resolu ::::DROPPED: trojan.dowloader .ZLOb AAN

[kapia08]

bonjour, je viens de chopper ce virus ? DROPPED: trojan.dowloader .ZLOb AAN? j'ai passe bitdefender et avg anti spyware :::je n'arrive pas a la supprimer DROPPED: trojan.dowloader .ZLOb AAN, merci , ce virus se trouve dans un truc qui est sur le bureau, il sagit de ( videoAccessCodecInstall.exe )est je n'ai jamais installé ce truc ; est ce que quelqu'un peut m'aider, merci ,:: je suis un bleu en informatique )

Modifié le 24 septembre 2007 par kapia08

[wong]

Bonjour kapia08 et bienvenue,

 

 

Télécharge Hijackthis V 2.0.2 : http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe

 

Enregistre ce fichier sur le bureau. Ferme tous les programmes ouverts y compris le navigateur ( sauf ton anti-virus et pare-feux )

• Fais un double clic sur HJTInstall.exe afin de lancer l'installation.
   
  
• Clique sur Install ensuite sur I Accept
   
  
• Clique sur Do a scan system and save log file
   
  
• Cela va t'ouvrir un rapport dans le Bloc note à la fin du scan.
  
• Dans le Bloc-notes, vérifie dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
  
• Enregistre le fichier sous le nom HJT1.txt.
  
• Copie/Colle tout son contenu dans ta prochaine réponse.
  

Pour t'aider, voici un Tuto en images : http://cybersecurite.xooit.com/t138-Hijack...-2-0-2.htm#1185

 

Cordialement.

[kapia08]

Bonjour kapia08 et bienvenue,

Télécharge Hijackthis V 2.0.2 : http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe

 

Enregistre ce fichier sur le bureau. Ferme tous les programmes ouverts y compris le navigateur ( sauf ton anti-virus et pare-feux )

• Fais un double clic sur HJTInstall.exe afin de lancer l'installation.
   
  
• Clique sur Install ensuite sur I Accept
   
  
• Clique sur Do a scan system and save log file
   
  
• Cela va t'ouvrir un rapport dans le Bloc note à la fin du scan.
  
• Dans le Bloc-notes, vérifie dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
  
• Enregistre le fichier sous le nom HJT1.txt.
  
• Copie/Colle tout son contenu dans ta prochaine réponse.
  

Pour t'aider, voici un Tuto en images : http://cybersecurite.xooit.com/t138-Hijack...-2-0-2.htm#1185

 

Cordialement.

merci pour votre reponse, voici le resultatLogfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:59:41, on 11/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal

 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\ZoneLabs\vsmon.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

E:\WINDOWS\System32\FTRTSVC.exe

E:\WINDOWS\system32\nvsvc32.exe

E:\WINDOWS\system32\HPZipm12.exe

E:\WINDOWS\system32\svchost.exe

E:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\wscntfy.exe

E:\PROGRA~1\Messager Wanadoo\StartMessager.exe

E:\Program Files\Softwin\BitDefender Standard Edition\bdswitch.exe

E:\WINDOWS\system32\LVCOMSX.EXE

E:\Program Files\QuickTime\qttask.exe

E:\WINDOWS\SOUNDMAN.EXE

E:\WINDOWS\system32\RUNDLL32.EXE

E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

E:\PROGRA~1\Wanadoo\TaskBarIcon.exe

E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

E:\WINDOWS\system32\ctfmon.exe

E:\WINDOWS\lclock.exe

E:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

E:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

E:\Program Files\Hercules\WiFi Station pour Livebox\WifiStationLB.exe

E:\PROGRA~1\IncrediMail\bin\IMApp.exe

E:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

e:\progra~1\softwin\bitdefender standard edition\bdmcon.exe

E:\Program Files\Softwin\BitDefender Standard Edition\vsserv.exe

E:\Program Files\MSN Messenger\msnmsgr.exe

E:\Program Files\MSN Messenger\usnsvc.exe

E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.msn.fr/8SEFRFR030000TBR/InstallSuccess

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - E:\PROGRA~1\Wanadoo\SearchPageURL.dll

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [bDMCon] E:\PROGRA~1\Softwin\BitDefender Standard Edition\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] E:\Program Files\Softwin\BitDefender Standard Edition\bdnagent.exe

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] E:\PROGRA~1\Messager Wanadoo\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [bDSwitchAgent] E:\Program Files\Softwin\BitDefender Standard Edition\bdswitch.exe

O4 - HKLM\..\Run: [LVCOMSX] E:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [NVMixerTray] "E:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] E:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PinnacleDriverCheck] E:\WINDOWS\system32\\PSDrvCheck.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [WOOWATCH] E:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] E:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LClock] lclock.exe

O4 - HKCU\..\Run: [incrediMail] E:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [WOOKIT] E:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = E:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: WiFi Station pour Livebox.lnk = ?

O8 - Extra context menu item: &Windows Live Search - res://E:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\PROGRA~1\Messager Wanadoo\Messager Wanadoo.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\PROGRA~1\Messager Wanadoo\Messager Wanadoo.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - E:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - E:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - E:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - E:\Program Files\Softwin\BitDefender Standard Edition\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - E:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

--

End of file - 9922 bytes

[wong]

Bonjour kapia08,

 

Télécharge SmitFraudFix de S!Ri : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

 

Utilisez cette adresse pour télécharger la dernière version du fix ( le fichier contient la version anglaise et française )

 

Pour utiliserSmitFraudFix:

Faux positif : process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

• Double clique sur SmitfraudFix.exe
  
• Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection.
  
• Le rapport se trouve à la racine du disque système C:\rapport.txt
  

Copie/Colle le rapport dans ton prochain message.

 

 

Cordialement.

[kapia08]

Bonjour kapia08,

 

Télécharge SmitFraudFix de S!Ri : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

 

Utilisez cette adresse pour télécharger la dernière version du fix ( le fichier contient la version anglaise et française )

 

Pour utiliserSmitFraudFix:

Faux positif : process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

• Double clique sur SmitfraudFix.exe
  
• Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection.
  
• Le rapport se trouve à la racine du disque système C:\rapport.txt
  

Copie/Colle le rapport dans ton prochain message.

Cordialement.

voici le rapport

Rapport fait à 17:36:36,75, 12/09/2007

Executé à partir de E:\Documents and Settings\kapia\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\ZoneLabs\vsmon.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

E:\WINDOWS\System32\FTRTSVC.exe

E:\WINDOWS\system32\nvsvc32.exe

E:\WINDOWS\system32\HPZipm12.exe

E:\WINDOWS\system32\svchost.exe

E:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

E:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

E:\WINDOWS\Explorer.EXE

E:\PROGRA~1\Softwin\BitDefender Standard Edition\bdmcon.exe

E:\Program Files\Softwin\BitDefender Standard Edition\vsserv.exe

E:\PROGRA~1\Messager Wanadoo\StartMessager.exe

E:\Program Files\Softwin\BitDefender Standard Edition\bdswitch.exe

E:\WINDOWS\system32\wscntfy.exe

E:\WINDOWS\system32\LVCOMSX.EXE

E:\Program Files\QuickTime\qttask.exe

E:\WINDOWS\SOUNDMAN.EXE

E:\WINDOWS\system32\RUNDLL32.EXE

E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

E:\PROGRA~1\Wanadoo\TaskBarIcon.exe

E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

E:\WINDOWS\system32\ctfmon.exe

E:\WINDOWS\lclock.exe

E:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

E:\PROGRA~1\Wanadoo\GestionnaireInternet.exe

E:\PROGRA~1\Wanadoo\ComComp.exe

E:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

E:\PROGRA~1\Wanadoo\Toaster.exe

E:\PROGRA~1\Wanadoo\Inactivity.exe

E:\WINDOWS\System32\AlertModule\AlertModule.exe

E:\PROGRA~1\IncrediMail\bin\IMApp.exe

E:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

E:\PROGRA~1\Wanadoo\PollingModule.exe

E:\Program Files\Hercules\WiFi Station pour Livebox\WifiStationLB.exe

E:\PROGRA~1\Wanadoo\Watch.exe

E:\Program Files\Mozilla Firefox\firefox.exe

E:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

Fichier hosts corrompu !

 

# [MICROSOFT.COM]

127.0.0.1 microsoft.com.org

127.0.0.1 www.www.microsoft.com.org

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\kapia

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\kapia\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\DOCUME~1\kapia\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="sockspy.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Hercules Wireless G PCI - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

DNS Server Search Order: 0.0.0.0

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C4B3FFB5-CA68-4262-AA74-F02340A967A2}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS1\Services\Tcpip\..\{EB648B30-CB39-4568-9D75-7799E90B5FF3}: NameServer=80.10.246.130 80.10.246.3

HKLM\SYSTEM\CS3\Services\Tcpip\..\{C4B3FFB5-CA68-4262-AA74-F02340A967A2}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

merci pour votre patience

[wong]

RE kapia08,

 

Note : Pour répondre Clique sur le bouton REPONDRE situé en bas, entre FLASH et NOUVEAU.

 

On va terminer avec SmitFraudFix, car il n'a rien trouvé ton trojan ZLob.

 

 

1°) Redémarre en mode sans échec

 

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure.

• Clique sur Démarrer
  
• Clique sur Arrêter l'ordinateur
  
• Dans la fenêtre qui s'ouvre : clique sur " Redémarrer "
  
• Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
  
• Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul )
  
• Appui dur la touche " ENTRÉE "
  
• Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ).
  
• Clique sur ta session normale : ton nom (Administrateur )
  
• Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI
  

Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php

 

 

Lance SmitFraudFix

• Double clique sur SmitfraudFix.exe
  
• Sélectionne 2 dans le menu et presse Entrée.
  
• A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  
• Le fix déterminera si le fichier wininet.dll est infecté.
  
• A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
  
• Un redémarrage sera peut être nécessaire pour terminer la procedure de nettoyage.
  
• Le rapport se trouve à la racine du disque système C:\rapport.txt
  
• Copie/Colle le rapport dans ta prochaine réponse
  

Lance AVG AS

 

Puisque tu as AVG Anti-spyware sur ton PC ( je pense qu'il est à jour ), fais un scan complet du système en mode sans échec.

Si des fichiers malveillants sont trouvés : Clique sur Appliquer toutes les actions

Clique sur enregistrer le rapport d'analyse. Colle le rapport dans ta prochaine réponse

 

 

2°) Redémarre en mode normal

 

Poste les 2 rapports ( celui de SmitFraudFix et celui de AVG AS ).

 

Cordialement.

[kapia08]

[wong]

Bonsoir kapia08,

 

Tu n'as pas bien utilisé AVG AS car il n'a rien néttoyé ( tu n'as pas cliqué sur " Appliquer toutes les actions " ).

 

 

Télécharge ATF Cleaner de Atribune : http://www.atribune.org/ccount/click.php?id=1

 

 

AVG Anti-Spyware :

• Lance le.
  
• Clique sur mise à jour, pour faire la mise à jour.
  
• Clique sur analyse puis sur paramètres.
  
• Clique sur actions recommandées puis sur quarantaine.
  
• Ferme le programme.
  

 

Redémarre en mode sans échec

 

Nettoyage pour utiliser AVG Anti-Spyware

 

Procedure préalable à l'utilisation d'AVG Anti-Spyware : Très important pour bien supprimer les fichiers tmp ,cookies et autres, pour une meilleure lecture du rapport d'AVG Anti-Spyware.

 

Double-clique ATF Cleaner.exe afin de lancer le programme.

• Main correspond à IE
  
• Sous l'onglet Main, choisis : Select All
  
• Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  
• Clique le bouton Empty Selected
  
• NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  
• Clique le bouton Empty Selected
  
• NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

 

 

Lance AVG Anti-Spyware

 

Clique sur scanner, puis sur scan complet du système.

 

Si des fichiers malveillants sont trouvés :

• Clique sur Appliquer toutes les actions
  
• Clique sur enregistrer le rapport d'analyse.
  
• Colle le rapport dans ton prochain message
  

Pour t'aider tu as deux tutos à ta disposition:

• ATFCleaner: http://pitcatsite.ovh.org/html/ATFCleaner.html
  
• AVG Anti-Spyware: http://pitcatsite.ovh.org/html/avg_a-s.html
  

 

J'attends le rapport de AVG AS avant de continuer la procédure.

 

@ +

[kapia08]

j'ai fait comme vous m'avez dit , j'ai passé ATF cleaner , avec IE ca a marché , par contre avec firefox ca m'a repondu : no files were removed

, je ne pas ce que ca signifie , , et avec AVG anti spyware, il n'a rien trouvé, s'il n'a rien trouvé je suppose que le trojan est disparue, quand pensez vous, est ce qu'il faut faire autre chose,

merci beaucoup

[wong]

RE kapia08,

 

Si je comprends ce que je lis, tu as 2 Windows : C:\WINDOWS.old et E:\WINDOWS ? Peux-tu me donner des précisions.

 

 

Je te fais passer un utilitaire pour voir si tu n'as pas de processus cachés :

 

Télécharge Blacklight ( de F-Secure ) : https://europe.f-secure.com/blacklight/try.shtml

• Clique sur " I ACCEPT " au bas de la page. Sauvegarde-le sur ton Bureau.
   
  
• Double-clique blbeta.exe et accepte la licence.
  
• Clique Scan, puis Next
   
  
• Tu verras une liste de fichiers détectés apparaître.
  
• Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log ( les xxxxxxx sont des chiffres ).
  NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
  Copie/Colle le contenu de ce rapport dans ta prochaine réponse
  

 

Fais un scan en ligne avec Kaspersky :

• Ouvre internet explorer : Outils > Options internet > onglet "sécurité"
  
• Valide "niveau par défaut".
  
• Toujours sur Internet explorer : Outils > Options internet > onglet "avancé"
  
• valide "Paramètres par défaut".
   
  Pour effectuer les scans, ferme toute les pages internet sauf celle du scan, désactive ton antivirus, logiciels de protections ( Guard de AVG AS ) et logiciels pouvant bloquer les popups ( barres Google, barres Yahoo etc..)
   
  
• Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas !.
  
• Si tu es perdu, tu peux suivre cette aide pour les scans en ligne
  
• Scan le poste de travail
  
• Copie/colle le rapport du scan dans ta prochaine réponse
   
  Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
  

J'attends 2 rapports ( celui de BlackLight et celui de Kaspersky ).

 

@ +