Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

virus msn photo

4 views
Skip to first unread message

murielle

unread,
Mar 27, 2010, 2:07:21 PM3/27/10
to
bonjour

ma fille a attrapé un virus sur msn : http:smtkoku etc.. image.
quelqu'un a t'il déjà attrapé cela et s'en est il débarrassé ? J'ai été
voir sur internet, mais je n'ai pas trouvé grand chose.

Merci d'avance

Bonne soirée
Murielle


Herser

unread,
Mar 27, 2010, 4:02:04 PM3/27/10
to

Bonsoir

Comment se manifeste ce virus sur ce PC ?

Si accès à internet, télécharger MBAM :
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

Faire un scan complet avec clés USB branchés.
Ce peut être très long.
Ne pas oublier de nettoyer à la fin.

En fin de scan, MBAM émet un rapport.
Envoie ce rapport sur Cijoint, avec le lien ici pour le récupérer :
http://www.cijoint.fr/index.php

Il se peut que MBAM ne suffise pas
Il faudrait alors faire un diagnostic complet avec ZPHDiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
C'est un bon outil de diagnostic qui permet ensuite de faire une analyse des
processus
Si toujours problèlme après MBAM, scanne le PC avec ZHPDiag
Et envoie le rapport sur cijoint

Herser

murielle

unread,
Mar 27, 2010, 4:22:46 PM3/27/10
to
Herser a écrit :

Merci beaucoup pour la réponse, je m'en occupe demain, en fait cela
envoie le lien à tous ces contacts, il y a des fenetres qui s'ouvrent
mais pas le temps de voir ce qu'il y a à l'intérieur, les fenêtres de
dialogues msn se ferment et msn se deconnecte au bout d'une dizaine de
mn. A part cela on a rien vu d'anormal.
Je vous tiens au courant de l'évolution de la situation, encore merci.
Murielle


I N F O R A D I O

unread,
Mar 28, 2010, 4:41:20 AM3/28/10
to
Le Sat, 27 Mar 2010 19:07:21 +0100, murielle <cmuri...@pasorange.fr> a écrit :

>ma fille a attrapé un virus sur msn : http:smtkoku etc.. image.
>quelqu'un a t'il déjà attrapé cela et s'en est il débarrassé ? J'ai été
>voir sur internet, mais je n'ai pas trouvé grand chose.

MBAM ne suffira pas forcément.

Voici une méthode de désinfection :
http://inforadio.free.fr/articles.php?lng=fr&pg=58

Attention : Ne suivre qu'une partie, c'est s'exposer à
ce que cela soit inefficace...
(notamment en ce qui concerne la restauration et le
mode sans échec).

Cordialement,
Ludovic.

murielle

unread,
Mar 28, 2010, 5:11:17 AM3/28/10
to
Herser avait énoncé :

Bonjour
J'ai passé MalwarBytes et voila ce qu'il me donne, est ce que je peux
supprimer les fichiers infectés sans problème ?
Merci d'avance
Murielle


Herser

unread,
Mar 28, 2010, 5:14:18 AM3/28/10
to
I N F O R A D I O wrote:
> Le Sat, 27 Mar 2010 19:07:21 +0100, murielle
> <cmuri...@pasorange.fr> a écrit :
>
>> ma fille a attrapé un virus sur msn : http:smtkoku etc.. image.
>> quelqu'un a t'il déjà attrapé cela et s'en est il débarrassé ? J'ai
>> été voir sur internet, mais je n'ai pas trouvé grand chose.

Bonjour

> MBAM ne suffira pas forcément.

D'accord avec toi, puisque je dis :


"Il se peut que MBAM ne suffise pas"

> Voici une méthode de désinfection :
> http://inforadio.free.fr/articles.php?lng=fr&pg=58
> Attention : Ne suivre qu'une partie, c'est s'exposer à
> ce que cela soit inefficace...

Là pas d'accord, du moins sur la liste.
Passer tous les nettoyeurs de la terre, sans discernement est dangereux et
inutile.
Ton lien "virus MSN", et c'est le cas ici, mène à ComboFix.
Or CF doit être "prescrit sous ordonnance".
Tout suivre, comme tu recommandes, ça fait beaucoup.

Et plutôt que HiJackThis, qui n'est plus mis à jour, préférer ZHPDiag.
Et envoyer le rapport ZHPDiag, si on ne maîtrise pas bien.
Plutôt que de faire des "fix" malencontreux.

> (notamment en ce qui concerne la restauration et le
> mode sans échec).

Pour la restauration, tout à fait d'accord.
Pour le m.s.e. la plupart des virus méchants le bloquent.
Faut donc bien faire sans.
Et surtout éviter la mauvaise astuce qui force le m.s.e. avec msconfig.
PC bouclant en rond garanti.

En résumé, je proposais MBAM pour un 1° nettoyage, avec rapport pou voir.
Un diagnostic avec ZHPDiag, meilleur que HJT.
Et ensuite le/les outils adaptés aux malwares trouvés par le diagnostic.

AMHA c'est mieux adapté qu'une recette toute faite

Herser

Herser

unread,
Mar 28, 2010, 5:30:18 AM3/28/10
to
murielle wrote:
> Herser avait énoncé :
>> murielle wrote:
>>> bonjour
>>>
>
> Bonjour
> J'ai passé MalwarBytes et voila ce qu'il me donne, est ce que je peux
> supprimer les fichiers infectés sans problème ?
> Merci d'avance
> Murielle

Tu as oublié le lien de Cijoint pour que je récupère le rapport
Donc ouvrir Cijoint
Envoyer ton rapport avec "parcourir" puis "Cliquez ici pour déposer le
fichier"
Attendre le lien renvoyé par Cijoint
Cliquer le lien qui affichera le rapport
Envoyer ici ce lien

Herser

Aski - MVP

unread,
Mar 28, 2010, 5:30:16 AM3/28/10
to
Hello murielle,

> J'ai passé MalwarBytes et voila ce qu'il me donne, est ce que je peux
> supprimer les fichiers infectés sans problème ?

N'aurais-tu pas oublié de donner le lien ? ;o)
--
Cordialement

Aski
MVP Windows Desktop Experience
http://dechily.org/
http://dechily.org/Forum_Aski/

murielle

unread,
Mar 28, 2010, 5:43:01 AM3/28/10
to
Après mûre réflexion, Herser a écrit :

oups désolée le voici
http://www.cijoint.fr/cjlink.php?file=cj201003/cijYPfsI8s.txt
merci

Murielle


murielle

unread,
Mar 28, 2010, 5:44:03 AM3/28/10
to
Aski - MVP a utilisé son clavier pour écrire :

> Hello murielle,
>
>> J'ai passé MalwarBytes et voila ce qu'il me donne, est ce que je peux
>> supprimer les fichiers infectés sans problème ?
>
> N'aurais-tu pas oublié de donner le lien ? ;o)

Oui, je suis une tête de linotte, je l'ai envoyé sur le message du
dessus
Merci
Murielle


Herser

unread,
Mar 28, 2010, 7:20:22 AM3/28/10
to

Re !

Bien reçu !
Le rapport révèle un ver qui a inoculé un faux vrai fichier.
Infocard.exe est bien un exécutable de MS, mais placé dans le dossier
Framework
Et non dans Windows.
Rem : si on doute sur un tel fichier, on peut aussi l'envoyer sur :
http://www.virustotal.com/fr/analisis/bed26dccb0f52a2c9cf6170f69f102a1

Dans ton cas pas de doute, c'est un virus MSN
On voit aussi qu'il redirige ta page de démarrage.
Et surtout le virus permet de prendre la main sur le PC, en se connectant
sur un serveur :
http://www.malekal.com/IRCBot.aaq_Shadowbot.php

Donc refaire MBAM (n'oublie pas les clés USB branchés) et *supprimer* les
fichiers.

Fais ensuite un rapport ZHPDiag et envoie, de même, sur Cijoint.
On verra s'il y a d'autres traces, ce qui est fort possible.

Attention à MSN / Windows Live Messenger.
C'est plein de pièges jouant sur ce qui est à la mode.

Dis à ta fille de se créer un compte "limité" à son nom.
Et de surfer sur ce compte, cela réduit un peu les risques.

Herser

murielle

unread,
Mar 28, 2010, 1:49:39 PM3/28/10
to
Herser a couché sur son écran :

encore moi, voici les rapports après désinfection.
http://www.cijoint.fr/cjlink.php?file=cj201003/cij2QQHlbD.txt

http://www.cijoint.fr/cjlink.php?file=cj201003/cijTIchgkP.txt

Je pense que c'est tout bon.

Encore une petite question, qu'est ce qu'un compte "limité" ?
Merci
Murielle


Herser

unread,
Mar 28, 2010, 3:16:19 PM3/28/10
to
murielle wrote:
>
> encore moi, voici les rapports après désinfection.
> http://www.cijoint.fr/cjlink.php?file=cj201003/cij2QQHlbD.txt
>
> http://www.cijoint.fr/cjlink.php?file=cj201003/cijTIchgkP.txt
>
> Je pense que c'est tout bon.

Presque : 2 corrections à faire encore :

1- Il reste une trace du virus dans le registre, à priori anodine.

Vérifie que le fichier C:\Windows\infocard.exe n'existe plus : si ? non ?
S'il n'est plus là, refais ZHPDiag.
Quand l'analyse est terminée clique sur ZHPFix (bouclier vert)
Clique sur H : "coller les lignes helper"
Colle dans le texte la ligne suivante (sur une seule ligne) :
O47 - AAKE:Key Export SP - "C:\Users\Public\infocard.exe" [Enabled] .(.Pas
de propriétaire - Pas de description.) (.not file.) --
C:\Windows\infocard.exe
Puis clique sur OK
Donne le commentaire de ce Fix


2- Le virus est peut-être encore présent dans la restauration système
Mais avant de sacrifier tous les points, donne le résultat du "Fix"
précédent.
J'ai peur d'oublier ensuite, donc, pense, une fois la désinfection terminée,
à désactiver la restauration.
On en reparle après

Et à la fin du fin, refaire un scan avec l'antivirus à jour (Antivir à ce
que je vois)


> Encore une petite question, qu'est ce qu'un compte "limité" ?

En fait sur Vista c'est "compte standard"
Ce qui est + juste que "compte limité" sur XP
Si ta fille n'a qu'un seul compte, c'est un compte administrateur, qui a pas
mal de pouvoir
Encore plus si l'UAC est désactivé , et les virus adorent.
Il vaut mieux alors créer un 2° compte standard
L'administrateur administre le PC : installation, désinstallation etc..
L'utilsateur standart utilise le PC
Panneau de configuration / Comptes d'utilisateurs / Gérer les comptes /
Créer un compte

> Merci


De rien

Herser

Herser

unread,
Mar 28, 2010, 3:42:24 PM3/28/10
to
Herser wrote:

> murielle wrote:
> Colle dans le texte la ligne suivante (sur une seule ligne) :
> O47 - AAKE:Key Export SP - "C:\Users\Public\infocard.exe" [Enabled]
> .(.Pas de propriétaire - Pas de description.) (.not file.) --
> C:\Windows\infocard.exe

Je vois que les lecteurs de news coupent ça en 2 ou 3
Récupère la ligne sur le log ZHPDiag que tu as envoyé sur Cijoint
Cherche la ligne 047 corrspondante

> Puis clique sur OK
> Donne le commentaire de ce Fix
>

J'ajoute qu'il y a des traces de Norton Internet Sécurity sur le log de
ZHPDiag.
On peut penser que c'est un portable livré avec une version d'essai.
La désinstallation n'est pas complète

Termine la avec le nettoyeur de Symantec :
http://www.symantec.com/fr/fr/norton/support/kb/web_view.jsp?wv_type=public_web&selected_nav=&pvid=&docurl=20081007032415FR
Applique la bonne version (voir notice du portable)

I N F O R A D I O

unread,
Mar 29, 2010, 9:11:06 AM3/29/10
to
Le Sun, 28 Mar 2010 11:14:18 +0200, "Herser" <Her...@nospam.org> a �crit :

>> Voici une m�thode de d�sinfection :
>> http://inforadio.free.fr/articles.php?lng=fr&pg=58
>> Attention : Ne suivre qu'une partie, c'est s'exposer �


>> ce que cela soit inefficace...
>

>L� pas d'accord, du moins sur la liste.


>Passer tous les nettoyeurs de la terre, sans discernement est dangereux et
>inutile.

Je rappelle ce que j'ai not� dans le paragraphe 2.11 :
En compl�ment, en cas de r�sistance...

S'arr�ter au paragraphe 2.10 est g�n�ralement suffisant.
MAIS il faut suivre cette partie sans sauter d'�tapes...

Pour prendre un exemple, j'ai eu une personne qui m'a contact� via
http://inforadio.free.fr/postguest.php?lng=fr&typ=ma
(c'est le but...) qui m'a dit que cela ne fonctionnait pas et je me suis
aper�u qu'elle ne mettait pas � jour Malwarebytes avant le scan...
Ce n'est qu'un exemple parmi d'autres...

>Ton lien "virus MSN", et c'est le cas ici, m�ne � ComboFix.
>Or CF doit �tre "prescrit sous ordonnance".

Combofix est pourtant l'un des programmes tr�s utile
du moment, qui permet de se d�barasser de biens des
malwares (cf. derni�res d�sinfections sur le site de
Malekal entre autre).

>
>Et plut�t que HiJackThis, qui n'est plus mis � jour, pr�f�rer ZHPDiag.
>

Je cite :
========================================================
ZHPDiag est un outil de diagnostic extrait du logiciel Zeb Help Process.
Le logiciel permet d'effectuer un diagnostic rapide et complet de son
syst�me d'exploitation. Il est bas� en partie sur le principe d'HijackThis.
Il scrute votre Base de Registre et �num�re les zones sensibles qui sont
susceptibles d'�tre pirat�es.
========================================================

Pour ma part, je continue � utiliser avec succ�s HiJackThis.
Tu laisses sous entendre que le lien http://www.hijackthis.de/fr
ne serait plus tenu � jour ?
Il est vrai que j'ai constat� que HiJackThis ne d�tectait pas tout
et c'est pour cette raison que j'ai �crit cette "proc�dure".
En l'appliquant jusqu'au para. 2.10, cela permet dans la plus
grande majorit� des cas de se d�barasser des virus et malwares,
m�me de certains virus MSN...

Bref, HiJackThis seul ou ZhpDiag n'est pas suffisant.

En tout cas, j'ai tenu compte de tes remarques et je fais
appara�tre ZHPDIAG/ZHPFIX.

>Et surtout �viter la mauvaise astuce qui force le m.s.e. avec msconfig.


>PC bouclant en rond garanti.

Il faut d�sactiver cette fonctionnalit� de reboot ceci dit au passage.

Sinon, je ne suis pas encore tomb� sur des virus m'emp�chant de
lancer le mode sans �chec mais dans ce cas, il existe la possibilit�
du CD de boot dont je parle sur mon lien. Certes, je ne d�taille pas
tout... Certes la cr�ation d'un graphcet serait pr�f�rable pour aiguiller
le lecteur.

>
>En r�sum�, je proposais MBAM pour un 1� nettoyage, avec rapport pou voir.


>Un diagnostic avec ZHPDiag, meilleur que HJT.

>Et ensuite le/les outils adapt�s aux malwares trouv�s par le diagnostic.
>
>AMHA c'est mieux adapt� qu'une recette toute faite
>

... sauf que la personne qui ira sur mon site saura comme s'y prendre
alors que la phrase "outils adapt�s aux malwares trouv�s par le diagnostic"
risque d'en laisser quelques-uns dubitatifs...

Les personnes �tant pass�es par ma page, que je tiens bien �videmment
� jour, s'en sortent pas trop mal. Apr�s chacun sa philosophie et quant �
moi, je ne peux �tre un helper � temps complet, je d�borde d'activit�s...
Alors j'apprends � p�cher plut�t que de donner directement du poisson.
Quelques soient les domaines, tout est question d'habitude.

Certains se contenteront de ma page, d'autres pr�f�reront l'aide
d'un helper, les d�marches sont compl�mentaires.

En tout cas, merci de tes commentaires forts int�ressants !

:)

Cordialement,
Ludovic
http://inforadio.free.fr

Herser

unread,
Mar 29, 2010, 1:00:01 PM3/29/10
to
I N F O R A D I O wrote:
> Le Sun, 28 Mar 2010 11:14:18 +0200, "Herser" <Her...@nospam.org> a
> �crit :
>
Juste une petite remarque sur ComboFix.
Le lien officiel est celui de Bleeping Computer (c'est aussi ton lien)
L'intro traduite par NickW (V�ronique de Assiste.com) dit :

----------------- copie ----------------
*Vous ne devez pas utiliser ComboFix sans qu'un assistant vous demande
express�ment de le faire*. De plus, en raison de la puissance de cet outil,
il vous est *fortement conseill�* de ne pas essayer de traiter les
informations affich�es par ComboFix sans l'aide de quelqu'un qui a suivi une
formation ad�quate. Si vous le faites quand m�me, seul, sachez qu'une
mauvaise utilisation du programme pourrait entra�ner des probl�mes dans le
fonctionnement normal de votre ordinateur
----------------- copie ----------------

Tu parles du forum Malekal, l�-bas aussi comme sur Zebulon, PCA, Assiste,
Micro Hebdo etc.... CF est propos� sous le contr�le d'un "helper"
C'est ce que je dis avec : CF doit �tre "prescrit sous ordonnance".

Tu le mets dans la m�me liste que Ad-Aware A-Squared etc..
Donc le lecteur n'ira peut-�tre pas lire le tuto sur Bleeping et sera tent�
de l'installer et l'utiliser sans pr�caution.

PS : j'ai vu pour ZHPDiag et ZHPFix
Essaie aussi ZHP, l'outil principal d'analyse :
http://www.premiumorange.com/zeb-help-process/zhp_tutoriel.html
- On diagnostique : ZHPDiag (am�lioration de HJT)
- On analyse : ZHP quotidiennement mis � jour par les helpers de diff�rents
forums
- On traite avec l'outil qui va bien ou on "fixe" avec ZHPFix

Herser

I N F O R A D I O

unread,
Apr 2, 2010, 4:13:21 AM4/2/10
to
Le Mon, 29 Mar 2010 19:00:01 +0200, "Herser" <Her...@nospam.org> a écrit :

>Juste une petite remarque sur ComboFix.

>../..
>Tu parles du forum Malekal, là-bas aussi comme sur Zebulon, PCA, Assiste,
>Micro Hebdo etc.... CF est proposé sous le contrôle d'un "helper"
>C'est ce que je dis avec : CF doit être "prescrit sous ordonnance".

J'ai modifié mes commentaires concernant Combofix :
http://inforadio.free.fr/articles.php?lng=fr&pg=58

>PS : j'ai vu pour ZHPDiag et ZHPFix
>Essaie aussi ZHP, l'outil principal d'analyse :
>http://www.premiumorange.com/zeb-help-process/zhp_tutoriel.html

>- On diagnostique : ZHPDiag (amélioration de HJT)
>- On analyse : ZHP quotidiennement mis à jour par les helpers de différents

>forums
>- On traite avec l'outil qui va bien ou on "fixe" avec ZHPFix

Cette partie apparaît déjà dans le para 2.1 sous
l'intitulé "Lien vers le site officiel : cliquer ici".

Je n'ai pas creusé ZHP, Hijackthis faisant l'affaire au
niveau des divers virus rencontrés (et avec la méthode
jusqu'au 2.10 ...). Lorsque j'aurais un peu de temps, j'irai
éventuellement faire un tour pour détailler cette partie.

Merci pour tes commentaires.

Cordialement,
Ludovic.

0 new messages