Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

virus multiple zlob

sophie74

Par sophie74
dans Analyses et éradication malwares

 Partager

Messages recommandés

sophie74 Junior Member

sophie74

Posté(e)
Posté(e)

bonjour,

au secour, malgres avast je suis apparement attaqué de toute part!! plusieurs virus apparaisent tel que zlob, small apn, small agk, luder, sality , banwarum......

j ai fait une recherche en m inspirant de ce que j ai pu voir sur internet en telechargeant les logiciels correspondant voilà les rapports: quelqu un peut il m'aider???

 

1SmitFraudFix v2.132

 

Rapport fait à 19:57:10,45, dim. 07/01/2007

Executé à partir de C:\Program Files\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\cthkpcv.dll PRESENT !

C:\WINDOWS\system32\taskdir.exe PRESENT !

C:\WINDOWS\system32\zlbw.dll PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\sophie.TEST

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\sophie.TEST\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\SOPHIE~1.TES\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

C:\Program Files\Video ActiveX Object\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Logfile of HijackThis v1.99.1

Scan saved at 23:00:46, on 8/01/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Multimedia Combo Set\MouseDrv.exe

C:\Program Files\Multimedia Combo Set\PS2USBKbdDrv.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\DriveCleaner 2006 Free\UDC2006.exe

C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\SDRmon.exe

C:\Program Files\DriveCleaner 2006 Free\udc6cw.exe

C:\WINDOWS\System32\syspools.exe

C:\WINDOWS\System32\ppl.exe

C:\WINDOWS\System32\ctfmon.exe

C:\themeGold55\CursorXP\CursorXP.exe

C:\WINDOWS\System32\drwtsn32.exe

C:\Program Files\ATnotes\ATnotes.exe

C:\WINDOWS\System32\taskdir.exe

C:\WINDOWS\System32\drwtsn32.exe

C:\WINDOWS\inet20000\wpcem.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe

C:\Program Files\FinePixViewer\QuickDCF.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\WINDOWS\System32\game0.exe.exe

C:\WINDOWS\System32\services.exe

C:\WINDOWS\System32\drwtsn32.exe

C:\Program Files\BitZipper\BITZIPPER.EXE

C:\WINDOWS\explorer.exe

C:\Program Files\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1a1ddc19-5893-43ab-a73f-f41a0f34d115} - C:\Program Files\Video ActiveX Object\isaddon.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [WireLessMouse ] C:\Program Files\Multimedia Combo Set\MouseDrv.exe

O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Program Files\Multimedia Combo Set\PS2USBKbdDrv.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CreativeMouse ] C:\Program Files\Mouse Driver\MouseDrv.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [DriveCleaner 2006 Free] "C:\Program Files\DriveCleaner 2006 Free\UDC2006.exe" /min

O4 - HKLM\..\Run: [sDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\SDRmon.exe"

O4 - HKLM\..\Run: [udc6cw] "C:\Program Files\DriveCleaner 2006 Free\udc6cw.exe" -c

O4 - HKLM\..\Run: [7v3j] C:\WINDOWS\System32\z1841.exe gdtgh

O4 - HKLM\..\Run: [Microsoft WPCEmail] C:\WINDOWS\inet20000\svchost.exe

O4 - HKLM\..\Run: [system spool] C:\WINDOWS\System32\syspools.exe

O4 - HKLM\..\Run: [agent] C:\WINDOWS\System32\ppl.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe

O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe

O4 - HKCU\..\Run: [system spool] C:\WINDOWS\System32\syspools.exe

O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\System32\z24173229859.exe

O4 - HKCU\..\Run: [WinInit] "C:\WINDOWS\System32\z24173239328.exe "

O4 - HKCU\..\Run: [agent] C:\WINDOWS\System32\ppl.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Exif Launcher.lnk = ?

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://espaceabonnes.club-internet.fr/serv...ec/SymDlBrg.cab

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e) (modifié)

bonjour sophie74 et bienvenue sur zebulon :P

 

Merci de créer ton sujet dans cette partie: http://forum.zebulon.fr/index.php?showforum=51

 

fait ceci en plus s'il te plait.

 

Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8.
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • En mode sans échec, fais un clic droit sur le fichier SDFix.zip et choisis extraire tout,
  • Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le script.
  • Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

 

 

@+

Modifié par bruce lee
sophie74 Junior Member

sophie74

Posté(e)
  • Auteur
Posté(e)

bonjour sophie74 et bienvenue sur zebulon :P

 

Merci de créer ton sujet dans cette partie: http://forum.zebulon.fr/index.php?showforum=51

 

fait ceci en plus s'il te plait.

 

Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8.
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • En mode sans échec, fais un clic droit sur le fichier SDFix.zip et choisis extraire tout,
  • Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le script.
  • Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

@+

sophie74 Junior Member

sophie74

Posté(e)
  • Auteur
Posté(e)

:P merci merci et encore merci apparement cela à marche je t envoie le rapport

 

SDFix: Version 1.57

 

mar. 09/01/2007 - 22:04:56,12

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix

 

Safe Mode

 

Service Check:

 

Service Name:

 

 

File Path:

 

 

 

 

Starting Registry Repairs

Killing PID 156 'smss.exe'

Killing PID 236 'winlogon.exe'

Killing PID 236 'winlogon.exe'

 

Restoring Default Hosts File...

 

Stage One Complete

 

Rebooting...

 

Stage Two - Normal Mode

 

Checking Files:

--------------

 

C:\WINDOWS\SYSTEM32\Z2881.EXE

C:\WINDOWS\SYSTEM32\Z1841.EXE

C:\WINDOWS\SYSTEM32\Z3182.DLL

C:\WINDOWS\SYSTEM32\Z3315.DLL

C:\WINDOWS\SYSTEM32\Z3323.DLL

C:\WINDOWS\SYSTEM32\Z3334.DLL

C:\WINDOWS\SYSTEM32\Z3476.DLL

C:\WINDOWS\SYSTEM32\Z3662.DLL

C:\WINDOWS\SYSTEM32\Z3721.DLL

C:\WINDOWS\SYSTEM32\Z3936.DLL

C:\WINDOWS\SYSTEM32\Z3997.DLL

C:\DOCUME~1\SOPHIE~1.TES\RCJH0OQ.EXE

C:\DOCUME~1\SOPHIE~1.TES\V0HK73U.EXE

C:\DOCUME~1\SOPHIE~1.TES\XFG54TK.EXE

C:\WINDOWS\SYSTEM32\L6PS20R.EXE

C:\WINDOWS\system32\game0.exe.exe

C:\WINDOWS\system32\google.png.exe

C:\WINDOWS\inet20000\mm.pid

C:\WINDOWS\inet20000\svchost.exe

C:\WINDOWS\inet20000\svchost.exe.bak

C:\WINDOWS\inet20000\wpcem.exe

C:\WINDOWS\inet20000\www.google.com\favicon.ico

C:\WINDOWS\inet20000\www.google.com\index.html

C:\WINDOWS\inet20000\www.google.com\thank.html

C:\WINDOWS\inet20000\www.google.com\Google_files\hp0.gif

C:\WINDOWS\inet20000\www.google.com\Google_files\hp1.gif

C:\WINDOWS\inet20000\www.google.com\Google_files\hp2.gif

C:\WINDOWS\inet20000\www.google.com\Google_files\hp3.gif

C:\WINDOWS\system32\adir.dll

C:\WINDOWS\system32\adirss.exe

C:\WINDOWS\system32\drivers\etc\hosts.tim

C:\WINDOWS\system32\install.exe

C:\WINDOWS\system32\ppl.exe

C:\WINDOWS\system32\rpcc.dll

C:\WINDOWS\system32\svcp.csv

C:\WINDOWS\system32\syspools.exe

C:\WINDOWS\system32\taskdir.exe

C:\WINDOWS\system32\w.exe

C:\WINDOWS\system32\winsub.xml

 

Removing any Files Found...

 

Alternate Stream Check:

 

C:\WINDOWS\system32

No streams found.

 

Final Check:

 

Remaining Services:

------------------

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"explorer.exe"="explorer.exe::*:Enabled:Explorer"

 

 

Remaining Files:

---------------

 

Backups Folder: - C:\SDFix\backups\backups.zip

 

Remaining files with hidden attributes:

 

C:\NTDETECT.COM

C:\WINDOWS\system32\cdplayer.exe.manifest

C:\WINDOWS\system32\logonui.exe.manifest

C:\WINDOWS\system32\z24173229859.exe

C:\WINDOWS\system32\z24173239328.exe

C:\IO.SYS

C:\MSDOS.SYS

C:\pagefile.sys

C:\WINDOWS\LastGood.Tmp\INF\amov4ie.inf

C:\WINDOWS\LastGood.Tmp\INF\amov4ie.PNF

C:\WINDOWS\LastGood.Tmp\INF\oem0.inf

C:\WINDOWS\LastGood.Tmp\INF\oem0.PNF

C:\WINDOWS\LastGood.Tmp\INF\oem1.inf

C:\WINDOWS\LastGood.Tmp\INF\oem1.PNF

C:\WINDOWS\LastGood.Tmp\INF\oem2.inf

C:\WINDOWS\LastGood.Tmp\INF\oem2.PNF

C:\WINDOWS\LastGood.Tmp\INF\oem3.inf

C:\WINDOWS\LastGood.Tmp\INF\oem3.PNF

C:\WINDOWS\LastGood.Tmp\INF\pnghost.inf

C:\WINDOWS\LastGood.Tmp\INF\pnghost.PNF

C:\WINDOWS\LastGood.Tmp\INF\strmanim.inf

C:\WINDOWS\LastGood.Tmp\INF\strmanim.PNF

 

Finished

je n ai pas compris le nouveau log hijaktis.... je dois en refaire un en mode sans echec??

sophie 74 :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...