|
Menu |
|
Site optimisé pour :
|
|
Qui est en ligne ? |
|
|
Statistiques |
|
Sur le Forum ZenZone
Membres : 3774
Dernier Inscrit :
nicolas78
79617 Messages dans 9887 Sujets.
|
|
ZenZone IRC |
|
Total : 3286409
Annee : 131331
Mois : 5299
Jour : 731
18.225.95.231
|
Auteur |
Message |
kazadvic
Maitre Zen
Anniversaire : 13 Juil Zodiaque: Sexe: Inscrit le: 28 Juin 2004 Messages: 648 Localisation: Lille
Citer
|
Posté le: Mer Fév 22, 2006 14:41
Sujet du message: Trojan !!! Help
|
|
|
Bonjour à tous
Depuis ce matin, j'ai une nouvelle icône en bas à droite de l'écran (à côté de l'horloge) : c'est le logo de mise à jour de Windows XP puis une croix rouge (ça change) et quand je mets le curseur dessus, je vois comme texte "Virus Alert!". Apparement c'est un spyware qui s'est installé, parce que quand je clique sur l'icôné (clic droit ou gauche), une page internet se lance et j'arrive sur ce site. C'est une site pour un anti-spyware payant je pense (SpyFalcon 2.0).
J'ai aussi ce mesage qui s'affiche à intervalle régulier (1mn d'intervalle environ) :
Quand je clic sur ce message je suis bien évidemment redirigé vers la même page internet que précédemment.
J'ai scanné mon PC avec mon antivirus (Avast, mis à jour), ainsi que Ad-aware (mis à jour), Spybot (mis à jour) et RegFreezer (mis à jour), il a détecté quelques spyware et autres, mais pas celui-là (puisque après avoir corrigé les problèmes et rebooté la machine, j'avais toujours cette icône).
J'ai regardé dans la liste de suppression de programmes, mais j'avais rien de plus que d'habitude.
J'ai cherché dans les processus, mais ça me paraissait normal :
Voilà je sais pas quoi faire pour me débarrasser de ce spyware ,donc si quelqu'un pouvait m'aider ce serait cool
Dernière édition par kazadvic le Mer Fév 22, 2006 15:48; édité 1 fois
|
|
|
|
|
|
Auteur |
Message |
AncienMembre Anon.
Bouddha Zen
Inscrit le: 23 Aoû 2004 Messages: 1425
Citer
|
Posté le: Mer Fév 22, 2006 14:55
Sujet du message:
|
|
|
salut kazadvic
dans ton log j ai trouver ca
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Generic Service Process = nvsvc.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Generic Service Process = nvsvc.exe
arretes ces processus qui contiennent nvsvc.exe
c est un trojan
W32/Agobot-EL est un cheval de Troie de porte dérobée et un ver qui se propage sur des ordinateurs protégés par des mots de passe trop évidents.
Lorsqu'il est exécuté pour la première fois, W32/Agobot-EL se déplace dans le dossier système Windows sous le nom nvsvc.exe et, pour s'exécuter au démarrage du système, crée les entrées suivantes du registre :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Generic Service Process = nvsvc.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Generic Service Process = nvsvc.exe
Le cheval de Troie fonctionne en permanence en tâche de fond fournissant un accès par porte dérobée à l'ordinateur.
Le cheval tente de terminer et de désactiver plusieurs programmes antivirus et de sécurité et modifie le fichier HOSTS placé dans <WINDOWS>\System32\Drivers\etc\HOSTS, en redirigeant les sites Web antivirus sélectionnés vers l'adresse de bouclage 127.0.0.1, cela afin d'empêcher l'accès à ces sites. Normalement, les mappages suivants sont ajoutés dans le fichier HOSTS :
127.0.0.1 www.symantec.com
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
Le cheval tente par ailleurs de supprimer tous les fichiers dont les noms commençent par "sound".
Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.
Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.
Recherchez les entrées HKEY_LOCAL_MACHINE :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Generic Service Process = nvsvc.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Generic Service Process = nvsvc.exe
et supprimez-les si elles existent.
Fermez l'éditeur du registre.
source Sophos
http://www.sophos.fr/virusinfo/analyses/w32agobotel.html
|
|
|
|
|
|
Auteur |
Message |
AncienMembre Anon.
Bouddha Zen
Inscrit le: 23 Aoû 2004 Messages: 1425
Citer
|
Posté le: Mer Fév 22, 2006 15:05
Sujet du message:
|
|
|
TYPE :
Cheval de Troie (troyen)
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS :
TrojanDownloader.Win32.Wintrim (AVP)
W32/Downloader.Persis (FProt)
Trojan.Win32.Simcss (Kaspersky)
Downloader-DA.b (McAfee)
Trojan.Simcss (Symantec)
TROJ_MAGICON.A (Trend Micro)
TAILLE :
17.408 octets
DECOUVERTE :
05/11/2003
DESCRIPTION DETAILLEE :
Simcss (encore appelé Magicon.A, Wintrim ou Persis) est un cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même, contrairement aux virus. Il se trouve généralement caché dans un programme en libre téléchargement sur des sites web douteux ou peut être installé par un virus ayant préalablement infecté l'ordinateur.
Le troyen s'installe dans un sous-répertoire du répertoire Windows nommé /Navpms/ (ou /Simcss/ ou encore /Wintrim/) en y copiant notamment les fichiers Navpmc.exe (ou Simcss.exe ou encore Magicon.exe) et Uninstall.exe. Simcss modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis tente de se connecter à divers adresses pour rechercher une mise à jour. Le troyen termine enfin divers processus pour désactiver les logiciels de sécurité correspondants :
Symproxysvc.exe
Smc.exe
Persfw.exe
Agentw.exe
Zonealarm.exe
Blackice.exe
10/03/04 : une variante mineure Simcss.B (également nommée Trojan.Win32.Simcss.B, Trojan.Simcss.B ou TROJ_MAGICON.B) a été identifiée. Elle se distingue par une taille de fichier infectant légèrement inférieure (16.896 octets), le fait que le troyen copie dans sous-répertoire /mslagent/ du répertoire Windows les fichiers mslagent.exe et uninstall.exe, et le fait qu'il soit capable de désactiver une liste variable de logiciels.
source:
http://www.secuser.com/alertes/2003/simcss.htm
|
|
|
|
|
|
Auteur |
Message |
kazadvic
Maitre Zen
Anniversaire : 13 Juil Zodiaque: Sexe: Inscrit le: 28 Juin 2004 Messages: 648 Localisation: Lille
Citer
|
Posté le: Mer Fév 22, 2006 15:34
Sujet du message:
|
|
|
Merci beaucoup keskia
Par contre j'ai toujours un problème... Dans ton 1e post tu m'as dit d'arrêter les processus contenant nvsvc.exe, j'en avais qu'un seul : nvsvc32.exe, donc je l'ai arrêté.
Ensuite, dans la partie suivante de ce post, tu expliques ce qu'il faut chercher dans la base de registre, sauf que j'i rien de tout ça. Je m'explique : j'ouvre la base de registre, puis j'ouvre HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ et là je vois pas ce que je devrais trouver Si c'est Generic Service Process j'ai pas, ni nvsvc.exe. Et juste après je devrais trouver RunServices mais je l'ai pas non plus...
voilà...
|
|
|
Auteur |
Message |
Dwain
Apprenti Zen
Inscrit le: 23 Jan 2004 Messages: 167
Citer
|
Posté le: Mer Fév 22, 2006 20:55
Sujet du message:
|
|
|
Kazadvic,
Est ce que tu as une carte video Nvidia ???
|
|
|
Auteur |
Message |
AncienMembre Anon.
Bouddha Zen
Inscrit le: 23 Aoû 2004 Messages: 1425
Citer
|
Posté le: Mer Fév 22, 2006 21:08
Sujet du message:
|
|
|
re kazadvic
Bon alors on va employer les grands moyens pour venir a bout de ce spy
pour NVSvC32 c est les pilotes de ta carte grafique ( si c est une NVDIA , comme le demande Dwain )
Autrement pour virer ce spY , tu vas aller desactiver la restauration system ( afin d eviter que ce spy ne se lance au prochain demarage )
Tu reboot et tu passes en mode sans echec, tu ouvres une session administrateur , tu passes un coup d antivirus , et d antispy , antitrojan etc.. , tu redemares windows normalement et tu vas reactiver la restauration system
De cette maniere je pense que ce spy sera nettoye
|
|
|
|
|
|
Auteur |
Message |
kazadvic
Maitre Zen
Anniversaire : 13 Juil Zodiaque: Sexe: Inscrit le: 28 Juin 2004 Messages: 648 Localisation: Lille
Citer
|
Posté le: Mer Fév 22, 2006 21:24
Sujet du message:
|
|
|
Bon... merci à tout le monde pour l'aide, mais j'ai utilisé le moyen le plus radical possible : j'ai formaté lol
Mais merci quand même de votre aide.
|
|
|
|
|
|
Auteur |
Message |
markos_le_malos
Bouddha Zen
Anniversaire : 14 Juil Zodiaque: Sexe: Inscrit le: 12 Nov 2003 Messages: 1231 Localisation: peux pas êtte partout
Citer
|
Posté le: Mer Mai 28, 2008 18:56
Sujet du message:
|
|
|
encore un déterrage de post
depuis hier j'ai le même problème de "virus alert!" avec aussi une carte nvidia
j'ai tenté par moi même: antivirus local, en ligne sur clé usb ; search 'n destroy, ccleaner, ad-aware, ...
à ce soir j'en suis à une bouteille de rosé, 20g de seita, 8 pastaga et 13 ongles rongés...
je vais tenter la méthode expliquée ci-dessus (pas le formatage oeuf corse) et voir ce que ça donne _________________ marre de tout ce bazar dans ce monde
|
|
|
Page 1 sur 1 |
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
|
|
|
|