Virus MSN, Besoin d'aide.

[jackoskizo]

salut

Excuse moi pour cette attente

Si tu as téléchargé la dernière version de MSNFix, c'est normal! le programme est mis à jour très souvent.

Le rapport que tu as posté (MSNFix) ne montre rien d'infectieux.

De qel processus parles tu ? celui de msn ?

 

Pas de probleme, je suis juste impatient de resoudre cette infection et je te remercie de ton aide.

Oui, c'est la derniere version de MSNFix que j'ai utilisé.

Quant au processus, oui, lorsque je vois que mon msn commence à envoyer à la volée ce message et fichier à mes contacts, je fais crtl+alt+suppr et je ferme le processus msnmsgr.exe dans le gestionnaire des taches windows/processus car il m'est impossible de me déconnecter de msn autrement lorsque cela arrive.

 

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

 

 

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
  

@ +

 

Ok, je vais faire tout cela et je posterai les resultats.

A plus tard, et merci.

[eclypse]

Salut

 

Repasse un coup de msn fix avec la version à jour pour voir (509) la derniere en date dispo ici

 

@+

[jackoskizo]

Voici donc mon rapport SDFix :

 

_______________________________________________________________________________________________________________________________________________________

SDFix: Version 1.105

 

Run by GreenKahrMa on 19/09/2007 at 19:08

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

Trojan Files Found:

 

C:\WINDOWS\system32\service.exe - Deleted

 

 

 

Removing Temp Files...

 

ADS Check:

 

C:\WINDOWS

No streams found.

 

C:\WINDOWS\system32

No streams found.

 

C:\WINDOWS\system32\svchost.exe

No streams found.

 

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"="C:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe:*:Enabled:Apache HTTP Server"

"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"

"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLacsd.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLacsd.exe:*:Enabled:AOL"

"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Disabled:Logitech Desktop Messenger"

"D:\\Program Files\\eMule\\emule.exe"="D:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Fichiers communs\\AOL\\1180275203\\ee\\aolsoftware.exe"="C:\\Program Files\\Fichiers communs\\AOL\\1180275203\\ee\\aolsoftware.exe:*:Enabled:AOL Shared Components"

"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"

"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"

"E:\\Program Files\\eMule\\emule.exe"="E:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\GameSpy\\Comrade\\Comrade.exe"="C:\\Program Files\\GameSpy\\Comrade\\Comrade.exe:*:Enabled:Comrade"

"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"

"C:\\Program Files\\Xfire\\xfire.exe"="C:\\Program Files\\Xfire\\xfire.exe:*:Enabled:Xfire"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"E:\\Program Files\\Electronic Arts\\Crytek\\Crysis MP Beta\\Crysis MP Beta\\Bin32\\Crysis.exe"="E:\\Program Files\\Electronic Arts\\Crytek\\Crysis MP Beta\\Crysis MP Beta\\Bin32\\Crysis.exe:*:Enabled:Crysis_32_mp_beta"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"

"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLacsd.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLacsd.exe:*:Enabled:AOL"

"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Remaining Files:

---------------

 

File Backups: - C:\SDFix\SDFix\backups\backups.zip

 

Files with Hidden Attributes:

 

C:\Documents and Settings\GreenKahrMa\Local Settings\Application Data\Microsoft\Messenger\Y_Cahuzac@hotmail.fr\Sharing Folders\retyier@hotmail.com\Thumbs.db

C:\Documents and Settings\GreenKahrMa\Local Settings\Application Data\Microsoft\Messenger\Y_Cahuzac@hotmail.fr\Sharing Folders\retyier@hotmail.com\The Cinematic Orchestra - Ma Fleur\AlbumArtSmall.jpg

C:\Documents and Settings\GreenKahrMa\Local Settings\Application Data\Microsoft\Messenger\Y_Cahuzac@hotmail.fr\Sharing Folders\retyier@hotmail.com\The Cinematic Orchestra - Ma Fleur\AlbumArt_{CA7B818B-0A10-417A-8201-9DB4F70FCD0D}_Large.jpg

C:\Documents and Settings\GreenKahrMa\Local Settings\Application Data\Microsoft\Messenger\Y_Cahuzac@hotmail.fr\Sharing Folders\retyier@hotmail.com\The Cinematic Orchestra - Ma Fleur\AlbumArt_{CA7B818B-0A10-417A-8201-9DB4F70FCD0D}_Small.jpg

C:\Documents and Settings\GreenKahrMa\Local Settings\Application Data\Microsoft\Messenger\Y_Cahuzac@hotmail.fr\Sharing Folders\retyier@hotmail.com\The Cinematic Orchestra - Ma Fleur\desktop.ini

C:\Documents and Settings\GreenKahrMa\Local Settings\Application Data\Microsoft\Messenger\Y_Cahuzac@hotmail.fr\Sharing Folders\retyier@hotmail.com\The Cinematic Orchestra - Ma Fleur\Folder.jpg

C:\Documents and Settings\GreenKahrMa\Local Settings\Application Data\Microsoft\Messenger\Y_Cahuzac@hotmail.fr\Sharing Folders\retyier@hotmail.com\The Cinematic Orchestra - Ma Fleur\Thumbs.db

C:\Program Files\Replay Converter\cygwin1.dll

C:\Program Files\Replay Converter\cygz.dll

C:\Program Files\Replay Converter\drv13260.dll

C:\Program Files\Replay Converter\drv23260.dll

C:\Program Files\Replay Converter\drv33260.dll

C:\Program Files\Replay Converter\drv43260.dll

C:\Program Files\Replay Converter\dspr3260.dll

C:\Program Files\Replay Converter\ivvideo.dll

C:\Program Files\Replay Converter\qtmlClient.dll

C:\Program Files\Replay Converter\raac.dll

C:\Program Files\Replay Converter\rnco3260.dll

C:\Program Files\Replay Converter\rnlt3260.dll

C:\Program Files\Replay Converter\rv103260.dll

C:\Program Files\Replay Converter\rv203260.dll

C:\Program Files\Replay Converter\rv303260.dll

C:\Program Files\Replay Converter\rv403260.dll

C:\Program Files\Replay Converter\tokr3260.dll

C:\WINDOWS\system32\AVSredirect.dll

C:\Program Files\AOL 9.0\aolphx.exe

C:\Program Files\AOL 9.0\aoltray.exe

C:\Program Files\AOL 9.0\RBM.exe

 

Finished!

_______________________________________________________________________________________________________________________________________________________

Le rapport SDFix indique ceci : =>Trojan Files Found: C:\WINDOWS\system32\service.exe - Deleted. Est-ce possible que ce soit le trojan lié à ce virus msn ou bien est-ce un autre trojan ?

 

 

Salut

 

Repasse un coup de msn fix avec la version à jour pour voir (509) la derniere en date dispo ici

 

@+

 

Ok, je vais faire ça tout de suite.

Merci.

Modifié le 19 septembre 2007 par jackoskizo

[jackoskizo]

Rapport MSNFix 1.509 :

_______________________________________________________________________________________________________________________________________________________

MSNFix 1.509

 

C:\Documents and Settings\GreenKahrMa\Bureau\MSNFix\MSNFix

Fix exécuté le 19/09/2007 - 19:20:50,23 By GreenKahrMa

mode normal

 

************************ Recherche les fichiers présents

 

... C:\autorun.inf

 

************************ MSNCHK ***** /!\ beta test /!\

 

 

 

************************ Recherche les dossiers présents

 

Aucun dossier trouvé

 

 

 

 

************************ Suppression des fichiers

 

/!\ ... C:\autorun.inf

 

 

 

************************ Nettoyage du registre

 

 

 

Les fichiers encore présents seront supprimés au prochain redémarrage

 

 

************************ Suppression des fichiers

 

/!\ ... C:\autorun.inf

 

 

 

************************ Fichiers suspects

 

Aucun Fichier trouvé

 

 

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 19092007_19251178.zip

 

 

------------------------------------------------------------------------

Auteur : !aur3n7 Contact: http://changelog.fr

------------------------------------------------------------------------

 

--------------------------------------------- END ---------------------------------------------

______________________________________________________________________________________________________________________________________________________

 

Prochaine Etape ?

Modifié le 19 septembre 2007 par jackoskizo

[jackoskizo]

A demain !

[jackoskizo]

[jackoskizo]

Comme je vois que charles ingals est dans les parages, un petit up histoire de continuer cette bataille.

[jackoskizo]

Bon bah j'patiente, kwa.

[Thanos]

salut

 

Encore une fois, désolé pour l'attente! le fichier que SDFix a éliminé est lié à une autre infection!

Est ce que tu as encore le même souci avec MSN ?

Il faut à présent que tu désinstalles un des deux antivirus présents sur ton pc afin d'éviter tout plantage (c'est de plus, inutile).Après ca, fais ce scan en ligne stp >

 

Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

Attention!! Panda et Avast entrent en conflit (si tu as conservé Avast) Pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast avant et que tu le laisse désactivé le temps du scan. Pour cela, clique sur le bouton "Pause" avant de commencer le scan >

 

Poste aussi un nouveau rapport hijackthis fait comme ceci stp >

 

Lance HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique sur Generate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

 

@+ tard

Modifié le 21 septembre 2007 par charles ingals

[jackoskizo]

Ok, j'fais ça dans la soirée. En attendant je vais allumer msn pour voir si le probleme est toujours là.