Impossible de supprimer Trojan.Dowloader.Zlob - Sécurité - Windows & Software
Marsh Posté le 29-12-2005 à 01:39:02
salut,
Télécharge ceci: (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit loption 1, il va générer un rapport
Copie/colle le sur le poste stp.
Marsh Posté le 29-12-2005 à 01:46:39
Voici le rapport:
SmitFraudFix v2.10
Rapport fait à 1:44:19.25 le Thu 12/29/2005
Executé à partir de C:\Documents and Settings\Greg\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\hp????.tmp PRESENT !
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\msvol.tlb PRESENT !
C:\WINDOWS\system32\ncompat.tlb PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT!
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Greg\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Dmon de cache des catgories de composant"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Marsh Posté le 29-12-2005 à 02:23:15
salut
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de lallumage du pc sans tarrêter
Une fenêtre va souvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau sil ny a pas toutes les couleurs et autres cest normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit loption 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
----------------------------------------------------------------------------
Maintenant tu peux remettre un fond d'écran si tu lavais perdu !
Ajoute un rapport hijackthis sur le forum
A bientôt.
Marsh Posté le 29-12-2005 à 12:47:57
Salut,
Voici le rapport que SmitFraud à créé: (le rapport HijackThis est une peu plus bas)
SmitFraudFix v2.10
Rapport fait à 12:35:02.34 le Thu 12/29/2005
Executé à partir de C:\Documents and Settings\Greg\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\system32\hp????.tmp supprimé
C:\WINDOWS\system32\ld????.tmp supprimé
C:\WINDOWS\system32\msvol.tlb supprimé
C:\WINDOWS\system32\ncompat.tlb supprimé
C:\WINDOWS\system32\ot.ico supprimé
C:\WINDOWS\system32\ts.ico supprimé
C:\WINDOWS\system32\1024\ supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
---
Rapport Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 12:45:06 PM, on 12/29/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Greg\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolb [...] xmk659CGSN
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/a [...] _en_dl.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
A bientôt,
Charlybaud
Marsh Posté le 29-12-2005 à 16:12:11
salut
fixe ceci
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolb [...] xmk659CGSN
Ou en sont tes soucis?
a+
Marsh Posté le 29-12-2005 à 20:49:00
salut,
Je te remercie pour ton aide, il ne semble plus y avoir de problèmes sur mon ordinateur.
Les pop-ups n'apparaissent plus et ma page d'accueil Internet Explorer n'est plus redirigée. Tout me semble rentré dans l'ordre.
Juste à titre d'information, quel était le but de ce virus? Donner un accès total à une personne extérieure sur mes informations?
En tout cas, merci beaucoup encore, ton aide à été très largement appréciée!!
Charlybaud.
Marsh Posté le 29-12-2005 à 22:33:10
salut
ce sont principalement des spywares la cause de tous ces desagrements, en voici leur buts...
ceci dit, bonne fete de fin d annees et vous aidez fut un plaisir
Eclaircicement:
LES SPYWARES DIT ESPIOGICIELS
Un espiogiciel (en anglais spyware) est un programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (on parle de profilage).
Les récoltes d'informations peuvent ainsi être :
la traçabilité des URL des sites visités,
le traquage des mots-clés saisis dans les moteurs de recherche,
l'analyse des achats réalisés via internet,
voire les informations de paiement bancaire (numéro de carte bleue / VISA)
ou bien des informations personnelles.
Les spywares s'installent généralement en même temps que d'autres logiciels (la plupart du temps lors de téléchargements de freewares ou sharewares). En effet, cela permet aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d'informations statistiques, et ainsi permettre de distribuer leur logiciel gratuitement. Il s'agit donc d'un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel.
Les spywares ne sont pas forcément illégaux car la licence d'utilisation du logiciel qu'ils accompagnent précise que ce programme tiers va être installé ! En revanche étant donné que la longue licence d'utilisation est rarement lue en entier par les utilisateurs, ceux-ci savent très rarement qu'un tel logiciel effectue ce profilage dans leur dos.
Par ailleurs, outre le préjudice causé par la divulgation d'informations à caractère personnel, les spywares peuvent également être une source de nuisances diverses :
consommation de mémoire vive,
utilisation d'espace disque,
mobilisation des ressources du processeur,
plantages d'autres applications,
gêne ergonomique (par exemple l'ouverture d'écrans publicitaires ciblés en fonction des données collectées).
I/ Les types de spywares :
On distingue généralement deux types de spywares :
Les spywares internes (ou spywares internes ou spywares intégrés) comportant directement des lignes de codes dédiées aux fonctions de collecte de données.
Les spywares externes, programmes de collectes autonomes installés Voici une liste non exhaustive de spywares non intégrés :
Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin, Conducent Timesink, Cydoor, Comet Cursor, Doubleclick, DSSAgent, EverAd, eZula/KaZaa Toptext, Flashpoint/Flashtrack, Flyswat, Gator / Claria, GoHip, Hotbar, ISTbar, Lop, NewDotNet, Realplayer, SaveNow, Songspy, Xupiter, Web3000 et WebHancer
II/ Comment se protéger :
La principale difficulté avec les spywares est de les détecter. La meilleure façon de se protéger est encore de ne pas installer de logiciels dont on n'est pas sûr à 100% de la provenance et de la fiabilité (notamment les freewares, les sharewares et plus particulièrement les logiciels d'échange de fichiers en peer-to-peer). Véritables plaies de nos systèmes, les parasites profitent de toutes les occasions pour s'insérer dans les configurations: un clic sur un bouton Annuler dans une fenêtre de téléchargement et voilà un dialer installé, installation d'un complément pour Internet ou Messenger, et hop
voici une nouvelle barre d'outils et une page d'accueil indésirables mais dont on ne peut plus se débarrasser! Sans parler des indésirables qui s'amusent à ajouter des restrictions d'accès à différents modules, à faire disparaître l'option Arrêter l'ordinateur, etc. etc... Voici quelques exemples (liste non exhaustive) de logiciels connus pour embarquer un ou plusieurs spywares :
Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA ou encore iMesh.
Qui plus est, la désinstallation de ce type de logiciels ne supprime que rarement les spywares qui l'accompagnent. Pire, elle peut entraîner des dysfonctionnements sur d'autres applications !
Dans la pratique il est quasiment impossible de ne pas installer de logiciels. Ainsi la présence de processus d'arrière plans suspects, de fichiers étranges ou d'entrées inquiétantes dans la base de registre peuvent parfois trahir la présence de spywares dans le système.
Si vous ne parcourez pas la base de registre à la loupe tous les jours rassurez-vous, il existe des logiciels, nommés anti-spywares permettant de détecter et de supprimer les fichiers, processus et entrées de la base de registres créés par des spywares.
De plus l'installation d'un pare-feu personnel peut permettre d'une part de détecter la présence d'espiogiciels, d'autre part de les empêcher d'accéder à Internet (donc de transmettre les informations collectées).
III/2 Anti-spywares recommandés dans la protection minimale sur un ordinateur:
Parmi les anti-spywares les plus connus ou efficaces citons notamment :
Ad-Aware de Lavasoft.de
Spybot Search&Destroy
Marsh Posté le 30-12-2005 à 11:40:19
Salut,
Je n'en attendais pas tant! Je suis content d'avoir pu lire ceci et ainsi comprendre un peu mieux les enjeux derrière ces virus.
Merci beaucoup pour toutes cette aide, bonne continuation,
Sincèrement,
Charlybaud
Marsh Posté le 30-12-2005 à 12:15:48
salut
Ceci vous en dit plus sur ces spywares...En somme, ils ne font partie que d un ensemble d infections plus vastes (les trojans, virus, vers...sont d autres infections)
Bonnes fetes de fin d annee.
Marsh Posté le 29-12-2005 à 00:11:59
Bonjour a tous,
Mon ordinateur est apparemment infecté par 2 trojans:
Trojan.Downloader.Zlob.CL et Trojan.Downloader.Zlob.BR
J'ai essayé de m'en débarrasser avec plusieurs logiciels:
Spybot, Microsoft AntiSpyware, AdAware et bien entendu BitDefender 9.0 qui est mon logiciel antivirus.
Aucune solution ne semble fonctionner.
Le problème est le suivant, ma page d'accueil Internet a été changée et je tombe sur une page: www.yoursystemupdate.com.
Cette page m'informe que mon ordinateur est infecté par W32.Sinnaka.A@mm et que mes informations personnelles sont divulguées sur Internet.
Pourriez-vous m'indiquer comment éradiquer ce virus car il semble bien implanté dans mon ordinateur, dans les fichiers suivant:
C:\WINDOWS\system32\mssearchnet.exe et
C:\WINDOWS\system32\nvctrl.exe
J'ai effectué un scan avec hijackthis et préparé un log. Je peux vous l'envoyer si besoin.
Merci d'avance pour votre aide,
Charlybaud.