virus Win32.Nsag.a et Win32.bagle.Ax@mm
Forum Sécurité - Virus : virus Win32.Nsag.a et Win32.bagle.Ax@mm
Bonjour,
Dimanche, juste après avoir téléchargé les maj windows XP je me suis choppé plusieurs virus. A l'aide de divers scan j'ai réussi à en virer mais il me restait les 2 mentionnés en sujet.
J'ai refait un scan avec Bitdefender et j'ai pu localiser les virus dans ma partition de documents "D" où il n'y a aucun système. J'ai donc viré les doc en question et maintenant plus de trace de virus. Mais je reste perplexe!
1) comment se fait-il que des virus se placent dans cette partition que j'avais justement crée pour sauver mes documents en cas d'attaque
2) y-a t-il un lien avec le téléchargement des maj windows ou est-ce une coïncidence?
3) comment être sur qu'il n'y ait plus aucun risque auj, pas un petit vers qui va se réveiller....
Merci d'avance pour votre aide
Bonne soirée
Win32.Nsag.a et Win32.bagle.Ax@mm
Merci d'avance pour votre aide
bonne journée
Bonjour,
Ca sent le rootkit.
Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :
Clique sur le premier " Download " afin de télécharger le programme
Sauvegarde le sur ton Bureau
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next.
A la fin du scan, NE TOUCHE A RIEN !
Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Nous devons analyser ce rapport, ferme donc le BlackLight.
Poste le rapport sur le forum.
AIDE : Tuto sur BlackLight (Malekal)
Répondre à Angeldark
01/24/07 08:10:11 [Info]: BlackLight Engine 1.0.55 initialized
01/24/07 08:10:11 [Info]: OS: 5.1 build 2600 (Service Pack 1)
01/24/07 08:10:11 [Note]: 7019 4
01/24/07 08:10:11 [Note]: 7005 0
01/24/07 08:10:25 [Note]: 7006 0
01/24/07 08:10:25 [Note]: 7011 1744
01/24/07 08:10:25 [Note]: 7026 0
01/24/07 08:10:25 [Note]: 7026 0
01/24/07 08:10:25 [Note]: 7015 632
01/24/07 08:10:25 [Note]: 7015 5
01/24/07 08:10:25 [Note]: 7015 676
01/24/07 08:10:25 [Note]: 7015 5
01/24/07 08:10:43 [Note]: FSRAW library version 1.7.1021
01/24/07 08:14:08 [Note]: 2000 1012
Voici le rapport. Il me semble très court par rapport à ce que j'ai pu voir sur les autres sujets. Le scan aussi a été très rapide.
J'ai pourtant suivi la procédure à la lettre.
Merci pour votre aide et bonne journée
Re,
Rapport clean.
- Télécharge Hijackthis (de Merjin).
- Dézippe le dans un dossier ou sur ton bureau.
- Lance l'application.
- Choisis l'option "Do a system scan and save a logfile"
-- Le Bloc-Notes s'ouvre :
-> Edition / Sélectionner Tout
-> Edition / Copier
- Colle le rapport ici.
AIDE : Tuto sur Hijackthis (Malekal)
Répondre à Angeldark
Logfile of HijackThis v1.99.1
Scan saved at 17:04:49, on 24/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\pctspk.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Program Files\Dell\QuickSet\QuickSet.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
G:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = fti/tfyhp2h
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fnacphoto.com/ectelecha [...] Upload.ocx
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
C'est OK.
Quels sont les fichiers détectés ?
Répondre à Angeldark
| Angeldark a écrit : C'est OK.
|
Désolée mais je ne comprends pas la question?
Par contre les 2 derniers virus détectés comme je le disais plus haut se situaient dans la partition "D" (les autres étaient eux dans C/system32 je crois...)comment est-ce possible? je pense qu'ils étaient dans des dossiers zipés.
Quand on partitionne le disque dur c'est bien pour éviter les attaques sur nos dossiers non?
Ca ne semble pas étrange ça?
En tout cas merci pour ton aide et bonne soirée
Lors de la prochaine alerte.
Note l'emplacement du fichier.
Répondre à Angeldark
| Angeldark a écrit : Lors de la prochaine alerte.
|
Bonjour,
Bon il semblerait que depuis je n'ai pas de signe de virus et tant mieux!!!!! mais j'ai plusieurs dysfonctionnements quei m'interpelle.
1- je n'arrive plus à ouvrir live messenger ou même messenger tout court. J'ai même désinstallé et réinstallé, rien n'y fait
2- je n'arrive plus à acheter des billets en ligne par ex sur le site de la fnac. Il me met un message comme quoi je dois accepter les cookies. Mais d'une je n'ai rien fait pour les empêcher et de 2 j'essaie de baisser le niveau de sécurité de kaspersky mais rien n'y fait.
Si vous voyez d'où cela peut venir je suis à votre écoute.
Sinon j'envisage de résinstallé mon système mais là il y a toujours un risque!!! J'ai fait une image avec acronis mais je frémis toujours avant de faire ce genre de manip car j'ai déjà eu des mauvaises expériences avec ghost.
Il y a 2018 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
