coche ces lignes (s'il y en a que tu ne trouves plus, pas grave)
    ferme ton navigateur et autres fenetres ouvertes puis clique sur fixchecked:

    Code:
    R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
    O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file)
    O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
    O3 - Toolbar: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - (no file)
    O3 - Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
    O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll
    O4 - HKLM\..\RunOnce: [NvRegisterMCTray] RUNDLL32.EXE C:\Windows\system32\NVMCTRAY.DLL,NvMCRegisterApp C:\Windows\system32\NvCpl.dll
    O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\Windows\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\GUILLA~1\AppData\Local\Temp\IXP000.TMP\"
    O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\Windows\system32\rundll32.exe" "C:\Program Files\NOS\bin\getPlus_Helper.dll",Uninstall /Get1noarp
    O4 - HKCU\..\RunOnce: [DAEMON Tools Lite 4.30.4.0027 Setup] "C:\Users\guillaume\Desktop\daemon4304-lite(2).exe"
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    Ensuite fais un scan en ligne Bitdefender avec Internet Explorer
    en cliquant sur ce bouton :

    Poste le rapport final.
    Tutos sécurité: http://b.marlow.free.fr/

  11. #8
    captainb52

    Re : Virus msa.exe et msb.exe

    Hey doc !

    Je n'ai jamais vu cette dealoo toolbar, elle était censée être sur IE ou firefox ?

    Mais j'ai quand même fais ce que tu m'a demandé et quelques entrées ne s'effacent pas et reviennent immanquablement (quand je re-scan avec Hijackthis).
    Les voici:

    O4 - HKLM\..\RunOnce: [NvRegisterMCTray] RUNDLL32.EXE C:\Windows\system32\NVMCTRAY.D LL,NvMCRegisterApp C:\Windows\system32\NvCpl.dll
    O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\Windows\system32\advpack.dl l,DelNodeRunDLL32 "C:\Users\GUILLA~1\AppData\Loc al\Temp\IXP000.TMP\"
    O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\Windows\system32\rundll32. exe" "C:\Program Files\NOS\bin\getPlus_Helper.d ll",Uninstall /Get1noarp
    O4 - HKCU\..\RunOnce: [DAEMON Tools Lite 4.30.4.0027 Setup] "C:\Users\guillaume\Desktop\da emon4304-lite(2).exe"
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

    D'ailleurs, j'ai un petit problème par rapport à celle-là :

    O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\Windows\system32\rundll32. exe" "C:\Program Files\NOS\bin\getPlus_Helper.d ll",Uninstall /Get1noarp

    A savoir:
    A chaque fois que je démarre windows (ça fait déjà quelques temps), une fenêtre d'avertissement apparait juste avant que le bureau s'affiche disant:
    "erreur de chargement de C:\Program Files\NOS\bin\getPlus_Helper.d ll Le module spécifié est introuvable"

    Qu'en penses-tu ?

  12. #9
    b marlow

    Re : Virus msa.exe et msb.exe

    la toolbar est visible dans le log ici:
    Code:
    Dealio Toolbar v4.0.1[/B]-->MsiExec.exe /X{94C3BB3A-56A1-43DE-A242-8B41F46E97EF}
    
    O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll
    recommence le fixchecked en désactivant auparavant AdWatch de adaware.
    Dernière modification par b marlow ; 09/11/2009 à 20h33.
    Tutos sécurité: http://b.marlow.free.fr/

  13. #10
    captainb52

    Re : Virus msa.exe et msb.exe

    ok je ferais ça mais demain...
    Parce que pour l'instant, l'analyse Bitdefender est en cours et m'indique un temps restant de 6h...

    A demain !

    Et merci de prendre de ton temps pour m'aider

  14. #11
    captainb52

    Re : Virus msa.exe et msb.exe

    Alors l'analyse Bitdefender a fini son analyse, j'ai enregistré le rapport au format .txt mais il est trop gros pour être posté ici et également trop gros pour être mis en pièce jointe...
    Il a détecté et effacé un trojan (dans le programme Bitche...)

  15. #12
    b marlow

    Re : Virus msa.exe et msb.exe

    reposte un nouveau rapport log.txt RSIT pour contrôle.
    Tutos sécurité: http://b.marlow.free.fr/

  16. Publicité
  17. #13
    yoda1234

    Re : Virus msa.exe et msb.exe

    @ captainb52
    Citation Envoyé par b marlow Voir le message
    reposte un nouveau rapport log.txt RSIT pour contrôle.
    En pièces jointes, s'il te plaît.
    Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).

  18. #14
    captainb52

    Re : Virus msa.exe et msb.exe

    Bonsoir,

    Voici les rapports.

    Cordialement,

    NB: au cours de l'exécution de RSIT, la barre de progression de celui-ci est restée bloquée (vers la fin, au moment de la création de "info.txt"), j'ai du interrompre le processus RSIT via le gestionnaire de tâches...
    Fichiers attachés Fichiers attachés

  19. #15
    b marlow

    Re : Virus msa.exe et msb.exe

    une dernière manip pour supprimer des restes d'infection par supports amovibles.

    Télécharge et installe >UsbFix< de C_XX & Chiquitine29

    Branche tes sources de données externes à ton PC : clé USB,
    disque dur externe,etc susceptible d'avoir été infectés mais sans les ouvrir

    - Double clique sur le raccourci UsbFix présent sur ton bureau .
    - Choisis l'option 2 ( Suppression )
    - Ton bureau va disparaitre et le pc redémarrera,c'est normal.
    - Au redémarrage ,UsbFix scannera ton pc,laisse-le travailler.
    - A la fin poste le rapport UsbFix.txt qui apparaitra.
    - Le rapport UsbFix.txt est en outre sauvegardé a la racine du disque.( C:\UsbFix.txt )

    Note : "Process.exe", un composant de l'outil,est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.




    Le rapport en PJ, stp.
    Tutos sécurité: http://b.marlow.free.fr/

  20. #16
    captainb52

    Re : Virus msa.exe et msb.exe

    Bonjour,

    Voici, en pièce jointe, le rapport usbfix.

    Deux petits problèmes:
    -Le 1er, que j'ai depuis un certain temps déjà, concerne le redémarrage de Windows. Dès que je redémarre, le PC bloque sur un écran noir juste avant le lancement de Windows (juste avant l'écran de chargement de Windows). Cela m'est également arrivé au cours du redémarrage pour usbfix. A chaque fois, je suis obligé d'éteindre l'ordinateur "en bourrin" et de le rallumer...

    -Le 2ème, qui est nouveau celui-là, concerne un bloquage au tout début du démarrage du PC. Après avoir redémarrer "en bourrin", le PC est resté bloqué au premier écran "ACER empowring people" avec les options "del: bios" et "F12: boot menu"...
    J'ai de nouveau redémarrer "en bourrin", même problème...
    J'ai ensuite débranché un des périphériques usb, un lecteur mp3 SANS FUZE, et là le PC a démarré normalement (avec analyse usbfix)

    Voilà,

    Je te remercie encore du temps que tu veux bien m'accorder...
    Fichiers attachés Fichiers attachés

  21. #17
    b marlow

    Re : Virus msa.exe et msb.exe

    franchement quant on voit la quantité de cracks qui trainent dans ton ordi
    on peut déjà parier sur une future infection beacoup plus importante que
    celle-ci. les cracks pourvoient aux infections destructrices de fichiers, si tu
    n'auras plus qu'à formater pour réinstaller windows.
    Tutos sécurité: http://b.marlow.free.fr/

Sur le même thème :

Discussions similaires

  1. explorer.exe + dllhost.exe = 98% de cpu
    Par mp3dux dans le forum Logiciel - Software - Open Source
    Réponses: 2
    Dernier message: 23/12/2012, 21h36
  2. Infection par msa.exe et d.exe (trojan)
    Par n44k44 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 9
    Dernier message: 14/10/2009, 12h09
  3. Infection MSA.exe
    Par psycho38400 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 18
    Dernier message: 05/10/2009, 11h36
  4. -explorer.exe et drwtsn32.exe a rencontré un problème et doit fermer: que puis-je faire???
    Par d520 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 10
    Dernier message: 25/08/2009, 21h30
  5. iesvcmon.exe - f4f.exe - pcbb_32.exe (Virus)
    Par Fragmatyc dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 1
    Dernier message: 06/12/2008, 11h05