W32/Alemod et autre RemaccSurveil vu par malware
Dernière réponse : dans Sécurité
Bonsoir,
En passant le logiciel MalwareScanner en mode sans échec, il ma trouve 4 items ci-dessous ( nom --- détails) :
Remacc.Surveil --- .zlg\
Possible Browser Hijack attempt --- Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\xxxtoolbar.com
Hijacker.CoolwebSearch --- Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\coolwwwsearch.com
W32/Alemod --- PendingFileRenameOperations
Ces éléments non pas été détectés juste avant (nettoyage CCleaner, CleanUp puis en mode sans échec A2free, AD-Aware et antivirus Norman).
En mode normal MalwareScanner trouve les 3 premières lignes (sauf la "Alemod")
Le "W32\Alemod" ressemble a un virus déjà identifié, non ?
Ces éléments sont-ils dangereux ? Quelle est la démarche pour les supprimer ? Merci de votre aide.
Je joins le log Hijack. Merci beaucoup de votre avis sur le log.
Logfile of HijackThis v1.99.1
Scan saved at 21:23:01, on 14/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Norman\bin\ZLH.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Hiajckthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.europe.yahoo.com/config/mail?.intl=fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x40...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - http://www.fnacmusic.com/telechargementFnacmusic/FnacCo...
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
En passant le logiciel MalwareScanner en mode sans échec, il ma trouve 4 items ci-dessous ( nom --- détails) :
Remacc.Surveil --- .zlg\
Possible Browser Hijack attempt --- Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\xxxtoolbar.com
Hijacker.CoolwebSearch --- Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\coolwwwsearch.com
W32/Alemod --- PendingFileRenameOperations
Ces éléments non pas été détectés juste avant (nettoyage CCleaner, CleanUp puis en mode sans échec A2free, AD-Aware et antivirus Norman).
En mode normal MalwareScanner trouve les 3 premières lignes (sauf la "Alemod")
Le "W32\Alemod" ressemble a un virus déjà identifié, non ?
Ces éléments sont-ils dangereux ? Quelle est la démarche pour les supprimer ? Merci de votre aide.
Je joins le log Hijack. Merci beaucoup de votre avis sur le log.
Logfile of HijackThis v1.99.1
Scan saved at 21:23:01, on 14/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Norman\bin\ZLH.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Hiajckthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.europe.yahoo.com/config/mail?.intl=fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x40...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - http://www.fnacmusic.com/telechargementFnacmusic/FnacCo...
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Autres pages sur : w32 alemod remaccsurveil malware
Lassé par la pub ? Créez un compte
Le virus ayant pour nom de code Win32 est plus connu sous le nom de Blaster.
Voilà comment se debaraser de Blaster:
1. Déconnectez toi d'Internet.
2. Fais Ctrl+Alt+Suppr.
3. Clique sur le bouton "Gestionnaire des tâches".
4. Clique sur l'onglet "Processus" puis sélectionne le processus "msblast.exe" ou "teekids.exe" ou "Dllhost.exe".
5. Clique sur "Terminer le processus". Valide en cliquant sur "Oui".
6. Sélectionne "Menu Démarrer/Paramètres/Connexions réseau et accès à distance".
7. Effectue un clic droit sur la connexion utilisée et sélectionne "Propriétés".
8. Sélectionne "Protocole Internet (TCP/IP)" puis clique sur le bouton "Propriétés".
![]()
![]()
Telecharge ici le patch correctif et installe le
14. Déconnecte-toi d'Internet
15. Exécute le logiciel téléchargé (l'exécution du logiciel peut prendre plusieurs minutes suivant le nombre de fichiers présents sur ton ordinateur).
16. Connecte toi à intenet
17.
Telecharge le patch correctif de Microsoft
18. Déconnecte toi d'Internet
19. Installe le patch télécharger
20. Redemare ton PC
21. réexecute le patch lovsan.exe
Dans ce topic aussi on parle du même virus " alt="" class="imgLz frmImg" />[/url]
Voilà comment se debaraser de Blaster:
1. Déconnectez toi d'Internet.
2. Fais Ctrl+Alt+Suppr.
3. Clique sur le bouton "Gestionnaire des tâches".
4. Clique sur l'onglet "Processus" puis sélectionne le processus "msblast.exe" ou "teekids.exe" ou "Dllhost.exe".
5. Clique sur "Terminer le processus". Valide en cliquant sur "Oui".
6. Sélectionne "Menu Démarrer/Paramètres/Connexions réseau et accès à distance".
7. Effectue un clic droit sur la connexion utilisée et sélectionne "Propriétés".
8. Sélectionne "Protocole Internet (TCP/IP)" puis clique sur le bouton "Propriétés".
Telecharge ici le patch correctif et installe le14. Déconnecte-toi d'Internet
15. Exécute le logiciel téléchargé (l'exécution du logiciel peut prendre plusieurs minutes suivant le nombre de fichiers présents sur ton ordinateur).
16. Connecte toi à intenet
17.
Telecharge le patch correctif de Microsoft
18. Déconnecte toi d'Internet
19. Installe le patch télécharger
20. Redemare ton PC
21. réexecute le patch lovsan.exe
Dans ce topic aussi on parle du même virus " alt="" class="imgLz frmImg" />[/url]
Bonsoir,
t'as jeté un oeil ici
--> vérifie si t'as les clefs suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\SurveilleTech\e-Surveiller
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\e-Surveiller
HKEY_CLASSES_ROOT\.zlg
HKEY_CLASSES_ROOT\e-Surveiller.Logfile
HKEY_CLASSES_ROOT\Software\SurveilleTech\e-Surveiller
t'as jeté un oeil ici
--> vérifie si t'as les clefs suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\SurveilleTech\e-Surveiller
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\e-Surveiller
HKEY_CLASSES_ROOT\.zlg
HKEY_CLASSES_ROOT\e-Surveiller.Logfile
HKEY_CLASSES_ROOT\Software\SurveilleTech\e-Surveiller
Lassé par la pub ? Créez un compte
