[résolu] PC infecté par trojan Zlob D

[WawaSeb]

Bonsoir kaervek,

 

*** En manque de sommeil et au travail très tôt demain, je vérifierai tes rapports plus en profondeur avant samedi ! ***

 

Bit-defender mange 70% de mes ressources système à scanner ces deux fichiers en boucle !!!

 

C:\Program Files\OrangeHSS\Connectivity\ConnectivityTraces.txt

C:\Program Files\OrangeHSS\Connectivity\Corecom\Trace.txt

 

Ca peut pas venir de ce que tu m'as fait changer avec france telecom routing ?

 

Ces fichiers grossissent petit à petit avec des lignes du genre :

--> Il s'agit probablement de fichiers "journaux", qui enregistrent ce qui transite par ton réseau...

--> Je ne pense pas que cela puisse venir du service désactivé (tu peux toujours le ré-activer pour en avoir le coeur net...)

 

 

Attention, si tu installes Spybot, il y aura deux antispyware's installés sur ta machine !

--> C'est une mauvaise idée, ils peuvent entrer en conflit et poser des problèmes ou se détecter mutuellement comme menaces potentielles :

 

1) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes :

• Désinstalle Spybot
  OU
  
• Désinstalle Ad-Aware SE Personal
  

--> Les logiciels de p2p (Azureus, eMule) sont des nids potentiels à infections ; pour t'en convaincre, lis l'excellent article de tesgaz

 

--> Tu as aussi installé Everest Poker : les logiciels de poker viennent souvent avec des malware's et en apportent d'autres ; si tu as déjà désinstallé celui-ci, supprime le dossier C:\Program Files\Everest Poker\

 

 

2) Rends-toi sur ce site-ci

• Clique sur "Parcourir" (comme indiqué sur le dessin)
  
• Recherche le fichier suivant :
  c:\Documents and Settings\Propriétaire\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
  
• Clique sur "Submit"
  
• Copie-colle le rapport dans ta prochaine réponse...
  

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

 

 

3) Crée un nouveau document texte (avec le bloc-note)

 

° Copie-colle les lignes suivantes (en citation) dans ce nouveau document, enregistre-le sur le bureau sous le nom "tasks.bat"

 

! Attention, tu dois choisir dans le champ "Type" --> TOUS LES FICHIERS !

 

---> Ton icône doit ressembler à ceci :

 

---> Exécute alors "tasks.bat" en double-cliquant dessus...

 

@echo off

echo.

echo.

echo V‚rification des tƒches planifi‚es pr‚sentes sur le systŠme

echo. >rapport.txt

echo.

echo par WawaSeb

echo.>>rapport.txt

echo.

echo.

echo Appuie sur une touche pour continuer...

pause > nul

echo V‚rification des tƒches planifi‚es pr‚sentes sur le systŠme >>rapport.txt

echo.>>rapport.txt

echo %time% >>rapport.txt

echo %date% >>rapport.txt

echo.>>rapport.txt

schtasks >>rapport.txt

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler" >>rapport.txt

echo.

echo.

echo.

echo Appuie sur une touche pour afficher le rapport que tu vas poster sur Zebulon...

pause>NUL

 

rapport.txt

del rapport.txt

del tasks.bat

 

---> Poste donc les rapport de :

• Kaspersky en ligne (demandé dans mon post précédent)
  
• Jotti ou Virus Total
  
• Tasks.bat
  

Bonne nuit !

[kaervek]

Pour le rapport de kaspersky, il n'avait rien trouvé je n'ai donc pas eu de rapport.

 

J'ai désinstallé ad-aware du coup préférant avoir un antispyware résident. En ce qui concerne le p2p, c'est clair, je le sais mais bon fan de manga oblige, je ne peux pas m'empecher de télécharger les torrents dispo encore libre de droit !

 

Voici le rapport de jotti :

 

File: fpupdateax.exe

Status: OK

MD5: 709b3498dde1ebf3eafc9b31bc1b0a1d

Packers detected: -

Bit9 reports: File not found

 

Scanner results

Scan taken on 22 Nov 2007 23:36:50 (GMT)

A-Squared Found nothing

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

Fortinet Found nothing

Ikarus Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

Panda Antivirus Found nothing

Rising Antivirus Found nothing

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing

 

Voici le rapport tasks.bat :

 

V‚rification des tƒches planifi‚es pr‚sentes sur le systŠme

 

0:42:01,32

23/11/2007

 

! REG.EXE VERSION 3.0

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

{438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Pré-chargeur Browseui

{8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Démon de cache des catégories de composant

 

 

Pour en revenir à mon ramage intensif dû à un scan permanent de bitdefender, j'ai remarqué qu'il continuait à scanner même lorsque je suis déconnecté, il faut que je quitte totalement l'application de connexion au niveau de la barre de tâches pour qu'il cesse de tourner en permanence.

Modifié le 22 novembre 2007 par kaervek

[WawaSeb]

Bonjour kaervek,

 

*** Ton PC n'est presque plus infecté ! ***

 

1) Supprime les fichiers suivants :

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

• C:\WINDOWS\prefetch\DUMPREP.EXE-1B46F901.pf
  
• C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf
  
• C:\WINDOWS\prefetch\SWREG.EXE-3688D00C.pf
  
• C:\WINDOWS\prefetch\CHCP.COM-18156052.pf
  
• C:\WINDOWS\system32\WS2Fix.exe
  
• C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6U8GNXVJ\iTunesSetupAdmin[1].exe
  
• C:\Windows\Temp\tous les fichiers qui se terminent par .tmp
  

 

2) Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir...

1. Télécharge la dernière version de Java Runtime Environment (JRE) 6.
   
2. Descends sur la page jusqu'à "Java Runtime Environment (JRE) 6u3, The Java SE Runtime Environment (JRE) allows end-users to run Java applications".
   
3. Clique sur "Download", à droite
   
4. Coche la case et accepte la license
   
5. La page se recharge
   
6. Clique sur le lien pour télécharger l'installation hors ligne [Windows] et enregistre le fichier sur ton bureau
   
7. Ferme tous tes programmes (surtout les navigateurs Internet)
   
8. Clique sur "démarrer", "panneau de configuration", "ajout/suppression de programmes" et désinstalle toutes les anciennes versions de JAVA
   
9. Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)".
   
10. Clique sur le bouton "modifier / supprimer"
    
11. Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA
    
12. Redémarre ta machine
    
13. Après le reboot, clique sur jre-6u3-windows-i586-p.exe pour installer la nouvelle version... suis les instructions à l'écran
    

 

3) Télécharge ToolsCleaner! de A.Rothstein pour enlever les programmes que nous avons utilisés pendant la procédure.

• Enregistre ToolsCleaner2.exe sur le Bureau puis décompresse-le
  
• Double-clique dessus --> Le programme va nettoyer les fichiers...
  
• Ouvre le rapport que tu trouveras là ~C:\TCleaner.txt
  
• Copie-colle le contenu de ce rapport dans ta prochaine réponse
  

---> Les icônes de ton bureau et la barre des tâche va disparaître, ne t'inquiète pas...

Si tout cela ne revient pas après le passage du logiciel :

# Appuie sur les touches CTRL + ALT + DEL

• Clique sur Fichier, puis sur Nouvelle tâche
  
• Clique sur Parcourir
  
• Rends-toi dans le dossier C:\Windows\
  
• Clique sur explorer.exe, puis sur Ouvrir
  

---> En ce qui concerne ton problème avec BitDefender, il s'agit peut-être d'un conflit avec le kit Orange, ou d'une protection en temps réel trop gourmande !

---> Regarde cette option...

Tutoriel complet : http://www.malekal.com/tutorial_BitDefende...virus10Plus.php (merci malekal_morte !)

 

---> Si tu n'as toujours pas de résultat, poste un topic dans la partie Software du forum en pensant bien à mettre le lien vers tout ce qui a déjà été fait...

 

Bonne après-midi à toi !

[kaervek]

J'ai pas encore suivi toutes les étapes, j'arrive pas à trouver tous les fichiers de la l'étape 1 ...

 

Dans le dossier prefetch, je trouve SWREG.EXE-18C17B01.pf, les chiffres ne sont pas les mêmes que ce que tu nommes, je supprime quand même ? Pour le reste ça va sauf pour le fichier Itunes, ce chemin d'accès n'existe pas sur mon ordi et je n'arrive pas à retomber sur le fichier en utilisant la fonction rechercher.

 

Pas eu le temps de passer à la suite, ferais ça plus tard dans la journée, encore merci .

[kaervek]

J'ai poursuivi mes recherches pour le fichier Itunes, le seul truc que j'ai trouvé qui pourrait être ce que tu m'as dit se trouve ici : C:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.4.3.1\ItunesSetupAdmin.exe

 

J'attend ta réponse pour le supprimer ainsi que SWREG.EXE-18C17B01.pf.

 

J'ai fait les étapes suivants et voici le rapport tout ce qu'il y a de plus normal apparemment :

 

********ToolsCleaner2 (A.Rothstein)********

 

 

 

Debut le 26/11/2007 a 11:04:44,07

 

///////////////////

 

-Hijackthis = Trouve!

 

-Hijackthis = Suppression effectuee!

 

-Diaghelp = Trouve!

 

- (B) DiagHelp = Suppression effectuee!

 

 

********Fin de Scan principal********

Programme(s) supprime(s) avec succes!

 

 

 

** Module de recherche complementaire ** (Beta Test 1)

 

 

///////////////////

 

Fin le 26/11/2007 a 11:12:55,03

 

- Points de Restauration Ok!

- Vidage de la corbeille Ok!

- Fichiers temporaires Ok!

 

 

Merci d'avoir utilise ToolsCleaner2

 

 

Pour Bitdefender, je crois que je vais désinstaller tout wanadoo et juste réinstallé les drivers du modem pour créer une connexion manuelle, si après ça j'ai encore des problèmes, je posterais dans software.

[WawaSeb]

Bonjour kaervek,

 

*** Tu poses des questions, c'est vraiment super ! Courage... ***

 

 

Dans le dossier prefetch, je trouve SWREG.EXE-18C17B01.pf, les chiffres ne sont pas les mêmes que ce que tu nommes, je supprime quand même ?

--> Ce fichier est lié à l'utilisation de SmitFraudFix, ce n'est pas très grave s'il reste là, mais tu peux le supprimer, quelle que soit la suite de chiffres qui suit !

 

 

J'ai poursuivi mes recherches pour le fichier Itunes, le seul truc que j'ai trouvé qui pourrait être ce que tu m'as dit se trouve ici : C:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.4.3.1\ItunesSetupAdmin.exe

--> Ne supprime surtout pas celui-là, il est légitime !!!

 

 

Pour Bitdefender, je crois que je vais désinstaller tout wanadoo et juste réinstallé les drivers du modem pour créer une connexion manuelle, si après ça j'ai encore des problèmes, je posterais dans software.

--> C'est une excellente idée, mais assure-toi auparavant de disposer de TOUS les paramètres nécessaires à ta connexion...

 

 

# As-tu encore eu des alertes à propos de Zlob ?

 

Bonne soirée à toi !

[kaervek]

Et voilà tout est terminé, j'ai désinstallé tout la suite orange qui pourrissait mon ordi et je me suis refait une connexion manuel !

 

Tout marche nickel, plus de conflit avec bit-defender, pas de trâce de Zlob D, ni rien du tout, mon ordi s'est refait une nouvelle jeunesse .

 

Merci beaucoup Wawaseb.

[WawaSeb]

Bonjour kaervek,

 

*** Tu as fait du très bon travail ! ***

 

Tout marche nickel, plus de conflit avec bit-defender, pas de trâce de Zlob D, ni rien du tout, mon ordi s'est refait une nouvelle jeunesse

--> Super !!!

 

1) Télécharge ToolsCleaner! de A.Rothstein pour enlever les programmes que nous avons utilisés pendant la procédure.

• Enregistre ToolsCleaner2.exe sur le Bureau puis décompresse-le
  
• Double-clique dessus --> Le programme va nettoyer les fichiers...
  
• Ouvre le rapport que tu trouveras là ~C:\TCleaner.txt
  
• Copie-colle le contenu de ce rapport dans ta prochaine réponse
  

---> Les icônes de ton bureau et la barre des tâche va disparaître, ne t'inquiète pas...

Si tout cela ne revient pas après le passage du logiciel :

# Appuie sur les touches CTRL + ALT + DEL

• Clique sur Fichier, puis sur Nouvelle tâche
  
• Clique sur Parcourir
  
• Rends-toi dans le dossier C:\Windows\
  
• Clique sur explorer.exe, puis sur Ouvrir
  

 

Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse

 

2) Voici une liste de recommandations personnelles pour éviter de te faire infecter :

1. Garde une version de Windows légale et à jour
   
2. Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections)
   
3. Evite les sites douteux, illégaux, pornographiques, ...
   
4. Méfie-toi des programmes gratuits (financés par...)
   
5. Fuis le Peer To Peer (Kazaa, Bearshare, ...)
   
6. Garde un Antivirus à jour !
   
7. Ne clique jamais sur des liens non annoncés dans une messagerie instantannée
   
8. N'ouvre jamais de pièce jointe non prévue dans un mail !
   

 

3) Tu peux dénoncer ton infection :

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

********************************************************************************

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

Ton infection principale : Zlob

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

canned de Malekal_morte : http://www.malekal.com/

 

 

Plus d'info sur le topic d'Ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

 

Bon surf à toi !