Posté le: 30 Juil 2007 0:17 Sujet du message: [Résolu] Virus photo sur MSN libcintles3.dll
Bonjour,
comme pas mal de monde, je viens d'attraper le virus qui sevit sur MSN.
Le virus envoie automatiquement un message, en mon nom, à mes conctacs en ligne.
Je viens de lancer un rapport HiJackthis en esperant avoir respecté la procédure dictée sur les regles du forum. En voici le résultat :
Logfile of HijackThis v1.99.1
Scan saved at 01:15:07, on 30/07/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Va dans Ajout/Suppression de programmes et désinstalle ces logiciels si tu les trouves:
Netpumper
Bitroll
Bitgrabber
Bitdownload
Torrent101
CiD Help / CiD Manager
Download Plugin for Internet Explorer
Zone Media
Toujours dans Ajout/Suppression de programmes désinstalle LogitechDesktop Messenger.
Il n'est pas infectieux mais il ne sert à rien et encombre ton registre de toutes les lignes 018 trouvées dans ton log.
Ouvre le dossier MSNFix puis double-clique sur MSNFix.bat.
- Execute l'option R.
-- Si l'infection est détectée, éxecute l'option N.
Télécharge SDFix de AndyManchesta et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec. Pour démarrer en mode sans échec.
Tu choisis ton nom d'utilisateur pour ouvrir la session.
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie donc sur une touche.
Ton système sera plus long pour redémarrer que d'habitude car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Une fois les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Il faudra coller ce rapport dans ta prochaine réponse.
Télécharge ATF Cleaner by Atribune sur ton bureau.
C'est un petit programme qui va nettoyer les fichiers temporaires de Windows.
Double-clique sur ATF-Cleaner.exe pour lancer le programme.
Coche la case Select All (toutes les cases vont se cocher)
Clique ensuite sur le bouton Empty Selected
Clique ensuite sur l'onglet Firefox
Sélectionne toutes les cases sauf Firefox Saved Passwords et Select All
Clique ensuite sur Empty Selected
Relance HijackThis et coche les lignes suivantes si toujours présentes:
O2 - BHO: (no name) - {d915a1c6-d1ae-4027-ad11-d59b6f138404} - (no file)
O3 - Toolbar: (no name) - {D07F80AF-AA96-4A34-AD7B-F4492C365A34} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Burnfreeobjtime] C:\Documents and Settings\All Users\Application Data\NOUN BASE BURN FREE\Bib Regs.exe
O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe
O4 - HKCU\..\Run: [01bleh] C:\DOCUME~1\SEBAST~1\APPLIC~1\FLAWSE~1\MAPIFASTSPAM.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\SEBAST~1\LOCALS~1\Temp\winlogon.exe
Coche toutes les 018 sauf
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: printers - {43305A50-B0BE-4EE3-BD05-C49084D203C4} - libcintles3.dll (file missing)
Clique sur Fix Checked et confirme le message qui suit.
Supprime les fichiers/dossiers suivants si tu les trouves:
C:\Documents and Settings\All Users\Application Data\NOUN BASE BURN FREE <-- le dossier
C:\DOCUMENTS AND SETTINGS\SEBASTIEN\APPLICATION DATA\Un dossier dont le nom commence par FLAWSE... Si il y en a plusieurs, ne supprime rien et donne moi leur nom dans ta prochaine réponse
Redémarre le PC et poste tous les rapports demandés.
Renomme HijackThis.exe en sebastien.exe et tire un nouveau rapport HijackThis en double-cliquant sur sebastien.exe. Poste le dans ta prochaine réponse. _________________
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Suppression des fichiers
.. OK ... C:\??.tmp
.. OK ... C:\???.tmp
.. OK ... C:\WINDOWS\album??.zip
.. OK ... C:\WINDOWS\album???.zip
.. OK ... C:\WINDOWS\image??.zip
.. OK ... C:\WINDOWS\image???.zip
.. OK ... C:\WINDOWS\images??.zip
.. OK ... C:\WINDOWS\images???.zip
.. OK ... C:\WINDOWS\photo??.zip
.. OK ... C:\WINDOWS\photo???.zip
.. OK ... C:\WINDOWS\photos??.zip
.. OK ... C:\WINDOWS\photos???.zip
.. OK ... C:\WINDOWS\system32\msn.exe
************************ Nettoyage du registre
************************ Fichiers suspects
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention
4. La procédure concernant ATF Cleaner s'est bien déroulée.
5. J'ai également relancé HiJackThis, toutes les lignes étaient présentes, sauf une. Je les ai donc conchées avant d'actionner le bouton "Fix Checked".
6. Concernant la suppression des fichiers, je n'ai pas pu effacer tout de suite le fichier NOUS BASE BURN FREE, un des fichiers présent dans le répertoire était en cour d'utilisation.
J'ai pu le faire à l'instant, au moment où je poste ce message.
Je n'ai pas trouvé non plus le fichier rwnt.exe dans System32, par contre il y a un rwnt.txt, que je n'ai pas touché.
7. Et voici le dernier rapport HiJackThis, lancé après avoir renommé HiJackThis.exe en sebastien.exe. Voici le log :
Logfile of HijackThis v1.99.1
Scan saved at 20:15:55, on 30/07/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Lance une recherche Windows sur le fichier rwnt.exe
Paramètre la recherche de vette façon:
Dans la partie gauche de la fenêtre de recherche, clique sur Options Avancées.
Coche les cases: Rechercher dans les fichiers système et rechercher dans les fichiers cachés.
Si tu trouves le fichier, supprime le et vide la corbeille ensuite.
Je suppose que tu n'utilises plus l'antivirus F-Secure puisque tu as Avast.
Tu peux donc enlever la permission d'accéder au net dans le pare-feu Windows.
Même chose pour Logitech Desktop Messenger.
Pour ça, Fais Démarrer/Paramètres/Connexions Réseau.
Clique droit sur connexion au réseau local et choisis Propriétés.
Choisis onglet Avancé puis clique sur Paramètres.
Dans l'onglet Exceptions, décoche les cases en rapport avec F-Secure et Logitech Desktop Messenger.
Clique sur OK pour valider.
Pour être sûr qu'il ne reste plus rien, télécharge AVG Antispyware.
Installe le.
A la fin de l'installation, le programme se lance.
Mets à jour la base virale: Dans la fenêtre principale, clique sur le lien Mise à jour.
Une fois la mise à jour terminée, va dans le menu Analyse, choisis l'onglet Paramètres. Sous Comment réagir, clique sur Actions recommandées et choisis Quarantaine. <-- Important sous peine d'être obligé de relancer le scan)
Dans le menu Analyse/Onglet Analyser, choisis Analyse complète du système.
A la fin du scan, clique sur le bouton Appliquer toutes les actions (<-- Important sous peine d'être obligé de recommencer le scan) pour mettre en quarantaine les objets trouvés par l'analyse.
Clique enfin sur Enregistrer le rapport puis, sur Enregistrer le rapport sous.
Enregistre le rapport de scan dans le répertoire Mes Documents de façon à le retrouver facilement et poste le dans ta prochaine réponse.
Mets à jour la machine Java:
Va dans Panneau de Configuration/Java
Sélectionne l'onglet Mises à jour.
Coche la case Automatiser la détection des mises à jour.
Clique ensuite sur Mettre à jour Maintenant. Ensuite laisse toi guider par le programme de mises à jour.
Enfin, je pense que tu serais mieux protégé avec Antivir qu'avec Avast.
Avast n'est pas au mieux de sa forme en ce moment et laisse passer beaucoup de trucs. Antivir est un antivirus gratuit et léger dont les mises à jour sont quotidiennes et les nouvelles menaces sont rapidement intégrées dans sa base virale. (D'où la meilleure protection).
Son seul défaut: il est en anglais (ou en allemand). Mais tu l'installes et tu l'oublies (pas la peine de changer la configuration par défaut). _________________
je n'ai pas encore fini la dernière procédure, mais je tiens à te remercier, le virus semble avoir disparu, je n'ai plus eu de probleme.
1. J'ai bien pu effacer les fichiers demandés.
2. Je n'ai pas trouvé de fichier rwnt.exe
3. Concernant la configuration des connexions au reseau local, je n'ai pas trouvé d'onglet exceptions, ni rien qui soit en rapport avec F-Secure, Avast, ou Logitech Desktop
4. J'ai lancé AVG, mais il a connu quelques soucis durant le scan, du coupe je n'ai pas encore fini. Mais il trouve pas mal de choses effectivement
5. Concernant Java est-il bien nécessaire? J'ai l'impression que ca me fait ramer l'ordi plus qu'autre chose
6. OK merci pour tes conseils je ne savais pas quel antivirus gratuit utiliser, je prendrai donc Atnivir. En anglais ca me va, habitant Strasbourg, en allemand ca peut aller aussi
Je te tiens au courant lorsque j'ai fini.
Et merci encore pour ton aide précieuse et le boulot effectué ici, avec des réponses aussi rapides et précises...je vais vous faire une bonne pub autour de moi soyez-en sûr
Inscrit le: 07 Mar 2006 Messages: 6850 Localisation: Toulon
Posté le: 31 Juil 2007 17:15 Sujet du message:
Salut Spud
Citation:
2. Je n'ai pas trouvé de fichier rwnt.exe
3. Concernant la configuration des connexions au reseau local, je n'ai pas trouvé d'onglet exceptions, ni rien qui soit en rapport avec F-Secure, Avast, ou Logitech Desktop
C'est pas bien grave, de toutes façons. Pour rwnt.exe on va voir ce que dit AVG AS.
Il est possible qu'il ait déjà été supprimé par un outil.
Citation:
5. Concernant Java est-il bien nécessaire? J'ai l'impression que ca me fait ramer l'ordi plus qu'autre chose
Ben oui. Il est nécessaire. Si tu le supprimes, tu ne pourras plus visiter certains sites qui l'utilisent.
Inscrit le: 07 Mar 2006 Messages: 6850 Localisation: Toulon
Posté le: 01 Aoû 2007 23:30 Sujet du message:
Citation:
Par contre, AGV ne cesse de planter, toujours au même endroit.
Essaie de le lancer en mode sans échec. Pour démarrer en mode sans échec.
Si il s'entête, remplace le par un scan Panda en ligne (voir plus bas).
Pour finir la désinfection, fais ceci:
Supprime/désinstalle tous les programmes que je t'ai fait installer (HijackThis, MSNFix, SDFix)
Tu peux garder ATF Cleaner si tu veux: bien pratique pour supprimer les fichiers temporaires.
Vide les points de restauration système qui sont inévitablement infectés.
Ceci t'évitera de remonter un point de sauvegarde infecté si un jour tu veux lancer une restauration système.
Pour cela
Dans Panneau de configuration/Système/onglet Restauration du système, coche Désactiver la restauration du système sur tous les lecteurs puis clique sur OK.
Tout de suite après, décoche la case Désactiver ... puis clique sur OK de façon à remettre la restauration système en fonction.
Fais un scan antivirus en ligne avec Panda.
Si tu ne sais pas comment faire, consulte ce tuto
Le rapport doit être vierge aux cookies près. Si ce n'est pas le cas, poste le dans ta prochaine réponse.
Enfin, ce serait cool que tu déclares ton infection sur Malware Complaints. Qu'est ce que Malware Complaints
Pour faire entendre notre voix, nous devons être le plus nombreux possible à témoigner.
Enregistre toi sur le forum à partir du bouton register en haut :
- Si tu as plus de 13 ans, choisis : I Agree to these terms and am over or exactly 13 years of age
- Si tu as moins de 13 ans, clique sur : I Agree to these terms and am under 13 years of age
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, crée un message dans le sujet "Autres infections" conforme aux règles du forum (age, ville, département etc..) (Dans ton cas, il s'agit du ver MSN[/b])
Pour poster un message, clique sur le bouton "post reply" et saisis les informations.
NE PAS CREER UN NOUVEAU SUJET avec le bouton New Topic.
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
Affiche les fichiers cachés: 
