danimoth Posté(e) le 1 août 2006 Partager Posté(e) le 1 août 2006 Bonjour a tous ! Le virus/spyware CNSxxx ajoute dans l historique d IE de nombreux sites chinois scabreux, telecharge automatiquement pleins de choses. Resume de mes actions : * (meme en Sans Echec) Ad-Aware detecte jusqu a 200 malwares, le menage fait, il n arrive pas a supprimer les 3 derniers : C:/windows/download program files/cnsmin.dll et autres C:/windows/system32/cns.exe C:/windows/system32/std.ini * Le normalement bon Antivir et l antivirus chinois KV ne voient aucun virus. Connaissez vous d autres solutions contre ce CNS accrocheur ? * (meme en Sans Echec, et en ayant tuer le plus de processus Windows via le gestionnaire de taches) Apres la suppression manuelle de ces fichiers, de l entree de demarrage dans msconfig, des cles de registre contenant "cns", tout est recreer imediatement. Comment les supprimer ? Merci pour toutes vos idees, elles sont les bienvenues ! Scan de HijackThis en mode sans Echec Ces 2 lignes contenant CNS sont recree imediatement apres suppression : O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32 O11 - Options group: [!CNS] 网络实名 Logfile of HijackThis v1.99.1 Scan saved at 23:12:27, on 2006-7-31 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\Rundll32.exe D:\temp\CNSMin\Zebulon\hijackthis\HijackThis.exe R3 - Default URLSearchHook is missing O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - c:\PROGRA~1\chinanet\VNETTR~1.DLL O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL (file missing) O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - C:\KV2004\KvShell.dll O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - d:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\cnshook.dll O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - C:\KV2004\KvShell.dll O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32 O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [stormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti O4 - HKLM\..\Run: [KvMonXP] C:\KV2004\KVMonXP.kxp /auto O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P O4 - HKLM\..\Run: [sKYNET Personal FireWall] C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe O4 - HKLM\..\RunOnce: [alsmt.exe] C:\WINDOWS\system32\alsmt.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm O8 - Extra context menu item: &使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm O8 - Extra context menu item: &使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: 添加到雅虎收藏+ - http://myweb.cn.yahoo.com/post.html?F=D2_A O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm O9 - Extra button: 易趣购物 - {DE607143-AC19-423e-863A-3D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing) O9 - Extra 'Tools' menuitem: 易趣购物 - {DE607143-AC19-423e-863A-3D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing) O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?sourc...mp;btn=yahoomsg (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll O11 - Options group: [!CNS] 网络实名 O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll O23 - Service: KVSrvXP - JiangMin Ltd. - C:\KV2004\KVSrvXP.exe O23 - Service: KVWSC - Jiangmin Co - C:\KV2004\KVwsc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Lien vers le commentaire Partager sur d’autres sites More sharing options...
d2r2280 Posté(e) le 1 août 2006 Partager Posté(e) le 1 août 2006 Bonjour a tous ! Le virus/spyware CNSxxx ajoute dans l historique d IE de nombreux sites chinois scabreux, telecharge automatiquement pleins de choses. Resume de mes actions : * (meme en Sans Echec) Ad-Aware detecte jusqu a 200 malwares, le menage fait, il n arrive pas a supprimer les 3 derniers : C:/windows/download program files/cnsmin.dll et autres C:/windows/system32/cns.exe C:/windows/system32/std.ini * Le normalement bon Antivir et l antivirus chinois KV ne voient aucun virus. Connaissez vous d autres solutions contre ce CNS accrocheur ? * (meme en Sans Echec, et en ayant tuer le plus de processus Windows via le gestionnaire de taches) Apres la suppression manuelle de ces fichiers, de l entree de demarrage dans msconfig, des cles de registre contenant "cns", tout est recreer imediatement. Comment les supprimer ? Merci pour toutes vos idees, elles sont les bienvenues ! Scan de HijackThis en mode sans Echec Ces 2 lignes contenant CNS sont recree imediatement apres suppression : O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32 O11 - Options group: [!CNS] 网络实名 Logfile of HijackThis v1.99.1 Scan saved at 23:12:27, on 2006-7-31 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\Rundll32.exe D:\temp\CNSMin\Zebulon\hijackthis\HijackThis.exe R3 - Default URLSearchHook is missing O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - c:\PROGRA~1\chinanet\VNETTR~1.DLL O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL (file missing) O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - C:\KV2004\KvShell.dll O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - d:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\cnshook.dll O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - C:\KV2004\KvShell.dll O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32 O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [stormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti O4 - HKLM\..\Run: [KvMonXP] C:\KV2004\KVMonXP.kxp /auto O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P O4 - HKLM\..\Run: [sKYNET Personal FireWall] C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe O4 - HKLM\..\RunOnce: [alsmt.exe] C:\WINDOWS\system32\alsmt.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm O8 - Extra context menu item: &使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm O8 - Extra context menu item: &使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: 添加到雅虎收藏+ - http://myweb.cn.yahoo.com/post.html?F=D2_A O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm O9 - Extra button: 易趣购物 - {DE607143-AC19-423e-863A-3D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing) O9 - Extra 'Tools' menuitem: 易趣购物 - {DE607143-AC19-423e-863A-3D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing) O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?sourc...mp;btn=yahoomsg (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll O11 - Options group: [!CNS] 网络实名 O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll O23 - Service: KVSrvXP - JiangMin Ltd. - C:\KV2004\KVSrvXP.exe O23 - Service: KVWSC - Jiangmin Co - C:\KV2004\KVwsc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Salut, Tu as a retiré la restauration automatique ? Si ce n'est pas le cas, alors C normale qu'après avoir supprimé, en mode sans échec ton spyware, il revienne a la charge ! Sinon, désactive la restauration automatique du système, puis note dans un coin tous les renseignements sur la saleté que tu as chopé, puis en mode sans échec, recherche dans ton disque C:\ toutes les saletés dont tu a noté le nom et supprime les manuellement. Fait de même dans le registre. Tu télécharge cet utilitaire Regseeker.exe et tu t'en sert pour faire une recherche dans la base de registre. Attention a bien décocher en bas de la page du logiciel: "Faire une sauvegarde du registre". Tu coches tout et tu lance la recherche en utilisant les noms que tu as noté. Puis tu supprimes ce que tu trouves et uniquement ce que tu trouve et portant le nom de ces saletés. Télécharge aussi Ewido et Spybot S&D 1.4. Mets les a jours et sert toi en pour t'assurer que tu as bien tout enlevé. Voilà j'espère sincèrement que sa va t'aider. Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 1 août 2006 Partager Posté(e) le 1 août 2006 Salut , Désinstalle ton antivirus chinois KingSoft . Regarde ici : http://www.trendmicro.com/vinfo/grayware/v...DW%5FCNSMIN%2EA Post un nouveau rapport Hijackthis dans la [centralisation] . ( vise ma signature ) Lien vers le commentaire Partager sur d’autres sites More sharing options...
danimoth Posté(e) le 1 août 2006 Auteur Partager Posté(e) le 1 août 2006 Merci de vos reponses a tous les deux. Je vais essayer tout ca. Puis si necessaire, je posterai mon rapport Hijack sur la centralisation. En tout cas, je vous dirai le resultat. @+ Lien vers le commentaire Partager sur d’autres sites More sharing options...
danimoth Posté(e) le 2 août 2006 Auteur Partager Posté(e) le 2 août 2006 J ai deja nettoyer des PC infecte de virus et autres. La particularite de CNSMIN est que meme en mode sans echec, il est actif. J ai suivi la procedure de Trend Micro. Cependant l entree de demarage (registre) est recree juste apres sa suppression, de meme pr les fichiers. Cela dit j ai pas encore dit mon dernier mot :-) Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 2 août 2006 Partager Posté(e) le 2 août 2006 Poste un rapport Hijackthis dans la centralisation . Lien vers le commentaire Partager sur d’autres sites More sharing options...
danimoth Posté(e) le 2 août 2006 Auteur Partager Posté(e) le 2 août 2006 Le Log HijackThis a ete poste. Venis - galere - Vicis Un petit coups de pot : le disque est en FAT32 * Disquette de demarrage Win98 * cd .. * cd Windows * cd downlo~1 * DEL cns*.* ... idem pour les autres fichiers indiquer par adaware redemarrage et adaware + etwido Ok, ouf Question subsidiaire : et pour celui qui est en NTFS ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 2 août 2006 Partager Posté(e) le 2 août 2006 Pas clean ton pc ... Fais ceci : http://www.pcinpact.com/forum/index.php?s=...t&p=1577579 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.