[Résolu] Zapchast (et eraseme) [Log Hijackthis]

Salut les pros,

J'ai besoin de vos compétences pour désinfecter le PC de mon frère (Windows 2000 Pro).

Comme je n'ai pas le PC sous la main, l'assistance à distance n'est pas efficace (surtout par téléphone.. ça coûte cher sur un portable  ) . Mais comme j'y vais demain j'aimerais pouvoir le dépanner rapidement (c'est son anniversaire donc je n'aimerais pas passer la soirée à chercher une solution...).

Alors voilà ce qui se passe :

Après avoir fait un nettoyage du PC (scan complet avec Kaspersky, Ewido, Ccleaner, Spybot, et je crois que c'est tout) qui s'est avéré être propre, il a redémarré. Là, Kaspersky s'est affolé sur un fichier nommé sirhOt-changes-ur-hostfile.bat (à la racine de C:\) qui était infecté par trojan.BAT.zapchast. Kaspersky a bien voulu le nettoyer mais a demandé un redémarrage. Malheureusement, le fichier revenait sans cesse. Je lui ai alors conseillé de le virer en mode sans échec. Il semble que ce soit bon mais ce n'est vraiment pas sûr.

Je lui ai fait faire un log Hijackthis, en espérant que ça vous aide.

Logfile of HijackThis v1.99.1
Scan saved at 19:39:12, on 16/11/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINNT\system32\oodag.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\hkcmd.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\MSN Messenger\MSN Plus !3\MsgPlus.exe
C:\WINNT\system32\udzou.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\PopTray\PopTray.exe
C:\Program Files\TribalWeb.net\tribalweb.exe
C:\Documents and Settings\Gregory\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MSN Messenger\MSN Plus !3\MsgPlus.exe"
O4 - HKLM\..\Run: [udzok] udzou.exe
O4 - HKLM\..\RunServices: [udzok] udzou.exe
O4 - HKCU\..\Run: [udzok] udzou.exe
O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe
O4 - Startup: TribalWeb.net.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir le fichier PDF dans Word - res://C:\Program Files\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /300
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: 04302 - Unknown owner - \\88.162.118.36\Admin$\eraseme_11027.exe (file missing)
O23 - Service: 20341 - Unknown owner - \\88.162.118.36\Admin$\eraseme_84746.exe (file missing)
O23 - Service: 21138 - Unknown owner - \\88.162.118.36\Admin$\eraseme_43040.exe (file missing)
O23 - Service: 28543 - Unknown owner - \\88.162.118.36\Admin$\eraseme_83744.exe (file missing)
O23 - Service: 31813 - Unknown owner - \\88.162.118.36\Admin$\eraseme_52182.exe (file missing)
O23 - Service: 32434 - Unknown owner - \\88.162.118.36\Admin$\eraseme_30052.exe (file missing)
O23 - Service: 48424 - Unknown owner - \\88.162.118.36\Admin$\eraseme_68557.exe (file missing)
O23 - Service: 51304 - Unknown owner - \\88.162.118.36\Admin$\eraseme_14778.exe (file missing)
O23 - Service: 61173 - Unknown owner - \\88.162.118.36\Admin$\eraseme_71742.exe (file missing)
O23 - Service: 64227 - Unknown owner - \\88.162.118.36\Admin$\eraseme_24334.exe (file missing)
O23 - Service: 77104 - Unknown owner - \\88.162.118.36\Admin$\eraseme_54055.exe (file missing)
O23 - Service: 78052 - Unknown owner - \\88.162.118.36\Admin$\eraseme_84782.exe (file missing)
O23 - Service: 85174 - Unknown owner - \\88.162.118.36\Admin$\eraseme_16740.exe (file missing)
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe



Il y a quelques semaines, il avait aussi un problème avec eraseme mais je ne sais pas si c'est réglé ou pas... pas eu le temps de lui demander.

Merci d'avance à celui qui pourra m'aider.

PS : Premier topic crée (hors section privée) après 5812 posts !