Fichier suspect detecte
andre
-
andre -
andre -
bonjour a tous,
lorsque je suis en connection msn après environ 5 minutes apparait ceci: flash music love you and ( un coeur clignotant ) me et un lien internet http//www.haibatrung.info/play.exe j'ai vérifié avec ad-aware, adaware away,cwshreder,hijackthis,avast,spybot et... tous le trouve et le supprime et malgré ca il revient vous trouvereZ ca sur la ligne F2 du log ci-dessous et une ligne 04 associée qui n'apparrait que lorsque je redemarre le pc. Le pc fonctionne sans soucis, connect et page de demmarrage no problème mais c'est asser génant car j'ai peur d'un clic par mégarde sur ce truc qui non seulement comme vous l'avez lu est un executable mais en plus detecte comme suspect
merci de vous pencher sur ce soucis
Logfile of HijackThis v1.99.0
Scan saved at 10:29:30, on 20/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\SPOOLSV.EXE
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\klum\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.fr.msn.be/0SEFRBE/SAOS01
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SPOOLSV.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administration IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Publication FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Simple Mail Transfer Protocol (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service SNMP - Unknown - C:\WINDOWS\System32\snmp.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publication World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
andre rescape vx2
lorsque je suis en connection msn après environ 5 minutes apparait ceci: flash music love you and ( un coeur clignotant ) me et un lien internet http//www.haibatrung.info/play.exe j'ai vérifié avec ad-aware, adaware away,cwshreder,hijackthis,avast,spybot et... tous le trouve et le supprime et malgré ca il revient vous trouvereZ ca sur la ligne F2 du log ci-dessous et une ligne 04 associée qui n'apparrait que lorsque je redemarre le pc. Le pc fonctionne sans soucis, connect et page de demmarrage no problème mais c'est asser génant car j'ai peur d'un clic par mégarde sur ce truc qui non seulement comme vous l'avez lu est un executable mais en plus detecte comme suspect
merci de vous pencher sur ce soucis
Logfile of HijackThis v1.99.0
Scan saved at 10:29:30, on 20/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\SPOOLSV.EXE
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\klum\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.fr.msn.be/0SEFRBE/SAOS01
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SPOOLSV.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administration IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Publication FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Simple Mail Transfer Protocol (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service SNMP - Unknown - C:\WINDOWS\System32\snmp.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publication World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
andre rescape vx2
A voir également:
- Fichier suspect detecte
- Fichier bin - Guide
- Fichier epub - Guide
- Fichier rar - Guide
- Comment réduire la taille d'un fichier - Guide
- Fichier .dat - Guide
5 réponses
re,
j'ai continué mes investigation et il sagit bien d'un virus qui infecte msn, d'origine vietnamienne et qui vous envoie de la musique cambodgienne a répétition
inutile de dire de ne pas ouvrir le lien a moins d'etre amateur de sushi
ewido serait proposé ds google mais par prudence ce serait sympa si qqe pouvait me dire si il connait
merci
andre, rescape vx2
j'ai continué mes investigation et il sagit bien d'un virus qui infecte msn, d'origine vietnamienne et qui vous envoie de la musique cambodgienne a répétition
inutile de dire de ne pas ouvrir le lien a moins d'etre amateur de sushi
ewido serait proposé ds google mais par prudence ce serait sympa si qqe pouvait me dire si il connait
merci
andre, rescape vx2
salut andré
Quelques soucis on dirait ?
fais analyser le fichier en question ici:
http://www.virustotal.com/xhtml/virustotal_en.html
clic sur parcourir, selectionne le fichier, valide et clic sur send
C:\WINDOWS\SPOOLSV.EXE
ne confond pas avec le bon spoolsv situé dans C:\WINDOWS\System32
poste ici le résultat d'analyse.
a++
Quelques soucis on dirait ?
fais analyser le fichier en question ici:
http://www.virustotal.com/xhtml/virustotal_en.html
clic sur parcourir, selectionne le fichier, valide et clic sur send
C:\WINDOWS\SPOOLSV.EXE
ne confond pas avec le bon spoolsv situé dans C:\WINDOWS\System32
poste ici le résultat d'analyse.
a++
salut andré
dsl, j'ai du repartir bosser
essaye ici pour scanner le fichier :
http://virusscan.jotti.org/
je sais bien qu'il est infecté, mais j'aimerais connaitre son nom, histoire de voir d'apres les bases de données des av s'il est venu seul ou avec quelques amis, lol
a+
dsl, j'ai du repartir bosser
essaye ici pour scanner le fichier :
http://virusscan.jotti.org/
je sais bien qu'il est infecté, mais j'aimerais connaitre son nom, histoire de voir d'apres les bases de données des av s'il est venu seul ou avec quelques amis, lol
a+
merci c'etait delicieux!!
donc j'ai utilisé ewido et plus de soucis sur msn. Je sais pas si tu connais je le laisse tourner en surveillance il ne semble poser aucun probleme si ce n'est que les pages net s'affiche plus lentement mais c'est de l'ordre de la seconde pas plus
ce virus semble nouveau venu ds notre paysage si je me trompe pas?
merci pour ta collaboration
donc j'ai utilisé ewido et plus de soucis sur msn. Je sais pas si tu connais je le laisse tourner en surveillance il ne semble poser aucun probleme si ce n'est que les pages net s'affiche plus lentement mais c'est de l'ordre de la seconde pas plus
ce virus semble nouveau venu ds notre paysage si je me trompe pas?
merci pour ta collaboration
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
oui, je connais ewido
Pemière fois que je le vois celui là, on va surement pas tarder à le voir de plus en plus sur le forum.
lol, apparement tu as essuyé les platres
a+
Pemière fois que je le vois celui là, on va surement pas tarder à le voir de plus en plus sur le forum.
lol, apparement tu as essuyé les platres
a+
re,
dsl de pas t'avoir repondu hier soir me suis endormi sur le clavier depuis j'ai rjehgpsbbakkkuccn ecrit sur la tronche
moi aussi je pense que ewido va connaitre sont petit succes d'autant qu'il est asser sympatique et tres simple d'utilisation je l'ai laissé en sentinelle pour voir il est tellement discret que on en oublierait presque que tu as un anti-virus
je pense que ca vaut la peine de l'essayer et de le conseiller du moins pour eradiquer le bol de rizz que j'ai eu
ceci dit je suis un peu etonne que hijack ne le supprimais pas
tu as une idée la dessus?
andre rescapé vx2
dsl de pas t'avoir repondu hier soir me suis endormi sur le clavier depuis j'ai rjehgpsbbakkkuccn ecrit sur la tronche
moi aussi je pense que ewido va connaitre sont petit succes d'autant qu'il est asser sympatique et tres simple d'utilisation je l'ai laissé en sentinelle pour voir il est tellement discret que on en oublierait presque que tu as un anti-virus
je pense que ca vaut la peine de l'essayer et de le conseiller du moins pour eradiquer le bol de rizz que j'ai eu
ceci dit je suis un peu etonne que hijack ne le supprimais pas
tu as une idée la dessus?
andre rescapé vx2
