Forum Clubic

Trojan Horse trouvé : nsis media extension - Impossible à virer !

Bonsoir à tous ! :hello:

J’utilise spy sweeper pour l’analyse des espions, trojans… et depuis 2 semaines il n’arrete pas de trouver “Trojan Horse nsis media extension” apres son analyse complete du system il le met en qurantaine, et je le supprime de là mais lors des analyses suivantes il est toujours la ! Il ne part pas de mon pc !

Ya t-il une solution ? :jap:

Merci de vos réponses ! :super:

Salut, essaie de l’empecher de demarrer avec windows,pour cela va dans
executer/msconfig/demarrage et decoche la ligne qui correspond au trojan,selon son emplacement tu devrais le retrouver :slight_smile:

Merci de vos réponses mais je n’est rien de supspect dans msconfig demarrage :
Soundman -> Soundman.exe
Nvcpl -> RUNDLL32.exe
"nwiz -> nwiz.exe /install
PsDrvCheck -> C:windows\system32\PSdrvCheck
NvMcTray -> Nvidia

Une autre solution ? :jap:

As tu essayé un scan avec spybot,peut etre que celui ci pourra l enlever,peut etre egalement que c est un programme que ton detecteur prend pour un trojan,antivir mon antivirus me pose parfois ce genre de problemes,le logiciel ad aware est reputé pour etre un bon produit aussi :slight_smile:

J’ai deja essayer spy-bot mais aucun resultat il ne le trouve pas.

Une autre solution ?

Je fais un hackvis (enfin je trouve plus le nom pour scanner le pc (le registre) ?

Tres bonne idée,perso je ny comprends rien mais bcp sur le forum pourront de donner des informations :wink:

oui mais quel est le nom exacte hackvis… ?

Voila le rapport :

Logfile of HijackThis v1.99.1
Scan saved at 19:14:46, on 17/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\CYRIL-~1\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOCUME~1\CYRIL-~1\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Cyril-Desygn\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\…\Run: [NvCplDaemon] “RUNDLL32.EXE” C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [nwiz] “nwiz.exe” /install
O4 - HKLM\…\Run: [PinnacleDriverCheck] “C:\WINDOWS\system32\PSDrvCheck.exe” -CheckReg
O4 - HKLM\…\Run: [NvMediaCenter] “RUNDLL32.EXE” C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\…\Run: [BDOESRV] “C:\Program Files\Softwin\BitDefender9\bdoesrv.exe”
O4 - HKLM\…\Run: [BDNewsAgent] “c:\progra~1\softwin\bitdef~1\bdnagent.exe”
O4 - HKLM\…\Run: [BDSwitchAgent] “c:\progra~1\softwin\bitdef~1\bdswitch.exe”
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\…\{AD9D2EDD-92F1-4BFF-B831-A3F86081954A}: NameServer = 194.117.200.10,194.117.200.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Une solution ?

Help ! :jap:

Tout ce que j’ai trouvé c’est ça et en Anglais.

Operating System: Windows ME

Having this operating system you kinda have to take good care of it, any adware/spyware and it falls to crap.
I got NSIS by installing an Addon, and it did say it would install an adware but i installed it anyway.

I like FireFox very much. I found a solution to this problem and thought i should post it. Its a very simple solution.

*Step One: Perform a hardrive SEARCH of "NSIS" and delete anything related to it. "NSIS.dll"

*Step Two: Reboot

*Step Three: Perform a hardrive SEARCH of "NSIS" and go to its folder found in Common Files.

*Step Four: Click on the Unistall.exe

*Step Five: Say yes to unistall BUT WHEN IT ASK’S TO REBOOT DON’T PRESS ANYTHING!!!!!

*Step Six: Press Ctrl+Alt+Del and close the window asking you to reboot

*Step Seven: Delete all files related to "NSIS" again.

Thats all I did and it hasn’t come back.

Je vais essayer cela car se foutu spyware se réinstalle si on essaye de le désinstaller (le unistall est un virus…), je continue de chercher si sa marche pas.

Bonne chance

Salut

Deja premierement il faut désactiver la restauration systeme.
Pour cela aller sur “Démarrer”, puis vas sur “Poste de travail”, et cliques droit dessus, et selectionne “Proprieté” avec ta souris. Une fois dans “Proprietés systeme”, vas sur l’onglet “Restauration du systeme”, puis tu coches “Désactiver la restauration…” puis tu vas sur “Appliquer” puis “OK”.

Ensuite il faut redemarrer en mode sans echec en restant appuyé sur F8 au demarrage de ton pc, ou soit activer le mode sans echec via MSCONFIG dans "Excuter" puis de selectionner SAFEBOOT dans BOOT INI. Puis il faut redemarrer.

En mode sans echec repasses SpySweeper en mode sans echec. Il devrait butter le malware.

Autre chose : dans le rapport de SpySweeper, reperes l’emplacement et le nom exact du malware, et vas sur Virustotal pour faire une analyse en ligne : http://www.virustotal.com/en/virustotalx.html

J’ai eu le même problème.
J’ai désinstallé Nsis media extension.
C:\Program Files\Fichiers Communs\NSIS\uninst.exe.
Puis en mode sans échec j’ai utilisé Spybot qui a nettoyer la base de registre les dll et les dossiers concernés.

vas voir le topic de juju251 ici