Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

Infection par nigerov.net, PSguard, etc... Nettoyage réussi?

 

2 utilisateurs anonymes
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

Infection par nigerov.net, PSguard, etc... Nettoyage réussi?

Prévenir les modérateurs en cas d'abus 
jool777
jool777
  1. Posté le 30/08/2005 à 08:23:11  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,

 J'ai été récemmment infecté par un spyware. Pour le décrire, j'ai tout d'abord eu un fond d'écran noir sur le bureau avec une proposition pour aller télécharger un antispyware. Internet explorer s'ouvrait automatiquement sur le site www.bestweblinks.com. J'ai pu y remédier en partie grâce à Ad-aware mais il subsistait ensuite un triangle jaune avec point d'exclamation dans la barre des tâches à droite (qui me renvoyait vers un site "antispyware" (spysheriff je pense ou PSguard), le fichier wininet.dll infecté et à l'extinction de l'ordinateur un message de fin de programme apparaissait concernant www.nigerov.net.

 Après avoir consulté les forums, j'ai commencé les premières étapes du nettoyage: j'ai utilisé ccleaner,  spybot, ewido, smitfraudfix.

 Par la suite, j'ai appris que wininet.dll était infecté par le virus virus.win32.nsag.b. J'ai utilisé copylock pour enlever le wininet.dll infecté et le remplacer par un valide.

 Apparemment je pense être débarassé du virus/spyware car rien d'anormal se manifeste. Mis à part qu'à l'allumage de l'ordi, j'ai ce message ( 3/4 fois d'affilée):

 Runner Error
 Invalid Backweb Application ID 1044199

 C'est par rapport à ma mise à jour automatique securitoo qui ne s'effectue plus, on retrouve une ligne concernant cela dans le rapport HI-jack.

 Il est à noter aussi que je ne suis jamais passé en mode sans échec pour effectuer ces opérations (copylock ayant réussi à remplacer wininet.dll infecté au redémarrage de l'ordi).

 Pouuvez-vous me confirmer si mon nettoyage a été efficace? Si je suis bien débarasser du spyware? J'ai édité un log hijack mais je ne sais pas l'interpreter entièrement.

 Pouvez-vous m'aider aussi concernant le message d'erreur à propos de la mise à jour automatique de securitoo?

 D'avance merci!

 Voici le log hijack:

 Logfile of HijackThis v1.99.1
 Scan saved at 22:17:21, on 29/08/2005
 Platform: Windows XP SP1 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\Apps\ActivBoard\nhksrv.exe
 C:\WINDOWS\Explorer.EXE
 C:\PROGRA~1\MOUSEW~1\SYSTEM\EM​_EXEC.EXE
 C:\Documents and Settings\jool\Bureau\antispywa​re\security suite\ewidoctrl.exe
 C:\Apps\ActivBoard\MMKeybd.exe
 C:\Program Files\QuickTime\qttask.exe
 C:\Program Files\Havas Medimedia\Communs\Vidal.exe
 C:\Documents and Settings\jool\Bureau\antispywa​re\security suite\ewidoguard.exe
 C:\Program Files\HP\hpcoretech\hpcmpmgr.e​xe
 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
 C:\Program Files\Common\FSM32.EXE
 C:\Program Files\Anti-Virus\fsgk32st.exe
 C:\Program Files\Securitoo AntiVirus\1044199\program\fsbw​sys.exe
 C:\Program Files\Anti-Virus\FSGK32.EXE
 C:\Apps\ActivBoard\TrayMon.exe
 C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
 C:\Program Files\Anti-Virus\fssm32.exe
 C:\Apps\ActivBoard\OSD.exe
 C:\WINDOWS\System32\nvsvc32.ex​e
 C:\WINDOWS\system32\slserv.exe
 C:\WINDOWS\System32\svchost.ex​e
 C:\Palm\HOTSYNC.EXE
 C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
 C:\Program Files\Common\FSMA32.EXE
 C:\Program Files\Common\FSMB32.EXE
 C:\Program Files\Common\FCH32.EXE
 C:\Program Files\Anti-Virus\fsav32.exe
 C:\Program Files\Common\FAMEH32.EXE
 C:\Program Files\DFW\Program\fsdfwd.exe
 C:\WINDOWS\System32\wuauclt.ex​e
 C:\WINDOWS\System32\HPZipm12.e​xe
 C:\WINDOWS\System32\wuauclt.ex​e
 C:\Documents and Settings\jool\Bureau\antispywa​re\HijackThis\HijackThis.exe

 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Default_Page_URL = about:blank
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Default_Search_U​RL = about:blank
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://www.google.fr/
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://www.msn.fr/
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Search,CustomizeSearc​h = about:blank
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\SearchURL,(Default) = about:blank
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Local Page = about:blank
 R1 - HKCU\Software\Microsoft\Window​s\CurrentVersion\Internet Settings,ProxyOverride = localhost
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A636​60E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.​DLL
 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7​942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.​dll
 O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-90523​6F6F655} - (no file)
 O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-00902​71D4F88} - (no file)
 O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B​4FF55D0} - (no file)
 O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C​9082467} - C:\WINDOWS\system32\msdxm.ocx
 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,​NvStartup
 O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
 O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM​_EXEC.EXE
 O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
 O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
 O4 - HKLM\..\Run: [vdlDeamon] C:\Program Files\Havas Medimedia\Communs\Vidal.exe
 O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.e​xe"
 O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
 O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Common\FSM32.EXE" /splash
 O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\TNB\TNBUtil.exe" /CHECKALL
 O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
 O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
 O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resou​rces\WebMenuImg.htm
 O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dl​l/cmsearch.html
 O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dl​l/cmbacklinks.html
 O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dl​l/cmcache.html
 O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INT​EGRATION_MENU_SEARCHEXT
 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Off​ice10\EXCEL.EXE/3000
 O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dl​l/cmsimilar.html
 O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D360​5EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.​EXE
 O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D360​5EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.​EXE
 O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4​F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.​EXE
 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F​0318AFE} - C:\WINDOWS\System32\Shdocvw.dl​l
 O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B5​8577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/ [...] cx/MDM.cab
 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04​F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840 [...] scan53.cab
 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0​A5519FF} (MsnMessengerSetupDownloadCont​rol Class) - http://messenger.msn.com/downl [...] loader.cab
 O16 - DPF: {F00F4763-7355-4725-82F7-0DA94​A256D46} (IMDownloader Class) - http://www2.incredimail.com/co [...] loader.cab
 O16 - DPF: {FD40EC41-D860-4579-8BA4-52671​A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{0F582ACC-2FCA-47E9-9637-1​2098562C571}: NameServer = 192.168.0.1
 O17 - HKLM\System\CS1\Services\Tcpip​\..\{0F582ACC-2FCA-47E9-9637-1​2098562C571}: NameServer = 192.168.0.1
 O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\1044199\P​rogram\SERVIC~1.EXE
 O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\jool\Bureau\antispywa​re\security suite\ewidoctrl.exe
 O23 - Service: ewido security suite guard - ewido networks - C:\Documents and Settings\jool\Bureau\antispywa​re\security suite\ewidoguard.exe
 O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Anti-Virus\fsgk32st.exe
 O23 - Service: FireDaemon Service: fah1 (fah1) - Unknown owner - C:\Program Files\FireDaemon\FireDaemon.ex​e (file missing)
 O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Common\FSAA.EXE (file missing)
 O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo AntiVirus\1044199\program\fsbw​sys.exe
 O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\DFW\Program\fsdfwd.exe
 O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Common\FSMA32.EXE
 O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure\fswsclds.exe
 O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
 O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.ex​e
 O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.e​xe
 O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
 O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe




camarchepo
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 30/08/2005 à 12:16:50  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
[:-stan-:1] as tu lu les règles du forum ??? [:45phh:2]

 >"Après avoir créer votre sujet, attendez que l'on vous demande soit une analyse anti-virale, soit un rapport hitjackthis ou soit telle procédure à exécuter."

 "Tout sujet ne respectant pas cette règle, sera systématiquement fermé."

(Publicité)
 Page :
1

Aller à :
 

Sujets relatifs
saloperie de psguard Infection fichiers detectés par Norton [Résolu]
[reglé] infection psguard infection par aurora et agent.ay
infection par aurora et trojan agent.ay Infection par swizzor.co
Cherch Confirmation Nettoyage HiJackThis infection virus
grosse infection trojan dans win 32 et spyware [Résolu] infection tenace !!!
Plus de sujets relatifs à : Infection par nigerov.net, PSguard, etc... Nettoyage réussi?

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
Win32.Trojan.Agent.cs 1
page about:blank 9
aidez moi je sui nulle!! 2
brtyjexx.exe 1
trojan brtyjeex.exe 1