PSW-Bispy A et B

salut
"rhodes38" <rhodes38@free.fr> a écrit dans le message news:
40805516$0$21157$626a14ce@news.free.fr

Ce matin AVG6.0 a détecté un virus nommé PSW.BispyA et B
C:WINDOWSSYSTEMA.EXE is a security risk or a "backdoor" program
File deleted

pour ce truc, c'est réglé... y a pu

Qui a une idée de tout cà. Virus et n-Case sont ils liés????
amitiés surfantes

n-case est une saloperie, sans doute installée avec (en même temps) qu'un
logiciel "légitime" (kazaa, morpheus, un truc gratuit avec de la pub, ...)

/! tu as peut être récupéré ce truc à cause de réglages trop laxistes dans
ton IE

http://www.pchell.com/support/ncase.shtml

y a peut être une entrée dans "ajout | suppression de programmes" pour virer
"proprement" cette verrue

bon courage

@tchao
--
FAQ du forum fr.comp.securite.virus :
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html

Ensuite ce soir quand j'ai rallumé mon ordi un msg d'alerte:
"n-Case Alert"

http://support.microsoft.com/?kbid20162

Antilles

Salut,

rhodes38:

Ce matin AVG6.0 a détecté un virus nommé PSW.BispyA et B

Bizarrement, chez KAV les TrojanSpy.Win32.BiSpy.* sont passés en
not-a-virus:AdvWare.BiSpy.*. Vraiment étrange :-/

C:WINDOWSSYSTEMA.EXE is a security risk or a "backdoor"
program File deleted

On dirait bien un TrojanSpy.Win32.Briss.*. Justement, les
bestioles de cette famille ont la particularité de télécharger
nCase (alias 180solutions).

Ensuite ce soir quand j'ai rallumé mon ordi un msg d'alerte:
"n-Case Alert"

Soit il a eu le temps de le télécharger soit le trojan
publicitaire est toujours actif. Tu devrais nous fournir un
rapport HijackThis! pour éclaircir tout ça.

Modifie aussi tes réglages de sécurité d'IE (passage en moyen ou
fort).

Télécharge Hijack This! et fait un scan de ton PC:
<http://www.spywareinfo.com/~merijn/downloads.html>
Ensuite demande un rapport et publie-le ici.

--
joke0

"joke0" <joke0_NOSWEN@tiscali.fr> a écrit dans le message de
news:XnF94CE4369C182joke0@127.0.0.1...

Salut,

rhodes38:

Ce matin AVG6.0 a détecté un virus nommé PSW.BispyA et B
Ensuite demande un rapport et publie-le ici.

joke0

Voiçi le rapport:
Logfile of HijackThis v1.97.7
Scan saved at 07:17:49, on 17/04/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:PROGRAM FILESGRISOFTAVG6AVGSERV9.EXE
C:WINDOWSEXPLORER.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:PROGRAM FILESGRISOFTAVG6AVGCC32.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:PROGRAM FILESOUTCLOCKOUTCLOCK.EXE
C:PROGRAM FILESOUTLOOK EXPRESSMSIMN.EXE
C:WINDOWSSYSTEMPSTORES.EXE
C:WINDOWSBUREAUHIJACKTHIS.EXE

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.google.fr/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Microsoft
Internet Explorer
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} -
C:PROGRA~1STARDO~1SDIEINT.DLL
O2 - BHO: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:PROGRAM
FILESADOBEACROBAT 5.0READERACTIVEXACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHELPER.DLL (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program
filesgooglegoogletoolbar1.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} -
C:WINDOWSDOWNLOADED PROGRAM FILESBRIDGE.DLL
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} -
C:WINDOWS2_0_1browserhelper2.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSYSTEMMSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
O4 - HKLM..Run: [TaskMonitor] C:WINDOWStaskmon.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [CXMon] "C:Program FilesHewlett-PackardPhotoSmartPhoto
ImagingHpi_Monitor.exe"
O4 - HKLM..Run: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..Run: [AVG_CC] C:PROGRA~1GRISOFTAVG6avgcc32.exe /STARTUP
O4 - HKLM..Run: [WT GameChannel] C:Program
FilesWildTangentAppsGameChannel.exe
O4 - HKLM..Run: [Disc Detector] C:Program
FilesCreativeShareDLLCtNotify.exe
O4 - HKLM..Run: [systray] C:WINDOWSSYSTEMA.EXE
O4 - HKLM..Run: [msbb] c:windowstempmsbb.exe
O4 - HKLM..Run: [fwjsd] C:WINDOWSfwjsd.exe
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [Avgserv9.exe]
C:PROGRA~1GRISOFTAVG6Avgserv9.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:Program FilesMicrosoft
OfficeOfficeFINDFAST.EXE
O8 - Extra context menu item: Download with Star Downloader - C:PROGRAM
FILESSTAR DOWNLOADERsdie.htm
O8 - Extra context menu item: &Download with &DAP -
C:PROGRA~1DAPdapextie.htm
O8 - Extra context menu item: Download &all with DAP -
C:PROGRA~1DAPdapextie2.htm
O8 - Extra context menu item: &Google Search - res://C:PROGRAM
FILESGOOGLEGOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:PROGRAM
FILESGOOGLEGOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:PROGRAM
FILESGOOGLEGOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:PROGRAM
FILESGOOGLEGOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mid: C:PROGRA~1INTERN~1PLUGINSnpqtplugin.dll
O12 - Plugin for .wav: C:PROGRA~1INTERN~1PLUGINSnpqtplugin.dll
O12 - Plugin for .mov: C:PROGRA~1INTERN~1PLUGINSnpqtplugin.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio
Conferencing) - http://cs8.chat.sc5.yahoo.com/v43/yacscom.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX
Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37883.4198958333
O16 - DPF: Interface Chat Wanadoo -
http://chat10.x-echo.com/version3/Applet/wchatsign.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) -
http://www2.flingstone.com/cab/98ME/CDTInc/bridge-c1.cab

merçi mille fois pour votre aide
amitiés surfantes
rhodes38

http://www.pchell.com/support/ncase.shtml
surement interessant mais je ne parle pas l'anglais
amitiés surfantes
rhodes38

"djehuti" <djehuti55@aol.com> a écrit dans le message de
news:408057cd$0$17616$636a15ce@news.free.fr...

salut
"rhodes38" <rhodes38@free.fr> a écrit dans le message news:
40805516$0$21157$626a14ce@news.free.fr

Ce matin AVG6.0 a détecté un virus nommé PSW.BispyA et B
C:WINDOWSSYSTEMA.EXE is a security risk or a "backdoor" program
File deleted

pour ce truc, c'est réglé... y a pu

Qui a une idée de tout cà. Virus et n-Case sont ils liés????
amitiés surfantes

n-case est une saloperie, sans doute installée avec (en même temps) qu'un
logiciel "légitime" (kazaa, morpheus, un truc gratuit avec de la pub, ...)

/! tu as peut être récupéré ce truc à cause de réglages trop laxistes
dans

ton IE

http://www.pchell.com/support/ncase.shtml

y a peut être une entrée dans "ajout | suppression de programmes" pour
virer

"proprement" cette verrue

bon courage

@tchao
--
FAQ du forum fr.comp.securite.virus :
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html

le lis tout ça et vous tient au courant
amitiés surfantes
rhodes38

"Antilles" <a@b.fr> a écrit dans le message de
news:c5plbu$5c1$2@news-reader5.wanadoo.fr...

Ensuite ce soir quand j'ai rallumé mon ordi un msg d'alerte:
"n-Case Alert"

http://support.microsoft.com/?kbid20162

Antilles

Salut,

rhodes38:

O2 - BHO: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
(no file)

A cocher.

O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} -
C:WINDOWSDOWNLOADED PROGRAM FILESBRIDGE.DLL

A cocher, c'est lui le fameux TrojanSpy.Win32.Briss

O3 - Toolbar: (no name) -
{62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

Cocher car vide.

O4 - HKLM..Run: [WT GameChannel] C:Program
FilesWildTangentAppsGameChannel.exe

A cocher.

O4 - HKLM..Run: [systray] C:WINDOWSSYSTEMA.EXE

C'est ici que le TrojanSpy.Win32.Briss se lance. Cocher.

O4 - HKLM..Run: [msbb] c:windowstempmsbb.exe

C'est nCase. Cocher.

O4 - HKLM..Run: [fwjsd] C:WINDOWSfwjsd.exe

Très louche. C'est quoi?

Le faire scanner ici:
http://www.kaspersky.com/fr/remoteviruschk.html

O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class)
- http://www.flingtone.com/cab/98ME/CDTInc/bridge-c1.cab

Les trojans Briss.e et Briss.h. A cocher.

Une fois que tout est coché - Internet Explorer fermé - clique
sur 'Fix'. Redémarre le PC et refait un scan pour vérifier que
tout ce que tu as coché et bien parti.

--
joke0

hello joke0
Tout a l'air d'être redevenu clean.
J'ai également scanné le fichier suspect chez kaspersky:
Current object: fwjsd.exe


fwjsd.exe Ok

Statistics:

----------------------------------------------------------------------------
----
Known viruses: 86942 Updated: 17.04.2004
File size (Kb): 92 Scan time: 00:00:01
Speed (Kb/sec): 93 Virus bodies: 0
Archives: 0 Packed: 0
Folders: 0 Files: 1
Suspicious: 0 Warnings: 0
RAS apparemment
Merçi pour ton coup de main
amitiés surfantes
rhodes38

"joke0" <joke0_NOSWEN@tiscali.fr> a écrit dans le message de
news:XnF94CE8A663CC8Ejoke0@127.0.0.1...

Salut,

rhodes38:

O2 - BHO: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
(no file)

A cocher.

O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} -
C:WINDOWSDOWNLOADED PROGRAM FILESBRIDGE.DLL

A cocher, c'est lui le fameux TrojanSpy.Win32.Briss

O3 - Toolbar: (no name) -
{62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

Cocher car vide.

O4 - HKLM..Run: [WT GameChannel] C:Program
FilesWildTangentAppsGameChannel.exe

A cocher.

O4 - HKLM..Run: [systray] C:WINDOWSSYSTEMA.EXE

C'est ici que le TrojanSpy.Win32.Briss se lance. Cocher.

O4 - HKLM..Run: [msbb] c:windowstempmsbb.exe

C'est nCase. Cocher.

O4 - HKLM..Run: [fwjsd] C:WINDOWSfwjsd.exe

Très louche. C'est quoi?

Le faire scanner ici:
http://www.kaspersky.com/fr/remoteviruschk.html

O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class)
- http://www.flingtone.com/cab/98ME/CDTInc/bridge-c1.cab

Les trojans Briss.e et Briss.h. A cocher.

Une fois que tout est coché - Internet Explorer fermé - clique
sur 'Fix'. Redémarre le PC et refait un scan pour vérifier que
tout ce que tu as coché et bien parti.

--
joke0

Salut,

rhodes38:

J'ai également scanné le fichier suspect chez kaspersky:
Current object: fwjsd.exe

Tu peux me le faire suivre stp?

joke0@tiscali.fr

Merci!

--
joke0