resolu ::::DROPPED: trojan.dowloader .ZLOb AAN

[kapia08]

excusez moi pour la reponse un peu tardive ,boulot oblige, j'ai fait ce vous m'avez dit , je n'ai qu'une seule reponse car Kaspersky :n'a rien trouvé ,donc voici l'autre rapport :::::::::::::09/14/07 21:28:08 [info]: BlackLight Engine 1.0.64 initialized

09/14/07 21:28:08 [info]: OS: 5.1 build 2600 (Service Pack 2)

09/14/07 21:28:08 [Note]: 7019 4

09/14/07 21:28:08 [Note]: 7005 0

09/14/07 21:28:11 [Note]: 7006 0

09/14/07 21:28:52 [Note]: 7011 260

09/14/07 21:28:53 [Note]: 7026 0

09/14/07 21:28:53 [Note]: 7026 0

09/14/07 21:28:54 [Note]: FSRAW library version 1.7.1022

09/14/07 21:32:01 [Note]: 7007 0

merci ::

[wong]

Bonsoir kapia08,

 

Tu aurais pu mettre le rapport Kaspersky. C'est pas grave.

 

Est-ce que tu as supprimé : videoAccessCodecInstall.exe ( tu as noté qu'il se trouvait sur ton bureau ) ?

 

Refais un scan BitDefender stp, et si Trojan.Download.Zlob est trouvé : copie/colle la/les lignes indiquées par BitDefender.

 

Questions :

1°) Est-ce que c'est toi qui a installé Yahoo ! Toolbar ?

 

2°) Dans ta version de BitDefender as-tu le Firewall et l'Anti-spyware ?

 

@ + pour la suite

[kapia08]

bonjour DROPPED, je viens de passer biDefender. il n'a rien trouvé donc pas de rapport .:: quand a videoAccessCodecInstall.exe . j'ai reussi a le supprimer avec le mode cans echec , pourquoi me demandes tu si c'est moi qui ai installé yahoo toolbar , non ce n'est pas moi c'est mon gamin, comment le supprimer maintenant je m'en sert plus, merci a toi champion

[wong]

Bonsoir kapia08,

 

Les choses deviennent plus claires.

 

Retour dans 30'

 

A tout de suite.

[wong]

Bonsoir kapia08,

 

En supprimant videoAccessCodecInstall.exe qui se trouvait sur ton bureau, tu as enlevé le fichier infecté.

 

Méfie toi des packs de Codecs. La plupart sont infectés.

 

Pour les Toolbars je te conseille de lire ceci : http://assiste.com.free.fr/p/abc/a/barres_...ls_toolbar.html

 

Tu ne m'as pas répondu pour ça : Dans ta version de BitDefender as-tu le Firewall et l'Anti-spyware ?

 

 

Nettoyage avec HijackThis

 

Lance un scan HijackThis : Clique sur Do a system scan only et coche les lignes ci-dessous :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.msn.fr/8SEFRFR030000TBR/InstallSuccess

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime

 

Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis.

 

 

D'autre part tu as un service qui ne te sert à rien France Telecom Routing Table Service. Demain je te fais une procédure pour le désactiver.

 

Relance HijackThis > Clique sur " Do a system scan and save the logfile "

Copie/Colle le rapport dans ta prochaine réponse

 

@ + pour la suite

[kapia08]

salut voici le rapport demandé

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:58:16, on 20/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal

 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\ZoneLabs\vsmon.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

E:\WINDOWS\System32\FTRTSVC.exe

E:\WINDOWS\system32\nvsvc32.exe

E:\WINDOWS\system32\svchost.exe

E:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\wscntfy.exe

E:\PROGRA~1\Messager Wanadoo\StartMessager.exe

E:\Program Files\Softwin\BitDefender Standard Edition\bdswitch.exe

E:\WINDOWS\system32\LVCOMSX.EXE

E:\WINDOWS\SOUNDMAN.EXE

E:\WINDOWS\system32\RUNDLL32.EXE

E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

E:\PROGRA~1\Wanadoo\TaskBarIcon.exe

E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

E:\Program Files\HP\HP Software Update\HPWuSchd2.exe

E:\WINDOWS\system32\ctfmon.exe

E:\WINDOWS\lclock.exe

E:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

E:\PROGRA~1\Wanadoo\GestionnaireInternet.exe

E:\PROGRA~1\Wanadoo\ComComp.exe

E:\PROGRA~1\Wanadoo\Toaster.exe

E:\PROGRA~1\Wanadoo\Inactivity.exe

E:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

E:\WINDOWS\System32\AlertModule\AlertModule.exe

E:\PROGRA~1\IncrediMail\bin\IMApp.exe

E:\PROGRA~1\Wanadoo\PollingModule.exe

E:\Program Files\Hercules\WiFi Station pour Livebox\WifiStationLB.exe

E:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

E:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

E:\PROGRA~1\Wanadoo\Watch.exe

E:\PROGRA~1\IncrediMail\bin\ImNotfy.exe

E:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

e:\progra~1\softwin\bitdefender standard edition\bdmcon.exe

E:\Program Files\Softwin\BitDefender Standard Edition\vsserv.exe

E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - E:\PROGRA~1\Wanadoo\SearchPageURL.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [bDMCon] E:\PROGRA~1\Softwin\BitDefender Standard Edition\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] E:\Program Files\Softwin\BitDefender Standard Edition\bdnagent.exe

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] E:\PROGRA~1\Messager Wanadoo\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [bDSwitchAgent] E:\Program Files\Softwin\BitDefender Standard Edition\bdswitch.exe

O4 - HKLM\..\Run: [LVCOMSX] E:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [NVMixerTray] "E:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] E:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PinnacleDriverCheck] E:\WINDOWS\system32\\PSDrvCheck.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [WOOWATCH] E:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] E:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [HP Software Update] E:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LClock] lclock.exe

O4 - HKCU\..\Run: [incrediMail] E:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [WOOKIT] E:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = E:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: WiFi Station pour Livebox.lnk = ?

O8 - Extra context menu item: &Windows Live Search - res://E:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\PROGRA~1\Messager Wanadoo\Messager Wanadoo.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\PROGRA~1\Messager Wanadoo\Messager Wanadoo.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - E:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - E:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - E:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - E:\Program Files\Softwin\BitDefender Standard Edition\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - E:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

--

End of file - 8760 bytes

[wong]

Bonsoir kapia08,

 

Peux-tu répondre à mes questions stp :

 

C:\WINDOWS.old et E:\WINDOWS ? Peux-tu me donner des précisions

Dans ta version de BitDefender as-tu le Firewall et l'Anti-spyware ?

 

Pour arrêter FTRTSVC ( service inutile ) :

 

1°) Ouvre le Gestionnaire de tâches : Ctrl + Alt + Suppr

Onglet Processus > Clique sur FTRTSVC et clique sur le bouton Terminer le processus

 

2°) Pour désactiver ce service :

 

Démarrer > Exécuter : et tape services.msc

 

La fenêtre des services va s'ouvrir

• Assure-toi que l'onglet " Etendu " ( en bas ) est activé.
  
• Cherche le service " France Telecom Routing Table Service ( FTRTSVC ) "
  
• Assure-toi que le chemin est : E:\WINDOWS\System32\FTRTSVC.exe
  
• Double-clique sur la ligne.
  
• Dans la fenêtre qui s'ouvre > Statut du service : doit être sur Arrêté - Type de démarrage : choisis Désactivé et clique sur Appliquer et sur OK
  
• Ferme la fenêtre des services
  
• Redémarre ton PC
  

Tu pourras le supprimer par la suite avec HijackThis.

 

 

3°) Pour désinstaller Yahoo ! Toolbar :

http://help.yahoo.com/help/fr/companion/companion-08.html

 

@ + pour la suite.

[kapia08]

salut wonq :

avec biDefender j'ai juste l'anti virus et l'anti espion

par contre je ne trouve pas :France Telecom Routing Table Service ( FTRTSVC ) E:\WINDOWS\System32\FTRTSVC.exe dans HijackThis.

et un petit renseignement stp, yahoo toolbar, dans firefox comment on l'enleve ca sert a rien

je suis sur que j'ai un tas de truc qui ne sert a rien et cest pour ca que mon pc rame comme ca

[wong]

Bonjour kapia08,

 

avec biDefender j'ai juste l'anti virus et l'anti espion

Tu veux dire l'anti-spyware ?

 

par contre je ne trouve pas :France Telecom Routing Table Service ( FTRTSVC ) E:\WINDOWS\System32\FTRTSVC.exe dans HijackThis

Tu n'as pas suivi la procédure que je t'ai indiquée ( désacitiver dans les services ), car il est encore présent dans ton rapport HijackThis.

 

Essaye d'être précis stp : si tu ne comprends pas une demande, pose la question.

 

Pour Yahoo Toolbar dans FireFox : je t'ai donné la procédure pour IE. Je suppose qu'elle est identique pour FireFox ( que je n'utilise pas ).

 

Tu as beaucoup de processus inutiles qui se lancent au démarrage ( on verra ça à la fin ).

 

Répond à mes questions et on continue.

 

@ +

[kapia08]

bonjour Wonq

oui dans bidefender, j'ai l'anti spaware :

par contre j'ai fait exactement ce que tu m'as dit pour enlever :France Telecom Routing Table Service ( FTRTSVC ) E:\WINDOWS\System32\FTRTSVC.exe dans HijackThis, si tu veux je peux t'envoyer le rapport, je ne l'ai plus dans hijackTHis :