Bonjour

Depuis peu j'ai un spyware qui m'agace.
Il s'agit d'un dialer italien.
Il s'agit d'un .exe qui se nomme "eros-1.exe" et qui se met dans
C:\Winnt\System32 et aussi sur le bureau et
ds le menu Démarrer.
Il me coupe la connexion pour tenter la sienne.

Ni les logiciels spécialisés (Spybot, Ad-Aware par exemple), ni mon
antivirus ne le décélent.

Pas de trace de celui ci dans regedit (la base de registre), ni dans les
fichiers système, de démarrage, les services ... accesssibles via msconfig.

Avez vous d'autres idées, des pistes ?

Avez vs eu ce dialer ?

Merci de me mettre sur une piste.
MD

sur les news:c6ttl7$n8h$1
MD <michel.demede> signalait:
[..]
> Pas de trace de celui ci dans regedit (la base de registre), ni dans
> les fichiers système, de démarrage, les services ... accesssibles via
> msconfig.
>
> Avez vous d'autres idées, des pistes ?
>
> Avez vs eu ce dialer ?
>
> Merci de me mettre sur une piste.
> MD

'lut,

HijackThis pour repérer l'intrus et le supprimer.

Salut,

JacK:
> HijackThis pour repérer l'intrus et le supprimer.

Ouaip.

Je mets un lien vers une mini-faq en cours de finition:
<URL:http://joke0.free.fr/ht!.html>

Merci pour les retours :-)
(par mail pour pas fagociter le fil)

j'avais cet utilitaire puissant, je l'ai utilisé, mais je ne vois pas trace
de mon dial .
Que faire ?


"joke0" <joke0_NOSWEN> a écrit dans le message de
news:oke0
[..]

Salut,

MD:
> j'avais cet utilitaire puissant, je l'ai utilisé, mais je ne
> vois pas trace de mon dial .

Publie le rapport ici ;-)

Merci c'est sympa, si tu peux m'expliquer ce que je dois garder ou pas.
voici le copie/coller du rapport :
-----------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 09:05:27, on 01/05/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\EasyPHP\Apache\apache.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\system32\crypserv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\EasyPHP\MySql\bin\mysqld-nt.exe
C:\PROGRA~1\EasyPHP\Apache\apache.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\WINNT\system32\JDBGMRG.EXE
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINNT\System32\Icon Text Manager.exe
C:\Program Files\Card Reader\shwicon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe
C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINNT\NCLAUNCH.EXe
C:\Program Files\Palm\HOTSYNC.EXE
C:\Program Files\Trend Micro\PC-cillin 9\WebTrap.EXE
C:\Program Files\MailWasher Pro\MailWasher.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realevent.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\cidaemon.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak =
http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} -
C:\Program Files\Popup Manager\PopupMgr_1.0.1.8P.dll
O2 - BHO: (no name) - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\Program
Files\E-Book Systems\FlipAlbum 5 Pro\FpLaunch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} -
C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\System32\pmxinit.exe
O4 - HKLM\..\Run: [MSAdmin] C:\WINNT\system32\JDBGMRG.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Icon Text Manager] C:\WINNT\System32\Icon Text
Manager.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ShowIcon_The Company_USB Storage Device Ver. 1.3]
"C:\Program Files\Card Reader\shwicon.exe" -t"The Company\USB Storage Device
Ver. 1.3"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers
communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program
Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RmbNotes] C:\QnnO\RememberNotes\RememberNotes.exe
SHOWPUBLIC
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate
Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin
9\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin
9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin
9\Pop3trap.exe"
O4 - HKLM\..\RunServices: [MSAdmin] C:\WINNT\system32\JDBGMRG.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe"
/background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
/minimized
O4 - HKCU\..\Run: [NCLaunch] C:\WINNT\NCLAUNCH.EXe
O4 - Startup: HotSync Manager.LNK = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Startup: MailWasherPro.lnk = C:\Program Files\MailWasher
Pro\MailWasher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel
present
O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program
Files\Copernic Agent\Web\SearchExt.htm
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet
Explorer\Plugins\NPDocBox.dll
O16 - DPF: Interface Chat Voila -
[url down]
O16 - DPF: Interface Chat Wanadoo -
[url down]
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
[url down]
O16 - DPF: {4BEE3896-4820-48D1-85EA-5A9A9ECD3D95} (OPUCatalog Class) -
[url down]
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) -
[url down]
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
http://v4.windowsupdate.microsoft.co...885.3083449074
O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} (IEAnimBehaviorFactory
Class) -
http://download.microsoft.com/downlo...-US/msorun.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} -
[url down]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {DD3641E5-A9CF-11D1-9AA1-444553540000} (Surround Video V3.0
Control Object) - http://www.sunterra.com/downloads/svh/svideo3.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings
Control) - http://lg.home.microsoft.com/search/...chsettings.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) -
http://fdl.msn.com/public/chat/msnchat45.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{A58ABC8B-E46E-48E7-97F5-8211D603CC06}:
NameServer = 80.10.246.130 80.10.246.3
------------------------------------------

"joke0" <joke0_NOSWEN> a écrit dans le message de
news:oke0
[..]

Le Sat, 1 May 2004 09:12:13 +0200, MD a écrit :

tue, avec ton gestionnaire de tâches, le process
C:\WINNT\system32\JDBGMRG.EXE

puis vire cela:

> O4 - HKLM\..\RunServices: [MSAdmin] C:\WINNT\system32\JDBGMRG.EXE

et lis
http://www.trendmicro.com/vinfo/viru...SMIN.B&VSect=T
pour d'autres investigations dans ton fichier hosts et compagnie ;-)

@+

je ne suis pas sûr comme toi, car il s'agit d'un hoax (canular) !!!

"rm" <ramon> a écrit dans le message de
news:wdlg
[..]

Le Sat, 1 May 2004 10:08:06 +0200, MD a écrit :

> je ne suis pas sûr comme toi, car il s'agit d'un hoax (canular) !!!

oulalalala ;-) serais-je tombé dans le piège éculé du petit nounours...
je n'ai toutefois pas dis : efface le fichier JDBGMGR.EXE !
^^^
teste ta vue : [ JDBGMGR.EXE ] [ JDBGMRG.EXE ] !

d'autres virus s'amusent de la sorte avec des scvhost.exe au lieu de
svchost.exe...

@+

qu'entends tu par teste ta vue ?
quelle manip doit on faire pour cela ?
Merci

"rm" <ramon> a écrit dans le message de
news:ddlg
[..]

"MD" a écrit:

>je ne suis pas sûr comme toi, car il s'agit d'un hoax (canular) !!!

Le hoax mettait en cause jdbgmgr.exe, à ne pas supprimer bien que ce ne
soit pas utile pour beaucoup de monde.
Ton cheval de troie est jdbgmrg.exe (RG et pas GR en fin du nom), qui
utilise d'ailleurs la même icone : à supprimer
<http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=13893>

Donc si je comprends bien, je peux détruite la ligne avec .....RG au
bout.
J'ai aussi détruit le fichier exe correspondant ds system32.

Par contre je ne touche à rien concernant les ligne où le fichier se finit
par ....GR
C'est bien cela?

Merci bcp en tout cas. J'espère que ça résoudra mon PB définitivement!
MD


"Maltek" <maltek> a écrit dans le message de
news:0n0u
[..]

Salut,

MD:
> Scan saved at 09:05:27, on 01/05/2004
> Platform: Windows 2000 SP3 (WinNT 5.00.2195)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Il me semble que ce n'est pas à jour. Fait un tour par windowsupdate.

> C:\WINNT\system32\JDBGMRG.EXE

A cocher.

> O4 - HKLM\..\Run: [MSAdmin] C:\WINNT\system32\JDBGMRG.EXE
> O4 - HKLM\..\RunServices: [MSAdmin] C:\WINNT\system32\JDBGMRG.EXE

A cocher.

> O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) -
> [..]

A cocher.

> O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} -
> [..]

A cocher.

> O16 - DPF: {DD3641E5-A9CF-11D1-9AA1-444553540000} (Surround Video V3.0
> Control Object) - [..]

A cocher.

Ensuite, tu fermes IE et OE, et tu cliques sur "Fix checked".

Puis, tu redémarre en mode sans échec (touche F8 au tout début du
chargement de win), choix "safe mode" ou "mode sans échec".

Tu navigues jusqu'à ton répertoire \system32 et tu vires eros-1.exe.

Ensuite, tu peux redémarrer normalement.

je te remercie bcp
j'ai mis de l'ordre en suivant tes conseils.
je vais voir si le système reste stable.
Merci encore
MD

"joke0" <joke0_NOSWEN> a écrit dans le message de
news:oke0
[..]