Supprimer infection MSN Backdoor.Win32.IRCBot.ahm (IMG-XXXX.zip) 



Infection se propageant par MSN, toujours en proposant de télécharger des photos via les zip IMG-XXXX.zip (où X est un chiffre) contenant (img0794-www.photoupload.com)
Les messages de propagation sont en divers langues, du style :

En Français :
défaut de la reproduction sonore! regard à cette vieille image que j’ai trouvée : |
mes photos chaudes :D
haha vous devriez rendre ceci votre défaut pic sur le myspace ou quelque chose :D
j’ai fais pour toi ce photo album tu dois le voire :p
hé veux tu voir mes image de vacance??
le lol se rappellent quand vous aviez l’habitude d’avoir vos cheveux comme ceci
hé je vais mettre cette image de nous sur mon myspace :>


Italien
    * Per favore nessuno lasciare vede le nostre foto
    * Io ricordo quando abbiamo portato questa foto
    * Caricherò questa foto al mio myspace adesso
    * Qui sono il fotos di ci
    * jaja lei dovrebbe fare quest’il suo pic predefinito sul myspace o qualcosa :Dmetta questi fotos in suo pagina myspace
    * ehi aggiungerò quest’immagine di noi al mio weblog
    * jaja ricordo quando lei aveva i suoi capelli come questo
    * metterò quest’immagine di noi sul mio myspace :>

néerlandais belge :
    * wil je fotos zien van mijn vakantie
    * wow! moet je eens kijken welke foto ik nu gevonden heb
    * he heb je ooit deze foto laten zien ?
    * haha you moet die je standaard foto maken op hyves of myspace
    * hey ik voeg deze foto van ons ff toe op mijn weblog
    * lol ik kan me nog herrinneren toen je haar zoals dit had
    * Hey i zet deze foto van ons even op mijn myspace

Chinois :
    * ZHE SHI WO DE LUOZHAO :O QING BU YAO FA GEI BIEREN !!.
    * YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :S !!.
    * JIESHOU WO DE ZHAO PIAN :> !!.
    * KAN WO DE ZHAOPIAN :D.
    * NI HE WO !!! …. QING KAN :D.
    * kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :<.

Brésilien :
    * VOCÊ TEM QUE VER ESTE RETRATO DE MIM
    * Você viu este? o presidente está inoperante………..
    * Estas são as fotos que eu quis o mostrar:)
    * É este retrato realmente de você?? verificação louca do retrato ele para fora
    * Estão aqui meus retratos confidenciais para somente nós
    * Eu estou indo pôr este retrato de nós sobre meu Web site
    * Eu amo este retrato de nossos amigos :D
    * Eu cant acredito que este retrato é você: |
    * Queira ver esta foto que eu fiz exame de você o outro dia?
    * hey eu fiz exame deste retrato fresco de mim em férias

Allemand :
    * möchten den pics von meinen Ferien sehen?
    * Wimmern! Blick auf diese alte Abbildung, die ich: fand
    * he ich zeige Ihnen diese Abbildung von mir überhaupt?
    * Haha sollten Sie dieses Ihre Rückstellung auf myspace oder etwas pic bilden:D
    * he werde ich diese Abbildung von uns meinem weblog hinzufügen
    * lol erinnern sich, an als Sie pflegten, Ihr Haar so zu haben
    * he werde ich diese Abbildung von uns auf mein myspace setzen

Autres :
   
* Check out my nice photo album. :D
    * wanna see the pics from my vacation? :>
    * OMG YOU HAVE TO SEE THIS PICTURE!!!! :D
    * IS THIS REALLY YOU ??? i cant remember who sent it to me…
    * My friend took nice photos of me.you Should see em loL!
    * I found these old school pictures… LOL :)
    * Here are my private pictures for you

Détection Backdoor.Win32.IRCBot.ahm (IMG-XXXX.zip)

L’infection ajoute la clef sur HijackThis :
O4 – HKLM..Run: [Windows Explorer Key] C:WINDOWSsystemexplorer.exe


L’infection ajoute les fichiers :
  • C:WINDOWSsystemexplorer.exe
  • C:Windowsimg-XXXX.zip (où X est un chiffre)

Suppression Backdoor.Win32.IRCBot.ahm (IMG-XXXX.zip)

  • Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
    http://sosvirus.changelog.fr/MSNFix.zip (Tutorial d’aide pour utiliser MSNFix)
  • Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
    • Exécutez l’option R.
    • Si l’infection est détectée, un message l’indiquera et il suffira de presser une touche pour lancer le nettoyage
      • Note :
        Si une erreur de suppression est détectée un message s’affichera demandant de redémarrer l’ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l’ordinateur en mode normal
  • Téléchargez et installez Malwarebyte’s Anti-Malware anti-malware recommandé
  • Télécharger clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
  • Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
  • Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître , choisissez l’option 2 et laissez l’operation de nettoyage s’effectuer
  • Afin de supprimer toutes traces du spyware et d’autres élements qu’il aurait pu installer, scannez votre ordinateur avec :
  • Redémarrez l’ordinateur
  • Je vous conseil aussi de scanner votre ordinateur avec un antivirus à jour, si vous êtes infecté, il y a des chances que vous n’en aillez pas, utilisez alors un antivirus en ligne : 
  • Nettoyez votre base de registre à l’aide de l’utilitaire regcleaner
  • Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
  • Si vous rencontrez toujours des problèmes, générez un log à l’aide HijackThismode d’emploi et venez le poster sur le forum du site

Redémarrez votre ordinateur en mode normal, si le spyware est encore là, rescannez votre ordinateur avec SpyBot et Ad-Aware.

Consulter le forum malware-complaints et créez votre message selon votre type d’infection, plus vous serez nombreux, plus nous aurons de poids pour faire réagir les autorités face aux malwares !

Cela prend 5 minutes!

Autres Liens

Pour plus d’informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)