Bonsoir,

En passant le logiciel MalwareScanner en mode sans échec, il ma trouve 4 items ci-dessous ( nom --- détails) :

Remacc.Surveil --- .zlg\
Possible Browser Hijack attempt --- Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\xxxtoolbar.com
Hijacker.CoolwebSearch --- Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\coolwwwsearch.com
W32/Alemod --- PendingFileRenameOperations

Ces éléments non pas été détectés juste avant (nettoyage CCleaner, CleanUp puis en mode sans échec A2free, AD-Aware et antivirus Norman).
En mode normal MalwareScanner trouve les 3 premières lignes (sauf la "Alemod" )
Le "W32\Alemod" ressemble a un virus déjà identifié, non ?
Ces éléments sont-ils dangereux ? Quelle est la démarche pour les supprimer ? Merci de votre aide.

Je joins le log Hijack. Merci beaucoup de votre avis sur le log.

Logfile of HijackThis v1.99.1
Scan saved at 21:23:01, on 14/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Norman\bin\ZLH.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Hiajckthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.europe.yahoo.com/config/mail?.intl=fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?Li [...] lcid=0x409
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - http://www.fnacmusic.com/telecharg [...] posant.cab
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Salut,

Ton rapport de HijackThis me semble propre, donc pas de soucis...

Le virus ayant pour nom de code Win32 est plus connu sous le nom de Blaster.

Voilà comment se debaraser de Blaster:

1. Déconnectez toi d'Internet.

2. Fais Ctrl+Alt+Suppr.

3. Clique sur le bouton "Gestionnaire des tâches".

4. Clique sur l'onglet "Processus" puis sélectionne le processus "msblast.exe" ou "teekids.exe" ou "Dllhost.exe".

5. Clique sur "Terminer le processus". Valide en cliquant sur "Oui".

6. Sélectionne "Menu Démarrer/Paramètres/Connexions réseau et accès à distance".

7. Effectue un clic droit sur la connexion utilisée et sélectionne "Propriétés".

8. Sélectionne "Protocole Internet (TCP/IP)" puis clique sur le bouton "Propriétés".

[img]

9.Clique sur "Avancé…"

Telecharge ici le patch correctif et installe le[/url]

14. Déconnecte-toi d'Internet

15. Exécute le logiciel téléchargé (l'exécution du logiciel peut prendre plusieurs minutes suivant le nombre de fichiers présents sur ton ordinateur).

16. Connecte toi à intenet

17.
Telecharge le patch correctif de Microsoft

18. Déconnecte toi d'Internet

19. Installe le patch télécharger

20. Redemare ton PC

21. réexecute le patch lovsan.exe

Dans ce topic aussi on parle du même virus

salut supprime ses ficheir manuellement

Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\xxxtoolbar.com

Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\coolwwwsearch.com

redemaare si tu ne trouve ses fichier affiche les dossier cacher

Ces lignes ne sont pas des fichiers mais des inscriptions dans la base de registre.
Cela dit elles peuvent être supprimées en passant par l'éditeur de registre... ;-)

desoler esteban je me suis mal expliquer

va dans demarrer/executer/tape regedit /ok/et cherche les fichier

Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\xxxtoolbar.com

Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\coolwwwsearch.com

OK on est d'accord alors

Bonsoir,
Je suis passé par regedit et je pensais les avoir supprimées mais je me suis apperçu qu'elles réapparaissent.
Merci de votre aide.
Avez-vous une idée concernant le Remacc.Surveil // details: .zlg\ ?
Concernant la manip pour le W32 je verrais plutôt demain.
cordialement

salut refait la manip que je t ai dis de faire mais avent sa tu desactive la restauration du systeme

donc

1 tu desactive la restauration du systeme

2 demarrer/executer/regedit/ok/ et tu supprime les deux clé

Merci Alessio,

Je pense que c'est bon maintenant: MalwareScanner ne les trouvent plus.
Par contre reste le Remacc.Surveil --- .zlg\ qui a priori peut surveiller mes mots de passe.

Vous avez une idée pour l'éradiquer ?
merci de votre aide

Bonsoir,

t'as jeté un oeil ici

--> vérifie si t'as les clefs suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\SurveilleTech\e-Surveiller
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\e-Surveiller
HKEY_CLASSES_ROOT\.zlg
HKEY_CLASSES_ROOT\e-Surveiller.Logfile
HKEY_CLASSES_ROOT\Software\SurveilleTech\e-Surveiller

J'ai lu la page Symantec...il faut avoir Norton obligatoirement ?

sur les 4 clés, je ne trouve que .zlg

y'a quoi dans ta clef .zlg ?

Bonsoir,
il a 2 lignes

nom: (par défaut): type REG_SZ, données: ZAMailSafe
nom: Original Extension type REG_SZ, données: LNK