Se connecter avec
S'enregistrer | Connectez-vous

W32/Alemod et autre RemaccSurveil vu par malware

Dernière réponse : dans Sécurité

Bonsoir,

En passant le logiciel MalwareScanner en mode sans échec, il ma trouve 4 items ci-dessous ( nom --- détails) :

Remacc.Surveil --- .zlg\
Possible Browser Hijack attempt --- Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\xxxtoolbar.com
Hijacker.CoolwebSearch --- Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\coolwwwsearch.com
W32/Alemod --- PendingFileRenameOperations

Ces éléments non pas été détectés juste avant (nettoyage CCleaner, CleanUp puis en mode sans échec A2free, AD-Aware et antivirus Norman).
En mode normal MalwareScanner trouve les 3 premières lignes (sauf la "Alemod")
Le "W32\Alemod" ressemble a un virus déjà identifié, non ?
Ces éléments sont-ils dangereux ? Quelle est la démarche pour les supprimer ? Merci de votre aide.

Je joins le log Hijack. Merci beaucoup de votre avis sur le log.

Logfile of HijackThis v1.99.1
Scan saved at 21:23:01, on 14/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Norman\bin\ZLH.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Hiajckthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.europe.yahoo.com/config/mail?.intl=fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x40...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - http://www.fnacmusic.com/telechargementFnacmusic/FnacCo...
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lassé par la pub ? Créez un compte

Le virus ayant pour nom de code Win32 est plus connu sous le nom de Blaster.

Voilà comment se debaraser de Blaster:

1. Déconnectez toi d'Internet.

2. Fais Ctrl+Alt+Suppr.

3. Clique sur le bouton "Gestionnaire des tâches".

4. Clique sur l'onglet "Processus" puis sélectionne le processus "msblast.exe" ou "teekids.exe" ou "Dllhost.exe".

5. Clique sur "Terminer le processus". Valide en cliquant sur "Oui".

6. Sélectionne "Menu Démarrer/Paramètres/Connexions réseau et accès à distance".

7. Effectue un clic droit sur la connexion utilisée et sélectionne "Propriétés".

8. Sélectionne "Protocole Internet (TCP/IP)" puis clique sur le bouton "Propriétés".


Telecharge ici le patch correctif et installe le

14. Déconnecte-toi d'Internet

15. Exécute le logiciel téléchargé (l'exécution du logiciel peut prendre plusieurs minutes suivant le nombre de fichiers présents sur ton ordinateur).

16. Connecte toi à intenet

17.
Telecharge le patch correctif de Microsoft

18. Déconnecte toi d'Internet

19. Installe le patch télécharger

20. Redemare ton PC

21. réexecute le patch lovsan.exe

Dans ce topic aussi on parle du même virus " alt="" class="imgLz frmImg" />[/url]

salut supprime ses ficheir manuellement

Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\xxxtoolbar.com

Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\coolwwwsearch.com

redemaare si tu ne trouve ses fichier affiche les dossier cacher

desoler esteban je me suis mal expliquer

va dans demarrer/executer/tape regedit /ok/et cherche les fichier

Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\xxxtoolbar.com

Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\coolwwwsearch.com

Bonsoir,
Je suis passé par regedit et je pensais les avoir supprimées mais je me suis apperçu qu'elles réapparaissent.
Merci de votre aide.
Avez-vous une idée concernant le Remacc.Surveil // details: .zlg\ ?
Concernant la manip pour le W32 je verrais plutôt demain.
cordialement

Bonsoir,

t'as jeté un oeil ici

--> vérifie si t'as les clefs suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\SurveilleTech\e-Surveiller
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\e-Surveiller
HKEY_CLASSES_ROOT\.zlg
HKEY_CLASSES_ROOT\e-Surveiller.Logfile
HKEY_CLASSES_ROOT\Software\SurveilleTech\e-Surveiller
Lassé par la pub ? Créez un compte
Tom's guide dans le monde