Se débarasser du Ver Msn ? C'est ici !

Les forums de JeuxVideo.com

Forum : PC

Ajouter ce forum à mes forums préférés

Sujet : « Se débarasser du Ver Msn ? C'est ici ! »

1 | 2

Fin

EvilElf
Posté le 5 juillet 2007 à 17:28:00
Bonjour à tous,

A la vue des nombreux postes crées concernant ce sujet (aussi bien sur le forum PC que matériel informatique), j´ai décidé de donner la procédure à suivre en cas d´infection.
________________________________________________

Mais avant tout quelques points :

Le ver
Backdoor.Win32.IRCBot.aaq/Backdoor:W32/IRCBot.ABO,
Backdoor.Win32.IRCBot.aaq est un ver qui se propage par MSN, il créer les fichiers suivants :

- C:\windows\album.zip contenant le fichier photos album-2007-5-26.scr
- C:\Windows\system32\syshosts.dll
- C:\Windows\system32\syshelps.dll
- et autres variantes qui voient le jour régulièrement ...

Cette infection ajoute une ligne O21 à Hijackthis, exemple :
O21 - SSODL: system32 - {B5EE0439-8B9A-41CC-87D4-C009A5C9C05A} - sysprinters.dll
Plutôt utile à savoir pour les amateurs Hijackthis, n´est ce pas VazertY27

Chacune de ces infections est installée par le fichier photos.zip téléchargé sur MSN accompagné par un message, que voici :

My friend took nice photos of me.you Should see em loL!",
"hey regarde les tof, c´est moi et mes copains entrain de.... icon_biggrin.gif

Français/Spanish version:
hey regarde mes tof!! icon_razz.gif
ma soeur a voulu que tu regarde ca!
hey regarde les tof, c´est moi et mes copains entrain de.... icon_biggrin.gif
j´ai fais pour toi ce photo album tu dois le voire icon_smile.gif
tu dois voire ces tof
mes photos chaudes icon_biggrin.gif
c´est seulement mes tof icon_razz.gif
zijn enige mijn foto´s
wanna Hey ziet mijn nieuw fotoalbum?
Hey beindigde enkel nieuw fotoalbum! icon_smile.gif
hey keurt mijn nieuw fotoalbum goed.. icon_razz.gif
het voor yah, doend beeldverhaal van mijn leven lol..
meine hei en Fotos ! icon_razz.gif
le mie foto calde icon_razz.gif
mis fotos calientes
mi fotografas icon_razz.gif
Mi amigo tom las fotos agradables de m
el lol mi hermana quisiera que le enviara este
album de foto

English version:
Here are my private pictures for you
Here are my pictures from my vacation
My friend took nice photos of me.you Should see em loL!
its only my photos!
Nice new photos of me and my friends and stuff and when i was young lol...
Nice new photos of me!! icon_razz.gif
Check out my sexy boobs icon_biggrin.gif

Ceci dit, les utilisateurs de Avast! ne sont pas protégés, il lui a fallu 15 jours pour détecter la variante Win32:Ircbot-BXD de Mai, seulement d´après les nombreux postes sur les forums de Zebulon, 01.net (etc), cette variante n´est plus répandu ou presque, c´est celle de Juin qui circule dorénavant, Avast! ne la détecte toujours pas, les utilisateur de Avast! ne sont donc pas protéger.
Et ainsi de suite...
--> D´après malekal_morte le 14/06.
Si vous voulez en savoir plus allez lire ce topic très intéressant, où on remarque la faiblesse de Avast! à travers des scans quotidiens :
http://forum.zebulon.fr/index.php?showtopic=123168

On voit clairement que Avast! est à la traine et qu´il met beaucoup trop de temps à intégrer les nouvelles infections. Il lui avait fallu 15 jours pour intégrer la version précédente, alors qu´une nouvelle courrait déjà, ce qui est inadmissible.
C´est pourquoi il est fortement recommandé d´utiliser Antivir qui se révèle très performant au cours des scans (voir le lien ci dessus).
- Voici un petit comparatif entre Avast! et Antivir par Malekal_Morte :
http://forum.malekal.com/ftopic3528.php
-- Voici un lien pour télécharge Antivir :
http://forum.telecharger.com/telecharger/windows__logiciels/internet/comparatif__avast_vs_antivir-443458/messages-1.html
--- Et un tuto :
http://speedweb1.free.fr/frames2.php?page=tuto5
---- Un deuxième tuto :
http://www.malekal.com/tutorial_antivir.php
________________________________________________

Maintenant passons à la procédure de désinféction avec le ver photos.zip en 7 étapes (à faire dans l´ordre):

(1)
Téléchargez MSNFix.zip (de !a ur3n7) sur le Bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompressez-le (clic droit >> Extraire ici) et double cliquez sur le fichier MSNFix.bat.
- Exécutez l´option R.
-- Si l´infection est détectée, un message l´indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s´affichera demandant de redémarrer l´ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l´ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.t.

------------------------------------------------

(2)
* Téléchargez AVG anti-spyware, installez-le et mettez le à jour, et c´est tout :
http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/31851.html
* Tuto:
http://www.malekal.com/tutorial_AVG_AntiSpyware.php

------------------------------------------------

(3)
Téléchargez clean.zip (malekal) :
http://www.malekal.com/download/clean.zip
Dézippez le, ça va créer un dossier clean.

------------------------------------------------

(4)
Redémarrez Windows en mode sans échec,
http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_securite/redemarrer_en_mode_sans_echec_pourquoi_et_comment-387297/messages-1.html
- Ouvrez le dossier clean qui se trouve sur le bureau, et double cliquez sur clean.cmd, une fenêtre noire va apparaître , choisissez l´option 2 et laissez l´opération de nettoyage s´effectuer.
-- Ensuite scannez votre ordinateur avec AVG anti-spyware et supprimez tout ce qu´il trouve.

------------------------------------------------

(5)
Redémarrez en mode normal. Si vous êtes encore infecté utilisez un de ces 4 antivirus en lignes et scannez votre oridnateur:
- Panda :
http://www.pandasoftware.fr/Activescan/Activescan.html
Note : Il faut désactiver son Antivirus durant le scan.
- Bitdefender :
http://www.bitdefender.fr/scan8/ie.html
- Kaspersky :
http://webscanner.kaspersky.fr/
- Secuser :
http://www.secuser.com/outils/antivirus.htm

------------------------------------------------

(6)
- Nettoyez votre base de registre à l´aide de EasyCleaner :
http://www.01net.com/telecharger/windows/Utilitaire/registre/fiches/8351.html
/!\ Ne pas utiliser la fonction doublons /!\
-- Nettoyez les fichiers temporaires/caches etc avec Ccleaner :
http://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

------------------------------------------------

(7)
Si vous avez toujours des problèmes générez un log Hijackthis en suivant cette méthode :
- Téléchargez Hijackthis de Merjin (version 1.99.1) puis dézippez le.
http://www.merijn.org/files/hijackthis.zip
- Mettez-le dans un dossier nommé Hijackthis à la racine du disque dur (C:\Hijackthis\)
- Faites un clic-droit dessus (fichier avec l’image de Dynamite) et choisissez "renommer", appellez-le scanner.exe
- Fermez toutes les fenêtres.
- Cliquez sur "Do a system scan only" puis sur "Save logfile".
- Et posté le sur le forum, dans un autre topic de préférence.

Ensuite avec le ver photo8.com,le message de propagation est celui ci:
ben jij dat op deze foto?
http://www.hothotpics.com/photo8.php
is that you on this photo : O
http://www.******.net/photo26.com
is that you on this photo www.hot hotpeople.net/photo894.php

Telechargez Vundofix (by Atribune) sur le bureau.
http://www.atribune.org/ccount/click.php?id=4
Cliquez sur "Vundofix.exe" puis sur "Scan for Vundo".
Lorsque le scan est terminer cliquez sur "Remove Vundo". On vous demandera si vous voulez supprimer les fichiers cliquez sur "Yes" (si le bureau disparaît c’est normal) puis on vous demandera si vous voulez redémarrer ton PC cliquez alors sur OK.
Le rapport est situer ici : "C:\vundofix.txt".

Sources: moi, malekal.com et Zebulon

A+ et au plaisir
Lien permanent

informate
Posté le 7 août 2007 à 22:03:26
EviLef j´ai pris ton tuto pour mon site, j´ai mis la source tinquiete
Lien permanent

VoyageuRVirtueL
Posté le 7 août 2007 à 22:04:36
"Sujet : Se débarasser du Ver Msn ? C´est ici !"

Super !

Sachant que y´a une centaine de variantes et de concurrents...
Lien permanent

BBA666
Posté le 7 août 2007 à 22:28:29
Fais en autant au lieu de parlé pour rien dire
Lien permanent

[needforspeed]
Posté le 7 août 2007 à 22:34:58
Informate, ou puis je trouver un lien pour voir ton site ?
Lien permanent

EvilElf
Posté le 8 août 2007 à 13:48:23
Okay informate pas de problème, je serai curieux de voir ton site, tu me donner l´adresse ?
Lien permanent

VazertY57
Posté le 8 août 2007 à 14:16:20
un p´tit screen pour comparer (date de 2006)
http://www.malekal.com/fichiers/forum/AntivirVSAvast/AntivirVsAvast.png

bon tuto
Lien permanent

EvilElf
Posté le 8 août 2007 à 14:33:02
D´ailleurs je penserai à mettre le topic plus souvent à jour, suivant les nouvelles variantes. J´aurais du le faire mais j´étais en vacances

La dernière inféction se nomme
summer2008.zip/IRC-Worm.Win32.Agent.a

Et elle ajoute la ligne suivante à Hijackthis :
O21 - SSODL: printers - {B8A36B07-4FD4-41D8-BF28-806E1716790B} - notiffy.dll

Remarquez que Avast! ne la détecte toujours pas ... alors que plusieurs variantes ont déjà vue le jour :
O21 - SSODL: antivirus - {BC38FA05-EB17-44E8-BA20-14C15814A739} - firewallav.dll
O21 - SSODL: syshelps - {8629209A-D44D-4F3F-AB38-9CFA246DCC07} - wmhs32.dll
O21 - SSODL: printers - {D2497EBA-7130-4891-9F56-538500F30B3C} - msn.dll

Avast! est très lent à intégré les nouvelles infections c´est pourquoi je vous recommande très fortement d´utiliser Antivir de Avira.

Sinon quelque soit la variante, la procédure de désinfection reste la même

Une dernière chose, les auteurs de malwares utilisent ce qu´on appelle le social engineering, ils exploitent votre naïveté pour vous tromper, faites vraiment attention. Ne cliquez pas sur tout et n´importe quoi et ne téléchargez vos logiciels que sur des sites de sources sur ! Tel que 01.net, Zebulon etc ...

A+
Lien permanent

neoeljin
Posté le 8 août 2007 à 14:36:31
Merci pour le tuto ça peut être utile. J´ai aussi une question pour toi (ou pour toute autre personne connaissant la réponse).
Bon alors j´ai Active virus Shield d´installé, il fonctionne bien, mais parfois même un peu trop!! A chaque fois que je clique sur un lien ou que je clique sur le bouton d´actualisation, la page est super lente à se charger. L´antivirus à l´air de vérifier le lien, les images, enfin tout le contenu du site!!
Je sais que c´est lui puisque quand je le désactives les pages sont aussi rapides qu´avant.
Ma question est donc : est que tu saurais où désactiver cette fonction de vérification des pages web? J´ai beau chercher, je ne trouve pas. Merci pour vos réponses!!
Lien permanent

informate
Posté le 27 août 2007 à 22:35:49
Site, mon profil
Lien permanent

EvilElf
Posté le 27 août 2007 à 22:45:19
Source : EvilElf

Sinon pas mal du tout ton site, l´interface plutôt sympa, mais y a encore du boulot pour le contenu
Lien permanent

informate
Posté le 28 août 2007 à 13:29:48
Oui
Lien permanent

super_chat
Posté le 19 septembre 2007 à 15:14:13
Salut, mes contacts sont infectés 1 par 1 par ce ver donc j´ai créé un mail à envoyer à mes contacts, vous pouvez copier le mail pour l´envoyer à vos contacts:

Le mail :

Salut,

Une chaîne de message utile à faire passer à tes contacts msn.

Depuis quelques mois, un virus se propage sur msn, il est assez dur à faire partir donc le mieux est de ne pas l’avoir ^^.

Si un de tes contacts te propose de t’envoyer un fichier "albumphoto.zip", n’accepte pas, il est infecté.

Si tu as déjà reçu le fichier, pour le faire partir, suis la procédure expliquée sur ce forum
http://www.jeuxvideo.com/forums/1-1-10975432-1-0-1-0-0.htm

Envoie ce message à tes contacts msn pour éviter les problèmes avec ce virus.

A+

Voilà à bientôt
Lien permanent

EvilElf
Posté le 19 septembre 2007 à 15:22:10
Je vais devenir une célébrité nationale les mecs
Ne pas oublier surtout le super boulot de Malekal_Morte (un helpeur bien connu des forums de sécurité).

Moi personnellement, je l´ai déjà envoyé à tout mon carnet d´adresse, ça commençait à m´agacer de recevoir 30 fois tout les jours une invitation d´échange du fichier photo.zip
Lien permanent

PRO-DU-DRIFT
Posté le 19 septembre 2007 à 15:35:30
moi je n´arrive plus du tout a me connecter ces normale ?
Lien permanent

-armageddon-
Posté le 21 septembre 2007 à 23:26:44
oui sa merde pareil pour moi.
quand je voie tous le schmilblique qui faut faire pour avoir encor le bon vieux msn (qui fonctionai) je prefer garder gain interface mocher. mais pas de mise a jour et de brique a braque a faire
pas de prise de tete
Lien permanent

mymi-yuki
Posté le 25 septembre 2007 à 14:49:12
coucou - d´abord merci a ceux qui depannent les pseudo-debile comme moi et oui jme suis fait avoir en clikant sur l´album et en uilisant AVAST... - donc jai fait la manip de EviElf jusqua l´etape 4 ( jai tout supprimer ce que AVG antispyware a trouvé) - letape 5 je lai pas fait car jespere men etre debarrassé ... comment savoir on est encore infecté ? pr ma part le clavier ne marchait pas bien ms apparememnt il ya plusieurs symptomes.. merci de meclairer ...
Lien permanent

cacodemon
Posté le 25 septembre 2007 à 14:56:50
EvilElf Posté le 19 septembre 2007 à 15:22:10 Je vais devenir une célébrité nationale les mecs

Ah d´accord le gars qui veut faire sa grosse tête.
Lien permanent

EvilElf
Posté le 25 septembre 2007 à 17:50:22
Bonjour

"Ah d´accord le gars qui veut faire sa grosse tête."

Euh, ça s´appelle de l´humour, ah okay le vieux rageur

Salut mymi-yuki,

Poste un log HJC comme il est demandé à l´étape (7)
Lien permanent