Dialer 'eros-1.exe' récalcitrant !!!

Le
MD
Bonjour

Depuis peu j'ai un spyware qui m'agace.
Il s'agit d'un dialer italien.
Il s'agit d'un .exe qui se nomme "eros-1.exe" et qui se met dans
C:WinntSystem32 et aussi sur le bureau et
ds le menu Démarrer.
Il me coupe la connexion pour tenter la sienne.

Ni les logiciels spécialisés (Spybot, Ad-Aware par exemple), ni mon
antivirus ne le décélent.

Pas de trace de celui ci dans regedit (la base de registre), ni dans les
fichiers système, de démarrage, les services accesssibles via msconfig.

Avez vous d'autres idées, des pistes ?

Avez vs eu ce dialer ?

Merci de me mettre sur une piste.
MD
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
JacK
Le #1470603
sur les news:c6ttl7$n8h$
MD
Bonjour

Depuis peu j'ai un spyware qui m'agace.
Il s'agit d'un dialer italien.
Il s'agit d'un .exe qui se nomme "eros-1.exe" et qui se met dans
C:WinntSystem32 et aussi sur le bureau et
ds le menu Démarrer.
Il me coupe la connexion pour tenter la sienne.

Ni les logiciels spécialisés (Spybot, Ad-Aware par exemple), ni mon
antivirus ne le décélent.

Pas de trace de celui ci dans regedit (la base de registre), ni dans
les fichiers système, de démarrage, les services ... accesssibles via
msconfig.

Avez vous d'autres idées, des pistes ?

Avez vs eu ce dialer ?

Merci de me mettre sur une piste.
MD


'lut,

HijackThis pour repérer l'intrus et le supprimer.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to anwer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(*0*)@ JacK

joke0
Le #1470594
Salut,

JacK:
HijackThis pour repérer l'intrus et le supprimer.


Ouaip.

Je mets un lien vers une mini-faq en cours de finition:

Merci pour les retours :-)
(par mail pour pas fagociter le fil)

--
joke0

MD
Le #1133383
j'avais cet utilitaire puissant, je l'ai utilisé, mais je ne vois pas trace
de mon dial .
Que faire ?


"joke0" news:
Salut,

JacK:
HijackThis pour repérer l'intrus et le supprimer.


Ouaip.

Je mets un lien vers une mini-faq en cours de finition:

Merci pour les retours :-)
(par mail pour pas fagociter le fil)

--
joke0



joke0
Le #1133652
Salut,

MD:
j'avais cet utilitaire puissant, je l'ai utilisé, mais je ne
vois pas trace de mon dial .


Publie le rapport ici ;-)

--
joke0

MD
Le #1470583
Merci c'est sympa, si tu peux m'expliquer ce que je dois garder ou pas.
voici le copie/coller du rapport :
-----------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 09:05:27, on 01/05/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINNTSystem32smss.exe
C:WINNTSYSTEM32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:Program FilesSygateSPFSmc.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:PROGRA~1EasyPHPApacheapache.exe
C:WINNTsystem32DRIVERSCDANTSRV.EXE
C:WINNTsystem32crypserv.exe
C:WINNTSystem32svchost.exe
C:PROGRA~1EasyPHPMySqlbinmysqld-nt.exe
C:PROGRA~1EasyPHPApacheapache.exe
C:WINNTsystem32regsvc.exe
C:WINNTsystem32MSTask.exe
C:WINNTsystem32stisvc.exe
C:Program FilesTrend MicroPC-cillin 9Tmntsrv.exe
C:WINNTSystem32WBEMWinMgmt.exe
C:WINNTSystem32mspmspsv.exe
C:WINNTsystem32svchost.exe
C:Program FilesTrend MicroPC-cillin 9PCCPFW.exe
C:WINNTExplorer.EXE
C:WINNTMixer.exe
C:WINNTsystem32JDBGMRG.EXE
C:Program FilesAlcatelSpeedTouch USBDragdiag.exe
C:WINNTSystem32Icon Text Manager.exe
C:Program FilesCard Readershwicon.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:Program FilesTrend MicroPC-cillin 9pccguide.exe
C:Program FilesTrend MicroPC-cillin 9PCCClient.exe
C:Program FilesTrend MicroPC-cillin 9Pop3trap.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:Program FilesSkypePhoneSkype.exe
C:WINNTNCLAUNCH.EXe
C:Program FilesPalmHOTSYNC.EXE
C:Program FilesTrend MicroPC-cillin 9WebTrap.EXE
C:Program FilesMailWasher ProMailWasher.exe
C:Program FilesFichiers communsRealUpdate_OBrealevent.exe
C:Program FilesOutlook Expressmsimn.exe
C:WINNTSystem32cisvc.exe
C:WINNTSystem32cidaemon.exe
C:HijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.wanadoo.fr/
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant about:blank
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak http://www.wanadoo.fr/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesAdobeAcrobat 5.0AcrobatActiveXAcroIEHelper.ocx
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} -
C:Program FilesPopup ManagerPopupMgr_1.0.1.8P.dll
O2 - BHO: (no name) - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:Program
FilesE-Book SystemsFlipAlbum 5 ProFpLaunch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINNTSystem32msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} -
C:PROGRA~1COPERN~1COPERN~1.DLL
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM..Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM..Run: [PMXInit] C:WINNTSystem32pmxinit.exe
O4 - HKLM..Run: [MSAdmin] C:WINNTsystem32JDBGMRG.EXE
O4 - HKLM..Run: [SpeedTouch USB Diagnostics] "C:Program
FilesAlcatelSpeedTouch USBDragdiag.exe" /icon
O4 - HKLM..Run: [Icon Text Manager] C:WINNTSystem32Icon Text
Manager.exe
O4 - HKLM..Run: [NeroCheck] C:WINNTsystem32NeroCheck.exe
O4 - HKLM..Run: [ShowIcon_The Company_USB Storage Device Ver. 1.3]
"C:Program FilesCard Readershwicon.exe" -t"The CompanyUSB Storage Device
Ver. 1.3"
O4 - HKLM..Run: [SmcService] C:PROGRA~1SygateSPFSmc.exe -startgui
O4 - HKLM..Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [RmbNotes] C:QnnORememberNotesRememberNotes.exe
SHOWPUBLIC
O4 - HKLM..Run: [CloneCDElbyCDFL] "C:Program FilesElaborate
BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 - HKLM..Run: [pccguide.exe] "C:Program FilesTrend MicroPC-cillin
9pccguide.exe"
O4 - HKLM..Run: [PCCClient.exe] "C:Program FilesTrend MicroPC-cillin
9PCCClient.exe"
O4 - HKLM..Run: [Pop3trap.exe] "C:Program FilesTrend MicroPC-cillin
9Pop3trap.exe"
O4 - HKLM..RunServices: [MSAdmin] C:WINNTsystem32JDBGMRG.EXE
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe"
/background
O4 - HKCU..Run: [Skype] "C:Program FilesSkypePhoneSkype.exe" /nosplash
/minimized
O4 - HKCU..Run: [NCLaunch] C:WINNTNCLAUNCH.EXe
O4 - Startup: HotSync Manager.LNK = C:Program FilesPalmHOTSYNC.EXE
O4 - Startup: MailWasherPro.lnk = C:Program FilesMailWasher
ProMailWasher.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOfficeOSA9.EXE
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
present
O8 - Extra context menu item: Chercher avec Copernic Agent - C:Program
FilesCopernic AgentWebSearchExt.htm
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .spop: C:Program FilesInternet
ExplorerPluginsNPDocBox.dll
O16 - DPF: Interface Chat Voila -
http://chat10.x-echo.com/version2/Applet/vchatsign.cab
O16 - DPF: Interface Chat Wanadoo -
http://chat14.x-echo.com/version3/Applet/wchatsign.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {4BEE3896-4820-48D1-85EA-5A9A9ECD3D95} (OPUCatalog Class) -
http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) -
http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37885.3083449074
O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} (IEAnimBehaviorFactory
Class) -
http://download.microsoft.com/download/vizact2000/Install/10/WIN98Me/EN-US/msorun.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} -
http://dload.ipbill.com/del/loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DD3641E5-A9CF-11D1-9AA1-444553540000} (Surround Video V3.0
Control Object) - http://www.sunterra.com/downloads/svh/svideo3.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings
Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) -
http://fdl.msn.com/public/chat/msnchat45.cab
O17 -
HKLMSystemCCSServicesTcpip..{A58ABC8B-E46E-48E7-97F5-8211D603CC06}:
NameServer = 80.10.246.130 80.10.246.3
------------------------------------------

"joke0" news:
Salut,

MD:
j'avais cet utilitaire puissant, je l'ai utilisé, mais je ne
vois pas trace de mon dial .


Publie le rapport ici ;-)

--
joke0



rm
Le #1470582

tue, avec ton gestionnaire de tâches, le process
C:WINNTsystem32JDBGMRG.EXE

puis vire cela:

O4 - HKLM..RunServices: [MSAdmin] C:WINNTsystem32JDBGMRG.EXE


et lis
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_DASMIN.B&VSect=T
pour d'autres investigations dans ton fichier hosts et compagnie ;-)

@+
--
rm
http://foxmail.free.fr

MD
Le #1470580
je ne suis pas sûr comme toi, car il s'agit d'un hoax (canular) !!!

"rm" news:rbme77r59we4.k0qk2x560t3w$

tue, avec ton gestionnaire de tâches, le process
C:WINNTsystem32JDBGMRG.EXE

puis vire cela:

O4 - HKLM..RunServices: [MSAdmin] C:WINNTsystem32JDBGMRG.EXE


et lis

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_DASMIN.B&VSect=T

pour d'autres investigations dans ton fichier hosts et compagnie ;-)

@+
--
rm
http://foxmail.free.fr



rm
Le #1470578

je ne suis pas sûr comme toi, car il s'agit d'un hoax (canular) !!!


oulalalala ;-) serais-je tombé dans le piège éculé du petit nounours...
je n'ai toutefois pas dis : efface le fichier JDBGMGR.EXE !
^^^
teste ta vue : [ JDBGMGR.EXE ] [ JDBGMRG.EXE ] !

d'autres virus s'amusent de la sorte avec des scvhost.exe au lieu de
svchost.exe...

@+
--
rm

MD
Le #1470576
qu'entends tu par teste ta vue ?
quelle manip doit on faire pour cela ?
Merci

"rm" news:

je ne suis pas sûr comme toi, car il s'agit d'un hoax (canular) !!!


oulalalala ;-) serais-je tombé dans le piège éculé du petit nounours...
je n'ai toutefois pas dis : efface le fichier JDBGMGR.EXE !
^^^
teste ta vue : [ JDBGMGR.EXE ] [ JDBGMRG.EXE ] !

d'autres virus s'amusent de la sorte avec des scvhost.exe au lieu de
svchost.exe...

@+
--
rm



Maltek
Le #1470575
"MD" a écrit:

je ne suis pas sûr comme toi, car il s'agit d'un hoax (canular) !!!


Le hoax mettait en cause jdbgmgr.exe, à ne pas supprimer bien que ce ne
soit pas utile pour beaucoup de monde.
Ton cheval de troie est jdbgmrg.exe (RG et pas GR en fin du nom), qui
utilise d'ailleurs la même icone : à supprimer

Publicité
Poster une réponse
Anonyme