Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Spyboy me trouve FunWebProducts

caro

Par caro
dans Analyses et éradication malwares

 Partager

Messages recommandés

ZoX' Power Member

ZoX'

Posté(e)
Posté(e) (modifié)

Eh bien il te suffit d'aller au clé correspondante et de les supprimer.

 

As-tu un autre logiciel Anti-spyware qui te détecte ces clé?Comme ça tu pourrait les supprimer avec.

 

Edit: Tu pourrais aussi utiliser un programme tel que regcleaner ou EasyCleaner en faisant un scan registre...Ou encore Ewido qui je trouve est parfait pour déceler les malwares dans le registre :P

Modifié par ZoX'
Lien vers le commentaire
Partager sur d’autres sites
Yannick™ Mega Power Member

Yannick™

Posté(e)
Posté(e)
Bonjour,

J'ai besoin de votre aide pour le problème suivant :

Spybot trouve FunWebProducts, mais n'arrive pas à le supprimer même après un redémarrage comme il me propose.

Comment faire pour l'enlever?

Merci

 

mini_FunWP.jpg

556629[/snapback]

 

Salut Caro,

 

Alors je te conseille de lire CECI et d'appliquer ce qu'il ai demandé ! tu retrouvera un pc tout beau :P

 

tiens nous au courent

Lien vers le commentaire
Partager sur d’autres sites
caro Power Member

caro

Posté(e)
  • Auteur
Posté(e)
Eh bien il te suffit d'aller au clé correspondante et de les supprimer.

 

c'est ce que je pensais mais je n'osais pas le faire sans un avis

 

As-tu un autre logiciel Anti-spyware qui te détecte ces clé?

 

j'utilise RegCleaner, mais il ne supprime pas ces 4 clés

Lien vers le commentaire
Partager sur d’autres sites
ZoX' Power Member

ZoX'

Posté(e)
Posté(e) (modifié)

Je pense que Ewido serait la solution mais tu dois le télécharger si tu ne l'a pas encore sinon ce que je ferais c'est que j'irais supprimer les clé manuellement mais c'est vrai que c'est délicat

 

Poste un rapport hijackthis, il est surement possible de supprimer ce spyware via ton log

Modifié par ZoX'
Lien vers le commentaire
Partager sur d’autres sites
caro Power Member

caro

Posté(e)
  • Auteur
Posté(e)

merci Yannick : j'ai déjà fait le grand nettoyage que tu proposes il y a environ 2 semaines. je voudrais éviter de refaire toutes ces manip si c'est pas nécessaire.

 

merci à toi aussi ZoX'

je pense arriver à supprimer les 4 clés dans la base de registre (si je crée 1 point de restauration avant, il n'y a pas trop de risque de me tromper?)

 

je ne touche à rien pour le moment, voici d'abord mon log :

 

Logfile of HijackThis v1.99.1

Scan saved at 15:36:28, on 22/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\mHotkey.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Winamp\Winampa.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\ntvdm.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

c:\progra~1\mcafee.com\vso\mcvsftsn.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [LDM] \Program\

O4 - Startup: Pense-bête.lnk = C:\Program Files\Mindscape\PrintMaster\PMREMIND.EXE

O4 - Startup: Registration-InstantCopy.lnk = C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...83/mcinsctl.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,20/mcgdmgr.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.bellapix.com/XUpload.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{338E0F1F-FF4F-474C-B310-BFAEA1B34966}: NameServer = 80.10.246.1 80.10.246.132

O17 - HKLM\System\CS1\Services\Tcpip\..\{338E0F1F-FF4F-474C-B310-BFAEA1B34966}: NameServer = 80.10.246.1 80.10.246.132

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe

O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Lien vers le commentaire
Partager sur d’autres sites
ZoX' Power Member

ZoX'

Posté(e)
Posté(e) (modifié)

mspmspv.exe is a process that belongs to the Chum-A Trojan. The process copies itself to the Windows system folder. It uses the IRC network to allow an attacker to access the infected computer. This program is a registered security risk and should be removed immediately. If found on your system make sure that you have downloaded the latest update for your antivirus application..

 

Tu as donc un trojan dans ton pc...Pour le moment voilà l'analyse de ton log

 

Fixe ces lignes :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKCU\..\Run: [LDM] \Program\

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...83/mcinsctl.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,20/mcgdmgr.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.bellapix.com/XUpload.ocx

 

Voilà mais en fait je ne crois pas qu'il y aie des lignes trop infectueuses sauf erreur de ma part. En tout cas ce mspmspv.exe est un virus, As-tu un Fire wall, Quel Antivirus as-tu?

 

 

Edit :

Quel Antivirus as-tu?

 

Question idiote, McAfee bien sur

Modifié par ZoX'
Lien vers le commentaire
Partager sur d’autres sites
megataupe Godlike Member

megataupe

Posté(e)
Posté(e) (modifié)

Bonjour ZoX, bonjour Caro. Une info de Sophos sur cet mspmspv.exe. Il faudra penser à nettoyer la BDR après nettoyage du PC :P .

 

 

Troj/Chum-A se copie dans le dossier système Windows sous le nom de fichier

mspmspv.exe et, pour que le cheval de Troie s'exécute à l'ouverture d'une session utilisateur sur Windows, paramètre les entrées de registre suivantes :

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

LangSupportEx

mspmspv.exe

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

LangSupportEx

mspmspv.exe

 

edit : Attention de ne pas confondre avec celui-là qui lui est légitime :

 

Information On MsPMSPSv.exe

 

Windows Media Player Service- MsPMSPSv.exe

 

mspmspsv.exe is a process which normally comes with a specific update of Windows Media player. It allows for the SDMI protocol (Secure Digital Music Initiative) to be used during dealing with music media. This is a non-essential process. Disabling or enabling this is down to user preference

 

This service can be turned off by: START > RUN > services.msc > disable "WMDM PMSP Service".

Modifié par megataupe
Lien vers le commentaire
Partager sur d’autres sites
ZoX' Power Member

ZoX'

Posté(e)
Posté(e) (modifié)

Merci pour tes info megataupe, je n'ai même pas penser a allé sur Sophos :P Heureusement que megataupe veille :P. Caro je suis en train de faire quelques recherches pour te débarasser de tout ça mais je crois que tu devra passer par La procédure de pré-nettoyage même si c'est long c'est indispensable...

 

edit : Attention de ne pas confondre avec celui-là qui lui est légitime :

 

Information On MsPMSPSv.exe

 

Oups je crois que j'ai fait une erreur (il faut dire qu'a un caractère près...).En tout cas tu as quand même un spyware mais ton log est donc propre...Pour voir si un de tes processus est infectueux je te conseille MalWhere qui est un petit soft gratuit et très pratique (en Anglais)

Modifié par ZoX'
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...