virus msn photo

Herser a couché sur son écran :

murielle wrote:

Après mûre réflexion, Herser a écrit :

murielle wrote:

Herser avait énoncé :

murielle wrote:

bonjour

Bonjour
J'ai passé MalwarBytes et voila ce qu'il me donne, est ce que je
peux supprimer les fichiers infectés sans problème ?
Merci d'avance
Murielle

Tu as oublié le lien de Cijoint pour que je récupère le rapport
Donc ouvrir Cijoint
Envoyer ton rapport avec "parcourir" puis "Cliquez ici pour déposer
le fichier"
Attendre le lien renvoyé par Cijoint
Cliquer le lien qui affichera le rapport
Envoyer ici ce lien

Herser

oups désolée le voici
http://www.cijoint.fr/cjlink.php?file=cj201003/cijYPfsI8s.txt
merci

Murielle

Re !

Bien reçu !
Le rapport révèle un ver qui a inoculé un faux vrai fichier.
Infocard.exe est bien un exécutable de MS, mais placé dans le dossier
Framework
Et non dans Windows.
Rem : si on doute sur un tel fichier, on peut aussi l'envoyer sur :
http://www.virustotal.com/fr/analisis/bed26dccb0f52a2c9cf6170f69f102a1

Dans ton cas pas de doute, c'est un virus MSN
On voit aussi qu'il redirige ta page de démarrage.
Et surtout le virus permet de prendre la main sur le PC, en se connectant sur
un serveur :
http://www.malekal.com/IRCBot.aaq_Shadowbot.php

Donc refaire MBAM (n'oublie pas les clés USB branchés) et *supprimer* les
fichiers.

Fais ensuite un rapport ZHPDiag et envoie, de même, sur Cijoint.
On verra s'il y a d'autres traces, ce qui est fort possible.

Attention à MSN / Windows Live Messenger.
C'est plein de pièges jouant sur ce qui est à la mode.

Dis à ta fille de se créer un compte "limité" à son nom.
Et de surfer sur ce compte, cela réduit un peu les risques.

Herser

encore moi, voici les rapports après désinfection.
http://www.cijoint.fr/cjlink.php?file=cj201003/cij2QQHlbD.txt

http://www.cijoint.fr/cjlink.php?file=cj201003/cijTIchgkP.txt

Je pense que c'est tout bon.

Encore une petite question, qu'est ce qu'un compte "limité" ?
Merci
Murielle

murielle wrote:

encore moi, voici les rapports après désinfection.
http://www.cijoint.fr/cjlink.php?file=cj201003/cij2QQHlbD.txt

http://www.cijoint.fr/cjlink.php?file=cj201003/cijTIchgkP.txt

Je pense que c'est tout bon.

Presque : 2 corrections à faire encore :

1- Il reste une trace du virus dans le registre, à priori anodine.

Vérifie que le fichier C:Windowsinfocard.exe n'existe plus : si ? non ?
S'il n'est plus là, refais ZHPDiag.
Quand l'analyse est terminée clique sur ZHPFix (bouclier vert)
Clique sur H : "coller les lignes helper"
Colle dans le texte la ligne suivante (sur une seule ligne) :
O47 - AAKE:Key Export SP - "C:UsersPublicinfocard.exe" [Enabled] .(.Pas
de propriétaire - Pas de description.) (.not file.) --
C:Windowsinfocard.exe
Puis clique sur OK
Donne le commentaire de ce Fix


2- Le virus est peut-être encore présent dans la restauration système
Mais avant de sacrifier tous les points, donne le résultat du "Fix"
précédent.
J'ai peur d'oublier ensuite, donc, pense, une fois la désinfection terminée,
à désactiver la restauration.
On en reparle après

Et à la fin du fin, refaire un scan avec l'antivirus à jour (Antivir à ce
que je vois)

Encore une petite question, qu'est ce qu'un compte "limité" ?

En fait sur Vista c'est "compte standard"
Ce qui est + juste que "compte limité" sur XP
Si ta fille n'a qu'un seul compte, c'est un compte administrateur, qui a pas
mal de pouvoir
Encore plus si l'UAC est désactivé , et les virus adorent.
Il vaut mieux alors créer un 2° compte standard
L'administrateur administre le PC : installation, désinstallation etc..
L'utilsateur standart utilise le PC
Panneau de configuration / Comptes d'utilisateurs / Gérer les comptes /
Créer un compte

Merci

De rien

Herser

Herser wrote:

murielle wrote:
Colle dans le texte la ligne suivante (sur une seule ligne) :
O47 - AAKE:Key Export SP - "C:UsersPublicinfocard.exe" [Enabled]
.(.Pas de propriétaire - Pas de description.) (.not file.) --
C:Windowsinfocard.exe

Je vois que les lecteurs de news coupent ça en 2 ou 3
Récupère la ligne sur le log ZHPDiag que tu as envoyé sur Cijoint
Cherche la ligne 047 corrspondante

Puis clique sur OK
Donne le commentaire de ce Fix

J'ajoute qu'il y a des traces de Norton Internet Sécurity sur le log de
ZHPDiag.
On peut penser que c'est un portable livré avec une version d'essai.
La désinstallation n'est pas complète

Termine la avec le nettoyeur de Symantec :
http://www.symantec.com/fr/fr/norton/support/kb/web_view.jsp?wv_type=public_web&selected_nav=&pvid=&docurl 081007032415FR
Applique la bonne version (voir notice du portable)

Le Sun, 28 Mar 2010 11:14:18 +0200, "Herser" <Herser@nospam.org> a écrit :

Voici une méthode de désinfection :
http://inforadio.free.fr/articles.php?lng=fr&pgX
Attention : Ne suivre qu'une partie, c'est s'exposer à
ce que cela soit inefficace...

Là pas d'accord, du moins sur la liste.
Passer tous les nettoyeurs de la terre, sans discernement est dangereux et
inutile.

Je rappelle ce que j'ai noté dans le paragraphe 2.11 :
En complément, en cas de résistance...

S'arrêter au paragraphe 2.10 est généralement suffisant.
MAIS il faut suivre cette partie sans sauter d'étapes...

Pour prendre un exemple, j'ai eu une personne qui m'a contacté via
http://inforadio.free.fr/postguest.php?lng=fr&typ=ma
(c'est le but...) qui m'a dit que cela ne fonctionnait pas et je me suis
aperçu qu'elle ne mettait pas à jour Malwarebytes avant le scan...
Ce n'est qu'un exemple parmi d'autres...

Ton lien "virus MSN", et c'est le cas ici, mène à ComboFix.
Or CF doit être "prescrit sous ordonnance".

Combofix est pourtant l'un des programmes très utile
du moment, qui permet de se débarasser de biens des
malwares (cf. dernières désinfections sur le site de
Malekal entre autre).

Et plutôt que HiJackThis, qui n'est plus mis à jour, préférer ZHPDiag.

Je cite :
======================================================= ZHPDiag est un outil de diagnostic extrait du logiciel Zeb Help Process.
Le logiciel permet d'effectuer un diagnostic rapide et complet de son
système d'exploitation. Il est basé en partie sur le principe d'HijackThis.
Il scrute votre Base de Registre et énumère les zones sensibles qui sont
susceptibles d'être piratées.
=======================================================
Pour ma part, je continue à utiliser avec succès HiJackThis.
Tu laisses sous entendre que le lien http://www.hijackthis.de/fr
ne serait plus tenu à jour ?
Il est vrai que j'ai constaté que HiJackThis ne détectait pas tout
et c'est pour cette raison que j'ai écrit cette "procédure".
En l'appliquant jusqu'au para. 2.10, cela permet dans la plus
grande majorité des cas de se débarasser des virus et malwares,
même de certains virus MSN...

Bref, HiJackThis seul ou ZhpDiag n'est pas suffisant.

En tout cas, j'ai tenu compte de tes remarques et je fais
apparaître ZHPDIAG/ZHPFIX.

Et surtout éviter la mauvaise astuce qui force le m.s.e. avec msconfig.
PC bouclant en rond garanti.

Il faut désactiver cette fonctionnalité de reboot ceci dit au passage.

Sinon, je ne suis pas encore tombé sur des virus m'empêchant de
lancer le mode sans échec mais dans ce cas, il existe la possibilité
du CD de boot dont je parle sur mon lien. Certes, je ne détaille pas
tout... Certes la création d'un graphcet serait préférable pour aiguiller
le lecteur.

En résumé, je proposais MBAM pour un 1° nettoyage, avec rapport pou voir.
Un diagnostic avec ZHPDiag, meilleur que HJT.
Et ensuite le/les outils adaptés aux malwares trouvés par le diagnostic.

AMHA c'est mieux adapté qu'une recette toute faite

... sauf que la personne qui ira sur mon site saura comme s'y prendre
alors que la phrase "outils adaptés aux malwares trouvés par le diagnostic"
risque d'en laisser quelques-uns dubitatifs...

Les personnes étant passées par ma page, que je tiens bien évidemment
à jour, s'en sortent pas trop mal. Après chacun sa philosophie et quant à
moi, je ne peux être un helper à temps complet, je déborde d'activités...
Alors j'apprends à pêcher plutôt que de donner directement du poisson.
Quelques soient les domaines, tout est question d'habitude.

Certains se contenteront de ma page, d'autres préfèreront l'aide
d'un helper, les démarches sont complémentaires.

En tout cas, merci de tes commentaires forts intéressants !

:)

Cordialement,
Ludovic
http://inforadio.free.fr

I N F O R A D I O wrote:

Le Sun, 28 Mar 2010 11:14:18 +0200, "Herser" <Herser@nospam.org> a
écrit :

Juste une petite remarque sur ComboFix.
Le lien officiel est celui de Bleeping Computer (c'est aussi ton lien)
L'intro traduite par NickW (Véronique de Assiste.com) dit :

----------------- copie ----------------
*Vous ne devez pas utiliser ComboFix sans qu'un assistant vous demande
expressément de le faire*. De plus, en raison de la puissance de cet outil,
il vous est *fortement conseillé* de ne pas essayer de traiter les
informations affichées par ComboFix sans l'aide de quelqu'un qui a suivi une
formation adéquate. Si vous le faites quand même, seul, sachez qu'une
mauvaise utilisation du programme pourrait entraîner des problèmes dans le
fonctionnement normal de votre ordinateur
----------------- copie ----------------

Tu parles du forum Malekal, là-bas aussi comme sur Zebulon, PCA, Assiste,
Micro Hebdo etc.... CF est proposé sous le contrôle d'un "helper"
C'est ce que je dis avec : CF doit être "prescrit sous ordonnance".

Tu le mets dans la même liste que Ad-Aware A-Squared etc..
Donc le lecteur n'ira peut-être pas lire le tuto sur Bleeping et sera tenté
de l'installer et l'utiliser sans précaution.

PS : j'ai vu pour ZHPDiag et ZHPFix
Essaie aussi ZHP, l'outil principal d'analyse :
http://www.premiumorange.com/zeb-help-process/zhp_tutoriel.html
- On diagnostique : ZHPDiag (amélioration de HJT)
- On analyse : ZHP quotidiennement mis à jour par les helpers de différents
forums
- On traite avec l'outil qui va bien ou on "fixe" avec ZHPFix

Herser

Le Mon, 29 Mar 2010 19:00:01 +0200, "Herser" <Herser@nospam.org> a écrit :

Juste une petite remarque sur ComboFix.
../..
Tu parles du forum Malekal, là-bas aussi comme sur Zebulon, PCA, Assiste,
Micro Hebdo etc.... CF est proposé sous le contrôle d'un "helper"
C'est ce que je dis avec : CF doit être "prescrit sous ordonnance".

J'ai modifié mes commentaires concernant Combofix :
http://inforadio.free.fr/articles.php?lng=fr&pgX

PS : j'ai vu pour ZHPDiag et ZHPFix
Essaie aussi ZHP, l'outil principal d'analyse :
http://www.premiumorange.com/zeb-help-process/zhp_tutoriel.html
- On diagnostique : ZHPDiag (amélioration de HJT)
- On analyse : ZHP quotidiennement mis à jour par les helpers de différents
forums
- On traite avec l'outil qui va bien ou on "fixe" avec ZHPFix

Cette partie apparaît déjà dans le para 2.1 sous
l'intitulé "Lien vers le site officiel : cliquer ici".

Je n'ai pas creusé ZHP, Hijackthis faisant l'affaire au
niveau des divers virus rencontrés (et avec la méthode
jusqu'au 2.10 ...). Lorsque j'aurais un peu de temps, j'irai
éventuellement faire un tour pour détailler cette partie.

Merci pour tes commentaires.

Cordialement,
Ludovic.