Une copine se ramasse un beau trojan grace à MSN et son ignorance
Elle a reçu un lien par messenger, et .. l'a ouvert! pas de chance, et prévisible, virus inside. Enfin, trojan apparemment. Donc, le message qu'elle a reçu commence par:



Suivi du lien en question (il me semble me souvenir que le mail du récipient est inclu dans le lien - ou du moins la première partie avant l'@ )

Déjà fait: scan anti-vir, ad-aware, scan anti-spiware (connais pas le nom exact du truc utilisé)
Résultat: des problèmes pour couper le pc (shut down difficile voire impossible), démarrages difficiles, et spam intempestif par messenger à tous les contacts. Du moins, ce sont les symptômes les plus visibles et constatés.

Que faire pour s'en débarrasser ?

(j'ai pas encore été voir le pc pour voir si y a des trucs enregistrés dans les bases de registres ou trucs verrouillés/difficiles à delete)

PS, je sais, je parles petit chinois aujourd'hui... faut m'excuser, c'est le retour au bureau qui fait ça

M'enfin?!
c'est le virus que toute ma famille a choppé y a déjà 2 semaines!?
(bon moment pour le placer: "rahhh ces gens qui sont sous windows")

sdfix.exe est ton amis

redémarrer en mode sans échec et laisser agir.
ma mère a encore un trojan mais un autre je crois
ce qui me fait un peu peur, c'est que dans tous les forums pronant la démarche à suivre pour l'enlever, ils terminent _tous_ par : "et n'oublie pas de poster ici le résultat du rapport de sdfix" tiens, tiens, tiens....

C'est quoi ça sdfix.exe ?

J'en fais un "run" ?

Hé oui, encore des gens sous windows (et j'en fais partie ^^)

ah !! trouvé sdfix !!!

troll mode :
Moi ça va sous linux avec Pidgin

*se barre en courrant*

méchant-vilain-pas-beau tiens

[mode troll-adsl-bc]

Déjà, utiliser Messenger, c'est complètement irresponsable. Si on avait laissé Hitler utiliser Messenger, l'holocauste aurait fait dix fois plus de victimes

(un point goodwin en un post, qui dit mieux ?)

[/mode troll-adsl-bc]

Sérieusement... Il faut dire à ta copine de virer Messenger et de mettre Miranda ou Pidgin (tous les deux sous Windows) à la place. C'est non seulement plus light et bcp plus sécurisé, mais en plus il n'y a plus de pubs.

je ne vais pas dire à ma copine de virer messenger alors que je l'utilises aussi. J'ai désinstallé gaim parce que ça me gonflait à la longue... Puis messenger a des gadgets que ma filleule adore... pas prête de changer, elle... par contre, moi je vais ptet bien essayer un des deux. Pq pas...

Tiens, apparemment un run de sdfix.exe ne fait rien du tout oO


Je passe voir chez elle....

t'as quoi comme anti virus ?
nod32 le détecte et empêche que tu te fasse infecter...
(ils ont un scan online...)

ils vaient un anti virus Avast. Qui visiblement ne l'as pas reconnu. J'ai réinstallé Anti-Vir et là, ça scanne... et ça a déjà trouvé. Reste plus que 25% à scanner. Puis je ferai le sdfix. Ma copine ne comprends pas l'anglais et toutes les instructions donc, elle n'a rien su faire... heureusment que j'ai su passer finalement

http://www.secuser.com/alertes/2007/ircbotapy.htm
Norton ne le détecte pas non +...

NOD32 est, selon moi, le meilleur AV pour windows. Du moins de ceux que j'ai testé. L'interface est certe sobre et austère (mais tout de même assez facile à utiliser) mais l'antivirus attrape tout ce qui passe et les MAJ sont régulières !

De ce que je me souviens, le prix est tout à fait raisonnable en plus !

ds les 40€

50€ pour une licence un an.
Dégressif pour 2 et and ans direct, les renouvellement 1 an (après la première) sont juste un code à entrer et avec une réduction de +- 30% sur le licence normale.

Se met à jour tout seul sans trop se faire remarquer en effet.

Voici le rapport de SDfix - bon, vais rentrer au bureau pour lire ça plus attentivement...

----


SDFix: Version 1.162

Run by Yves on jeu. 27/03/2008 at 14:10

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\Yves\Bureau\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Documents and Settings\Yves\Local Settings\Temp\aax70.tmp.exe - Deleted
C:\WINDOWS\mrofinu1423.exe - Deleted
C:\WINDOWS\system32\real.txt - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-27 14:17:37
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

C:\DOCUME~1\Yves\LOCALS~1\Temp\yunuéé£'£'%''msn'è%'fix''.exe [1204] 0x820BCBE8

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000001d

scanning hidden files ...


scan completed successfully
hidden processes: 1
hidden services: 0
hidden files: 6


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\f- irewallpolicy\standardprofile\authorizedapplications\list]
"\\system32\\sessmgr.exe"="\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\EA GAMES\\MOHAA\\MOHAA.exe"="C:\\Program Files\\EA GAMES\\MOHAA\\MOHAA.exe:*:Enabled:Medal of Honor Allied Assault(tm)"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Program Files\\Steam\\steamapps\\dokter_fiets\\day of defeat\\hl.exe"="C:\\Program Files\\Steam\\steamapps\\dokter_fiets\\day of defeat\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Program Files\\EA GAMES\\Medal of Honor Batailles du Pacifique(tm)\\mohpa.exe"="C:\\Program Files\\EA GAMES\\Medal of Honor Batailles du Pacifique(tm)\\mohpa.exe:*:Enabled:Medal of Honor Pacific Assault(tm)"
"C:\\Program Files\\InterVideo\\DVD8\\WinDVD.exe"="C:\\Program Files\\InterVideo\\DVD8\\WinDVD.exe:*:Enabled:WinDVD"
"C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"
"C:\\Program Files\\Steam\\steamapps\\dokter_fiets\\half-life\\hl.exe"="C:\\Program Files\\Steam\\steamapps\\dokter_fiets\\half-life\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"="C:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe:*:Enabled:EasyShare"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\DOCUME~1\\Yves\\LOCALS~1\\Temp\\ipconfig.exe"="C:\\DOCUME~1\\Yves\\LOCALS~- 1\\Temp\\ipconfig.exe:*:Enabled:Slave"
"C:\\Program Files\\NovaLogic\\Delta Force Xtreme Demo\\DFXDemo.exe"="C:\\Program Files\\NovaLogic\\Delta Force Xtreme Demo\\DFXDemo.exe:*:Enabled:DFXDemo"
"C:\\Program Files\\GameSpy Arcade\\Aphex.exe"="C:\\Program Files\\GameSpy Arcade\\Aphex.exe:*:Enabled:GameSpy Arcade"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\DOCUME~1\\Yves\\LOCALS~1\\Temp\\yunu‚‚œ'œ'%''msn'Š%'fix''.exe"="C:\\DOCUME- ~1\\Yves\\LOCALS~1\\Temp\\yunu‚‚œ'œ'%''msn'Š%'fix''.exe:*:Enabled:Flash Media"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\f- irewallpolicy\domainprofile\authorizedapplications\list]
"\\system32\\sessmgr.exe"="\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\DOCUME~1\Yves\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sat 27 Oct 2007 56 ..SHR --- "C:\WINDOWS\system32\C1E09B1655.sys"
Sat 27 Oct 2007 1,682 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Sun 11 Nov 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 19 Mar 2008 888 ...HR --- "C:\Documents and Settings\Yves\Application Data\SecuROM\UserData\securom_v7_01.bak"
Sun 11 Nov 2007 4,348 ...H. --- "C:\Documents and Settings\Yves\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Sun 11 Nov 2007 20 A..H. --- "C:\Documents and Settings\Yves\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Sat 27 Oct 2007 312 A.SH. --- "C:\Documents and Settings\Yves\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
Thu 17 May 2007 4,348 A..H. --- "C:\Documents and Settings\Yves\Mes documents\Ma musique\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Sat 27 Oct 2007 20 A..H. --- "C:\Documents and Settings\Yves\Mes documents\Ma musique\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Sun 17 Dec 2006 312 A.SH. --- "C:\Documents and Settings\Yves\Mes documents\Ma musique\Ma musique\Sauvegarde de la licence\drmv2key.bak"

Finished!

Ben c'est toujours là visiblement. Misère, c'est casse-pieds !! (pour rester polie)

acheté cette semaine licence 1 poste pour un an, payé un peu moins de 40€ TTC (39.79 exactement) la licence 2 ans étant dans les 50€ HT il me semble...

t'as essayé http://www.viruskeeper.com/fr/clean_virus_msn.htm ?

nope... je transmets le lien...