Zedesh.dat

[guycudell1ab]

Salut, depuis quelques temps j'ai une fenetre de nod32 qui apparait et me signale qu'un fichier est infecté par un trojan ( zedesh.dat)...pourtant en allant dans le dossier qui contient ce fichier, je ne le retrouve pas ! J'ai décidé d'effectuer une analyse de mon pc sur le site de panda et ils prétendent que mon pc est infecté par 7 virus, voici le rapport :

 

 

Incident Statut Analyse

 

Spyware:Cookie/Weborama No Désinfecté C:\Documents And Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\5g4q04x3.default\cookies.txt[.weborama.fr/]

 

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents And Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\5g4q04x3.default\cookies.txt[.tradedoubler.com/]

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents And Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\5g4q04x3.default\cookies.txt[.xiti.com/]

 

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents And Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\5g4q04x3.default\cookies.txt[.tradedoubler.com/]

 

Spyware:Cookie/Advertising No Désinfecté C:\Documents And Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\5g4q04x3.default\cookies.txt[.advertising.com/]

 

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents And

Settings\Administrateur\Cookies\administrateur@atdmt[1].txt

 

Virus:Trj/Dropper.RB No Désinfecté C:\Program Files\eMule\Incoming\Replay Converter v2.30 Winall Incl Crack-Te.rar[RCSetup.exe]

 

 

J'ai aussi fait une analyse via hijack, dont voici le rapport:

Logfile of HijackThis v1.99.1

Scan saved at 22:10:37, on 14/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\S24EvMon.exe

C:\WINDOWS\system32\ZCfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\1XConfig.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\RegSrvc.exe

C:\Windows\LClock\LClock.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32THotkey.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mdm.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents And Settings\Administrateur\Mes documents\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.incompris.net

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.incompris.net

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: MSNToolBandBHO - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\msntb.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [LClock] \Windows\LClock\LClock.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O14 - IERESET.INF: START_PAGE_URL=http://www.incompris.net

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\WINDOWS\Private Folder\PrfldSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe

 

Merci d'avance !!

 

ah oui...dans mes processus, je vois Iexplore.exe qui est là, bien que je n'ai aucune fenetre internet explorer ouverte, j'essaie d'arreter le processus mais celui-ci se relance auto....

 

fenetre nod 32:

Modifié le 15 janvier 2007 par guycudell1ab

[bruce lee]

bonjour guycudell1ab et bienvenue sur zebulon

 

analyse en cours

[bruce lee]

re,

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

2/Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

 

3/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

 

4/lance hijackthis en cliquant sur do a scan system only et coche cette ligne:

 

O2 - BHO: MSNToolBandBHO - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\msntb.dll

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

 

Décocher la case : Masquer les extensions des fichiers dont le type est connu

 

Décocher la case : Masquer les fichiers protégés du système d'exploitation

 

cliquer sur "Appliquer"

 

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

6/Supprime ce qui est en gras:

 

C:\WINDOWS\system32\ msntb.dll<== le fichier

 

 

7/Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

 

8/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

9/Redémarre en mode normal

 

10/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis.

 

Bon courage, et si tu as la moindre question n'hésite surtout pas

 

@+

[guycudell1ab]

J'ai fait tout ce que tu m'as demandé de faire....

Je pense qu'un nouveau rapport avg n'est pas nécessaire vu que je n'ai plus le message de nod32...pour le moment en tout cas !

 

Merci encore de ton aide !

[bruce lee]

bonjour guycudell1ab,

 

Poste les differents rapports s'il te plait (il te reste surement des infections)

 

@+