Se connecter / S'enregistrer
Votre question

[Résolu] Virus msn

Tags :
  • contacts msn
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Janvier 2010 18:28:26

Bonjour à tous !

Un ami m'a conseillé votre site, car lui-même ne peut m'aider...

A priori le virus viendrait d'un de mes contacts msn. Les symptômes : msn bloqué, ouverture intempestive et mes contact recoivent des trucs bizarres...

J'ai essayé : msnfix, désinstallé et réinstallé, combofix et le dernier malwarebytes. Sur le dernier, dès que je clic sur une de ses options, il se ferme illico...

Je suis vraiment désapointé, désemparé, déséspéré !!!

Une âme charitable pourrait-elle m'aider ?

Autres pages sur : resolu virus msn

29 Janvier 2010 11:12:17

Bouh ! Personne pour m'aider, ni même pour me répondre ?

Please ! Help me !
29 Janvier 2010 15:55:19

Aloha!

Msnfix n'est plus mis à jour, et évite d'utiliser combofix sans la demande d'un helper! ;) 

Fais un scan RSIT:

Dans un souci de lisibilité du sujet, merci de bien vouloir héberger tous les rapports ici, et de poster les liens dans la discussion. :clin: 

Télécharge sur le bureau « RSIT »
* Double-clic dessus
(Avec VISTA > clic-droit et > Exécuter en tant qu'administrateur)
* Laisser « 1 month »
* Cliquer sur « Continue »
* À la fin du scan 2 rapports sont créés: « log.txt » et « info.txt »
* Héberger les deux rapports et donner les liens
** Note: les rapports se situent aussi dans « C:\rsit\log.txt » et « C:\rsit\info.txt »
Contenus similaires
Pas de réponse à votre question ? Demandez !
30 Janvier 2010 12:02:17

Bonjour,

Merci de répondre !
Après le scan, voilà les liens :
info.txt :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijEZxJd...

lo.txt :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijsUjEf...

A noter que rsit m'a transmis ce message que je retappe mot à mot :

'You have an particularly large mount of hijacked domains. it's probably better to delete the file itself then to fix each item( and create a backup).
If you see the same IP adress in all reported 01 items, consider deleting your hosts file, which is located at C:\windows\system32\drivers\etc\hosts."

Encore merci de prendre tout ce temps. Dans l'attente du diagnostic/remède...
30 Janvier 2010 13:54:30

Pas de quoi! ;)  Ton fichier host a du être modifié par l'infection (ça m'étonnerai que ça soit toi qui l'ai modifié), on va le restaurer!

Telecharger sur le bureau « HostsXper »

* Clic-droit « extraire tout( ou ici) »
* Double-clic sur le dossier « HostsXpert » qui vient de se créer
* Double-clic « HostsXpert »
* Clic « Restore MS Hosts file »

+

Télécharger sur le bureau Malwarebyte's Anti-Malware

* Double-clic sur « mbam-setup » pour lancer l'installation
* Installer simplement sans rien modifier
* Quand le programme lancé ==> onglet « Mise à jour » cliquer sur ==> « Recherche de mise à jour »
Onglet « Recherche » ==> cocher « Exécuter un examen complet »
* Clic « Rechercher »
* Cocher tous les disque dur
* Clic « Lancer l'examen »
* En fin de scan , si infection trouvée
==> Clic « Afficher résultat »
* Fermer vos applications en cours
* Vérifier si tout est coché et clic « Supprimer la sélection »

* Un rapport s'ouvre l'héberger et donner son lien
30 Janvier 2010 16:30:20

Bon, j'ai réussi à le télécharger par un autre ordi puis à le transferer par une clef usb.
Une fois installé et cliqué sur mise à joour, celle-ci s'interrompt et le logiciel se ferme!!!
Si je coche " Exécuter un examen complet " : pareil, le logiciel se ferme

???
30 Janvier 2010 19:53:42

Tu as fait HostsXerts avant?

Tu as sûrement un rootkit, on va vérifier ça:

* Désactive l'antivirus

Télécharger et enregistrer sur le bureau « Combofix »

* Double-clic sur « Combofix »
** Si invitation à télécharger et installer la console de récupération, l'accepter
* La recherche va ensuite se lancer
* Attendre la fermeture de l’outil ( 5 à 10 mn)
* Un rapport dans C:\Combofix.txt: héberge le et donne le lien.
2 Février 2010 10:27:01

Bonjour!

J'aurais bien voulu te répondre avant ! Mais je ne plus acceder à ce site sur mon portable infecté !!! IE me réponds qu'il ne peut afficher la page web !!!
Je pensais que le site était peut-être en maintenance...!

En utilisant un autre pc je peux te répondre !

J'ai bien fait un HostsXperts le 30/01

Puis j'ai beau désactiver Bit defender (fonction anti-virus), sa page d'accueil revient sur le bureau pendant que la barre de progression de ComboFix s'affiche.

Je n'obtiens pas de rapport de ComboFix. mais par contre ya un fichier C:\32788R22FWJFW\cmd.cfxxe (vide) : J'ignore si c'est en rapport avec le problème!

Bon, j'entrave que dalle, comme tu peux le constater!

Peux-tu me sortir de cette panade ?
Merci et encore désolé pour le contre-temps !
2 Février 2010 11:53:30

je ne parviens pas à faire fonctionner ComboFix mais Bit defender a trouvé 3 menaces! Ci-joint une copie du rapport :

Chemin d'accès à l'objet Nom de la menace État final
<System>=>C:\Windows\system32\wmitcdj.exe [1664] (memory dump) DeepScan:Generic.Sdbot.81D53843 Échec de la désinfection (l'objet n'a pas été trouvé)
<System>=>C:\Windows\system32\wmitcdj.exe [1664] (full dump) DeepScan:Generic.Sdbot.D302758D Échec de la désinfection (l'objet n'a pas été trouvé)


Problèmes résolusChemin d'accès à l'objet Nom de la menace État final
C:\Windows\System32\drivers\etc\hosts-20100127124114.txt Generic.Qhost.3D5F5A23 Supprimé

Si ça peut t'aider...
2 Février 2010 18:20:42

Hum... On va essayé autrement: efface ton combofix si tu as réussi à le téléchargé

* Redémarrer en mode Sans Échec avec prise en charge du réseau (le démarrage peut prendre plusieurs minutes)
**Relancer le Pc et tapoter la touche F8, jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec avec prise en charge du réseau ==> entrée ==>nom utilisateur habituel


* Désactive l'antivirus

* Faire un clic droit ici sur «Combofix »

* enregistrer la cible du lien sous
==> choisir :Bureau
et avant d'accepter ==> remplacer : Combofix par: cftest

* Double-clic sur « cftest »
** Si invitation à télécharger et installer la console de récupération, l'accepter
* La recherche va ensuite se lancer
* Attendre la fermeture de l’outil ( 5 à 10 mn)
* Un rapport dans C:\Combofix.txt: héberge le et donne le lien.

Si tu n'arrives pas à le télécharger essai de le transférer via clé usb ou dis le je te l'hébergerai autre part.
3 Février 2010 19:25:53

Re essai malwarebytes', si ça ne marche pas dis le on fera autrement!
4 Février 2010 19:40:25

Heyo! Désolé pour les temps de réponses, j'ai assez de contrôle en ce moment! :\

Tu pourrais refaire un RSIT?
4 Février 2010 22:17:34

Normal que certains sites bloquent le fichier host est modifié à nouveau. :o 

Télécharger sur le bureau « OTMoveIt.exe »

* Copier ce texte

:Processes
explorer.exe

:Files
C:\Windows\system32\wmitcdj.exe
c:\users\pyrene color\qoauf.exe
c:\users\pyrene color\fyq.exe
c:\users\pyrene color\iotnsw.exe
c:\users\pyrene color\tmjfjoq.exe
c:\users\pyrene color\mhlj.exe
c:\users\pyrene color\fupem.exe
c:\users\pyrene color\sapyvm.exe
c:\users\pyrene color\eia.exe
c:\users\pyrene color\bky.exe
c:\windows\system32\config\systemprofile\sdivy.exe
C:\Windows\System32\Drivers\hfcwgxwx.sys

:Commands
[emptytemp]
[start explorer]
[Reboot]


* Double-clic sur OTMoveIt.exe

* Dans le cadre de Gauche « Paste Instructions for Items to be Moved » ==> clic-droit ==> coller
* Clic « MoveIt! »
* si redémarrage demandé==> Clic : « YES »
* Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à héberger et coller le lien dans la réponse (format du type => mmjjaaaa_hhmmss.log)

===

Tu redémarre, tu refais un HostXpers, tu redémarre à nouveau et tu repostes un RSIT ;)  Normalement là ça devrait être bon!
5 Février 2010 16:22:24

Bon, l'hebergeur ne veut pas prendre de fichiers.log

Je le mets ici :

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\Windows\system32\wmitcdj.exe moved successfully.
c:\users\pyrene color\qoauf.exe moved successfully.
c:\users\pyrene color\fyq.exe moved successfully.
c:\users\pyrene color\iotnsw.exe moved successfully.
c:\users\pyrene color\tmjfjoq.exe moved successfully.
c:\users\pyrene color\mhlj.exe moved successfully.
c:\users\pyrene color\fupem.exe moved successfully.
c:\users\pyrene color\sapyvm.exe moved successfully.
c:\users\pyrene color\eia.exe moved successfully.
c:\users\pyrene color\bky.exe moved successfully.
c:\windows\system32\config\systemprofile\sdivy.exe moved successfully.
File/Folder C:\Windows\System32\Drivers\hfcwgxwx.sys not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users
-> No Temporary Internet Files cache folder defined!

User: Default
-> No Temporary Internet Files cache folder defined!

User: Default User
-> No Temporary Internet Files cache folder defined!

User: JP Caille
-> No Temporary Internet Files cache folder defined!

User: Public
-> No Temporary Internet Files cache folder defined!

User: pyrene color
-> No Temporary Internet Files cache folder defined!

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5902 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 47399 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33239 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 25494692 bytes
RecycleBin emptied: 40606995 bytes

Total Files Cleaned = 63,00 mb


OTM by OldTimer - Version 3.1.8.0 log created on 02052010_160755

Files moved on Reboot...

Registry entries deleted on Reboot...
5 Février 2010 17:26:08

C'est bon!

1/ Pour supprimer les utilitaires téléchargés:

  • Télécharge ToolsCleaner2 sur ton bureau
  • Double-clique sur « Toolscleaner.exe »
  • Clique sur « restauration » pour créer un point de restauration.
  • Puis clique sur « recherche »
  • Quand la recherche sera terminée, clique sur « suppression ».
  • A la fin (il y aura des indications dans le cadre en-dessous), clique sur « quitter » et poste le rapport qui se trouve dans « C:\Tcleaner.txt »
  • Clique droit sur son icône => « supprimer »


    2/ Pour supprimer les fichiers temporaires (à utiliser régulièrement!):

    Télécharge sur le bureau « ATF-Cleaner »
  • Double-clic dessus
  • Sous l'onglet « Main », choisis« Select All »
  • Clique sur le bouton « Empty Selected »
  • Patiente le temps du nettoyage, puis « Ok »
    ** Note: Le prochain démarrage du PC sera un peu plus long, le prefetch ayant été vidé

    -----

    3/ Désactiver et réactiver la restauration système:

    - sous xp:

  • Clique-Droit sur Poste de Travail
  • Clique « Propriétés »
  • Clique « Restauration du système »
  • Cocher : « Désactiver la restauration système sur tous les lecteurs »
  • Valider en cliquant sur « OK »
    -> Redémarrer le pc
  • Et même manoeuvre en décochant pour rétablir la restauration
  • Puis Menu Démarrer ==> Tous les programmes ==> Accessoires ==> Outils système ==> Restauration système
  • Clique « Créer un nouveau point de restauration »
    ** note => le nom donné n’a aucune importance

    - sous vista:

  • Clique sur Démarrer
  • Clique-droit sur « Ordinateur »
  • Clique « Propriétés »
  • Clique « Protection du système »
  • Décocher : « C »
  • Valider en cliquant sur « OK »
    -> Redémarrer le pc
  • Et même manoeuvre en recochant pour rétablir la restauration
  • Puis de même et cliquer « créer » pour établir un nouveau point de restauration

    -----

    4/ Garder malwarebytes' et penser à faire des scans réguliers avec ce dernier!
    => Tuto malwarebytes'

    -----

    5/ Un dossier sur les infections à lire si ça t'interesse => Lien

    -----

    6/ Problème résolu?

    Alors penser à mettre le sujet en résolu en éditant ton titre!
  • Clique sur le bouton « Éditer » dans ton premier message (en bas à droite du message).
  • Ajoute [Résolu] devant le titre.
  • Clique ensuite sur « Valider votre message » :clin: 
    6 Février 2010 09:30:02

    Bon, j'ai bien posté le rapport de TCleaner mais j'ai redémarré avant de t'envoyer le lien; Le boulet !

    Pour le reste tout est fait et tout est clean. Ca marche impec
    Le titre est modifié (résolu)

    Un grand merci pour tout ça :) 
    6 Février 2010 13:21:02

    Pas de quoi! :) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS