(Devenir Membre)
   
Menu
 Le Site
 Le Forum

 
Site optimisé pour :

Qui est en ligne ?
» 0 Membre(s)
» 74 Invité(s)


[ Voir toute la liste ]

Vus dernièrement :
 
Statistiques
Sur le Forum ZenZone

Membres : 3774
Dernier Inscrit :

nicolas78

79617 Messages
dans 9887 Sujets.
 
ZenZone IRC

Pseudo :

 
[Résolu] Trojan !!! Help
   eMule ZenZone Index du Forum -> Réseaux & Sécurité
Trojan !!! Help Voir le sujet précédent Voir le sujet suivant 
Auteur Message
kazadvic
Maitre Zen
Maitre Zen


Anniversaire : 13 Juil
Zodiaque: Cancer
Sexe: Sexe:Homme
Inscrit le: 28 Juin 2004
Messages: 648
Localisation: Lille


Citer
Posté le: Mer Fév 22, 2006 14:41
Sujet du message: Trojan !!! Help
Répondre en citant

Bonjour à tous ;)

Depuis ce matin, j'ai une nouvelle icône en bas à droite de l'écran (à côté de l'horloge) : c'est le logo de mise à jour de Windows XP puis une croix rouge (ça change) et quand je mets le curseur dessus, je vois comme texte "Virus Alert!". Apparement c'est un spyware qui s'est installé, parce que quand je clique sur l'icôné (clic droit ou gauche), une page internet se lance et j'arrive sur ce site. C'est une site pour un anti-spyware payant je pense (SpyFalcon 2.0).

J'ai aussi ce mesage qui s'affiche à intervalle régulier (1mn d'intervalle environ) :

http://img115.imageshack.us/img115/4019/bug10mm.jpg

Quand je clic sur ce message je suis bien évidemment redirigé vers la même page internet que précédemment.

J'ai scanné mon PC avec mon antivirus (Avast, mis à jour), ainsi que Ad-aware (mis à jour), Spybot (mis à jour) et RegFreezer (mis à jour), il a détecté quelques spyware et autres, mais pas celui-là (puisque après avoir corrigé les problèmes et rebooté la machine, j'avais toujours cette icône).
J'ai regardé dans la liste de suppression de programmes, mais j'avais rien de plus que d'habitude.
J'ai cherché dans les processus, mais ça me paraissait normal :

http://img102.imageshack.us/img102/7863/procc0dl.jpg

Voilà je sais pas quoi faire pour me débarrasser de ce :evil: spyware :evil: ,donc si quelqu'un pouvait m'aider ce serait cool :)


Dernière édition par kazadvic le Mer Fév 22, 2006 15:48; édité 1 fois
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
AncienMembre Anon.
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Aoû 2004
Messages: 1425



Citer
Posté le: Mer Fév 22, 2006 14:55
Sujet du message:
Répondre en citant

salut kazadvic

dans ton log j ai trouver ca

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Generic Service Process = nvsvc.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Generic Service Process = nvsvc.exe

arretes ces processus qui contiennent nvsvc.exe

c est un trojan :)

W32/Agobot-EL est un cheval de Troie de porte dérobée et un ver qui se propage sur des ordinateurs protégés par des mots de passe trop évidents.

Lorsqu'il est exécuté pour la première fois, W32/Agobot-EL se déplace dans le dossier système Windows sous le nom nvsvc.exe et, pour s'exécuter au démarrage du système, crée les entrées suivantes du registre :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Generic Service Process = nvsvc.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Generic Service Process = nvsvc.exe

Le cheval de Troie fonctionne en permanence en tâche de fond fournissant un accès par porte dérobée à l'ordinateur.

Le cheval tente de terminer et de désactiver plusieurs programmes antivirus et de sécurité et modifie le fichier HOSTS placé dans <WINDOWS>\System32\Drivers\etc\HOSTS, en redirigeant les sites Web antivirus sélectionnés vers l'adresse de bouclage 127.0.0.1, cela afin d'empêcher l'accès à ces sites. Normalement, les mappages suivants sont ajoutés dans le fichier HOSTS :

127.0.0.1 www.symantec.com
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com

Le cheval tente par ailleurs de supprimer tous les fichiers dont les noms commençent par "sound".


Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

Recherchez les entrées HKEY_LOCAL_MACHINE :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Generic Service Process = nvsvc.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Generic Service Process = nvsvc.exe

et supprimez-les si elles existent.

Fermez l'éditeur du registre.


source Sophos
http://www.sophos.fr/virusinfo/analyses/w32agobotel.html
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
AncienMembre Anon.
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Aoû 2004
Messages: 1425



Citer
Posté le: Mer Fév 22, 2006 15:05
Sujet du message:
Répondre en citant

TYPE :
Cheval de Troie (troyen)

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP

ALIAS :
TrojanDownloader.Win32.Wintrim (AVP)
W32/Downloader.Persis (FProt)
Trojan.Win32.Simcss (Kaspersky)
Downloader-DA.b (McAfee)
Trojan.Simcss (Symantec)
TROJ_MAGICON.A (Trend Micro)

TAILLE :
17.408 octets

DECOUVERTE :
05/11/2003

DESCRIPTION DETAILLEE :
Simcss (encore appelé Magicon.A, Wintrim ou Persis) est un cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même, contrairement aux virus. Il se trouve généralement caché dans un programme en libre téléchargement sur des sites web douteux ou peut être installé par un virus ayant préalablement infecté l'ordinateur.

Le troyen s'installe dans un sous-répertoire du répertoire Windows nommé /Navpms/ (ou /Simcss/ ou encore /Wintrim/) en y copiant notamment les fichiers Navpmc.exe (ou Simcss.exe ou encore Magicon.exe) et Uninstall.exe. Simcss modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis tente de se connecter à divers adresses pour rechercher une mise à jour. Le troyen termine enfin divers processus pour désactiver les logiciels de sécurité correspondants :
Symproxysvc.exe
Smc.exe
Persfw.exe
Agentw.exe
Zonealarm.exe
Blackice.exe

10/03/04 : une variante mineure Simcss.B (également nommée Trojan.Win32.Simcss.B, Trojan.Simcss.B ou TROJ_MAGICON.B) a été identifiée. Elle se distingue par une taille de fichier infectant légèrement inférieure (16.896 octets), le fait que le troyen copie dans sous-répertoire /mslagent/ du répertoire Windows les fichiers mslagent.exe et uninstall.exe, et le fait qu'il soit capable de désactiver une liste variable de logiciels.

source:
http://www.secuser.com/alertes/2003/simcss.htm
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
kazadvic
Maitre Zen
Maitre Zen


Anniversaire : 13 Juil
Zodiaque: Cancer
Sexe: Sexe:Homme
Inscrit le: 28 Juin 2004
Messages: 648
Localisation: Lille


Citer
Posté le: Mer Fév 22, 2006 15:34
Sujet du message:
Répondre en citant

Merci beaucoup keskia ;)

Par contre j'ai toujours un problème... Dans ton 1e post tu m'as dit d'arrêter les processus contenant nvsvc.exe, j'en avais qu'un seul : nvsvc32.exe, donc je l'ai arrêté.
Ensuite, dans la partie suivante de ce post, tu expliques ce qu'il faut chercher dans la base de registre, sauf que j'i rien de tout ça. Je m'explique : j'ouvre la base de registre, puis j'ouvre HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ et là je vois pas ce que je devrais trouver :( Si c'est Generic Service Process j'ai pas, ni nvsvc.exe. Et juste après je devrais trouver RunServices mais je l'ai pas non plus...

http://img163.imageshack.us/img163/7572/reg3yk.jpg

voilà...
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
Dwain
Apprenti Zen
Apprenti Zen





Inscrit le: 23 Jan 2004
Messages: 167



Citer
Posté le: Mer Fév 22, 2006 20:55
Sujet du message:
Répondre en citant

Kazadvic,

Est ce que tu as une carte video Nvidia ???
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
AncienMembre Anon.
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Aoû 2004
Messages: 1425



Citer
Posté le: Mer Fév 22, 2006 21:08
Sujet du message:
Répondre en citant

re kazadvic

Bon alors on va employer les grands moyens pour venir a bout de ce spy

pour NVSvC32 c est les pilotes de ta carte grafique ( si c est une NVDIA , comme le demande Dwain )

Autrement pour virer ce spY , tu vas aller desactiver la restauration system ( afin d eviter que ce spy ne se lance au prochain demarage )

Tu reboot et tu passes en mode sans echec, tu ouvres une session administrateur , tu passes un coup d antivirus , et d antispy , antitrojan etc.. , tu redemares windows normalement et tu vas reactiver la restauration system

De cette maniere je pense que ce spy sera nettoye :)
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
kazadvic
Maitre Zen
Maitre Zen


Anniversaire : 13 Juil
Zodiaque: Cancer
Sexe: Sexe:Homme
Inscrit le: 28 Juin 2004
Messages: 648
Localisation: Lille


Citer
Posté le: Mer Fév 22, 2006 21:24
Sujet du message:
Répondre en citant

Bon... merci à tout le monde pour l'aide, mais j'ai utilisé le moyen le plus radical possible : j'ai formaté lol

Mais merci quand même de votre aide.
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
markos_le_malos
Bouddha Zen
Bouddha Zen


Anniversaire : 14 Juil
Zodiaque: Cancer
Sexe: Sexe:Homme
Inscrit le: 12 Nov 2003
Messages: 1231
Localisation: peux pas êtte partout


Citer
Posté le: Mer Mai 28, 2008 18:56
Sujet du message:
Répondre en citant

:mdr2: encore un déterrage de post :mdr2:

depuis hier j'ai le même problème de "virus alert!" avec aussi une carte nvidia :cry:

j'ai tenté par moi même: antivirus local, en ligne sur clé usb ; search 'n destroy, ccleaner, ad-aware, ...

à ce soir j'en suis à une bouteille de rosé, 20g de seita, 8 pastaga et 13 ongles rongés...

je vais tenter la méthode expliquée ci-dessus (pas le formatage oeuf corse) et voir ce que ça donne :mrgreen:
_________________
marre de tout ce bazar dans ce monde
Voir le profil de l'utilisateur Envoyer un message privé
 
   eMule ZenZone Index du Forum -> Réseaux & Sécurité
 
Page 1 sur 1
 

Sauter vers:   

Creative Commons License Gf-Portail - phpBB v2 © 2001, 2006 phpBB Group - Traduction par : phpBB-fr.com