Win32:Zlob-BN [trj]

faut il faire un rapport avec SmitFraudFix v2.69 et l'envoyé car je ne suis pas sur que la solution des autre soit adapté a mon cas!

Bonjour "davspanish"

Alors!!!!!!

Je répéte se que je marque sur d'autre poste de se genre la !!!!

télécharge hijackthis (sur Google tu trouve en 2 minute)

ensuite fais comme suit :

double clik sur hijackthis , ensuite clik sur

"open the misc tool section" , ensuite clike sur

"delete a file on roboot , ensuite

"rentre dans le "chemin a suivre" le chemin ENTIER de l'emplacement de ton trojan (cheval de trois)

refais un scan avec avast mais normalement tu na plus de probléme.

Si tu na connais pas l'emplacement de ton cheval de trois. refais un scan avec avast jusqu'a ce qu'il te le redétécte et a se moment la tu n'as pas d'autre choix que de prendre un bon vieux stilo et un papier et marque PRÉCISEMENT l'emplacement du cheval de trois. réspécte bien l'écriture les éspaces, les maj, minuscule etc .

Sinon regarde dans la zone de quarantaine ton virus ou du moins son nom doit si trouver.

merci pour ton aide!
comment je dois faire pour rentrer
dans le "chemin a suivre" le chemin ENTIER de l'emplacement de ton trojan (cheval de trois)?

et aussi dois quand il redémarre es que je dois redémarer en mode sans echec?

Éxcuse moi "dav" je me suis mal expliquer.

"chemin a suivre" c'est l'endroit ou tu dois rentrer l'emplacement de ton cheval de trois. suis toute la procédure comme suis et tu vera qu'a un moment tu aura un endroit ou il faut rentrer un chemin d'acces (c'est sa que j'appele "chemin a suivre") et bien a ce moment la tu rentre le chemin d'acces de ton cheval de trois et rien d'autre surtout.

Tu na pas besoin de démmarer ton pc en mode sans echec.

quand tu clikera sur "delete a file on roboot"

Tu va voir un endroit ou il faut marquer un chemin d'acces et bien rentre le chemin d'acces du cheval de trois.

j'éspére avoir répondu a toute tes quéstion, si tu est encore en difficulter reposte un message et on fera la demarche étape par étape.

PS: si ton cheval de trois est supprimer merci de me le dire.

Bonjour

1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

Ewido
http://www.ewido.net/en/download/
Tu l'installes.
Lance Ewido et clique sur le bouton Update (barre d'outils - au haut).
Sous Manual Update clique Start update. Patiente jusqu'à l'affichage "Update successful".

2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

3 Lance le nettoyage avec CCleaner.

4 Lance Ewido.
Clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan.
A la fin du scan, choisis l'option " Apply All Actions " en bas. Puis, Yes pour mettre en quarantaine.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit facile à retrouver.

5 Redémarre normalement et poste un log HijackThis avec le rapport d'Ewido.

je marque le chemin d'accés a savoire C:\WINDOWS\system32\1024\ldADB7.tmp\[Upack] mais il me dit que le chemin d'accés n'existe pas, j'i du mal, je suis desolé

Pas mal!!!

Sauf que j'ai déja remarquer que ewido n'arrive pas forcement a supprimer un cheval de trois qu'avast n'arrive pas a supprimer egalement. En revanche j'avoue que j'aurai du pensser a Ccleaner.

Suis les conseils au dessus ;-)

Pour hacker_en_herbe

Ewido fait souvent un gros travail.
Ensuite on fini le travail à la main.

Mais on commence par CCleaner afin de supprimer tout les fichiers temporaires inutiles.

C'est pas grave on n'a tous eu du mal un jour ou l'autre!!!

Alors dans ce cas la, tape simplement : C:\WINDOWS\system32\1024 et rien de plus esséye de cette maniére et dis moi ce qu'il en est.

c'est éxact "souvent" mais pas tpujours! :-D

Comme je l'est dis pour Ccleaner tu as raison, j'aurai du y pensser également :-(

Exact, car je pense qu'il faudra utiliser SmitfraudFix.

J'attend de voir le rapport HijackThis.

je n'ai pas reçu de update succefull dans ewido?

alors on est deux!!!
mais déja faut supprimer le C:\system32\1024 c'est dans se fichier que se loge le virus.

merci a toi aussi chercheur pca ;-)

A tu supprimer le dossier que je t'est indiquer?

Excusez moi mais c trés difficle pour moi car comme je le répéte je suis vraiment pas trés doué en informatique!

hacher en herbe je vé dans koi pour supprimer ce dossier?

je voulais dire hacker_en_herbe

Je comprend!

Alors je répépétte!!

Suis la procédure hijackthis que je t'est indiquer plus haut.

Mais au lieux de rentrer le nom complet de ton virus,
Tu rentre seulement C:\Win32\1024
Tu supprime, et tu redemarre ton pc normalement ton ordinateur n'est plus infecter.

OOPS grosse érreure de ma part

tu rentre : C:\WINDOWS\system32\1024
tu supprime
et tu rallume le pc
dsl je m'occupe de 36 cas en même temp!!

je reprend a ZERO

alors :

télécharge hijackthis (sur Google tu trouve en 2 minute)

ensuite fais comme suit :

double clik sur hijackthis , ensuite clik sur

"open the misc tool section" , ensuite clike sur

"delete a file on roboot , ensuite

"rentre dans le chemin" C:\WINDOWS\system32\1024

Supprime

et rallume ton pc. je ne peux pas faire plus claire je pensse

euh rentre le chemin pardon

ok donc la j'ai supprimer grace au chemin et j'ai vider la corbeille
j'ai rallumer le pc mais le virus est tjs là donc la je passe koi ediwo ou cclenear, ou je fais mode sans echec et je passe avast ou je passe normalement avast sans mode sans echec?

Deux pages pour aucun résultat ...

As tu fais CCleaner ?
As tu fais Ewido ?

Poste le rapport HijackThis.

donc je suis rentrer dans le chemin grace a toi j'ai supprimer et envoyer a la corbeille, là le virus est tjs là? ke dois je faire?

Rassure moi, tu la bien supprimer avec hijackthis???

Quand tu fais un scan avec avast , il te détécte le virus une seule fois ou plusieurs fois?

Si il te le détécte plusieur fois, tu supprime chaque dossier qui contient le virus par la méthode que je t'est indiquer. car UN virus peux se trouver dans plusieurs fichier ou dossier en même temps

utilise ccleaner et ewido mais pour ewido fais le en mode sans echec (tapote la touche f8 au demarage du pc) ccleaner tu peux le passer en mode normale.

Je vient de comprendre ce que tu me demander.

Repasse un scan avec avast pour savoir si ton virus est toujour la, mais normalement non.

Bon c'est quand tu veux pour le scan ewido, son rapport et le log HijackThis...

Fais la procédure de chercheurPCA car tu as peut-être d'autre infections !!!!

ewido anti-spyware - Scan Report
-----------------------------------------------------

+ Created at: 19:20:44 12/07/2006

+ Scan result:



C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP126\A0018085.DLL -> Not-A-Virus.Hoax.Win32.Renos.dw : Cleaned.
C:\WINDOWS\system32\__delete_on_reboot__y_e_p_h_k_._d_l_l_ -> Not-A-Virus.Hoax.Win32.Renos.dw : Cleaned.
[1552] C:\WINDOWS\system32\yephk.dll -> Not-A-Virus.Hoax.Win32.Renos.dw : Error during cleaning.
C:\Documents and Settings\admin\Cookies\admin@atdmt[1].txt -> TrackingCookie.Atdmt : Cleaned.
C:\Documents and Settings\admin\Cookies\admin@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned.
C:\Program Files\Media-Codec -> Trojan.Small : Cleaned.
C:\Program Files\Media-Codec\uninst.exe -> Trojan.Small : Cleaned.
C:\WINDOWS\system32\1024 -> Trojan.Small : Cleaned.


::Report end

oui je l'ai effacer avec hijacking
le probléme là c que ediwo je l'ai pas passé en mode sans echec

Désactive puis réactive ta restauration system.

Continue avec HijackThis.

bah ce n'est pas grave, au contraire c'est ce qu'il fallait faire.

Tu a bien supprimer tous ce que ewido ta trouver?

Il fallais passer Ewido en mode sans échec, tu as bien fais.

Regarde son rapport, il parle de lui même, il a tous supprimé apars cette ligne [1552] C:\WINDOWS\system32\yephk.dll -> Not-A-Virus.Hoax.Win32.Renos.dw : Error during cleaning.
:

oui je vois sa.

je viens de passé ewido en mode sans echec cependant le probléme persiste, je pense qu'il ne me reste plus que la solution de formater mais je tenais quand meme a vous remerciez tt les trois pour m'avoir aider, encore merci

y en a marre des virus

Attends avant de tout formater.

Post le rapport HijackThis !!

salut,

j'ai eu le meme prob, j'utilise avast aussi en fait et apres avoir fais quelque recherche je suis tombé sur ce programe , je l'ai appliqué et depuis plus de souci !

comence par faire l'option 1 et puis lance la 2eme option!!

cette source est sure

bye

salut,

j'ai eu le meme prob, j'utilise avast aussi en fait et apres avoir fais quelque recherche je suis tombé sur ce programe , je l'ai appliqué et depuis plus de souci !

comence par faire l'option 1 et puis lance la 2eme option!!

cette source est sure

bye

C'est SmitFraudFix ton programme.

Mais tant qu'il n'as pas poster le Rapport HiajckThis on ne peut rien faire.

Post le rapport HijackThis !!!!!

je sais pas si c ça le rapport

je suis pas sur!


Logfile of HijackThis v1.99.1
Scan saved at 20:50:20, on 12/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\acer\Acer eConsole\MediaServerService.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Acer\Acer eMode Management\AspireService.exe
C:\Program Files\Acer\Acer eConsole\MediaSync.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\SpyQuake2.com\Spy-Quake2.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SpyQuake2.com\Spy-Quake2.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Shareaza\Shareaza.exe
C:\DOCUME~1\admin\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis_[Par.Ratiatum.com].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpyQuake2.com] C:\Program Files\SpyQuake2.com\Spy-Quake2.exe /h
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDown...
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown....
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\system32\yephk.dll (file missing)
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\acer\Acer eConsole\MediaServerService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

j'essaie d'utilisé le programme smitfraudfix cependant il marque appuyer sur n'importe quel touche ce que je fais mais rien ne se passe et l'ecran dos de ce logiciel se retire et rien ne se passe

Pour SmitfraudFix :


1) Double clique sur l'icône "smitfraudfix.cmd" .

2) Sélectionne l'option 1 ( intitulé "recherche" ) et presse la touche Entrée.

Enregsitre le rapport et post le.

il n'execute pas le programme ne se lance pas!

Télécharge SmitfraudFix : http://siri.urz.free.fr/Fix/SmitfraudFix.zip

1) Dezippe le fichier "smitfraudfix.zip" sur le bureau.

2) Double clique sur l'icône "smitfraudfix.cmd" .

3) Sélectionne l'option 1 ( intitulé "recherche" ) et presse la touche Entrée. Enregistre et post le rapport.

SmitFraudFix v2.70

Rapport fait à 21:32:02,92, mer. 12/07/2006
Executé à partir de C:\Documents and Settings\admin\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ld???.tmp PRESENT !
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\regperf.exe PRESENT !
C:\WINDOWS\system32\stdole3.tlb PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\admin\Application Data

C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\Quick Launch\SpyQuake2.com 2.3.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\admin\Favoris

C:\DOCUME~1\admin\Favoris\Antivirus Test Online.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\ALLUSE~1\BUREAU\Online Security Guide.url PRESENT !
C:\DOCUME~1\ALLUSE~1\BUREAU\Security Troubleshooting.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\SpyQuake2.com\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

je dois faire ko maintenant
je voulais te remercier pour ta patience

De rien on est là pour ça. Continue de faire ceci :

1) Redemarre en mode sans echec (tapotte la touche F8 au démarrage du système).

2) Double clique sur l'icône "smitfraudfix.cmd".

3) Sélectionne l'option 2 ( "intitulé Nettoyage") et presse Entrée.

Réponds par l'affirmative (o) aux questions qui te dont posées. Sauvegarde le rapport.

Redémarre ensuite normalement et post le log.