Se connecter / S'enregistrer
Votre question

Virus msn - Photo2.com

Tags :
  • MSN
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Mars 2008 13:46:03

Bonjour,

Le pc a été infecté suite a l'ouverture d'un lien envoyé par un contact msn. Depuis, des messages sont envoyés à tous les contacts les invitant à cliquer sur le même lien.

Une analyse spyware a été effectué ainsi qu'une analyse virus et aussi CCleaner. Des fichiers ont été supprimés, mais le problème persisté.

Alors à suivi :

- Scan avec MSNFIx -> rien détecté
- Scan avec VundiFix -> rien détecté
- Scan avec Antivir en mode sans echec - > des fichiers ont été supprimés, mais le problème demeure. :/ 

Alors j'avoue avoir besoin de votre aide pour essayer de débrasser ce pc de cette chose casse-pieds.

Merci.

ps : Depuis l'apparition de ce problème, un écran bleu erreur apparait à l'arrêt du pc avec l'erreur suivant : IRQL8NOT8LESS8OR8EQUAL. Est-ce lié ? Ce pc n'avait jamais eu de probleme de ce genre avec ecran bleu auparavant.

Autres pages sur : virus msn photo2 com

15 Mars 2008 13:59:54

Merci, Voilà le rapport :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:58:40, on 15/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal


--
End of file - 11068 bytes
Contenus similaires
15 Mars 2008 14:01:48

Re, je reprends à zéro :) 

Télécharge MsnFix (de !aur3n7) sur ton Bureau. (>>Tuto<<)
Dézippe-le sur ton bureau.

Ouvre le dossier MSNFix puis double-clique sur MSNFix.bat. (L’extension bat peut ne pas apparaître)
- Exécute l'option R.
- Si l'infection est détectée, presse une touche pour lancer le nettoyage. (N)

Si tu dois redémarrer l’ordinateur fais le manuellement.

Poste le rapport situé dans le dossier MSNFix.
Le nom du rapport correspond au moment de sa création : date_heure.log

Note : Si tu obtiens un fichier zip d’upload sur ton bureau, fais ceci
15 Mars 2008 14:08:05

Pas de probleme :) 

Voici le rapport de MSNFix :



MSNFix 1.684

C:\Documents and Settings\Claire\Bureau\MSNFix
Fix exécuté le 15/03/2008 - 14:05:24,89 By Claire
mode normal

************************ Recherche les fichiers présents

Aucun Fichier trouvé

************************ Recherche les dossiers présents

Aucun dossier trouvé


************************ Fichiers suspects

Aucun Fichier trouvé


************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\svftlz.exe


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

15 Mars 2008 14:16:35

Télécharge SDFix (créé par AndyManchesta ) et sauvegarde le sur ton Bureau.
Guide d'utilisation : http://mickael.barroux.free.fr/securite/sdfix.php

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
  • Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.
    N.B.:
    - Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
    - Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.
    15 Mars 2008 14:40:49

    Voilà le rapport.




    Finished!
    15 Mars 2008 16:21:02

    Poste un nouveau rapport hijackthis :super:
    15 Mars 2008 16:30:30

    Hop là, le voilà ^^



    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:29:13, on 15/03/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16608)
    Boot mode: Normal
    --
    End of file - 11176 bytes
    15 Mars 2008 16:37:25

    Re,

    Rends toi sur ce lien : Virus Total
  • Clique sur Parcourir
  • Rends toi jusque sur ce fichier si tu le trouves :

    C:\WINDOWS\system32\svftlz.exe

  • Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image :
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
    Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.
    15 Mars 2008 16:52:09

    Lorsque je clique sur envoyer le fichier, j'ai une page qui s'ouvre avec écrit :
    0 bytes size received / Se ha recibido un archivo vacio

    Mais rien d'autre ne se passe.
    15 Mars 2008 16:54:23

    Re,


  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Tuto sur le scan en ligne

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    15 Mars 2008 18:57:44

    Re,

    Alors voilà le rapport de Kapersky :




    KASPERSKY ON-LINE SCANNER REPORT
    Saturday, March 15, 2008 6:55:19 PM
    Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 15/03/2008
    Enregistrements dans la base antivirus Kaspersky : 570214



    Analyse terminée.
    15 Mars 2008 21:17:33

    Je n'ai pas encore osé refaire de tentative de connexion sur msn, de peur que cela envoie encore des messages aux contacts et qu'ils soient atteint également.
    Mais le point positif déjà, que ce soit lié ou pas, je n'ai plus d'écran bleu erreur à la fermeture du pc.
    15 Mars 2008 21:46:20

    :hello: 

    1) Affiche les fichiers et dossiers cachés …
    Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
    Ensuite, clique sur > Outils > Options des dossiers ...
    clique sur l' onglet « Affichage » et ...
    coche ---> Afficher les fichiers et dossiers cachés
    décoche > Masquer les extensions des fichiers dont le type est connu
    décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
    « Appliquer » et « OK ».

    2) Désactive toute protection résidente ( antivirus…) !

    Télécharge Combofix de sUBs :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !


    Redémarre en mode sans échecs : aide ici >>>

    http://forum.telecharger.01net.com/telecharger/virus_et...
    /!\ Ne jamais redémarrer en mode sans échec via msconfig ! /!\

    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

    3) Copie/colle un nouveau rapport HiJackThis avec.

    Bonne soirée :hello: 
    15 Mars 2008 22:32:34

    Soir,

    C'est noté, je m'en occupe demain matin, là j'avoue être un peu HS et j'ai peur de faire des betises.

    Merci pour ton aide, Bonne soirée à demain pour le rapport. :) 
    15 Mars 2008 22:35:18

    Oki à demain ;) 

    N.B : Je pense avoir repéré le fichier infecté, mais je ne trouve pas de certitude quand à son caractère néfaste, donc j'y vais doucement :) 

    Bonne nuit :hello: 
    16 Mars 2008 11:13:22

    Bonjour,

    Le fichier que tu penses être infecté, cela ne serait pas le C:\WINDOWS\system32\svftlz.exe ? Celui-là même que tu voulais que j'analyse en fait...

    Car en démarrant le pc ce matin, Antivir l'a isolé et m'a dis, je cite : Trojan Horse TR\Crypt.XPack.Gen.
    Du coup j'ai fait plus que mettre ce cher fichier en quarantaine.

    Je te fais quand même l'analyse avec Conbofix par sécurité peut-être ?

    16 Mars 2008 11:14:41

    :hello: 

    Oui c'était bien lui :super:

    Fais un scan avec antivir en mode sans échec après l'avoir mis à jour et poste moi le rapport ;) 
    16 Mars 2008 11:18:54

    Ce qui est bizarre, c'est que hier, c'est par là que j'avais commencé comme analyse avec antivir, enfin...

    Je te fais ça et te poste le rapport dès que finis. Tu vas être tranquille avec moi quelques heures, vu le temps que cela met. :D 
    16 Mars 2008 15:50:44

    J'ai un gros souci :( 

    J'ai fais l'analyse en mode sans echec, il avait trouvé un autre fichier douteux qu'il a du supprimer (j'ai gardé le rapport), mais impossible de rouvir ma session en mode normal ni meme en mode sans echec !!!! je clique ca ouvre et referme aussitot !!

    Que dois-je faire ? :( 
    16 Mars 2008 16:20:36

    Re,

    Et bien voilà... c'est pour ça que je me montrais prudent. Ton infection msn a en quelque sorte dégénéré en modifiant ton fichier "userinit.exe". Cela explique ton redémarrage en boucle.

    Essaye de faire une réparation de windows avec ton CD, aide ici : http://www.malekal.com//reparer_Windows.php

    à partir de Réparer Windows sans formater

    Avais-tu des données non sauvegardées ?

    Tiens-moi au courant ;) 
    16 Mars 2008 16:36:55

    Bah mon disque est partionné en deux : C et docs, mais je n'ai aucune sauvegarde en revanche.

    Bon mon premier probleme, comment faire démarrer le pc sur le cd-rom ? :s
    16 Mars 2008 16:48:56

    Il faut accéder au bios pour le configurer de sorte que tu bootes à partir du CD.

    Fais une recherche sur le net si tu en sais pas comment faire ;) 
    16 Mars 2008 17:57:36

    J'ai fais une réparation, mais ce coup-ci windows n arrive meme plus a se lancer :s

    Je suis complétement dépassée...
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS