Se connecter / S'enregistrer
Votre question

Virus Facebook Share

Tags :
  • Virus
  • Facebook
  • Script
  • Sécurité
Dernière réponse : dans Sécurité et virus
30 Octobre 2012 13:08:45

Bonjour,

j'ai, comme plusieurs personnes, le virus facebook share "Je t'aime mon amour <3 <3 <3" qui ouvre un nouvel onglet pour que je le partage sur facebook, environ toutes les 10 minutes.
J'ai pour l'instant pu isoler ce virus à mon seul profil, ce qui fait qu'il ne sera publié que pour moi, je suis le seul à le voir sur Facebook. Cependant, le fait qu'il s'ouvre toutes les dix minutes est très lourd. Je me permets donc de vous demander de l'aide afin de le supprimer.
J'ai également remarqué qu'après chaque apparition du pop-up, cela créer un fichier script "Je t'aime.vbs".

Merci d'avance pour votre aide.

PS : mon problème est le même que celui-ci : http://www.infos-du-net.com/forum/id-2314559/virus-face...
EDIT : J'ai ouvert ce fichier script sous notepad ++ pour observer son code, il va directement modifier mon registre. Je copie-collerai ce code si quelqu'un en fait la requête afin de m'aider

Autres pages sur : virus facebook share

a b 8 Sécurité
30 Octobre 2012 13:59:08

Bonjour,

Tu as regardé dans ta liste d'application Facebook s'il n'y a rien de suspect déjà ?

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    Contenus similaires
    a b 8 Sécurité
    30 Octobre 2012 16:03:26

    Re,

    Ca ira, on attaque le l'analyse.

    Désinstalle si possbile :
    Pando Media Booster
    IB Updater Service

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
      64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\IB UPDATER\FIREFOX [2012/10/10 06:01:49 | 000,000,000 | ---D | M]
      SRV:[b]64bit:[/b] - [2012/10/03 13:26:12 | 000,188,760 | ---- | M] () [Auto | Running] -- C:\Program Files\IB Updater\ExtensionUpdaterService.exe -- (IB Updater Updater)
      O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O4:[b]64bit:[/b] - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
      O4 - HKLM..\Run: [Pdll] C:\Windows\SysWOW64\Knucker.C.vbs ()
      O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O4 - HKU\S-1-5-21-413976987-2020115530-45207944-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
      O7 - HKU\S-1-5-21-413976987-2020115530-45207944-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-21-413976987-2020115530-45207944-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
      O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      O33 - MountPoints2\{327fee9b-1e86-11e2-a90f-8c89a504a5cf}\Shell - "" = AutoRun
      O33 - MountPoints2\{327fee9b-1e86-11e2-a90f-8c89a504a5cf}\Shell\AutoRun\command - "" = F:\autorun.exe
      [2012/10/30 13:15:19 | 000,001,069 | ---- | C] () -- C:\Je_t'aime.vbs

      :reg:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
      "{420910EC-4D40-4365-8087-18B3357E051C}" =-
      "{A2412B9B-C392-4428-AB97-B62434EE1E33}" =-
      "{B15E97F0-2B68-4861-A967-85EF0A8001D9}" =-
      "{BF1ED8F4-08F5-43F4-B38C-D98E89A3A6F3}" =-
      "{E650F786-BFCB-4B8D-9845-4CC5D06579FE}" =

      :file
      C:\Program Files (x86)\Pando Networks
      C:\Program Files\IB Updater

      :Commands
      [emptytemp]
      [resethosts]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    a b 8 Sécurité
    30 Octobre 2012 17:01:30

    On boucle alors, il faudra être prudent pour les prochaines fois.

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.
    30 Octobre 2012 21:40:13

    Bonsoir ici,

    je viens d'ouvrir exactement le meme fichier .vbs , le resultat est le meme fenetre internet explorer qui s'ouvre toute les 10min avec page facebook dessus....
    Que faire svp ?
    Merci d'avance pour l'aide apporter.

    Cordialement.
    Zihk.
    a b 8 Sécurité
    31 Octobre 2012 11:48:06

    Bonjour,

    Zihk je t'ai pris en charge dans ton propre sujet :) 
    a b 8 Sécurité
    31 Octobre 2012 20:58:34

    Re,

    Tu peux désinstaller toutes les versions de Java sauf Java 7 Update 9.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS