Forum Clubic

Virus soit disant msdos qui utilise msn messenger (pb resolu)

Bonjour, j’ai recement attrape un virus sur mon ordi, mais comme on est plus de 6 personnes a utiliser cet ordi personne ne sait comment on a attrape le virus.
cependant je sais comment il se repand, enfin au moin une facon par laquelle il se repand. Ce virus cree des fichier qui sont soit disant des racourcis de msdos (mais je suis presque sur que ce ne sont que des images sur les icones racontant ;msdos avec la petite fleche pour faire croire que c’est un racourci de ms dos. De plus, ces fichiers se situent dans c: et c’est tout. Ce qui est tres bizarre c’est lorsque je supprime ces fichier, quelques secondes plus tard, les fichiers que j’ai supprime reapparaissent!!!.
Quand je me connecte a msn messenger, ce logiciel essaie d’envoyer ce virus a d’autre personnes via msn, il prend des noms tel que "sexy, ou me pissed, ou she can fit her ass in a tea cup (assez dur a faire quand meme lol). Blagues a part, ce virus m’empeche de telecharger quoi que ce soit a partir d’internet du moment que j’utilise internet explorer, si je veux prendre un fichier a partir de internet explorer ca ne marche pas. De plus de temps en temps, il inverse le clic droit du clic gauche, et norton anti virus ne trouve rien, et maintenant l’antivirus ne marche plus, le virus le deconnecte.
Voila, si vous avez des reponses a cette question merci de me les preciser a cette adresse vendeben@hotmail.com
merci ben

il s’agis d’un faux virus ton truc ! http://www.hoaxbuster.com/

:slight_smile: Info :
Un nouveau virus baptisé Win32.Bropia.A (alias IM-Worm.Win32.VB.a) se propage sur MSN Messenger. Il peut apparaître sur votre disque dur sous les noms tels que: “sexy_bedroom.pif”, “drunk_lol.pif”, “naked_party.pif”, “webcam_(nombre aléatoire).pif”, “love_me.pif”. Il se propage via MSN Messenger, par les fichiers envoyés par vos contacts.
Le virus Bropia peut désactiver le clic droit, être utilisé comme un cheval de troie, et mémoriser les touches appuyés sur votre ordinateur (une sorte de keylogger). De plus, il installe une variante du ver Spybot.

Fix : FxBropia pour rechercher et éliminer le virus

ca ma tout l’air d’un joli hoax qdmême :slight_smile:

:stuck_out_tongue: tu es très optimiste ce matin , tu ne trouves pas que la description des symptômes de benitoo et celle du virus sont trop semblables pour ne pas être réelles?

:stuck_out_tongue: oui je le suis tout le temps … puis je n’ai pas chercher mais au premier abord il ma tout l’air d’un faux virus.

sur ce, je vais me coucher :stuck_out_tongue:
bonne journée !

[:merlot] c’est c’là oui

vi! bonne-euh!.. nuit? keeper alors :smiley:

Hoax ou pas, mon ordi a bien un virus, et les details que je vous ai laisse ce n’est pas de l’intox, j’ai juste fait une description de l’etat de ma machine!!! Merci a toi westernunion, je suis alle voir ton lien, et c’est en court je tient au courant

ila du sarcasme dedans ? :o

ouiiii, pousse pas comme ça ! :sweat:

le lien que westernunion m’a fournis qui m’emmene droit a symantec et me fait verifier le systeme ne trouve rien au niveau du virus!!! Cependant apres cette verification, je peux me connecter a msn sans que celui ci ne m’indique que je suis deja connecte quelque part, et je peux aussi telecharger maintenant des files a partir d’internet explorer. De plus les fichier qui etaient dans c: j’arrive a les supprimer sans qu’ils reviennent. Apparement ya plus rien, mais l’ordinateur etait dans l’etat que j’ai indique avant pendant plus d’une semaine!!! Es-ce un virus qui arrete de foutre la merde au bout d’un certain temps? ou je ne sais pas??
merci bien en tout cas.

bizarre ton truc, j’ai testé, j’ai la fenêtre du téléchargement du fix qui s’ouvre, rien à voir avec une redirection sur Symantec ??

FixBofra ( 153Ko) : détecte et élimine les virus Bofra.A, Bofra.B, Bofra.C et Bofra.D. etc…
http://www.secuser.com/telechargement/desinfection.htm#Bropia

Petit probleme

OUI ca a l’air de marcher, je peux telecharger des fichier sur internet explorer mais
NON ca n’a pas detruit le virus, car il inverse de temps en temps pour moin de 30 seconde le bouton droit du bouton gauche,et il continue d’envoyer a mes contacts sur msn ces fichier bidons. et les fichiers que j’ai supprimes qui revenait, sont encore revenu apres avoir redemmarer l’ordi dans c:

tu peux faire un log Hijackthis ? on va bien voir :slight_smile:
http://www.zebulon.fr/articles/HijackThis.php

  • Le mettre dans 1 dossier ex: C:\HijackThis
  • Le lancer -> Scan -> Save log
  • Récupérer ce log/texte avec le bloc-notes.
  • Le copier/coller ici

@+

desole westernunion mais je me suis plante de page, oui ca m’as bien dirige sur la page de secuser et non symantec, je cherchait en meme temps d’autre choses et je me suis plante de “mot”… Cependant j’ai un ptit blem aussi, je n’arrive pas a desactiver la restauration systeme, car je suis sur XP et l’ordi est configure en anglais, et j’avoue que le passage de windows me a xp est assez grand pour tout ce qui est settings et ca change pas mal, je n’arrive pas a trouver cette configuration.

ha oui aussi j’ai oublie le virus desactive la fonction Ctrl + Alt + Delete pour avoir acces au systeme

ok je fait le “hijackthis”

Logfile of HijackThis v1.99.1
Scan saved at 6:23:28 PM, on 2/19/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\system32\Isass.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinAce\WinAce.exe
C:\Documents and Settings\Benoit\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://flashmail.club-internet.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.looksmart.com/p/search?pi=lstb2&tv=1
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - URLSearchHook: (no name) - {CC8C8F4F-F2E8-404B-A43D-5CC57876A008} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: Saristar - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE50} - C:\WINDOWS\system32\saristar.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [StorageGuard] “C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe” /r
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM…\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM…\Run: [04173D95] C:\WINDOWS\System32\cbqgu.exe
O4 - HKLM…\Run: [Microsoft Update] wuagmsd.exe
O4 - HKLM…\Run: [Cryptographic Service] C:\WINDOWS\System32\kmebjxmh.exe
O4 - HKLM…\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM…\Run: [websx] C:\Program Files\websx\int455965.exe -auto
O4 - HKLM…\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM…\Run: [saap] c:\program files\180solutions\sa\saap.exe
O4 - HKLM…\Run: [MessengerPlus3] “C:\Program Files\Messenger Plus! 3\MsgPlus.exe”
O4 - HKLM…\Run: [NvMsnW] C:\WINDOWS\system32\Isass.exe
O4 - HKLM…\Run: [Anti] C:\WINDOWS\system32\Isass.exe
O4 - HKLM…\Run: [Isass] C:\WINDOWS\system32\Isass.exe
O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”
O4 - HKLM…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM…\RunServices: [Microsoft Update] wuagmsd.exe
O4 - HKLM…\RunServices: [NvMsnW] C:\WINDOWS\system32\Isass.exe
O4 - HKLM…\RunServices: [Anti] C:\WINDOWS\system32\Isass.exe
O4 - HKLM…\RunServices: [Isass] C:\WINDOWS\system32\Isass.exe
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKCU…\Run: [MessengerPlus3] “C:\Program Files\Messenger Plus! 3\MsgPlus.exe” /WinStart
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb02964AU_ZSzeb029
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\system32\Qejpfeal.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\COMMON~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

ça doit pas être bien difficile à faire : regarde le screen de fin de page - les boutons sont les mêmes
http://www.microsoft.com/france/windows/xp/pro/utilisez/info/info.asp?mar=/france/windows/xp/pro/utilisez/info/xp_mille1001.html

Panneau de configuration : puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

c’est sûr que si tu ne désactives pas ta restau pour supprimer un fichier infecté, au reboot il est systématiquement recrée

Fait un log Hijack :slight_smile:

je refait la manip de la page de secuser, le logiciel est en train de scanner, et j’ai desactive la restauration systeme, merci pour la page, la derniere fois c’etait une page exclusivement pour windows me, c’est pour ca que je ne trouvait pas l’equivalence sur xp. Je fait ce scan et ensuite je redemmare l’ordi et je voit si ca marche.
ps : Pour ouvrir ce fichier j’ai du essayer plus de 20 a 30 fois avant que le virus me laisse ouvrir et telecharger ce “scan”.

je viens de finir le scan et ca me dit encore que ca n’a rien trouve mais cette fois je ne peux toujours pas faire la fonction Ctrl + Alt + Delete pour avoir acces au systeme, et les fichier dans c: revienne des que je les supprime