Tom's Guide > Forum > Sécurité - Virus > Virus Warezov-CNX
Virus Warezov-CNX - Sécurité - Virus
TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Répondre
Mot :    Pseudo :           
 
armartlot   10-11-2007 à 12:04:21

Salut à Tous,
J'ai chopé un Warezov-CNX, même avec Avast, sur Vista Familiale Premium. Voici le dump de Hijackthis. Merci de votre aide pour en sortir !!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:54:23, on 10/11/2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\sttray.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\System32\duseusrc.exe
C:\Program Files\DAP\DAP.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\musicMe\musicMe.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Musique\Documents\Downloads\noadware.exe
C:\Users\Musique\AppData\Local\Temp\is-S0IA9.tmp\noadware.exe.tmp
C:\Users\Musique\Documents\Downloads\noadware.exe
C:\Users\Musique\AppData\Local\Temp\is-AO8NO.tmp\noadware.exe.tmp
C:\Program Files\NoAdware5.0\NoAdware5.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Windows\system32\conime.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/i [...] .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/i [...] .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [LaunchList] C:\Program Files\Pinnacle\MediaCenter\LaunchList.exe
O4 - HKLM\..\Run: [duseusrc] c:\windows\system32\duseusrc.exe
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} (Module de délivrance de certificat MINEFI) - https://static.impots.gouv.fr/abos/ [...] rtdgi1.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 6717 bytes

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
Angeldark   10-11-2007 à 12:27:19
- 0 +

Bonjour,

Quel emplacement ?

------------------------------ Prévention & Protection||Vous m'aimez ? Cliquez :o
 Répondre à Angeldark
armartlot   10-11-2007 à 12:38:45
- 0 +

Je ne comprends pas la question ?????
Précisez, SVP :)

Répondre à armartlot
Angeldark   10-11-2007 à 13:06:08
- 0 +

Quel est l'emplacement de l'infection (C:\...\bidule.exe) ?

------------------------------ Prévention & Protection||Vous m'aimez ? Cliquez :o
 Répondre à Angeldark
armartlot   10-11-2007 à 14:15:27
- 0 +

Le Chemin est : C:\Users\XXXXX\AppData\Local\Temp\xxx.tmp
XXXX = Le nom d'un user du systeme, le pb existe avec tous les users
xxxx = nom d'un fichier tmp, différent à chaque fois.
Merci de ton aide

Répondre à armartlot
Angeldark   10-11-2007 à 14:41:33
- 0 +

Passe un coup d'ATFCleaner pour voir.

------------------------------ Prévention & Protection||Vous m'aimez ? Cliquez :o
 Répondre à Angeldark
armartlot   10-11-2007 à 18:14:44
- 0 +

Je viens de le faire en virant zvec ATFcleaner tous les Temp, cookies et autres, mais j'ai toujours des alertes Warezov-CNX.........

Répondre à armartlot
Angeldark   10-11-2007 à 18:17:31
- 0 +

Ok :)

Télécharge Clean.zip (de Malekal),
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.

------------------------------ Prévention & Protection||Vous m'aimez ? Cliquez :o
 Répondre à Angeldark
armartlot   10-11-2007 à 20:44:33
- 0 +

Désolé, mais quand je lance cet outil, j'ai un 'accès refusé' général à toutes les actions que tente Clean.cmd, puis à la fin 'Le fichier spécifié introuvable'. J'ai fermé la fenêtre de type DOS après 10mn. Pas de rapport en retour donc.....

Répondre à armartlot
Angeldark   11-11-2007 à 13:25:43
- 0 +

C'est à cause de Vista. Scan le fichier chez VirusTotal puis poste le rapport Hijackthis :
c:\windows\system32\duseusrc.exe

------------------------------ Prévention & Protection||Vous m'aimez ? Cliquez :o
 Répondre à Angeldark
armartlot   11-11-2007 à 17:08:40
- 0 +

Et voilà le rapport de VirusTotal :

Fichier duseusrc.exe reçu le 2007.11.11 17:00:59 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 23/32 (71.88%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.11.10.0 2007.11.09 Win32/Stration.worm.Gen
AntiVir 7.6.0.34 2007.11.09 WORM/Stration.Gen
Authentium 4.93.8 2007.11.10 -
Avast 4.7.1074.0 2007.11.10 -
AVG 7.5.0.503 2007.11.11 I-Worm/Stration
BitDefender 7.2 2007.11.11 Worm.Warezov.PU
CAT-QuickHeal 9.00 2007.11.10 I-Worm.Warezov.tc
ClamAV 0.91.2 2007.11.11 -
DrWeb 4.44.0.09170 2007.11.11 Win32.HLLM.Limar.2221
eSafe 7.0.15.0 2007.11.08 Win32.Warezov.tc
eTrust-Vet 31.2.5284 2007.11.09 -
Ewido 4.0 2007.11.11 -
FileAdvisor 1 2007.11.11 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.10 W32/Heuristic-162!Eldorado
F-Secure 6.70.13030.0 2007.11.10 Email-Worm.Win32.Warezov.tc
Ikarus T3.1.1.12 2007.11.11 Trojan-Dropper.Win32.Agent.afq
Kaspersky 7.0.0.125 2007.11.11 Email-Worm.Win32.Warezov.tc
McAfee 5160 2007.11.09 New Malware.n
Microsoft 1.3007 2007.11.11 Trojan:Win32/Stration.gen!dr
NOD32v2 2652 2007.11.11 -
Norman 5.80.02 2007.11.09 W32/Agent.CZSZ
Panda 9.0.0.4 2007.11.10 W32/Spamta.ADC.worm
Prevx1 V2 2007.11.11 W32.MALWARE.GEN
Rising 20.17.62.00 2007.11.11 Worm.Mail.Win32.Warezov.tc
Sophos 4.23.0 2007.11.11 Mal/Packer
Sunbelt 2.2.907.0 2007.11.09 VIPRE.Suspicious
Symantec 10 2007.11.11 -
TheHacker 6.2.9.123 2007.11.10 W32/Behav-Heuristic-060
VBA32 3.12.2.4 2007.11.11 MalwareScope.Worm.Warezov.1
VirusBuster 4.3.26:9 2007.11.11 Packed/Upack
Webwasher-Gateway 6.0.1 2007.11.11 Worm.Stration.Gen
Information additionnelle
File size: 55151 bytes
MD5: cbeaaf089d93bff254257ba794de0ec1
SHA1: 27393dbb9b058c5e97c5fbbfba67c8a81f3d66be
packers: UPack
packers: PE_Patch, UPack
Prevx info: http://fileinfo.prevx.com/fileinfo [...] 006ED928A8
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Répondre à armartlot
Angeldark   11-11-2007 à 19:10:10
- 0 +

Supprime le fichier :)

------------------------------ Prévention & Protection||Vous m'aimez ? Cliquez :o
 Répondre à Angeldark
armartlot   11-11-2007 à 19:26:46
- 0 +

J'ai besoin d'une autorisation pour deleter le fichier. Ma session a pourtant des droits administrateurs, mais je ne peux pas le deleter......

Répondre à armartlot
Angeldark   11-11-2007 à 19:28:09
- 0 +

Tu as essayé en sans échec ?

------------------------------ Prévention & Protection||Vous m'aimez ? Cliquez :o
 Répondre à Angeldark
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > Virus Warezov-CNX
Aller à :

Il y a 1896 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,341 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens