Sujet Précédent Sujet Suivant

Sp2bbb.exe

Fermé
jonquille - 30 mai 2005 à 19:06
 jonquille - 1 juin 2005 à 18:07
bonjour alors j'ai plusieurs soucis qui sont peut-etre lié.
1. j'utilise zone-alarm comme parref-feu seulement bien qu'il me semble bien configuré si je l'active je ne peus plus rien faire sur le net il bloque tout s'en me demander quoi que ce soit donc je ne peus pas lancer MSN ni IE. Résultat : je le ferme donc il ne sert à rien !!!
2. N'ayant pas de parre-feu activé je chope donc sans arrêt les même virus dès que je démarre internet Avast me les détecte et les supprime Ce sont plusieur fichiers identifié par avast comme:

- Win32:LowZones-K[troj]
dont le fichier suivant : c:\sp2bbb.exe qui est supprimé par avast .
de plus ça a pour effet de lancer IE sur un site (misfist je crois comme je ferme rapidement la fenetre j'ai pas trop le temps de lire) où il y a commencement d'un téléchargement .

Quelqu'un peut-il me guider pour me débarrasser enfin de ces virus et pour réactiver zone alarm ?

6 réponses

Réponse 1 / 6
jonquille
31 mai 2005 à 19:07
bon personne pour m'aider?????

voici ce que j'ai comme alerte dans avast :

31/05/2005 17:52:47 SYSTEM 1312 Sign of "Win32:LowZones-K [Trj]" has been found in "C:\sp2bbb.exe" file.
31/05/2005 17:52:44 SYSTEM 1312 Sign of "Win32:LowZones-K [Trj]" has been found in "C:\sp2bbb.exe" file.
31/05/2005 17:52:40 SYSTEM 1312 Sign of "JS:Istbar [Trj]" has been found in "C:\Documents and Settings\julien\Local Settings\Temporary Internet Files\Content.IE5\DX82SJ9Z\prompt[1].php" file.
31/05/2005 17:52:35 SYSTEM 1312 Sign of "Win32:LowZones-K [Trj]" has been found in "C:\Documents and Settings\julien\Local Settings\Temporary Internet Files\Content.IE5\ISJ0DZ5F\update30[1].exe" file.
31/05/2005 17:26:28 SYSTEM 1312 Sign of "Win32:LowZones-K [Trj]" has been found in "C:\Documents and Settings\julien\Local Settings\Temporary Internet Files\Content.IE5\KC1M2AEH\update30[1].exe" file.
0
Réponse 2 / 6
Neo-Nil@u Messages postés 1595 Date d'inscription jeudi 10 mars 2005 Statut Contributeur Dernière intervention 8 août 2005 96
31 mai 2005 à 19:17
Salut Jonquille,

utilise tout d'abord ce petit programme :
http://pageperso.aol.fr/Balltrap34/cleanup312.exe
Clique sur CleanUp! et ferme ensuite la fenêtre quand la suppression est achevée.

Ensuite, si tu as sp2bbb.exe dans le lecteur C:, supprime-le.
Redémarre et dis-moi s'il revient ...
@+++
0
Réponse 3 / 6
Utilisateur anonyme
31 mai 2005 à 19:20
salut,

¤Démarre en mode sans echec :
Pour cela, tu tapote la touche F8 des le debut de l allumage du pc sans t arreter
Une fenetre va souvrir tu te deplaces avec les fleches du clavier sur demarrer en mode sans echec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)

¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer !

supprime ceci:

C:\sp2bbb.exe

puis utilise clean up:
Clean Up 312:
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

et enfin:
lance un scan chez RAV :
http://www.ravantivirus.com/scan/

Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici </gras


a+
PS/ tu peux eventuellement mettre un log hijack this téléchargeable ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php

Dezippz le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lancez le puis:
clic sur "do a system scan and save logfile"
faire un copier coller du log entier sur le forum.
0
Réponse 4 / 6
jonquille
1 juin 2005 à 12:08
voici le résultat du scan chez RAV . Les virus dont je parle ne sont pas détecté puisque avast me les supprime, je voudrais juste qu'ils arrête de revenir à chaque connection (en supprimant le fichier c:\sp2bbb.exe ça revient quand même)
Scan started at 01/06/2005 11:02:47

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\system32\trmupdate.exe - Backdoor:Win32/Rbot -> Infected

Scanned
============================
Objects: 37417
Directories: 2845
Archives: 8213
Size(Kb): -1096893
Infected files: 1

Found
============================
Viruses found: 1
Suspicious files: 0
Disinfected files: 0
Mail files: 256
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
Utilisateur anonyme
1 juin 2005 à 14:39
salut,
supprime ce qui est en gras:
C:\WINDOWS\system32\trmupdate.exe

puis refais un scan pour verifier !

ensuite mettre un log hijack this téléchargeable ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php

Dezippz le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lancez le puis:
clic sur "do a system scan and save logfile"
faire un copier coller du log entier sur le forum

a+
0
Réponse 6 / 6
jonquille
1 juin 2005 à 18:07
voici le rapport de hijacking :

Logfile of HijackThis v1.99.1
Scan saved at 17:58:16, on 01/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
c:\Windows\system32\Dap\mssvchost.exe
c:\Windows\system32\Dap\mssvchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Windows\system32\Dap\mssvchost.exe
c:\Windows\system32\Dap\Dap.exe
c:\Windows\system32\Dap\smss.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\WINDOWS\System32\trmupdate.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\hijacking\hijackthis_199\HijackThis.exe
C:\WINDOWS\system32\cmd.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=145938
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=145938
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=145938
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.msn.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
F2 - REG:system.ini: Shell=
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.netscape.fr"); (C:\Documents and Settings\julien\Application Data\Mozilla\Profiles\default\yjo6y9qm.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\julien\Application Data\Mozilla\Profiles\default\yjo6y9qm.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: (no name) - {5437D1E0-FA38-41EF-816B-D9F299E767CA} - C:\WINDOWS\System32\qtlCF08.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MS Unix Binary] trmupdate.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] trmupdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MS Unix Binary] trmupdate.exe
O4 - HKCU\..\RunServices: [Microsoft Opeions] IEXwe.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://kit.carpediem.fr/11731/Amylena-Video.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116177963733
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.wisup.net/album-photo/wistiti/Upload/ImageUploader35.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A94A5665-6ED1-4730-B15F-B8A232C167BD}: NameServer = 80.10.246.130 80.10.246.3
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: iexplore - C:\WINDOWS\SYSTEM32\smY4a.dll
O21 - SSODL: mtklef - {688BAB19-C165-4F82-B2B7-4459EAA7BD02} - (no file)
O21 - SSODL: mtklef - {688BAB19-C165-4F82-B2B7-4459EAA7BD02} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: FireDaemon Service: Secure (Secure) - Unknown owner - c:\Windows\system32\Dap\\mssvchost.exe
O23 - Service: FireDaemon Service: smss (smss) - Unknown owner - c:\Windows\system32\Dap\\mssvchost.exe
O23 - Service: FireDaemon Service: WindowsUpdate (WindowsUpdate) - Unknown owner - c:\Windows\system32\Dap\\mssvchost.exe
0