Ce rogue peut-être installé par l'infection : Trojan-Downloader.Win32.Exchanger : faux-codecs et mails
Fausse page de scan/alerte pour vous faire croire que vous êtes infecté...
Une infection courant Mars (qui est plus ou moins active encore).... modifié le fond d'écran avec un fond rouge et un message "Your Computer is under spyware atack" (on notera la faute) :
L'infection modifiait aussi la page de démarrage.
Elle ajoute les lignes suivantes sur HijackThis :
L'infection ajoute une bulle d'alerte et ouvre des popups d'alerte mais aussi des publicités et très souvent le site russe : hxxp://www.ixbt.com/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = file://c:/windows/homepage.html
O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing)
O4 - HKCU\..\Run: [Systray] rundll32.exe sockins32.dll,RunMain
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)
Fichier nmRFcRwbv.exe reçu le 2008.05.03 15:06:29 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 10/32 (31.25%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.3.0 2008.05.02 -
AntiVir 7.8.0.11 2008.05.02 TR/Dropper.Gen
Authentium 4.93.8 2008.05.02 -
Avast 4.8.1169.0 2008.05.03 -
AVG 7.5.0.516 2008.05.03 -
BitDefender 7.2 2008.05.03 Trojan.Downloader.JJSB
CAT-QuickHeal 9.50 2008.05.02 -
ClamAV 0.92.1 2008.05.03 -
DrWeb 4.44.0.09170 2008.05.03 Trojan.BhoSpy.3
eSafe 7.0.15.0 2008.04.28 Suspicious File
eTrust-Vet 31.3.5755 2008.05.03 -
Ewido 4.0 2008.05.03 -
F-Prot 4.4.2.54 2008.05.02 -
F-Secure 6.70.13260.0 2008.05.03 -
FileAdvisor 1 2008.05.03 -
Fortinet 3.14.0.0 2008.05.03 -
Ikarus T3.1.1.26.0 2008.05.03 Trojan.Win32.Revelation
Kaspersky 7.0.0.125 2008.05.03 not-a-virus:FraudTool.Win32.AntiSpySpider.f
McAfee 5287 2008.05.02 -
Microsoft 1.3408 2008.04.22 TrojanDropper:Win32/Nuwar.gen!lds
NOD32v2 3072 2008.05.03 -
Norman 5.80.02 2008.05.02 -
Panda 9.0.0.4 2008.05.03 -
Prevx1 V2 2008.05.03 -
Rising 20.42.22.00 2008.04.30 -
Sophos 4.29.0 2008.05.03 Mal/EncPk-CG
Sunbelt 3.0.1097.0 2008.05.03 -
Symantec 10 2008.05.03 -
TheHacker 6.2.92.299 2008.05.03 -
VBA32 3.12.6.5 2008.05.02 Trojan.Win32.Revelation
VirusBuster 4.3.26:9 2008.05.02 -
Webwasher-Gateway 6.6.2 2008.05.03 Trojan.Dropper.Gen
Information additionnelle
File size: 84480 bytes
MD5...: 3b31589860a85848aaeb0a190c5c9f9d
SHA1..: 0b25d5b15ea27573c5e7751312f26fcb725f92a4
Fichier sockins32.dll reçu le 2008.05.01 17:44:32 (CET)
Situation actuelle: terminé
Résultat: 22/31 (70.97%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - Win-Trojan/Clicker.32768.E
AntiVir - - ADSPY/Bho.aqo
Authentium - - -
Avast - - Win32:Agent-TEV
AVG - - Adware Generic3.CIF
BitDefender - - Trojan.Renos.NBY
CAT-QuickHeal - - AdWare.BHO.aqo (Not a Virus)
ClamAV - - -
DrWeb - - Trojan.BhoSpy.3
eSafe - - -
eTrust-Vet - - Win32/Quaferbee.A
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - W32/CLICKER.ALA!tr
Ikarus - - Trojan.Win32.BHO.d
Kaspersky - - not-a-virus:AdWare.Win32.BHO.aqo
McAfee - - Generic AdClicker.d
Microsoft - - -
NOD32v2 - - Win32/Adware.BHO.AQO
Norman - - W32/Adclicker.DBJ
Panda - - Trj/BHO.AT
Prevx1 - - Trojan.AdClicker
Rising - - -
Sophos - - W32/Dwnldr-HCP
Sunbelt - - Trojan.Win32.BHO.d
Symantec - - Trojan.Adclicker
TheHacker - - -
VBA32 - - AdWare.Win32.BHO.aqo
VirusBuster - - Trojan.BHO.HDR
Webwasher-Gateway - - Ad-Spyware.Bho.aqo
Information additionnelle
MD5: e7b5fa5dbff313f89a12198235d9eb2f
SHA1: a14a045ddf1dfa79c55f3d91b006cf6344e394f5