Jump to content

[LOGICIEL] [Virus] Suppression de CNSxxx alias 3721


danimoth

Recommended Posts

Bonjour a tous !

Le virus/spyware CNSxxx ajoute dans l historique d IE de nombreux sites chinois scabreux, telecharge automatiquement pleins de choses.

Resume de mes actions :

* (meme en Sans Echec)

Ad-Aware detecte jusqu a 200 malwares, le menage fait, il n arrive pas a supprimer les 3 derniers :

C:/windows/download program files/cnsmin.dll et autres

C:/windows/system32/cns.exe

C:/windows/system32/std.ini

* Le normalement bon Antivir et l antivirus chinois KV ne voient aucun virus. Connaissez vous d autres solutions contre ce CNS accrocheur ?

* (meme en Sans Echec, et en ayant tuer le plus de processus Windows via le gestionnaire de taches)

Apres la suppression manuelle de ces fichiers, de l entree de demarrage dans msconfig, des cles de registre contenant "cns", tout est recreer imediatement.

Comment les supprimer ?

Merci pour toutes vos idees, elles sont les bienvenues !

Scan de HijackThis en mode sans Echec

Ces 2 lignes contenant CNS sont recree imediatement apres suppression :

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32

O11 - Options group: [!CNS] 网络实名

Logfile of HijackThis v1.99.1

Scan saved at 23:12:27, on 2006-7-31

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\Rundll32.exe

D:\temp\CNSMin\Zebulon\hijackthis\HijackThis.exe

R3 - Default URLSearchHook is missing

O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - c:\PROGRA~1\chinanet\VNETTR~1.DLL

O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL (file missing)

O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll

O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - C:\KV2004\KvShell.dll

O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - d:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\cnshook.dll

O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - C:\KV2004\KvShell.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [stormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti

O4 - HKLM\..\Run: [KvMonXP] C:\KV2004\KVMonXP.kxp /auto

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P

O4 - HKLM\..\Run: [sKYNET Personal FireWall] C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe

O4 - HKLM\..\RunOnce: [alsmt.exe] C:\WINDOWS\system32\alsmt.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm

O8 - Extra context menu item: &使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm

O8 - Extra context menu item: &使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm

O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm

O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm

O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm

O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm

O8 - Extra context menu item: 添加到雅虎收藏+ - http://myweb.cn.yahoo.com/post.html?F=D2_A

O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm

O9 - Extra button: 易趣购物 - {DE607143-AC19-423e-863A-3D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)

O9 - Extra 'Tools' menuitem: 易趣购物 - {DE607143-AC19-423e-863A-3D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)

O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?sourc...mp;btn=yahoomsg (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll

O11 - Options group: [!CNS] 网络实名

O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll

O23 - Service: KVSrvXP - JiangMin Ltd. - C:\KV2004\KVSrvXP.exe

O23 - Service: KVWSC - Jiangmin Co - C:\KV2004\KVwsc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Link to comment
Share on other sites

Bonjour a tous !

Le virus/spyware CNSxxx ajoute dans l historique d IE de nombreux sites chinois scabreux, telecharge automatiquement pleins de choses.

Resume de mes actions :

* (meme en Sans Echec)

Ad-Aware detecte jusqu a 200 malwares, le menage fait, il n arrive pas a supprimer les 3 derniers :

C:/windows/download program files/cnsmin.dll et autres

C:/windows/system32/cns.exe

C:/windows/system32/std.ini

* Le normalement bon Antivir et l antivirus chinois KV ne voient aucun virus. Connaissez vous d autres solutions contre ce CNS accrocheur ?

* (meme en Sans Echec, et en ayant tuer le plus de processus Windows via le gestionnaire de taches)

Apres la suppression manuelle de ces fichiers, de l entree de demarrage dans msconfig, des cles de registre contenant "cns", tout est recreer imediatement.

Comment les supprimer ?

Merci pour toutes vos idees, elles sont les bienvenues !

Scan de HijackThis en mode sans Echec

Ces 2 lignes contenant CNS sont recree imediatement apres suppression :

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32

O11 - Options group: [!CNS] 网络实名

Logfile of HijackThis v1.99.1

Scan saved at 23:12:27, on 2006-7-31

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\Rundll32.exe

D:\temp\CNSMin\Zebulon\hijackthis\HijackThis.exe

R3 - Default URLSearchHook is missing

O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - c:\PROGRA~1\chinanet\VNETTR~1.DLL

O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL (file missing)

O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll

O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - C:\KV2004\KvShell.dll

O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - d:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\cnshook.dll

O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - C:\KV2004\KvShell.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [stormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti

O4 - HKLM\..\Run: [KvMonXP] C:\KV2004\KVMonXP.kxp /auto

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P

O4 - HKLM\..\Run: [sKYNET Personal FireWall] C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe

O4 - HKLM\..\RunOnce: [alsmt.exe] C:\WINDOWS\system32\alsmt.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm

O8 - Extra context menu item: &使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm

O8 - Extra context menu item: &使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm

O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm

O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm

O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm

O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm

O8 - Extra context menu item: 添加到雅虎收藏+ - http://myweb.cn.yahoo.com/post.html?F=D2_A

O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm

O9 - Extra button: 易趣购物 - {DE607143-AC19-423e-863A-3D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)

O9 - Extra 'Tools' menuitem: 易趣购物 - {DE607143-AC19-423e-863A-3D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)

O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?sourc...mp;btn=yahoomsg (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll

O11 - Options group: [!CNS] 网络实名

O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll

O23 - Service: KVSrvXP - JiangMin Ltd. - C:\KV2004\KVSrvXP.exe

O23 - Service: KVWSC - Jiangmin Co - C:\KV2004\KVwsc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Salut,

Tu as a retiré la restauration automatique ? Si ce n'est pas le cas, alors C normale qu'après avoir supprimé, en mode sans échec ton spyware, il revienne a la charge !

Sinon, désactive la restauration automatique du système, puis note dans un coin tous les renseignements sur la saleté que tu as chopé, puis en mode sans échec, recherche dans ton disque C:\ toutes les saletés dont tu a noté le nom et supprime les manuellement.

Fait de même dans le registre.

Tu télécharge cet utilitaire Regseeker.exe et tu t'en sert pour faire une recherche dans la base de registre. Attention a bien décocher en bas de la page du logiciel: "Faire une sauvegarde du registre". Tu coches tout et tu lance la recherche en utilisant les noms que tu as noté. Puis tu supprimes ce que tu trouves et uniquement ce que tu trouve et portant le nom de ces saletés.

Télécharge aussi Ewido et Spybot S&D 1.4. Mets les a jours et sert toi en pour t'assurer que tu as bien tout enlevé.

Voilà j'espère sincèrement que sa va t'aider.

Link to comment
Share on other sites

J ai deja nettoyer des PC infecte de virus et autres.

La particularite de CNSMIN est que meme en mode sans echec, il est actif.

J ai suivi la procedure de Trend Micro. Cependant l entree de demarage (registre) est recree juste apres sa suppression, de meme pr les fichiers.

Cela dit j ai pas encore dit mon dernier mot :-)

Link to comment
Share on other sites

Le Log HijackThis a ete poste.

Venis - galere - Vicis

Un petit coups de pot : le disque est en FAT32

* Disquette de demarrage Win98

* cd ..

* cd Windows

* cd downlo~1

* DEL cns*.*

... idem pour les autres fichiers indiquer par adaware

redemarrage et adaware + etwido

Ok, ouf

Question subsidiaire : et pour celui qui est en NTFS ?

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...