Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

Virus Win32.NSAG.b

 

SECURITE : rubised, patsong et 105 utilisateurs inconnus
Ajouter une réponse
 

 
Page photos
 
 Mot :  Pseudo :  
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

Virus Win32.NSAG.b

Prévenir les modérateurs en cas d'abus 
dj-devo
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 02/08/2005 à 23:14:42  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Me revoilà avec d'autres problèmes sur le pc at home.
 J'ai vécu l'invasion en live sans rien pouvoir y faire,
 Kaspersky m'avertissant de l'intrusion de ce virus sans
 pour autant le supprimer lorsqu'il le proposait.
 Symptomes:
 PS GUARD qui veut m'aider malgré mes refus
 Page about blank sur IE
 Lorsque je tape une adresse sur la barre de recherche,
 le site www.dofinder.com prends le dessus mais affiche
 une page blanche.
 J'ai enfin réussi à me connecter en profitant du passage
 laisser par la mise à jour de ad-aware.
 Pfiou, c'est pas triste.
 Changement de mon fond d'écran par une pub pour spyware
 clique droit et propriétés sur le bureau n'affiche pas
 les paramètres de papier peint.
 Je dois en oublier, je vais scanner avec Hyjack et
 j'espère savoir revenir pour le poster.

 A bientot, peut-ètre.

 Dj Devo

dj-devo
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 02/08/2005 à 23:52:01  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Beaucoup de mal à revenir sur le net, j'ai du passer
 par l'aide en ligne de WORD, soit, voici le rapport Hyjack:

 Logfile of HijackThis v1.99.1
 Scan saved at 01:27:46, on 03/08/2005
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\csrss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\WINDOWS\system32\shnlog.exe
 C:\WINDOWS\popuper.exe
 C:\WINDOWS\SOUNDMAN.EXE
 C:\WINDOWS\ALCWZRD.EXE
 C:\WINDOWS\ALCMTR.EXE
 C:\WINDOWS\system32\igfxtray.e​xe
 C:\WINDOWS\system32\hkcmd.exe
 C:\WINDOWS\system32\rmctrl.exe
 C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
 C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
 C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
 C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
 C:\Program Files\Messenger\msmsgs.exe
 C:\WINDOWS\system32\ctfmon.exe
 C:\WINDOWS\system32\intmon.exe
 C:\WINDOWS\System32\GEARSec.ex​e
 C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
 C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\system32\wdfmgr.exe
 C:\WINDOWS\System32\alg.exe
 C:\WINDOWS\system32\wuauclt.ex​e
 C:\WINDOWS\system32\intmonp.ex​e
 C:\WINDOWS\explorer.exe
 C:\WINDOWS\system32\ZoneLabs\v​smon.exe
 C:\PROGRA~1\ZONELA~1\ZONEAL~1\​zlclient.exe
 C:\Documents and Settings\ALAIN\Mes documents\HijackThis.exe

 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Default_Page_URL = about:blank
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Default_Search_U​RL = http://www.oneclicksearches.com/search.php?qq=%1
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Search,SearchAssistan​t = http://www.oneclicksearches.com/search.php?qq=%1
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Search,CustomizeSearc​h = http://www.oneclicksearches.com/search.php?qq=%1
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Local Page = http://www.oneclicksearches.com/
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFF​FFFFFFA} - C:\WINDOWS\system32\hp67E1.tmp
 O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
 O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
 O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
 O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
 O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.e​xe
 O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
 O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.​exe
 O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
 O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
 O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
 O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
 O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
 O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe
 O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\​zlclient.exe
 O4 - HKLM\..\RunOnce: [AAW] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe" "+b1"
 O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFF​ICE11\EXCEL.EXE/3000
 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C5​71A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\​REFIEBAR.DLL
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O15 - Trusted IP range: 193.58.81.70
 O16 - DPF: FortisCzPc - https://www.fortisbanking.be/FortisCzPC.cab
 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0​A5519FF} (MsnMessengerSetupDownloadCont​rol Class) - http://messenger.msn.com/downl [...] loader.cab
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{35FD7E6C-196D-4230-9292-1​A1509AE66BD}: NameServer = 195.238.2.21 195.238.2.22
 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.d​ll
 O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.ex​e
 O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
 O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
 O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\v​smon.exe

 Voilà, merci à vous et bonne nuit

(Publicité)
gchris
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 03/08/2005 à 12:55:17  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
1/ Télécharge les outils suivants :

 PocketKillBox
 http://www.bleepingcomputer.co [...] illBox.zip
 Ensuite, tu le dézippes sur ton bureau.

 DelDomain.inf
 http://www.mvps.org/winhelp2002/restricted.htm
 clic droit / Enregistrer la cible sous... Mettre sur le bureau.

 CCleaner
 http://www.filehippo.com/download_ccleaner.html
 Installe le dans un répertoire dédié.

 Hoster
 http://www.funkytoad.com/download/hoster.zip
 Ensuite, tu le dézippes sur ton bureau.

 Smitfraud.reg
 http://www.bleepingcomputer.co [...] tfraud.reg
 Enregistre ce fichier sur ton bureau

 IMPORTANT:
 A partir de maintenant, tu fais toutes les corrections HORS CONNEXION. Imprime cette page.

 2 Assures-toi que tu as accès aux fichiers cachés :
 -Explorateur windows->outils->options des dossiers->affichage
 "Afficher les fichiers cachés"->coché
 "Masquer les extensions.."->décoché
 "Masquer les fichiers protégers du système"->décoché
 Puis Appliquer


 3 Désinstalle via le panneau de configuration -> Ajout/suppression des programmes : les programmes suivants (si tu les trouves):

 Security IGuard
 Virtual Maid
 Search Maid
 PSGuard
 AntivirusGold

 4 Double-clique sur Smitfraud.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner.
 Lorsque tu reçois un message du bon déroulement, supprime le fichier smitfraud.reg

 5 HijackThis -> Do a system scan only -> coche ces lignes :

 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Default_Page_URL = about:blank
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Default_Search_U​RL = http://www.oneclicksearches.com/search.php?qq=%1
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Search,SearchAssistan​t = http://www.oneclicksearches.com/search.php?qq=%1
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Search,CustomizeSearc​h = http://www.oneclicksearches.com/search.php?qq=%1
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Local Page = http://www.oneclicksearches.com/
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFF​FFFFFFA} - C:\WINDOWS\system32\hp67E1.tmp
 O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
 O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe
 O15 - Trusted IP range: 193.58.81.70

 Clique sur Fix Checked.
 ---

 6 Lance PocketKillBox, coche la case "Delete on reboot".

 Colle tout le contenu du texte suivant dans un fichier .texte que tu nommeras CODE.
 Ensuite tu fais Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

 



C:\wp.exe
 C:\wp.bmp
 C:\bsw.exe
 C:\Windows\sites.ini
 C:\Windows\popuper.exe
 C:\Windows\System32\helper.exe
 C:\Windows\System32\intmonp.ex​e
 C:\Windows\System32\msmsgs.exe
 C:\Windows\System32\ole32vbs.e​xe
 C:\Windows\system32\msole32.ex​e
 C:\WINDOWS\system32\hp7E46.tmp
 C:\WINDOWS\System32\shnlog.exe
 C:\WINDOWS\System32\intmon.exe
 C:\WINDOWS\system32\hookdump.e​xe
 C:\WINDOWS\system32\shnlog.exe
 C:\WINDOWS\ALCMTR.EXE




 Sur PocketKillBox -> File -> Paste from Clipboard, tu cliques ensuite sur la croix rouge
 Au deux messages qui vont s'afficher,tu réponds par "YES"

 6 Redémarre en mode sans echec Si tu ne sais pas comment faire, >>regarde ici<<.


 7 Supprime les dossiers suivants (si tu les trouves):

 C:\Program Files\Search Maid
 C:\Program Files\Virtual Maid
 C:\Windows\System32\Log Files
 C:\Program Files\Security IGuard
 C:\Program Files\PSGuard
 C:\Program Files\AntivirusGold

 8 Redémarre normalement

 9 Lance Hoster - Toadbee et clique sur " Restore original Hosts "

 10 Fais un clic droit le fichier Del_Domains.inf -->Installer

 11 Lance et exécute CCleaner

 12 Redémarre et poste un nouveau rapport hijackthis.
 -------------

 Télécharge SmitfraudFix.zip
 lance option 1.
 et colle le log généré.

dj-devo
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 03/08/2005 à 14:32:09  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Je ne saurai malheureusement pas faire ces manipulations, mon pc refusant catégoriquement de se connecter sur IE, de plus, je ne sais pas non plus démarrer en mode sans échec.
 Comme il s'agit d'une nouvelle installation suite à une surtension, je vais "ghoster".
 Que de temps perdu avec ces co*s qui n'ont que ça à faire.

 Merci encore pour l'aide, je te tiens informé.

 Alain

migos4
  1. Posté le 14/08/2005 à 14:56:15  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,

 Je viens de faire connaissance avec ce fabuleux virus appelé: win32.nsag.b.
 Après avoir fait marcher mon antivirus, utilisé plusieurs antispywares, impossible de virer ce virus. Heureusement je tombe sur ce forum et je découvre la marche à suivre pour nettoyer mon système de ce virus. j'aurais besoin d'un conseil pour savoir quelles sont les cases à cocher dans le log de HijackThis. Le reste de la manip ne montre pas de réelles complexités.
 Voici le rapport:

 edit : merci de ne pas coller ses rapports dans le sujet d'un autre

 Merci pour votre aide.
 Je vous tiendrai au courant du résultat.

(Publicité)
acktarus
  1. Posté le 15/08/2005 à 10:40:14  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut, ben voila, j'ai exactement le même problème que DJ Devo, mais je n'arrive pas a supprimer un fichier qui est en cours d'excécution, quelqu'un saurait-il m'aider?

 PS: Dois-je recréer un nouveau sujet?

quoi de neuf, Docteur ?
smilblick
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 15/08/2005 à 10:52:21  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 

Acktarus a écrit :

 Salut, ben voila, j'ai exactement le même problème que DJ Devo, mais je n'arrive pas a supprimer un fichier qui est en cours d'excécution, quelqu'un saurait-il m'aider?

 PS: Dois-je recréer un nouveau sujet?




 Prière de créer un sujet sans utiliser celui des autres !!!

acktarus
  1. Posté le 15/08/2005 à 12:59:54  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Ok, je préférais demander, je vais créer un nouveau sujet

(Publicité)
guruawk
  1. Posté le 20/08/2005 à 15:12:31  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:??: Oui Mais : Tout a bien marché sauf que je n'ai pas pu rebouter en mode sans echec sur mon portable écran bleu. Et de plus

 1) Il semble que PSGuard soit de conivence avec OLE??? que j'ai retrouvé dans wininet.dll. Bonjour la galère pour le remplacer celui la. Boot CD et tout le tintouin car killbox ne voulait rien savoir. (ou plutot ne fait rien)
 2) Il restait 2 clés que heureusement AD-Aware à vu.

 Sinon bravo pour la manip.


---------------
/.*/{}
 Page :
1

Aller à :
 

Sujets relatifs
Virus publicitaire virus trojant
virus ? Virus survival vbe
virus cybercriminalité Virus clavier et souris
Besoin d'aide, virus Virus qui fait des raccourcis sur les clés usb
virus gendarmerie  
Plus de sujets relatifs à : Virus Win32.NSAG.b

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
trojan downloader [Résolu] 2
trojano 1414 et mitglieder-m [Résolu] 16
infecté par NAIL.exe 5
supprimer nail.exe (aurora) 1
infecter par altnet, need2find et p2pnetworking 9