troyen z14

[demanes]

salut, j'ai un léger problème, après un surf , mon micro rencontre un problème au démarrage :

je suis sous windows xp sp2

Encart bleu " sous-systeme m-dos 16 bits "

c:\windows\system32\z14.exe .

c:\windows\system32\autoxec.nt

Message : le fichier système ne convient pas à l'exécution des applications ms-dos ou microsoft windows

Message : "Choisiser fermer ou ignorer pour mettre fin à l'application

Après le micro fonctionne apparement normalement

 

j'ai lu dans un forum qu'il s"agissait d'un troyen

Mon anti virus ( virsuscan 8.0)lors du surf avait détécté des troyens, les avait éradiquer, j'ai lancé adware, sypbot.

Même message, ce troyen est 'il facile a éradiquer ?

j'ai lancé hijackthis, faut'il que j'applique la procédure inscrite dans ce forum ?

Est ce quelqu'un a déjà eu ce souci ?

merçi d'avance

[megataupe]

Bonjour Demanes. Applique la procédure pour que

l'on puisse vérifier la présence, ou non, de ce trojan.

[tirol]

Salut Megataupe, salut Demanes,

 

essaie ceci d'abord

 

1. Click DEMARRER, -> Executer dans la fenêtre tape :

c:\windows\repair, puis OK.

2. Clik-droit sur autoexec.nt et click Copier

3. Click DEMARRER, -> Executer dans la fenêtre tape :

c:\windows\system32, puis OK.

4. click-droit n'importe où dans ce dossier et click "Coller".

5. click-droit Autoexect.nt file qui vient d'être copié, et click "Propriétés".

6. Click "lecture seule" puis OK

 

 

tirol.

[angelique]

bonjour tirol

autoexec.nt est toujours accompagné de config.nt ds le meme directory indiqué par tirol.

 

tu copies colles autoexec.nt et config.nt situé en c:\windows\repair ds c:\windows\system32

 

oui bien tu mets ta galette d'xp ds ton lecteur D puis executer

cmd

cd c:\

cd windows

cd system32

expand D:\i386\autoexec.n_

expand d:\i386\config.n_

 

ou bien executer/cmd

 

expand D:\i386\autoexec.n_ c:\windows\system32\autoexec.nt

expand D:\i386\config.n_ c:\windows\system32\config.nt

 

et effectivement,je confirme autoexec.nt à mettre en lecture seule

et pour Z14.exe(TrojanDropper.Delf.pb )

procedure hijack

http://forum.zebulon.fr/index.php?showforum=51

 

demanes evites les doubles posts^^

http://forum.zebulon.fr/index.php?showtopic=81407&hl=

Modifié le 6 décembre 2005 par angelique

[tirol]

Salut Angélique et les garçons,

 

Demanes, y'a encore plus simple :

 

va ici : http://visualtour.com/downloads/

 

et télécharge XP_FIX.exe

 

et roule !

 

tirol

[demanes]

Salut Angélique et les garçons,

 

Demanes, y'a encore plus simple :

 

va ici : http://visualtour.com/downloads/

 

et télécharge XP_FIX.exe

 

et roule !

 

tirol

Merçi à tous, j'ai résolu le problème de l'autoexec.nt, je n'ai plus le message.

J'ai un nouveau message concernant z14

" le processeur NTVDM a rencontré une instruction non autorisée

CS:OF4:FF F a ff

c:\windows\system32\z14.exe .

il faut donc que je m'occupe du troyen z14

Je suis en rtc le chargement de l'anti virus est long.

j'appliquerais la procedure hijack

 

je vous tiens au courant

merçi encore

[demanes]

Merçi à tous, j'ai résolu le problème de l'autoexec.nt, je n'ai plus le message.

J'ai un nouveau message concernant z14

" le processeur NTVDM a rencontré une instruction non autorisée

CS:OF4:FF F a ff

c:\windows\system32\z14.exe .

il faut donc que je m'occupe du troyen z14

Je suis en rtc le chargement de l'anti virus est long.

j'appliquerais la procedure hijack

 

je vous tiens au courant

merçi encore

j'ai appliqué la procédure

anti vir m'a trouvé 8 virus

mais j'ai toujours le message :

" le processeur NTVDM a rencontré une instruction non autorisée

CS:OF4:FF F a ff

c:\windows\system32\z14.exe .

 

ci dessous le rapport Hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 21:33:59, on 07/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\FlashGet\flashget.exe

D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

D:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: CCHelper Class - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - D:\Program Files\Panicware\Pop-Up Stopper Pro\CCHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll

O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - D:\Program Files\Panicware\Pop-Up Stopper Pro\popuppro.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [shStatEXE] "D:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "D:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [sSC Service Utility] D:\Program Files\SSC Service Utility\ssc_serv.exe /s

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ControlPanel] D:\WINDOWS\system32\cmd32.exe internat.dll,LoadKeyboardProfile

O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [RoboForm] "D:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"

O4 - Global Startup: Compteur.lnk = D:\Program Files\Compteur TFS\Compteur.exe

O8 - Extra context menu item: Barre RoboForm - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O8 - Extra context menu item: Enregistrer le formulaire - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Personnaliser le menu - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Remplir le formulaire - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - D:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Télécharger en utilisant FlashGet - D:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - D:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

 

Voila merci d'avance de me renseigner sur le suite à adopter

[Jack_Burton]

Bonsoir demanes,

 

Le processus que tu énonces z14.exe et infectueux

Voila ce que tu vas faire :

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

*Télécharge la version d'essai d'Ewido ici :

http://www.ewido.net/fr/

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

R3 - Default URLSearchHook is missing

 

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ControlPanel] D:\WINDOWS\system32\cmd32.exe internat.dll,LoadKeyboardProfile

 

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-c:\windows\system32\z14.exe

 

6/Renommer un fichier

-D:\WINDOWS\system32\cmd32.exe<---ce fichier pourrait etre infectueux (voir ici)! Sur le doute on va le renommer et le rendre inactif. Renomme donc ce fichier C:\WINDOWS\system32\cmd32.exe en cmd32-exe.anc (clic droit sur le nom du fichier / renommer).

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ lancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

 

9/ Redémarre l'ordinateur en mode normal

 

10/ Scanne ce fichier C:\WINDOWS\system32\cmd32-exe.anc avec le Virusscan de jotti

 

11/ Poste un nouveau rapport HijackThis à titre de vérification ainsi que les rapports générés par Ewido et le viruscan de Jotti

 

Edit : n oublie pas de désinstaller un des antivirus

Modifié le 7 décembre 2005 par Jack_Burton

[demanes]

Bonsoir demanes,

 

Le processus que tu énonces z14.exe et infectueux

Voila ce que tu vas faire :

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

*Télécharge la version d'essai d'Ewido ici :

http://www.ewido.net/fr/

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

3/ Vérifie d'avoir accès à tous les fichiers

4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

R3 - Default URLSearchHook is missing

 

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ControlPanel] D:\WINDOWS\system32\cmd32.exe internat.dll,LoadKeyboardProfile

 

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-c:\windows\system32\z14.exe

 

6/Renommer un fichier

-D:\WINDOWS\system32\cmd32.exe<---ce fichier pourrait etre infectueux (voir ici)! Sur le doute on va le renommer et le rendre inactif. Renomme donc ce fichier C:\WINDOWS\system32\cmd32.exe en cmd32-exe.anc (clic droit sur le nom du fichier / renommer).

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ lancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

 

9/ Redémarre l'ordinateur en mode normal

 

10/ Scanne ce fichier C:\WINDOWS\system32\cmd32-exe.anc avec le Virusscan de jotti

 

11/ Poste un nouveau rapport HijackThis à titre de vérification ainsi que les rapports générés par Ewido et le viruscan de Jotti

 

Edit : n oublie pas de désinstaller un des antivirus

Merci Jack_Burton

je n'ai plus ce ver.'(z14)

Dès que j'ai installé Ewido, à la fin de l'installation, il a détecté un ver sur le fichier

d:\WINDOWS\system32\cmd32-exe

Risque élévé infecté par Dropper.paradrop.a !

Il l'a mis en quarantaine

j'ai relancé le micro, plus de z14 !!

Est ce que je peux le supprimer définitivement et faut'il appliquer ta procédure jusqu'au bout.

Je pensais avoir un antivirus puissant virscan entreprise 8.0

Et bien ewido et anti vir ont détecté des virus pas vus par viruscan

Existe'il un anti virus parfait ?

 

merçi encore de votre aide à tous

[Jack_Burton]

Bonjour,

 

Est ce que je peux le supprimer définitivement et faut'il appliquer ta procédure jusqu'au bout.

Oui, j aimerais bien que tu finisses tout de meme la procédure et que tu m envoies comme cela est indiqué a l étape 11 de la procédure, les rapports d Hijackthis et de Ewido!

 

Existe'il un anti virus parfait ?

Non, et cela ne risque pas d exister!

Lorsque tu auras fini la procédure et que je pourrais m assurer de la propreté de ton systeme, je t indiquerais comment te protéger efficacement et gratuitement

Modifié le 9 décembre 2005 par Jack_Burton