PC infecté par MSN

[eclypse]

Salut

 

Ta version Msnfix n'est pas la derniere ... essaye avec la derniere qui est la 1.508

 

 

MSNFix (!aur3n7)

 

Télécharge MSNFix.zip de !aur3n7 sur ton bureau.

• Décompresse-le (clic droit >> Extraire ici) et double-clique sur le fichier MSNFix.bat.
  
• Exécute l'option R.
  
• Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.
  Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
  
• Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt
  

@+

[Larkange]

Merci a vous deux.

 

Voici le résultat du scan panda :

 

;***********************************************************************************************************************************************************************************

ANALYSIS: 2007-09-19 21:44:21

PROTECTIONS: 1

MALWARE: 4

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

avast! antivirus 4.7.1029 [VPS 000775-2] 4.7.1029 No Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00167647 Cookie/Yadro TrackingCookie No 0 Yes No C:\Documents and Settings\bruno\Application Data\Mozilla\Firefox\Profiles\n8ftv7fg.default\cookies.txt[.yadro.ru/]

00167647 Cookie/Yadro TrackingCookie No 0 Yes No C:\Documents and Settings\bruno\Application Data\Mozilla\Firefox\Profiles\n8ftv7fg.default\cookies.txt[.yadro.ru/]

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\bruno\Application Data\Mozilla\Firefox\Profiles\n8ftv7fg.default\cookies.txt[.xiti.com/]

00167709 Cookie/fe.lea.lycos TrackingCookie No 0 Yes No C:\Documents and Settings\bruno\Application Data\Mozilla\Firefox\Profiles\n8ftv7fg.default\cookies.txt[.fe.lea.lycos.fr/]

00167749 Cookie/Toplist TrackingCookie No 0 Yes No C:\Documents and Settings\bruno\Application Data\Mozilla\Firefox\Profiles\n8ftv7fg.default\cookies.txt[.toplist.cz/]

;===================================================================================================================================================================================

SUSPECTS

Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

 

 

 

Et voici un nouveau rapport avec la bonne version de msnfix :

 

MSNFix 1.509

 

C:\Documents and Settings\Propri‚taire\Bureau\MSNFix

Fix exécuté le 19/09/2007 - 19:58:29,25 By Propri‚taire

mode normal

 

************************ Recherche les fichiers présents

 

... C:\WINDOWS\VIDEO26.zip

... C:\WINDOWS\VIDEO35.zip

... C:\WINDOWS\VIDEO44.zip

... C:\WINDOWS\VIDEO98.zip

 

************************ MSNCHK ***** /!\ beta test /!\

 

 

 

************************ Recherche les dossiers présents

 

... C:\Temp\

 

 

 

 

************************ Suppression des fichiers

 

.. OK ... C:\WINDOWS\VIDEO26.zip

.. OK ... C:\WINDOWS\VIDEO35.zip

.. OK ... C:\WINDOWS\VIDEO44.zip

.. OK ... C:\WINDOWS\VIDEO98.zip

 

 

************************ Suppression des dossiers

 

.. OK ... C:\Temp\

 

 

************************ Nettoyage du registre

 

 

 

************************ Fichiers suspects

 

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

 

[C:\WINDOWS\´¬«°«69.zip] 4945CF0CB4514418C400CB13DED6AA28

[C:\WINDOWS\´¬«°«81.zip] E90D9A6520FE4DB671648D4521070CA2

 

==> SVP merci d'envoyer le fichier C:\DOCUME~1\PROPRI~1\Bureau\Upload_Me.zip sur http://upload.changelog.fr

 

 

 

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 19092007_19591612.zip

 

 

------------------------------------------------------------------------

Auteur : !aur3n7 Contact: http://changelog.fr

------------------------------------------------------------------------

 

--------------------------------------------- END ---------------------------------------------

 

 

 

Merci encore pour votre aide !!

[Thanos]

merci au passage à eclypse

 

Ok, MSNFix a éliminé les fichiers infectieux, mais il reste deux fichiers.

De la même manière > envoye le fichier Upload_Me.zip qui se trouve sur ton bureau ici > http://upload.changelog.fr/

Dans la case Pseudo met ton pseudo (Larkange)

A droite de URL de référence met l'adresse de ton topic > http://forum.zebulon.fr/index.php?showtopic=129737

A droite de Sélectionnez le fichier à envoyer clique sur le bouton Parcourir

tu vas pouvoir naviguer sur ton disque dur: sélectionne le fichier Upload_Me.zip puis cliques sur Ouvrir.

Clique enfin sur le bouton Envoyer en bas de page pour l'expédier.

C'est important car ca permet de mettre la main sur de nouvelles variantes, et ainsi contribuer à rendre l'outil plus efficace. Ca ne prend que quelques secondes

 

Après avoir fait cela, élimine les fichiers suivant >

 

C:\WINDOWS\´¬«°«69.zip

C:\WINDOWS\´¬«°«81.zip

 

Deux fichiers pour lesquels je n'ai aucune info et que j'aimerai que tu fasses analyser >

 

C:\WINDOWS\System32\dddcceeca3_r.ocx

C:\WINDOWS\System32\cbfbed3_r.dll

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier dddcceeca3_r.ocx que tu trouveras en allant dans le dossier C:\WINDOWS\System32

 

Tu cliques une fois sur le fichier dddcceeca3_r.ocx (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse . Fais la même chose avec l'autre.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser)

 

Il est possible que ces fichiers soient cachés et que tu ne les voit pas : si c'est le cas, fait ceci au préalable >

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

[Larkange]

Salut Charles,

 

Merci pour ton aide ! Alors je t'ai envoyé le fichier, tu me confirmeras que tu l'as recu ?

 

J'ai supprimé les deux fichiers, et fais l'analyse des deux autres. Voila les résultats :

 

Fichier cbfbed3_r.dll reçu le 2007.09.20 20:56:55 (CET)Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2007.9.21.0 2007.09.20 -

AntiVir 7.6.0.15 2007.09.20 -

Authentium 4.93.8 2007.09.20 -

Avast 4.7.1043.0 2007.09.20 -

AVG 7.5.0.485 2007.09.20 -

BitDefender 7.2 2007.09.20 -

CAT-QuickHeal 9.00 2007.09.20 -

ClamAV 0.91.2 2007.09.20 -

DrWeb 4.33 2007.09.20 -

eSafe 7.0.15.0 2007.09.19 -

eTrust-Vet 31.2.5150 2007.09.20 -

Ewido 4.0 2007.09.20 -

FileAdvisor 1 2007.09.20 -

Fortinet 3.11.0.0 2007.09.20 -

F-Prot 4.3.2.48 2007.09.20 -

F-Secure 6.70.13030.0 2007.09.20 -

Ikarus T3.1.1.12 2007.09.20 -

Kaspersky 4.0.2.24 2007.09.20 -

McAfee 5124 2007.09.20 -

Microsoft 1.2803 2007.09.20 -

NOD32v2 2541 2007.09.20 -

Norman 5.80.02 2007.09.20 -

Panda 9.0.0.4 2007.09.20 -

Prevx1 V2 2007.09.20 -

Rising 19.41.32.00 2007.09.20 -

Sophos 4.21.0 2007.09.20 -

Sunbelt 2.2.907.0 2007.09.20 -

Symantec 10 2007.09.20 -

TheHacker 6.2.5.063 2007.09.20 -

VBA32 3.12.2.4 2007.09.20 -

VirusBuster 4.3.26:9 2007.09.20 -

Webwasher-Gateway 6.0.1 2007.09.20 -

 

Information additionnelle

File size: 23 bytes

MD5: d41aa2549650b55c26c3ad05625df4b1

SHA1: 11201dc930433db059fe75298f8119f32f8572fd

 

 

et voila le deuxième :

 

Fichier dddcceeca3_r.ocx reçu le 2007.09.20 20:46:15 (CET)Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2007.9.21.0 2007.09.20 -

AntiVir 7.6.0.15 2007.09.20 -

Authentium 4.93.8 2007.09.20 -

Avast 4.7.1043.0 2007.09.20 -

AVG 7.5.0.485 2007.09.20 -

BitDefender 7.2 2007.09.20 -

CAT-QuickHeal 9.00 2007.09.20 -

ClamAV 0.91.2 2007.09.20 -

DrWeb 4.33 2007.09.20 -

eSafe 7.0.15.0 2007.09.19 -

eTrust-Vet 31.2.5150 2007.09.20 -

Ewido 4.0 2007.09.20 -

FileAdvisor 1 2007.09.20 -

Fortinet 3.11.0.0 2007.09.20 -

F-Prot 4.3.2.48 2007.09.20 -

F-Secure 6.70.13030.0 2007.09.20 -

Ikarus T3.1.1.12 2007.09.20 -

Kaspersky 4.0.2.24 2007.09.20 -

McAfee 5124 2007.09.20 -

Microsoft 1.2803 2007.09.20 -

NOD32v2 2541 2007.09.20 -

Norman 5.80.02 2007.09.20 -

Panda 9.0.0.4 2007.09.20 -

Prevx1 V2 2007.09.20 -

Rising 19.41.32.00 2007.09.20 -

Sophos 4.21.0 2007.09.20 -

Sunbelt 2.2.907.0 2007.09.20 -

Symantec 10 2007.09.20 -

TheHacker 6.2.5.063 2007.09.20 -

VBA32 3.12.2.4 2007.09.20 -

VirusBuster 4.3.26:9 2007.09.20 -

Webwasher-Gateway 6.0.1 2007.09.20 -

 

Information additionnelle

File size: 23 bytes

MD5: 5f2db405147c290a6a398088abee6ae4

SHA1: 6296770338d693315a22eec007246d172b5ea591

 

 

Merci par avance pour ton aide future

[Thanos]

salut

 

Les deux fichiers scannés ne montrent rien d'infectieux. J'aimerai stp que tu les expédies (ca prend deux secondes) >

Rend toi à la page suivante => chez MAD

*Sous le champs :"Veuillez sélectionner votre fichier:" clique sur le bouton "Parcourir" et recherche le fichier

cbfbed3_r.dll qui se trouve dans C:\WINDOWS\System32

Une fois le fichier pointé avec la souris, clique sur le bouton Ouvrir

*Dans le champs:"Veuillez indiquer ci-dessous le message destiné à notre équipe:" copie/colle la note suivante=>

dll inconnue

 

Clique enfin sur le bouton Envoyer

Je ne reçois pas les fichiers : c'est l'auteur de MSNFix qui va les récupérer à des fin d'analyse (et les intégrer dans sa base de fichiers à éliminer lors de la prochaine mise à jour).Quoiqu'il en soit, merci

Est ce que tu as trouvé et éliminé ces fichier ? >

 

C:\WINDOWS\´¬«°«69.zip

C:\WINDOWS\´¬«°«81.zip

 

 

Il y en a d'autres à éliminer: Dans le dossier Mes fichiers reçus qui se trouve dans le dossier Mes documents repère et élimine ceux ci >

 

afqimq.exe

knrfbj.exe

wleoig.exe

yxygec.exe

 

Après ca, passe ATF Cleaner comme fait prédédemment.

 

depuis impossible de me servir de msn sans qu'il envoie des messages à tous mes contacts connectés soit avec des adresses de sites internet soit avec un fichier vérolé je pense.

Qu'en est il ?

Modifié le 20 septembre 2007 par charles ingals

[Larkange]

Bonjour Charles,

 

J'ai envoyé les fichiers comme demandé. J'ai également supprimé tous les fichiers indiqués. Mon msn remarche. Cool !

 

Que dire ? A part un grand merci pour ton aide et pour le temps que tu passes (ainsi que les autres personnes) à répondre aux nombreuses sollicitations de chacun !!

 

MERCI !

[Thanos]

salut

 

Pour terminer:

 

1) Rend toi sur cette page afin de télécharger le fichier except.reg > http://www.sendspace.com/file/nkp0h2

pour cela, clique sur le lien en bas de page > Download Link: except.reg

 

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne doit plus voir l'icône du Teatimer dans la barre de tâches! Ceci afin d'éviter que le Teatimer ne bloque la modification du registre.

 

Double ensuite clique sur le fichier et except.reg accepte la fusion avec le registre au message qui s'affiche.

 

2) Désactive puis réactive la restauration système comme ceci => aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC. Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

Poste stp un dernier rapport hijackthis pour vérification.

Ne fais pas confiance au parefue intégré à Windows!! >

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio (2 versions également)

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php

Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/index.php?showtopic=93489

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme ou Kério en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquilité .

 

Tu peux remettre le Teatimer en route après ca.

 

@+

Modifié le 22 septembre 2007 par charles ingals