Virus sur msn "nosfotos2006"Résolu/Fermé

Question

Bonjour à vous,
n'arrive pas à me débarraser du virus "nosfotos2006" que j'ai chopé sur MSN, depuis dès que je me connecte un message est envoyé à tout mes contacts avec le fichier nosfotos.

configuration de mon pc:

EVEREST Home Edition © 2003-2005 Lavalys, Inc. 

--------------------------------------------------------------------------------
 
     
  Version   EVEREST v2.20.405/fr  
  Site web   http://www.lavalys.com/  
  Type de rapport   Générateur de rapports  
  Ordinateur   D5B213147ACD409  
  Générateur   jb  
  Système d'exploitation   Microsoft Windows XP Professional 5.1.2600 (WinXP Retail)  
  Date   2007-05-23  
  Heure   14:33  


Résumé 

--------------------------------------------------------------------------------
 
      
  Ordinateur:  
   Système d'exploitation   Microsoft Windows XP Professional  
   Service Pack du système   Service Pack 2  
   DirectX   4.09.00.0904 (DirectX 9.0c)  
   Nom du système   D5B213147ACD409  
   Nom de l'utilisateur   jb  
   
  Carte mère:  
   Type de processeur   Unknown, 2000 MHz  
   Nom de la carte mère   Inconnu  
   Chipset de la carte mère   nVIDIA nForce4, AMD Hammer  
   Mémoire système   1024 Mo (Registered DDR SDRAM)  
   Type de BIOS   Award (07/14/06)  
   Port de communication   Port de communication (COM1)  
   Port de communication   Port imprimante (LPT1) 



si vous pouvez m'aider...... merci

milouse316 · Answer

change d'adressse msn moi ca fé 3 fois queje la change a cose des virus

Nilou17 · Answer

Bonjour ! :-) 

Télécharge MSNFix.zip (de !aur3n7) sur ton bureau : 
http://sosvirus.changelog.fr/MSNFix.zip 

* Décompresse-le (clic droit - Extraire ici) 
* Double-clique sur le fichier MSNFix.bat 
* Exécute l'option R. 
* Si l'infection est détectée, exécute l'option N. 
* Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum 

Note : Si une erreur de suppression est détectée, un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas, il suffit de redémarrer l'ordinateur en mode normal. 
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.


A++++

tatiedaniele · Answer

salut Nilou17
j'ai fait ce que tu m'a dit
voici le rapport
que dois-je faire ensuite?
le virus me bloque aussi le gestionnaire de taches!!!




MSN_Fix 1.30.2  
 
C:\Documents and Settings\jb\Bureau\MSNFix 
Fix exécuté le 23/05/2007 - 20:52:40,54 By jb 
mode normal    
    
************************ Recherche les fichiers présents      
    
Aucun Fichier trouvé 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\WINDOWS\system32\aurora.scr] 56410EA0E47E1133041025973BC2C7D2
[C:\WINDOWS\system32\euphoria.scr] 2DF6E747B64F9401CE2238B31046C993
[C:\WINDOWS\system32\helios.scr] DEC996F2FBD251EB834428F96D954D75
[C:\WINDOWS\system32\skyrocket.scr] 24BBF858F789123A955639D9C8BF652B

Nilou17 · Answer

Re. :-)

* Télécharge HijackThis ici. 
* Clique sur Enregistrer, et sauvegarde-le sur le Bureau ou dans Mes documents 
* Lance-le puis clique sur "Do a system scan and save a logfile". 
* Lorsque le bloc-notes s'ouvrira, copie-colle tout son contenu et poste-le ici. 

N'hésite pas si tu as un problème dans la manip' ! ;-) 

A+++

Nils

tatiedaniele · Answer

voila le raport


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:53:37, on 23/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\jb\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,I (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_08] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_09] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_04] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'Default user')
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Service Windows Media Connect (WMConnectCDS) - Unknown owner - C:\Program Files\Windows Media Connect 2\wmccds.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Nilou17 · Answer

Re. Bonjour ! :-)

Peux-tu supprimer cette version d'HijackThis ?
Re-télécharge l'ancienne version ici

L'infection est visible dans le log. 

A+

** Nils **

tatiedaniele · Answer

salut Nils,
nouvelle version téléchargée, que dois-je faire maintenant. je l'installe et puis.....

Nilou17 · Answer

Excuse-moi, j'ai oublié la suite de la manip'.

* Lance-le puis clique sur "Do a system scan and save a logfile". 
* Lorsque le bloc-notes s'ouvrira, copie-colle tout son contenu et poste-le ici.

Cette version est plus lisible et sûre (la 2.0 est une version bêta, plus de risques de bugs).

** Nils **

tatiedaniele · Answer

voila le nouveau raport

Logfile of HijackThis v1.99.1
Scan saved at 14:33:04, on 26/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spleak\SpleakLoader.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpleakPlugin] "C:\Program Files\Spleak\SpleakLoader.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Nilou17 · Answer

Waouh ! Il est super court, le rapport ! :-o

Avant toute manipulation, peux-tu retélécharger MSNFix ?
Une nouvelle version est disponible depuis peu.

Télécharge MSNFix.zip (de !aur3n7) sur ton bureau : 
http://sosvirus.changelog.fr/MSNFix.zip 

* Décompresse-le (clic droit - Extraire ici) 
* Double-clique sur le fichier MSNFix.bat 
* Exécute l'option R. 
* Si l'infection est détectée, exécute l'option N. 
* Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum 

Note : Si une erreur de suppression est détectée, un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas, il suffit de redémarrer l'ordinateur en mode normal. 
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.


A tout de suite ! :-)

** Nils **

tatiedaniele · Answer

MSN_Fix 1.30.3  
 
C:\Documents and Settings\jb\Bureau\MSNFix 
Fix exécuté le 26/05/2007 - 14:44:46,39 By jb 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\WINDOWS\system32\sp2.exe 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\WINDOWS\system32\sp2.exe  
 
 
 
************************ Nettoyage du registre 
.......... OK 
 
 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\WINDOWS\system32\aurora.scr] 56410EA0E47E1133041025973BC2C7D2
[C:\WINDOWS\system32\euphoria.scr] 2DF6E747B64F9401CE2238B31046C993
[C:\WINDOWS\system32\helios.scr] DEC996F2FBD251EB834428F96D954D75
[C:\WINDOWS\system32\skyrocket.scr] 24BBF858F789123A955639D9C8BF652B
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 26052007_14451032.zip
 
 
 ------------------------------------------------------------------------  
 Auteur : !aur3n7             Contact: https://www.aceboard.fr/     
 ------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

tatiedaniele · Answer

faut-il que je refasse d'HijackThis ? et te transmette le rapport?
merci pour ton aide

Nilou17 · Answer

Bon, MSNFix a supprimé un fichier néfaste. :-)

On va voir s'il reste deux-trois bestioles :

* Télécharge SmitfraudFix ici 
* Enregistre-le dans Mes Documents 
* Double-clique sur SmitfraudFix.exe 
* Choisis l'option 1 et valide par Entrée 
* SmitfraudFix va générer un rapport dans le bloc-notes. Copie/colle le rapport entier sur le forum 

A tout de suite ! ;-)

** Nils **

tatiedaniele · Answer

ok je fais
a tout de suite

tatiedaniele · Answer

problème pour enregistrer  SmitfraudFix dans mes docs, il l'envoies bien mais je ne le trouve pas.  de plus suis obligé de telécharger à partir d'un autre ordi car sur le mien "connextion internet interrompue anormalement"  à la fin du tel.
as tu une autre solution. merci

Nilou17 · Answer

C'est bizarre ! :-S

Si ça ne marche pas dans Mes Documents, enregistre SmitfraudFix à un autre endroit, comme sur ton Bureau.

Et si jamais ta connexion Internet ne fonctionne plus, peux-tu transférer SmitfraudFix par clé USB, CD ou disquette ?


A tout de suite ! ;-)

** Nils **

tatiedaniele · Answer

je transfert déja par clé, mais quand je l'ouvre sur le bureau  j'ai 12 icone



dumphive.exe
HostsChk.exe
restart.exe
SmiUpdate.exe
swreg.exe
swxcacls.exe
GenericRenosFix.exe
Reboot.exe
SmitfraudFix.cmd
SrchSTS.exe
swsc.exe
unzip.exe

lequel dois-je prendre?

Nilou17 · Answer

Re.

Il faut que tu transfères tout le dossier SmitfraudFix.
C'est celui qui contient justement tous ces fichiers.

A+

** Nils **

tatiedaniele · Answer

le dossier SmitfraudFix qui contient tous ses fichiers est dans mes document mais ne peux pa ouvrir l'execution

Nilou17 · Answer

Double-clique sur SmitfraudFix.cmd

Ensuite, fais ceci :
* Choisis l'option 1 et valide par Entrée 
* SmitfraudFix va générer un rapport dans le bloc-notes. Copie/colle le rapport entier sur le forum

A tout de suite ! ;-)

** Nils **

tatiedaniele · Answer

jessaye mais i me met comme message:

SmidFraudFix v2.188
fichier process.exe absent!
deziper la totalité de l'archive dans un dossier.

process.exe file missing!
unzip all the archive in a folder.appuyer sur un touche pour continuer...

Nilou17 · Answer

* Il faut que tu re-télécharges SmitfraudFix.exe
* C'est ce fichier que tu copieras sur ta clé USB
* Sur ton PC infecté, enregistre le fichier SmitfraudFix
* Double-clique sur le fichier, et exécute la manip' (option 1 + rapport)


A plus tard ! :-)

** Nils **

tatiedaniele · Answer

Salut Nils,
ai re-télécharger SmitfraudFix.exe 
après la manip indiqué me dit manque le fichier process exe
est essayé à plusieurs reprises, mais y doit y avoir un autre prob.
Ne comprends pas

Nilou17 · Answer

Bizarre. Chez moi, ça fonctionne. :-S

Réessaie cette manip' et si ça ne marche pas, c'est qu'il y'a un problème ...

* Télécharge SmitfraudFix à cette adresse :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

* Une fenêtre te demandera OUVRIR ou ENREGISTRER
* Clique sur Enregistrer...
* Enregistre-le sur ton Bureau
* A la fin du téléchargement, tu dois avoir SmitfraudFix.exe sur ton bureau
* Double-clique sur ce fichier
* Une fenêtre MS-DOS s'ouvre. Clique sur Entrée et fais la manip' indiquée (option 1 + rapport)

:o)

** Nils **

tatiedaniele · Answer

C'est exactement ce que j'ai fais mais tjs le même message
Ne comprends pas. faut-il que je formate? ou une autre solution est possible
merci

Nilou17 · Answer

Ton Gestionnaire de Tâches est-il toujours bloqué ?

En attendant, peux-tu faire ceci, stp :
Effectue la méthode préliminaire de désinfection.

Poste les rapports indiqués dans le lien.
Ca va faire, je l'espère, un peu de ménage. ;-)

A+

** Nils **

Virus sur msn "nosfotos2006"

26 réponses

Discussions similaires

Newsletters