[R�solu] Trojan !!! Help

Bonjour � tous

Depuis ce matin, j'ai une nouvelle ic�ne en bas � droite de l'�cran (� c�t� de l'horloge) : c'est le logo de mise � jour de Windows XP puis une croix rouge (�a change) et quand je mets le curseur dessus, je vois comme texte "Virus Alert!". Apparement c'est un spyware qui s'est install�, parce que quand je clique sur l'ic�n� (clic droit ou gauche), une page internet se lance et j'arrive sur ce site. C'est une site pour un anti-spyware payant je pense (SpyFalcon 2.0).

J'ai aussi ce mesage qui s'affiche � intervalle r�gulier (1mn d'intervalle environ) :

http://img115.imageshack.us/img115/4019/bug10mm.jpg

Quand je clic sur ce message je suis bien �videmment redirig� vers la m�me page internet que pr�c�demment.

J'ai scann� mon PC avec mon antivirus (Avast, mis � jour), ainsi que Ad-aware (mis � jour), Spybot (mis � jour) et RegFreezer (mis � jour), il a d�tect� quelques spyware et autres, mais pas celui-l� (puisque apr�s avoir corrig� les probl�mes et reboot� la machine, j'avais toujours cette ic�ne).
J'ai regard� dans la liste de suppression de programmes, mais j'avais rien de plus que d'habitude.
J'ai cherch� dans les processus, mais �a me paraissait normal :

http://img102.imageshack.us/img102/7863/procc0dl.jpg

Voil� je sais pas quoi faire pour me d�barrasser de ce :evil:

spyware

,donc si quelqu'un pouvait m'aider ce serait cool

salut kazadvic

dans ton log j ai trouver ca

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Generic Service Process = nvsvc.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Generic Service Process = nvsvc.exe

arretes ces processus qui contiennent nvsvc.exe

c est un trojan

W32/Agobot-EL est un cheval de Troie de porte d�rob�e et un ver qui se propage sur des ordinateurs prot�g�s par des mots de passe trop �vidents.

Lorsqu'il est ex�cut� pour la premi�re fois, W32/Agobot-EL se d�place dans le dossier syst�me Windows sous le nom nvsvc.exe et, pour s'ex�cuter au d�marrage du syst�me, cr�e les entr�es suivantes du registre :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Generic Service Process = nvsvc.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Generic Service Process = nvsvc.exe

Le cheval de Troie fonctionne en permanence en t�che de fond fournissant un acc�s par porte d�rob�e � l'ordinateur.

Le cheval tente de terminer et de d�sactiver plusieurs programmes antivirus et de s�curit� et modifie le fichier HOSTS plac� dans <WINDOWS>\System32\Drivers\etc\HOSTS, en redirigeant les sites Web antivirus s�lectionn�s vers l'adresse de bouclage 127.0.0.1, cela afin d'emp�cher l'acc�s � ces sites. Normalement, les mappages suivants sont ajout�s dans le fichier HOSTS :

127.0.0.1 www.symantec.com
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com

Le cheval tente par ailleurs de supprimer tous les fichiers dont les noms commen�ent par "sound".

Dans la Barre des t�ches, cliquez sur D�marrer|Ex�cuter. Saisissez "Regedit" et appuyez sur Entr�e. L'�diteur de registre s'ouvre.

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

Recherchez les entr�es HKEY_LOCAL_MACHINE :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Generic Service Process = nvsvc.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Generic Service Process = nvsvc.exe

et supprimez-les si elles existent.

Fermez l'�diteur du registre.

source Sophos
http://www.sophos.fr/virusinfo/analyses/w32agobotel.html

TYPE :
Cheval de Troie (troyen)

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP

ALIAS :
TrojanDownloader.Win32.Wintrim (AVP)
W32/Downloader.Persis (FProt)
Trojan.Win32.Simcss (Kaspersky)
Downloader-DA.b (McAfee)
Trojan.Simcss (Symantec)
TROJ_MAGICON.A (Trend Micro)

TAILLE :
17.408 octets

DECOUVERTE :
05/11/2003

DESCRIPTION DETAILLEE :
Simcss (encore appel� Magicon.A, Wintrim ou Persis) est un cheval de Troie, c'est-�-dire un programme hostile incapable de se multiplier et de se propager par lui-m�me, contrairement aux virus. Il se trouve g�n�ralement cach� dans un programme en libre t�l�chargement sur des sites web douteux ou peut �tre install� par un virus ayant pr�alablement infect� l'ordinateur.

Le troyen s'installe dans un sous-r�pertoire du r�pertoire Windows nomm� /Navpms/ (ou /Simcss/ ou encore /Wintrim/) en y copiant notamment les fichiers Navpmc.exe (ou Simcss.exe ou encore Magicon.exe) et Uninstall.exe. Simcss modifie la base de registres afin d'�tre ex�cut� � chaque d�marrage de l'ordinateur, puis tente de se connecter � divers adresses pour rechercher une mise � jour. Le troyen termine enfin divers processus pour d�sactiver les logiciels de s�curit� correspondants :
Symproxysvc.exe
Smc.exe
Persfw.exe
Agentw.exe
Zonealarm.exe
Blackice.exe

10/03/04 : une variante mineure Simcss.B (�galement nomm�e Trojan.Win32.Simcss.B, Trojan.Simcss.B ou TROJ_MAGICON.B) a �t� identifi�e. Elle se distingue par une taille de fichier infectant l�g�rement inf�rieure (16.896 octets), le fait que le troyen copie dans sous-r�pertoire /mslagent/ du r�pertoire Windows les fichiers mslagent.exe et uninstall.exe, et le fait qu'il soit capable de d�sactiver une liste variable de logiciels.

source:
http://www.secuser.com/alertes/2003/simcss.htm

Merci beaucoup keskia

Par contre j'ai toujours un probl�me... Dans ton 1e post tu m'as dit d'arr�ter les processus contenant nvsvc.exe, j'en avais qu'un seul : nvsvc32.exe, donc je l'ai arr�t�.
Ensuite, dans la partie suivante de ce post, tu expliques ce qu'il faut chercher dans la base de registre, sauf que j'i rien de tout �a. Je m'explique : j'ouvre la base de registre, puis j'ouvre HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ et l� je vois pas ce que je devrais trouver

Si c'est Generic Service Process j'ai pas, ni nvsvc.exe. Et juste apr�s je devrais trouver RunServices mais je l'ai pas non plus...

http://img163.imageshack.us/img163/7572/reg3yk.jpg

voil�...

Apprenti Zen Inscrit le: 23 Jan 2004 Messages: 167 **Citer**

Kazadvic,

Est ce que tu as une carte video Nvidia ???

re kazadvic

Bon alors on va employer les grands moyens pour venir a bout de ce spy

pour NVSvC32 c est les pilotes de ta carte grafique ( si c est une NVDIA , comme le demande Dwain )

Autrement pour virer ce spY , tu vas aller desactiver la restauration system ( afin d eviter que ce spy ne se lance au prochain demarage )

Tu reboot et tu passes en mode sans echec, tu ouvres une session administrateur , tu passes un coup d antivirus , et d antispy , antitrojan etc.. , tu redemares windows normalement et tu vas reactiver la restauration system

De cette maniere je pense que ce spy sera nettoye

Bon... merci � tout le monde pour l'aide, mais j'ai utilis� le moyen le plus radical possible : j'ai format� lol

Mais merci quand m�me de votre aide.

encore un d�terrage de post :mdr2:

depuis hier j'ai le m�me probl�me de "virus alert!" avec aussi une carte nvidia :cry:

j'ai tent� par moi m�me: antivirus local, en ligne sur cl� usb ; search 'n destroy, ccleaner, ad-aware, ...

� ce soir j'en suis � une bouteille de ros�, 20g de seita, 8 pastaga et 13 ongles rong�s...

je vais tenter la m�thode expliqu�e ci-dessus (pas le formatage oeuf corse) et voir ce que �a donne :mrgreen:

_________________
marre de tout ce bazar dans ce monde