malekal.com sur Youtube Projet AntiMalware

Supprimer amvo/tavo/kavo : Trojan.PWS.Onlinegames/ Win32/Taterf

Trojan.PWS.Onlinegames (nom générique)/Win32/Taterf est une infection qui se propage par disques amovibles.
Il se copie sur les supports  amovibles telles que les flash drives, cds, memory cards, usb disks.

C'est une infection très courante, le but de cette infection est de récupérer les identifiants de jeux en lignes : Word of Warcraft etc.
Cette page décrit le fonctionnement et la manière dont ces infections se propagent ainsi que des conseils de préventions : infection sur disques amovibles

Détection amvo/tavo/kavo : Win32/Taterf/Trojan.PWS.Onlinegames

L'infection créé les fichiers suivants :
  • avpo.exe amvo.exe avmo0.dll avmo1.dll avmo2.dll
  • kavo.exe kavo0.dll - kavo1.dll
  • tavo.exe avo1.dll tavo0.dll

Peut créer les lignes suivantes sur HijackThis :
  • O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
  • O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
  • ou : O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
  • ou : O4 - HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
L'infection créé des fichiers .com avec des noms aléatoires à la racine du disque, exemple :
C:\gqsk.bat Infected: Worm.Win32.AutoRun.cpr skipped
C:\n6j.com Infected: Trojan-PSW.Win32.OnLineGames.sxa skipped
C:\obc3wrq3.bat Infected: Trojan-PSW.Win32.OnLineGames.tng skipped
D:\1wod1.com Infected: Trojan-PSW.Win32.OnLineGames.tng skipped
D:\autorun.inf Infected: Trojan-PSW.Win32.OnLineGames.tng skipped
D:\cfv90h.com Infected: Trojan-PSW.Win32.OnLineGames.szb skipped
D:\gqsk.bat Infected: Worm.Win32.AutoRun.cpr skipped
D:\n6j.com Infected: Trojan-PSW.Win32.OnLineGames.sxa skipped
D:\u.exe Infected: Trojan-PSW.Win32.OnLineGames.rui skipped
D:\uorys.cmd Infected: Trojan-PSW.Win32.OnLineGames.tfa skipped

Vous trouverez un très bon article sur le fonctionnent de cette infection sur la page suivante (en anglais) : http://www.bluetack.co.uk/forums/index.php?showtopic=18228

Update Février 2009 :

Un fichier C:\Windows\System32\kamsoft.exe est créé et est chargé au démarrage avec un autre fichier .exe au nom aléatoire.
Un fichier .exe ou .com au nom aléatoire est créé dans C:\ avec un fichier bat et le autorun.inf
enfin des fichiers DLL se terminant par un chiffre sont créés dans system32, exemple :
  • gasretyw0.dll
  • gasretyw2.dll
  • amvo0.dll
  • ckvo0.dll

Les détections :

Fichier ckvo0.dll reçu le 2009.02.06 19:09:54 (CET)

Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 36/39 (92.31%)
Antivirus Version Dernière mise à jour Résultat<
a-squared4.0.0.932009.02.06Trojan-GameThief.Win32.Magania!IK
AhnLab-V35.0.0.22009.02.06Win-Trojan/Magania.85504.B
AntiVir7.9.0.762009.02.06TR/Vundo.Gen
Authentium5.1.0.42009.02.05W32/Onlinegames.gen
Avast4.8.1335.02009.02.06Win32:Gamona AVG8.0.0.2292009.02.06Win32/Heur
BitDefender7.22009.02.06Packer.Malware.NSAnti.1
CAT-QuickHeal10.002009.02.06TrojanGameThief.Magania.aczm
ClamAV0.94.12009.02.06Trojan.Magania-6104
Comodo9672009.02.06TrojWare.Win32.PSW.Magania.aczm
DrWeb4.44.0.091702009.02.06Trojan.Nsanti.Packed eSafe7.0.17.02009.02.05-
eTrust-Vet31.6.63452009.02.06Win32/Frethog.BUD
F-Prot4.4.4.562009.02.05W32/Onlinegames.gen
F-Secure8.0.14470.02009.02.06Trojan-GameThief.Win32.Magania.aczm
Fortinet3.117.0.02009.02.06W32/Gamania.A!tr.pws
GData192009.02.06Packer.Malware.NSAnti.1
IkarusT3.1.1.45.02009.02.06Trojan-GameThief.Win32.Magania
K7AntiVirus7.10.6222009.02.06Trojan-GameThief.Win32.Magania.aczm
Kaspersky7.0.0.1252009.02.06Trojan-GameThief.Win32.Magania.aczm
McAfee55172009.02.06PWS-Gamania.gen.a
McAfee+Artemis55172009.02.06PWS-Gamania.gen.a
Microsoft1.43062009.02.05PWS:Win32/Frethog.gen!B
NOD3238342009.02.06Win32/PSW.OnLineGames.NMP
Norman6.00.022009.02.06Virtumonde.ADOY
nProtect2009.1.8.02009.02.06Trojan-PWS/W32.WebGame.85504.AR Panda9
.5.1.22009.02.06W32/Gamania.gen
PCTools 4.4.2.02009.02.06- Prevx1V22009.02.06Cloaked Malware
Rising 21.15.40.002009.02.06Packer.Win32.Mian007.a
SecureWeb-Gateway 6.7.62009.02.06Trojan.Vundo.Gen
Sophos4.38.02009.02.06Mal/EncPk-EG
Sunbelt 3.2.1847.22009.02.06Trojan-GameThief.Win32.Magania.aczm
Symantec102009.02.06Infostealer.Gampas
TheHacker6.3.1.5.2482009.02.06Trojan/Magania.aczm
TrendMicro8.700.0.10042009.02.06TSPY_LINEAGE.KPU
VBA323.12.8.122009.02.05Trojan-PSW.Win32.Vagon
ViRobot2009.2.6.15942009.02.06Trojan.Win32.PSWMagania.85504.D
VirusBuster4.5.11.02009.02.06-

Information additionnelle
File size: 85504 bytes
MD5...: 51b4c40fbc217a4be4d15f533034a7c8
SHA1..: 59bc5d4f53b90db6db2ccfbb6df89393a3d102b3


Fichier olhrwef.exe reçu le 2009.02.06 19:10:28 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 29/39 (74.36%)

Antivirus Version Dernière mise à jour Résultat
a-squared4.0.0.932009.02.06Worm.Win32.Taterf!IK
AhnLab-V35.0.0.22009.02.06-
AntiVir7.9.0.762009.02.06TR/Drop.Agent.frh
Authentium5.1.0.42009.02.05-
Avast4.8.1335.02009.02.06Win32:Rootkit-gen
AVG8.0.0.2292009.02.06Win32/Heur
BitDefender7.22009.02.06Trojan.PWS.Onlinegames.KBML
CAT-QuickHeal10.002009.02.06TrojanGameThief.Magania.aukf
ClamAV0.94.12009.02.06-
Comodo9672009.02.06-
DrWeb4.44.0.091702009.02.06Trojan.PWS.Wsgame.4983
eSafe7.0.17.02009.02.05Suspicious File
eTrust-Vet31.6.63452009.02.06Win32/Frethog.CXE
F-Prot4.4.4.562009.02.05-
F-Secure8.0.14470.02009.02.06Trojan-GameThief.Win32.Magania.aukf
Fortinet3.117.0.02009.02.06SPY/Magania
GData192009.02.06Trojan.PWS.Onlinegames.KBML
IkarusT3.1.1.45.02009.02.06Worm.Win32.Taterf
K7AntiVirus7.10.6222009.02.06-
Kaspersky7.0.0.1252009.02.06Trojan-GameThief.Win32.Magania.aukf
McAfee55172009.02.06PWS-Mmorpg.gen
McAfee+Artemis55172009.02.06PWS-Mmorpg.gen
Microsoft1.43062009.02.05Worm:Win32/Taterf.B
NOD3238342009.02.06Win32/PSW.OnLineGames.NMY
Norman6.00.022009.02.06-
nProtect2009.1.8.02009.02.06Trojan-PWS/W32.WebGame.109930
Panda9.5.1.22009.02.06W32/Lineage.KLS
PCTools4.4.2.02009.02.06-
Prevx1V22009.02.06Worm
Rising21.15.40.002009.02.06Trojan.PSW.Win32.GameOL.uhd
SecureWeb-Gateway6.7.62009.02.06Trojan.Drop.Agent.frh
Sophos4.38.02009.02.06Troj/Agent-IUE
Sunbelt3.2.1847.22009.02.06Trojan-GameThief.Win32.Magania.aukf
Symantec102009.02.06Infostealer.Gampass
TheHacker6.3.1.5.2482009.02.06Trojan/OnLineGame.gen
TrendMicro8.700.0.10042009.02.06TSPY_ONLINEG.MCL
VBA323.12.8.122009.02.05-
ViRobot2009.2.6.15942009.02.06Trojan.Win32.PSWMagania.109930
VirusBuster4.5.11.02009.02.06-
Information additionnelle
File size: 109930 bytes
MD5...: cc3ebec868aef9ccf972df1b26234d98
SHA1..: b0c13a974e42a0a1767bf0113aaa9059ea0b2895

Fichier kamsoft.exe reçu le 2009.01.28 09:15:42 (CET)
Situation actuelle: terminé
Résultat: 32/39 (82.05%)
Formaté Formaté

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2009.01.28 Worm.Win32.AutoRun!IK
AhnLab-V3 5.0.0.2 2009.01.28 Win32/Autorun.worm.112132
AntiVir 7.9.0.60 2009.01.28 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2009.01.27 -
Avast 4.8.1281.0 2009.01.27 Win32:Krap-AQ
AVG 8.0.0.229 2009.01.27 PSW.Generic6.ASAK
BitDefender 7.2 2009.01.28 Worm.Generic.37399
CAT-QuickHeal 10.00 2009.01.28 Worm.AutoRun.thn
ClamAV 0.94.1 2009.01.28 -
Comodo 948 2009.01.27 TrojWare.Win32.Trojan.Agent.~
DrWeb 4.44.0.09170 2009.01.28 Trojan.PWS.Wsgame.4983
eSafe 7.0.17.0 2009.01.27 Win32.AutoRun.thn
eTrust-Vet 31.6.6330 2009.01.28 -
F-Prot 4.4.4.56 2009.01.27 -
F-Secure 8.0.14470.0 2009.01.28 Worm.Win32.AutoRun.thn
Fortinet 3.117.0.0 2009.01.28 W32/Pws.AK!tr
GData 19 2009.01.28 Worm.Generic.37399
Ikarus T3.1.1.45.0 2009.01.28 Worm.Win32.AutoRun
K7AntiVirus 7.10.607 2009.01.27 Worm.Win32.AutoRun.thn
Kaspersky 7.0.0.125 2009.01.28 Worm.Win32.AutoRun.thn
McAfee 5508 2009.01.27 Generic PWS.ak
McAfee+Artemis 5508 2009.01.27 Generic PWS.ak
Microsoft 1.4205 2009.01.28 TrojanDownloader:Win32/Small.gen!O
NOD32 3805 2009.01.28 Win32/PSW.OnLineGames.OFG
Norman 5.93.01 2009.01.27 W32/AutoRun.IWW
nProtect 2009.1.8.0 2009.01.28 Worm/W32.AutoRun.112132
Panda 9.5.1.2 2009.01.27 W32/Lineage.KFS
PCTools 4.4.2.0 2009.01.27 Worm.AutoRun!sd6
Prevx1 V2 2009.01.28 Cloaked Malware
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.28 Trojan.Crypt.XPACK.Gen
Sophos 4.37.0 2009.01.28 -
Sunbelt 3.2.1835.2 2009.01.16 Worm.Win32.AutoRun.thn
Symantec 10 2009.01.28 Trojan Horse
TheHacker 6.3.1.5.229 2009.01.26 W32/AutoRun.thn
TrendMicro 8.700.0.1004 2009.01.27 TSPY_ASAK.A
VBA32 3.12.8.11 2009.01.27 Worm.Win32.AutoRun.thn
ViRobot 2009.1.28.1578 2009.01.28 Worm.Win32.Autorun.112132
VirusBuster 4.5.11.0 2009.01.27 -
Information additionnelle
File size: 112132 bytes
MD5...: 0cdf473e884a37c74d242269d6c3ebe4
SHA1..: a3f0d56352446f458f44dc08006b462ffee4691e

Suppression amvo/tavo/kavo : Win32/Taterf / Trojan.PWS.Onlinegames

Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).

Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.

Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.

Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :

Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial FindyKill et poste les rapports ici : http://www.malekal.com//tutorial_FindyKill.php

Autres Liens

Pour plus d'informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)

flux rss malekal.com - Sitemap - Geekeden - OxygenePC.com - Les partenaires du site McAfee you Suck