Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Virus Restarter.F.

Flopak

Par Flopak
dans Analyses et éradication malwares

 Partager

Messages recommandés

Flopak Junior Member

Flopak

Posté(e)
Posté(e)

Bonjour,

 

Alors voila, je suis aussi atteint par un virus MSN depuis hier soir : ce message s'est écrit sur une conversation d'une amie " Ta tos fais koi sur ce site ? :P " suivit d'un lien contenant mon nom d'utilisateur MSN. Je m'apprettais a vous lacher un gros pavé en racontant mot pour mot tous ce qui s'est passé, mais j'ai trouvé un article sur secuser.com qui résume bien la situation :

 

 

----------------------------------------------------------------------------------------

 

 

Le virus en cause se nomme Restarter.F. Il se propage via le logiciel MSN Messenger et se présente sous la forme d'un message prétendument envoyé par un contact connecté, accompagné d'un lien vers un site Internet malicieux.

 

Exemple de lien piégé :

http:// msn-photos.isuisse. com/?photo=[nom d'utilisateur du destinataire]

 

Exemple de message :

ta tof fais koi sur ce site

 

Si le destinataire clique sur ce lien, il est invité à télécharger et/ou ouvrir un fichier avec une extension .com, généré à la volée en incluant dans son nom le nom d'utilisateur du destinataire, pour une plus grande personnalisation (par exemple fichier toto22-photo12.com, si le nom d'utilisateur est toto22). Si ce fichier est ouvert, le virus se copie sur le disque dur, modifie ensuite la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, s'envoie régulièrement à tous les contacts MSN puis ouvre une porte dérobée, se mettant en attente d'instructions en provenance d'un canal IRC permettant la prise de contrôle à distance de l'ordinateur.

 

Si vous recevez des messages semblables, c'est parce que l'ordinateur d'au moins un de vos correspondants est infecté : afin de stopper Restarter.F, contactez la personne indiquée comme étant l'expéditrice des messages par Messenger ou par courriel pour l'informer que son ordinateur envoie des virus et suggérez-lui de contacter l'ensemble de ses contacts MSN pour les prévenir de ne pas ouvrir les fichiers .com ou sinon de désinfecter leur ordinateur.

 

 

ALIAS:

TR/Crypt.XPACK.Gen (Antivir)

Trojan.IRCBot-1698 (ClamAV)

W32/Smalltroj.CXEI (F-Secure)

Trojan.Win32.Restarter.f (Kaspersky)

Win32/IRCBot.ADS (NOD32)

W32/Smalltroj.CXEI (Norman)

Mal/Generic-A (Sophos)

 

Utiliser MSNFix pour le supprimer en le téléchargeant à cette adresse par exemple:

MSNFix.

 

-----------------------------------------------------------------------------------------------

 

 

Le probleme, c'est que MSNFix ne marche pas sur ce virus (du moins pas sur mon ordinateur...). J'ai même essayé le tuto suivant : http://www.sur-la-toile.com/discussion-712...D-SOLUTION.html . Mais le virus est toujours là, d'ailleurs, quand je lance l'analyse de AVG Anti-Spyware, il me trouve un fichié gravement infecté et se quitte directement! Comme si le virus l'avait fermé lui même... Voila. J'espere avoir bientot une solution, car je ne suis pas le seul concerné, et ce virus est nouveau...

 

Merci d'avance :P.

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

* Télécharger SDFix (créé par AndyManchesta) et le sauvegarder sur le Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Double cliquer sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

 

Redémarrer en mode sans échec

 

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.cmd pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

 

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Postez le rapport ici.

leifei Junior Member

leifei

Posté(e)
Posté(e)

SDFix: Version 1.149

 

Run by FRED on 28/02/2008 at 20:17

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Restoring Default HomePage Value

Restoring Default Desktop Components Value

Restoring Missing Security Center Service

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat - Contains Links to Malware Sites! - Deleted

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat - Contains Links to Malware Sites! - Deleted

C:\Documents and Settings\FRED\Favoris\Error Cleaner.url - Deleted

C:\Documents and Settings\FRED\Favoris\Privacy Protector.url - Deleted

C:\Documents and Settings\FRED\Favoris\Spyware&Malware Protection.url - Deleted

C:\WINDOWS\mrofinu1423.exe - Deleted

C:\WINDOWS\mrofinu1423.exe.tmp - Deleted

C:\DOCUME~1\FRED\LOCALS~1\Temp\winlogon.exe - Deleted

C:\WINDOWS\monhop.exe - Deleted

C:\WINDOWS\rs.txt - Deleted

C:\WINDOWS\sawkip.exe - Deleted

C:\WINDOWS\search_res.txt - Deleted

C:\WINDOWS\system32\real.txt - Deleted

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-28 20:24:15

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 68

 

 

Remaining Services :

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"D:\\Fred\\Jeux\\Nouveau dossier\\game.dat"="D:\\Fred\\Jeux\\Nouveau dossier\\game.dat:*:Enabled:La Bataille pour la Terre du Milieu"

"C:\\DOCUME~1\\FRED\\LOCALS~1\\Temp\\winlogon.exe"="C:\\DOCUME~1\\FRED\\LOCALS~1\\Temp\\winlogon.exe:*:Enabled:Streams Drivers"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Sun 18 Nov 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Thu 28 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT63.tmp"

Sat 2 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT67.tmp"

 

Finished!

 

 

 

le winlogon est toujour dans les processus

JEANCHRISTOPHEPC Junior Member

JEANCHRISTOPHEPC

Posté(e)
Posté(e)

bonsoir à tous.

 

Je viens de passer la soirée à me débarasser du dernier virus MSN dont il question ici (le Restarter.F)

C'est une vraie cochonerie dont il est difficile de se débarasser.

 

Personnellement j'ai réussi à le supprimer avec l'outil Clean Virus MSN.

L'outil peut être téléchargé gratuitement sur : http://www.viruskeeper.com/fr/clean_virus_msn.htm

 

ça peut sans doute t'aider.

 

JC.

leifei Junior Member

leifei

Posté(e)
Posté(e)

J'ai aussi réussi a le virer, avec SDfix comme l'a dis pear, jai tout fait comme il a dis, et pu de trace de ce virus sur mon pc, cool, mes contacts commencais a s'enerver lol ...

 

résultats :

SDfix >> ok

Clean Virus MSN >> aparament ok

msnfix >> pas ok

hijackthis >> pas ok

fsecure >> pas ok

search & destroy >> pas ok

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...