controle avec ZEB help process

[fifi 76]

bonjour

 

je viens de faire un petit scann avec ZEB help process

 

 

voici ce que je trouve dans le raport çi joint

 

que faire ?

 

merci

 

fifi76

 

 

 

 

 

 

 

Zeb Help Process 2 by Nicolas Coolman - Rapport de synthèse du 18/10/2010 13:11:32

 

INFECTION IDENTIFIEE

Liste disponible seulement en version Helper

 

 

PROCESSUS MALWARE (Rootkit, trojan, ver, spyware, adware,...)

[MD5.0AAAA19EDFB21F2932D097D0BC4FB98D] - (.Pas de propriétaire - launch_networker.) -- C:\Program Files\InstallPedia\lnetworker.exe [7168]

O4 - HKLM\..\Run: [iP Network] . (.Pas de propriétaire - launch_networker.) -- C:\Program Files\InstallPedia\lnetworker.exe

O23 - Service: service de mise a jour pour IP networker (IP netservices) . (.Pas de propriétaire - service.) - C:\Program Files\InstallPedia\service.exe

[HKCU\Software\PopCap]

[HKCU\Software\Totem]

[HKLM\Software\ImInstaller]

[HKLM\Software\InstallPedia]

[HKLM\Software\PopCap]

O43 - CFD:Common File Directory ----D- C:\Program Files\InstallPedia

O43 - CFD:Common File Directory ----D- C:\Program Files\vghd

O64 - Services: CurCS - C:\Program Files\InstallPedia\service.exe - service de mise a jour pour IP networker (IP netservices) .(.Pas de propriétaire - service.) - LEGACY_IP_NETSERVICES

SS - | Auto 14/09/2010 8192 | C:\Program Files\InstallPedia\service.exe (IP netservices) . (.Pas de propriétaire.) - C:\Program Files\InstallPedia\service.exe

 

SCRIPT DE DESINFECTION (Base de Registres)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"IP Network"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IP netservices]

 

SCRIPT DE SUPPRESSION DE FICHIER

c:\program files\installpedia\lnetworker.exe

c:\program files\installpedia\service.exe

 

PROCESSUS SUPERFLU DU SYSTEME

[HKLM\Software\BrowserChoice]

 

TOOLBAR INUTILE (Navigateur internet)

[HKLM\Software\Conduit]

 

PROCESSUS D'ACTION INCONNUE

[HKLM\Software\58f]

 

PROCESSUS INUTILE (Au démarrage du système)

O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

 

MISE A JOUR DE PRODUIT

Sun Microsystems

 

PROCESSUS P2P (Vecteurs d'infections)

eMule PeerToPeer

TvAnts PeerToPeer

Shareaza TorrentAid P2P

O47 - AAKE:Key Export SP - "C:\Program Files\eMule\emule.exe" [Enabled] .(.http://www.emule-project.net - eMule.) -- C:\Program Files\eMule\emule.exe

 

PROTECTION DU SYSTEME (Antivirus, FireWall, Anti-Malwares)

[MD5.9015BC03F62940527EC92D45EE89E46F] - (.Avira GmbH - Antivirus Scheduler.) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe [108289]

[MD5.29680A793F690EEF4AAA68479D2A6DF8] - (.Avira GmbH - Antivirus System Tray Tool.) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [209153]

[MD5.B8720A787C1223492E6F319465E996CE] - (.Avira GmbH - Antivirus On-Access Service.) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe [185089]

[MD5.47902A906ACE88580B08FF58D4C0C205] - (.Malwarebytes Corporation - Malwarebytes' Anti-Malware.) -- C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [304464]

[MD5.03CB8AEDDAE50558ABC53C297E758BB8] - (.Avira GmbH - Antivirus MailScanner Service.) -- C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [194817]

[MD5.E8A3FA8AB699F5A4E4F75F60502D17AC] - (.Avira GmbH - AntiVir WebGuard Service.) -- C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [434945]

Avira®AntiVir PersonalEdition

Rubber DuckY®Malwarebytes' Anti-Malware

Avira®AntiVir PersonalEdition Premium

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) . (.Avira GmbH - Antivirus Scheduler.) - C:\Program Files\Avira\AntiVir Desktop\sched.exe

Avira®AntiVir PersonalEdition/Desktop

O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) . (.Avira GmbH - AntiVir WebGuard Service.) - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.exe

Avira Antivir Premium

Panda Software

Panda Antivirus

O64 - Services: CurCS - C:\Program Files\Avira\AntiVir Desktop\avgio.sys - avgio (avgio) .(.Avira GmbH - Avira AntiVir Support for Minifilter.) - LEGACY_AVGIO

O64 - Services: CurCS - C:\Windows\system32\DRIVERS\avgntflt.sys - avgntflt (avgntflt) .(.Avira GmbH - Avira Minifilter Driver.) - LEGACY_AVGNTFLT

SR - | Auto 13/05/2009 108289 | C:\Program Files\Avira\AntiVir Desktop\sched.exe (AntiVirSchedulerService) . (.Avira GmbH.) - C:\Program Files\Avira\AntiVir Desktop\sched.exe

SR - | Auto 12/05/2009 434945 | C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.exe (AntiVirWebService) . (.Avira GmbH.) - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.exe

 

RAPPORT SIMPLIFIE

[MD5.0AAAA19EDFB21F2932D097D0BC4FB98D] - (.Pas de propriétaire - launch_networker.) -- C:\Program Files\InstallPedia\lnetworker.exe [7168]

M0 - MFSP: prefs.js [Compaq_Propriétaire - p8yco33k.default] Page de démarrage Mozilla Firefox

M2 - MFEP: prefs.js [Compaq_Propriétaire - p8yco33k.default\{44d0a1b4-9c90-4f86-ac92-8680b5d6549e}] [] Gmail Notifier 0.6.4.2 (.Doron Rosenberg.)

M2 - MFEP: prefs.js [Compaq_Propriétaire - p8yco33k.default\{47624dda-b77e-4feb-820a-e4f077d5d4ca}] [] Boost for Facebook 10.0.2 (.StudioBoost Team.)

M2 - MFEP: prefs.js [Compaq_Propriétaire - p8yco33k.default\{89506680-e3f4-484c-a2c0-ed711d481eda}] [] Firefox Showcase 0.9.5.5 (.Josep del Rio.)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = eBay - New & used electronics, cars, apparel, collectibles, sporting goods & more at low prices

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = eBay - New & used electronics, cars, apparel, collectibles, sporting goods & more at low prices

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>

O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.exe

O4 - HKLM\..\Run: [iP Network] . (.Pas de propriétaire - launch_networker.) -- C:\Program Files\InstallPedia\lnetworker.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Configuration facile Compaq.lnk . (.Hewlett-Packard Company.) -- C:\WINDOWS\system32\pcintro\autorun.exe

O23 - Service: service de mise a jour pour IP networker (IP netservices) . (.Pas de propriétaire - service.) - C:\Program Files\InstallPedia\service.exe

O24 - Desktop Component 0: (no name) - file:http://www.leboncoin.fr/js/common_8852.js

O40 - ASIC: Browser Customizations - >{C92EB41C-D4C5-4CCA-A444-318AE7FB6FC2} . (.Pas de propriétaire - Pas de description.) -- Rundll32 IEDKCS32.dll

O42 - Logiciel: France Bleu 1.1.1 - (.Radio France.) [HKLM] -- France Bleu_is1

O42 - Logiciel: J2SE Runtime Environment 5.0 Update 10 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0150100}

O42 - Logiciel: J2SE Runtime Environment 5.0 Update 11 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0150110}

O42 - Logiciel: eMule - (.Pas de propriétaire.) [HKLM] -- eMule

[HKCU\Software\?? ?? ???? ????? ??? ?? ????]

[HKCU\Software\PopCap]

[HKCU\Software\TVANTS]

[HKCU\Software\TorrentAid]

[HKCU\Software\Totem]

[HKCU\Software\Wallpaper 4]

[HKCU\Software\ZNsoft Icon Maker]

[HKCU\Software\eMule]

[HKLM\Software\58f]

[HKLM\Software\BrowserChoice]

[HKLM\Software\Conduit]

[HKLM\Software\ImInstaller]

[HKLM\Software\InstallPedia]

[HKLM\Software\PopCap]

O43 - CFD:Common File Directory ----D- C:\Program Files\Avery Assistant 3.1

O43 - CFD:Common File Directory ----D- C:\Program Files\eMule

O43 - CFD:Common File Directory ----D- C:\Program Files\France Bleu

O43 - CFD:Common File Directory ----D- C:\Program Files\InstallPedia

O43 - CFD:Common File Directory ----D- C:\Program Files\vghd

O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 24/09/2010 - 09:05:50 --HA- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf [0]

O44 - LFC:[MD5.21A76B8A1F3CC7B1B531BFC7F955819C] - 23/09/2010 - 11:44:08 --HA- . (.Pas de propriétaire - Pas de description.) -- C:\hpothb07.tif [10637]

O47 - AAKE:Key Export SP - "C:\Program Files\eMule\emule.exe" [Enabled] .(.http://www.emule-project.net - eMule.) -- C:\Program Files\eMule\emule.exe

O64 - Services: CurCS - C:\Program Files\InstallPedia\service.exe - service de mise a jour pour IP networker (IP netservices) .(.Pas de propriétaire - service.) - LEGACY_IP_NETSERVICES

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

 

MBRCheck, version 1.2.3 by ad13, http://ad13.geekstog

Found non-standard or infected MBR.

SS - | Auto 14/09/2010 8192 | C:\Program Files\InstallPedia\service.exe (IP netservices) . (.Pas de propriétaire.) - C:\Program Files\InstallPedia\service.exe

[Apollo]

Bonsoir,

 

ZHPFix :

 

 

• Ferme toutes les applications ouvertes
   
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

 

[*]Clique sur H

 

 

[*]Copie-colle les lignes ci-dessous dans la fenêtre

 

O4 - HKLM\..\Run: [iP Network] . (.Pas de propriétaire - launch_networker.) -- C:\Program Files\InstallPedia\lnetworker.exe       
O23 - Service: service de mise a jour pour IP networker (IP netservices) . (.Pas de propriétaire - service.) - C:\Program Files\InstallPedia\service.exe [HKCU\Software\PopCap]       
[HKCU\Software\Totem]       
[HKLM\Software\ImInstaller]       
[HKLM\Software\InstallPedia]       
[HKLM\Software\PopCap]       
O43 - CFD:Common File Directory ----D- C:\Program Files\InstallPedia       
O43 - CFD:Common File Directory ----D- C:\Program Files\vghd       
O64 - Services: CurCS - C:\Program Files\InstallPedia\service.exe - service de mise a jour pour IP networker (IP netservices) .(.Pas de propriétaire - service.) - LEGACY_IP_NETSERVICES       
SS - | Auto 14/09/2010 8192 | C:\Program Files\InstallPedia\service.exe (IP netservices) . (.Pas de propriétaire.) - C:\Program Files\InstallPedia\service.exe       
c:\program files\installpedia\lnetworker.exe       
c:\program files\installpedia\service.exe             

 

• Tu cliques sur Tout sélectionner, puis clic-droit -> Copier
  Tu positionnes le curseur dans la zone blanche vide de ZHPFix, puis clic-droit -> Coller

 

 

[*]Vérifie que toutes les lignes que je t'ai demandé de copier-coller, et seulement ces lignes sont listées dans la fenêtre

 

 

[*]Clique sur Tous puis sur Nettoyer

 

 

[*]Valide par Oui la désinstallation des programmes si demandé

 

 

[*]Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC

 

 

[*]Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

--------------

Quand tu auras posté le rapport:

 

Télécharge antiboot.zip et enregistre-le sur le bureau (et pas ailleurs):

 

Décompresse le dossier.zip: 7-Zip

 

Va dans Démarrer/exécuter (ou touches Windows et R) et copie/colle le contenu du cadre ci-dessous:

 

Si un dossier jaune nommé antiboot est sur le bureau -->

 

"%userprofile%\bureau\antiboot\antiboot.exe" -l c:\logfile.txt

 

*** Si les fichiers sont décompressés directement sur le bureau (antiboot.exe et un fichier eula.txt) -->

 

"%userprofile%\bureau\antiboot.exe" -l c:\logfile.txt

 

Une fenêtre noire va s'ouvrir; laisse travailler l'outil.

Si le message suivant apparait: "rootkit has been detected! Would you like to cure? " , tu auras le choix: Y/N : presse la touche Y.

 

L'outil va désinfecter puis demander un redémarrage. Toutes les applications doivent être fermées (sauf l'outil) presse alors la touche Y (yes) et valide par la touche Enter (entrée) du clavier.

 

*** Si le pc n'est pas infecté par ce rootkit, l'outil le signalera par ce message: "No infected disks found".

 

Poste le rapport qui se trouve sur le C:\logfile.txt

 

Source: How to cure a computer from Backdoor.Win32.Sinowal.deg

 

@++

Modifié le 18 octobre 2010 par Apollo