Se connecter / S'enregistrer
Votre question

[Résolu]Virus Msn photo.zip

Tags :
  • msn
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Janvier 2009 16:06:52

Bonjour,

J'ai le virus photo.zip qui s'ouvre àchaque fois que je lance msn.
Mon antivirus (norton ne trouve rien)
le scann Virus Clean ne trouve rien non plus.
donc après consultation de plusieurs site j'ai utilisé MSNFix
C'est la première fois que j'utilise MNSFix et je vous avoue que je n'y comprends pas grand chose :( .
A la fin de son lancement, je n'ai pas de fichier avec la date et l'heure .log mais un fichier temp.txt dont voici le contenu :

[C:\WINDOWS\system32\winchat.exe] 2A99260794224489F29B628717B7947E
[C:\WINDOWS\system32\winhlp32.exe] 577624F19D0441C9111F2AF26C81E04D
[C:\WINDOWS\system32\winlogon.exe] 123EEA158F74D0F67A51DCDF065D1091
[C:\WINDOWS\system32\winmine.exe] EA682C022F7204CC8E8C9EF5DCE29356
[C:\WINDOWS\system32\winmsd.exe] 7EBF8A4B608AFB79C67F4E4A9C5885BB
[C:\WINDOWS\system32\winspool.exe] 0B4B94B78123E8035B84105BC024F9F8
[C:\WINDOWS\system32\winver.exe] 9CD9DB5CCEE972A162C31239F16E0925

puis un fichier catchme.log dont voici le contenu:
read file error: C:\DOCUME~1\...\LOCALS~1\Temp\winlogon.exe, Le fichier spécifié est introuvable.
read file error: C:\DOCUME~1\...LOCALS~1\Temp\services.exe, Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\system32\cftmon.exe, Le fichier spécifié est introuvable.

Ensuite j'ai un dossier Upload_Me qui est apparu avec tous les fichiers .exe mentionnés ci-dessus dans le fichier temp.txt.
Que dois-je faire avec?

Je retrouve également a la fin du lancement de MSNFix un dossier 'Backup' qui contient plein de fichier .reg à inscrire dans le registre et il y a également le photo.zip dans ce dossier. Bien que je l'avais supprimer avant de lancer MSNfix .

Ensuite j'ouvre msn et le virus et encore présent.

Je vous avoue que je n'y comprends rien.

J'aimerai savoir ce que je dois faire avec tous ces dossier que msnfix m'a créé et surtout comment on se débarasse une bonne fois pour toute de ce virus.


Si quelqu'un peut m'aider, je le remercie d'avance .

Mimi.

Autres pages sur : resolu virus msn photo zip

a c 267 8 Sécurité
10 Janvier 2009 16:24:30

Salut,

Le rapport MSNFix se trouve dans C:\Windows\, poste-le ;) 
10 Janvier 2009 16:58:06

Ahh merciiii :) .

Voici mon rapport:

MSNFix 1.749

C:\MSNFix
Fix exécuté le 10/01/2009 - 15:04:59,98 By mm

mode normal

************************ Recherche les fichiers présents

... C:\autorun.inf
... C:\Autorun.inf
... C:\DOCUME~1\mm\LOCALS~1\Temp\photo*.zip

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... C:\DOCUME~1\mm\LOCALS~1\Temp\winlogon.exe
.. OK ... C:\DOCUME~1\mm\LOCALS~1\Temp\services.exe
.. OK ... C:\WINDOWS\system32\cftmon.exe
.. OK ... C:\autorun.inf
.. OK ... C:\Autorun.inf
.. OK ... C:\DOCUME~1\mm\LOCALS~1\Temp\photo*.zip



************************ Nettoyage du registre



************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20090110150630
-- original size 0.77 Kb / 20 lines
-- Start cleaning Hosts file ....



-- final size 0.77 Kb / 20 lines
-- entry Found : 0 / Entry check : 310

End .............................. 21.28 Secondes





Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun Fichier trouvé





************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20090110151000
-- original size 0.77 Kb / 20 lines
-- Start cleaning Hosts file ....



-- final size 0.77 Kb / 20 lines
-- entry Found : 0 / Entry check : 310

End .............................. 27.88 Secondes



Et après je dois faire quoi avec?
Contenus similaires
Pas de réponse à votre question ? Demandez !
a c 267 8 Sécurité
10 Janvier 2009 17:16:19

  • Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
  • Double-clique sur RSIT.exe afin de lancer le programme.
  • Clique sur Continue à l'écran Disclaimer.
  • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparait à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

    Note : les rapports sont sauvegardés dans le dossier C:\rsit\.
    10 Janvier 2009 17:54:15

    ok je vais tester ça.
    Et je reviens
    a c 267 8 Sécurité
    10 Janvier 2009 18:12:38

    1/

  • Lance ce fichier : C:\Program Files\trend micro\makhoulm.exe
  • Choisis Do a system scan only.
  • Coche la case qui est devant la ligne suivante :

    O4 - HKLM\..\Run: [hxcawu] C:\WINDOWS\system32\hxcawu.exe \j

  • Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.
  • Redémarre ton PC.


    2/

    On va maintenant devoir modifier le registre. Modifier le registre peut se révéler être très dangereux, c'est pourquoi nous allons créer une sauvegarde du registre avant d'effectuer nos modifications. Ainsi, en cas de souci, il n'y aura qu'à restaurer.

    Merci de procéder EXACTEMENT comme décrit ci-dessous :

    ---> Télécharge ERUNT.
    (ERUNT = Emergency Recovery Utility NT, c'est un programme gratuit qui te permet de conserver une sauvegarde complète de ta base de registre et de la restaurer quand cela s'avère nécessaire)

  • Installe ERUNT en suivant les instructions suivantes :
    (Suis les directives d'installation par défaut, mais dis non quand on te demande d'ajouter ERUNT au startup folder (dossier start up), d'autant plus que si tu le souhaites tu pourras ajouter cette option ultérieurement)
  • Lance ERUNT soit en double-cliquant sur l'icône présente sur ton bureau soit en choisissant de lancer le programme en fin d'installation.
  • Choisis un emplacement pour la sauvegarde (L'emplacement par défaut est : C:\WINDOWS\ERDNT ce qui est acceptable).
  • Assure-toi que les deux premières cases suivantes soient bien cochées !!!
  • Clique sur OK.
  • Clique sur YES pour créer le dossier de sauvegarde.




    3/

  • Télécharge OTMoveIt3 (OldTimer) sur ton Bureau.
  • Double-clique sur OTMoveIt3.exe afin de le lancer.
  • Copie (Ctrl+C) le texte suivant ci-dessous :

    :processes
    explorer.exe

    :files
    C:\WINDOWS\system32\hxcawu.exe

    :reg
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\Documents and Settings\makhoulm\nowm.exe"=-
    "C:\WINDOWS\system32\hxcawu.exe"=-

    :commands
    [purity]
    [emptytemp]
    [reboot]


  • Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
  • Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

    ---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

  • Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    ---> Le nom du rapport correspond au moment de sa création : date_heure.log
    10 Janvier 2009 18:20:41

    Ok je vais faire cela . Et je reviens.
    Mais j'ai une petite question:
    MSNFix à servit à quoi?
    a c 267 8 Sécurité
    10 Janvier 2009 18:31:35

    Il a trouvé des fichiers infectés mais pas tous.
    a c 267 8 Sécurité
    10 Janvier 2009 19:04:40

    Bien.


    1/

  • Mets à jour Adobe Reader.
  • Mets à jour Internet Explorer.


    2/

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher.
  • L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    10 Janvier 2009 20:17:15

    Désolé j'ai mis un peu de temps mais je n'arrive pas à installer le Internet explorer 7. j'ai essayé deux fois :la premiere via le lien que tu m'as envoyé et la deuxième via l'assistant de mise à jour Windows.

    Est-ce que c'est vraiment important de le mettre à jour, ou je peux passer à l'étape 2 : telechargement de Malwarebytes?
    a c 267 8 Sécurité
    10 Janvier 2009 20:20:11

    Citation :
    Désolé j'ai mis un peu de temps mais je n'arrive pas à installer le Internet explorer 7. j'ai essayé deux fois :la premiere via le lien que tu m'as envoyé et la deuxième via l'assistant de mise à jour Windows.

    ---> Explique-moi plus en détail ce qui se passe. Tu peux passer à la suite.

    Je m'absente ;) 
    10 Janvier 2009 20:32:25

    Ok,
    j'installe Malwarebytes et puis je t'explique plus en détails que qui se passe avec internet explorer 7.

    Je te remercie énormement pour ton aide :) .
    10 Janvier 2009 21:08:42

    Pour l'installation d'internet explorer 7:
    A la fin de l'installation il y a un raccourci qui s'est installé sur mon bureau nommé
    "Internet Explorer - résolution de problèmes"
    qui renvoie a cette adresse web :
    http://support.microsoft.com/kb/917925

    et quand je clique sur l'aide puis à propos de internet explorer je suis en version 6.0

    a c 267 8 Sécurité
    11 Janvier 2009 01:38:57

    J'ai vu que tu avais une version Pro d'XP, c'est un authentique ou piraté ?

    Tu as toujours le problème sur MSN ?

    Peux-tu me zipper (me mettre dans une archive) le dossier _OTMoveIt situé dans C:\ puis me l'envoyer sur (Adresse mail supprimée) ?
    11 Janvier 2009 17:30:07

    c'est une vrai version installé par la cellule info de ma boite.

    Je n'ai plus le pb MSN il est parti. je te remercie de ton aide.

    Il est vrai que j'aurais pu demander à la cellule info de me virer le pb MSN mais j'ai préféré le faire par moi même, histoire d'être au courant de tout ce qui se passe sur mon ordi.

    Tu veux toujours l'archive de _OTMoveIt?
    a c 267 8 Sécurité
    11 Janvier 2009 17:45:56

    Citation :
    Tu veux toujours l'archive de _OTMoveIt?


    ---> Oui bien sûr ;) 
    11 Janvier 2009 18:30:14

    Ok je t'envoie ça.
    a c 267 8 Sécurité
    11 Janvier 2009 18:59:53

    Tu as fait le scan avec MBAM ?
    11 Janvier 2009 19:19:26

    oui je l'ai fais. il a trouvé une seule infection
    Dans le registre.

    Je t'ai envoyé un mail sur ta boite free. regardes le.
    a c 267 8 Sécurité
    11 Janvier 2009 19:24:36

    Je t'ai envoyé un mail également.


    1/

  • Désinstalle HijackThis.
  • Télécharge ToolsCleaner2 sur ton Bureau.
  • Double-clique sur ToolsCleaner2.exe pour le lancer.
  • Clique sur Recherche et laisse le scan agir.
  • Clique sur Suppression pour finaliser.
  • Tu peux, si tu le souhaites, te servir des Options Facultatives.
  • Clique sur Quitter pour obtenir le rapport.
  • Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


    2/

  • Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar).
  • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
  • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
  • Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).


    3/

  • Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.

  • Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème.


    4/

    Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

    Comme navigateur, utilise plutôt Mozilla Firefox qu'Internet Explorer. Tu peux utiliser l'extension NoScript pour plus de sécurité. D'autant plus que ta version d'Internet Explorer est ancienne et donc il y a des failles de sécurité.

    Vérifie que les mises à jour automatiques sont bien activées (Menu Démarrer, clique droit sur Poste de travail, Onglet Mises à jour automatiques).

    Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) :
    http://www.malekal.com/fichiers/projetantimalwares/prev...


    Sois plus vigilant sur Internet ;) 
    11 Janvier 2009 19:35:18

    Je te l'ai envoyé mais yahoo me dit qu'il y a un virus dedant.

    Je vais rééssayé

    ça me dit la même chose: Alert! _OtMoveIT.zip can't be attached. it has an uncleanable virus.

    11 Janvier 2009 20:02:33

    Voici le rapport ToolsCleaner, mais je l'ai lancer deux fois :
    la premiere il a trouvé puis supprimer Hijack...exe
    et il a trouver msnFix mais n'a pas réussi a le supprimer. Alors c'est à cause de ça que je l'ai relancer une deuxième fois.


    [ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

    -->- Recherche:

    C:\Documents and Settings\mm\*.msnfix: trouvé !

    ---------------------------------
    -->- Suppression:

    C:\Documents and Settings\mm\*.msnfix: ERREUR DE SUPPRESSION !!

    Corbeille vidée!
    Fichiers temporaires nettoyés !
    a c 267 8 Sécurité
    12 Janvier 2009 15:52:04

    Tu peux supprimer ToolsCleaner.

    ---> Ajoute maintenant [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer .
  • Rajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.
    14 Janvier 2009 20:11:31

    Ok. merci pour tout.

    :) 
    Mimi
    a c 267 8 Sécurité
    15 Janvier 2009 00:30:16

    Bonne soirée ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS