Rapport suite à "boîte de dialogue pop-up"

[cuisine]

Bonjour

 

Depuis aujourd'hui, lorsque je me connecte sur Internet (modem RTC 56k, oui, je sais !), au bout de quelques minutes s'affiche une "boîte de dialogue" intitulée "Service Affichage des messages"

 

Voici son contenu :

<Message de MSOFT UPDATE à CUSTOMER le (date)

<

<Important Notice From MSOFT

<

<Buffer Overflow in Messenger Service Causes Unexpected Computer Shutdown, Virus <Infection and Remote Code Execution

<

<Affected Software

<(liste de tous les systèmes Windows)

<

<Your System IS affected, download the patch from the address below !

<FIRST TYPE THE URL BELOW INTO YOUR INTERNET BROWSER THEN CLICK 'OK'

<

<WWW.WUPDATE.NET

 

J'ai passé SpyBot mais rien trouvé

 

J'ai lancé HijackThis et voici mon rapport.

 

Logfile of HijackThis v1.99.1

Scan saved at 16:17:36, on 19/08/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

E:\PROGRA~1\AVGANT~1\avgamsvr.exe

E:\PROGRA~1\AVGANT~1\avgupsvc.exe

C:\Program Files\NavNT\DefWatch.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\NavNT\Rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\MsgSys.EXE

C:\WINNT\Explorer.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

E:\Program Files\e-Carte Bleue\ECB-CDE.exe

E:\PROGRA~1\AVGANT~1\avgcc.exe

C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE

E:\PROGRA~1\PRIMAX\POWERT~1\Pmxdetect.exe

C:\Program Files\NavNT\vptray.exe

E:\Program Files\iTunes\iTunesHelper.exe

E:\Program Files\QuickTime\qttask.exe

E:\Program Files\ZoneAlarm\zlclient.exe

C:\Program Files\iPod\bin\iPodService.exe

E:\PROGRA~1\AVGANT~1\avgemc.exe

E:\Program Files\Forfait\Count.exe

E:\Program Files\SpeedFan\speedfan.exe

E:\Program Files\Spybot\TeaTimer.exe

E:\Program Files\Money\System\urlmap.exe

E:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINNT\system32\BhoECart.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Program Files\Spybot\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - E:\Program Files\Money\System\mnyviewer.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [eCarteBleue-CDE-P3] E:\Program Files\e-Carte Bleue\ECB-CDE.exe /dontopenmycards

O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\AVGANT~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [MoneyStartUp10.0] "E:\Program Files\Money\System\Activation.exe"

O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE

O4 - HKLM\..\Run: [scan Detector] E:\PROGRA~1\PRIMAX\POWERT~1\Pmxdetect.exe

O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe

O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Zone Labs Client] E:\Program Files\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [AVG7_EMC] E:\PROGRA~1\AVGANT~1\avgemc.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] E:\Program Files\Spybot\TeaTimer.exe

O4 - Startup: Mon forfait.lnk = E:\Program Files\Forfait\Count.exe

O4 - Startup: speedfan.lnk = E:\Program Files\SpeedFan\speedfan.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - E:\Program Files\Money\System\mnyviewer.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo\YPager.exe

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {CAFECAFE-0013-0001-0014-ABCDEFABCDEF} (JInitiator 1.3.1.14) - http://oda2.horus-finance.com:8004/jinitiator/oajinit.exe

O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\PROGRA~1\AVGANT~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\AVGANT~1\avgupsvc.exe

O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\DefWatch.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\Rtvscan.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

 

 

Alors Docteur ?

 

Merci

[megataupe]

Ordonnance : démarrer/outils d'administration/services. Rechercher affichage des messages/double clic dessus puis choisir désinstaller/arrêter le service puis, redémarrer le PC.

 

Voir ensuite ici pour charger l'utilitaire virus Zotob Windows 2000 :

 

a-squared communique :

Les nouvelles variantes du Ver Mytob utilisent un point faible dans l'interface du Plug&Play de Windows, pour infecter le système de Windows. a-squared reconnait le Ver en tant que Net-Worm.Win32.Mytob.cd, Mytob.cf, Mytob.ch ainsi que le Trojan-Backdoor installé automatiquement sous le nom de Backdoor.Win32.IRCBot.et. Toutefois, souvent les médias utilisent le terme générique de Zotob-Worm.

 

Ce point faible concerne principalement Windows 2000, mais peut toutefois, être utilisé aussi avec les systémes de Windows XP et 2003 Serveurs de Microsoft. Les systèmes Windows 98 et ME ne sont pas concernés.

 

Le Ver télécharge un IRC Trojan-Backdoor de l'Internet, par lequel le PC contaminé pourra être pris en charge, c.à.d que le pirate aura le plein control de l'ordinateur.

 

Remède:

 

Assurez-vous que le Patch pour Windows avec le Numéro KB899588 soit installé dans votre systéme. Vous pouvez soit télécharger le Patch manullement chez Microsoft, ou soit vous servir du Windows-Update automatique.

 

KB899588: http://www.microsoft.com/france/technet/se...e/ms05-039.mspx

Windowsupdate: http://www.windowsupdate.com

 

Les utilisateurs de a-squared Free devraient faire absolument la mise à jour en ligne et scanner leur système, afin que le Ver puisse être supprimé après une infection.

 

Les utilisateur de a-squared Personal sont aussi protégés sans faire de mise à jour, puisque la nouvelle technologie IDS du gardien d'arrière-plan est intégrée, donc le ver sera immédiatement reconnu au moyen de l'analyse de comportement, aussitôt qu'il montrera un comportement nuisible.

http://www.emsisoft.net

554364[/snapback]