Trojan Spotted (Zbot) :pasnoeldutout:
teory
Messages postés
48
Statut
Membre
-
teory Messages postés 48 Statut Membre -
teory Messages postés 48 Statut Membre -
Saluations,
à quelques minutes de noël je me sens soudain mal dans ma peau et requiers votre aide.
Depuis quelques heures déjà je remarque que mon PC a des ratés.
(en fait depuis que j'ai chercher à regarder du streaming gratuit (suis-je bête)).
J'utilisais avast! (poua) et je viens de passer à MSE qui lui au moins a su me dire ce qui ne tournait pas rond.
Voilà le rapport dudit MSE
éléments détectés : PWS:WIN32/Zbot.gen!R (niveau d'alerte grave) [sans blague]
Bref, n'étant pas un grand expert (mais je sais bricolay) jme lance dans quelques recherches avec mon ami google, mais rien sur la façon d'éradiquer ces cochoneries... il y a bien quelques infos par-ci par-là, mais rien de concret ou il serait marqué, en gras 72pouces italique rouge et clignotant, appuyez ici pour télécharger le freeware qui vous débarrassera de cette chose.
Alors je vous demande ici humblement.
le log hijackthis :
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe
BOBO ?
QUE FAIRE ? (prier en ce jour de nowel ? sera-ce suffisant ?)
config : xp-sp3
j'ai aussi DL GMER, lui il voit bien la nouille mais peut pas la delete :/
à quelques minutes de noël je me sens soudain mal dans ma peau et requiers votre aide.
Depuis quelques heures déjà je remarque que mon PC a des ratés.
(en fait depuis que j'ai chercher à regarder du streaming gratuit (suis-je bête)).
J'utilisais avast! (poua) et je viens de passer à MSE qui lui au moins a su me dire ce qui ne tournait pas rond.
Voilà le rapport dudit MSE
éléments détectés : PWS:WIN32/Zbot.gen!R (niveau d'alerte grave) [sans blague]
Bref, n'étant pas un grand expert (mais je sais bricolay) jme lance dans quelques recherches avec mon ami google, mais rien sur la façon d'éradiquer ces cochoneries... il y a bien quelques infos par-ci par-là, mais rien de concret ou il serait marqué, en gras 72pouces italique rouge et clignotant, appuyez ici pour télécharger le freeware qui vous débarrassera de cette chose.
Alors je vous demande ici humblement.
le log hijackthis :
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe
BOBO ?
QUE FAIRE ? (prier en ce jour de nowel ? sera-ce suffisant ?)
config : xp-sp3
j'ai aussi DL GMER, lui il voit bien la nouille mais peut pas la delete :/
A voir également:
- Trojan Spotted (Zbot) :pasnoeldutout:
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan b901 system32 win config 34 ✓ - Forum Virus
- Trojan agent ✓ - Forum Virus
- Csrss.exe trojan ✓ - Forum Virus
- [Virus] Trojan ou virus dans csrss.exe et spo - Forum Virus
47 réponses
Bonjour,
1. Est-ce que c'est toi qui dans MSconfig a mis le PC en démarrage sélectif ou diagnostic ?
Remet le en démarrage normal, on verra ensuite pour enlever les services superflus.
==> http://img710.imageshack.us/img710/394/20091227011540.png
2. Essaye de supprimer si possible ShoppingReport via Panneau de configuration - Ajout/Suppression de Programmes, sinon directement dans ce répertoire : C:\Program Files\ShopperReports
3. On doit vérifier un fichier de ton PC
D'abord nous devons afficher les fichiers cachés
Dans le Menu Démarrer de la barre des taches
* Clique sur Rechercher
Dans la fenêtre qui s'ouvre, va dans le menu déroulant Outils puis choisit Options des dossiers
Dans la boîte de dialogue, Sélectionne l'onglet Affichage
* Coche Afficher les fichiers et dossiers cachés
Clique maintenant sur le bouton Appliquer puis OK
Ensuite rends toi sur le site Virus Total
* Clique sur la case "Parcourir"
Une fenêtre s'ouvre te permettant de naviguer sur le disque dur
* Parcoure l'arborescence C:\WINDOWS\System32\drivers\ pour sélectionner azhhpg75.sys
* Sélectionne le en cliquant dessus puis clique sur "ouvrir" en bas de la fenêtre qui va se fermer
* Clique maintenant puis sur le bouton "Envoyer le fichier"
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Le fichier est mis en attente puis le scan débute => sauvegarde le résultat
Copie-Colle l'intégralité des résultats dans la réponse.
4. Supprime le dossier rsit dans le répertoire suivant : C:\rsit
puis relance HijackThis
* Dans la fenêtre principale "Main Menu" clique sur le bouton "None of the above, just start the program"
* Clique sur le bouton Scan dans le sous-menu Scan & fix stuff
* Après le balayage, coche les cases des lignes indiquées si toujours présentes :
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll (file missing)
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O20 - Winlogon Notify: cbssreg - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll
* Clique ensuite sur le bouton Fix checked dans le sous-menu Scan & fix stuff
* Répond "Oui" dans la fenêtre d'avertissement, referme le programme après la suppression.
5. Refait la procédure de diagnostic comme au début :
https://forums.commentcamarche.net/forum/affich-15820974-trojan-spotted-zbot-pasnoeldutout#2
*****
A +
1. Est-ce que c'est toi qui dans MSconfig a mis le PC en démarrage sélectif ou diagnostic ?
Remet le en démarrage normal, on verra ensuite pour enlever les services superflus.
==> http://img710.imageshack.us/img710/394/20091227011540.png
2. Essaye de supprimer si possible ShoppingReport via Panneau de configuration - Ajout/Suppression de Programmes, sinon directement dans ce répertoire : C:\Program Files\ShopperReports
3. On doit vérifier un fichier de ton PC
D'abord nous devons afficher les fichiers cachés
Dans le Menu Démarrer de la barre des taches
* Clique sur Rechercher
Dans la fenêtre qui s'ouvre, va dans le menu déroulant Outils puis choisit Options des dossiers
Dans la boîte de dialogue, Sélectionne l'onglet Affichage
* Coche Afficher les fichiers et dossiers cachés
Clique maintenant sur le bouton Appliquer puis OK
Ensuite rends toi sur le site Virus Total
* Clique sur la case "Parcourir"
Une fenêtre s'ouvre te permettant de naviguer sur le disque dur
* Parcoure l'arborescence C:\WINDOWS\System32\drivers\ pour sélectionner azhhpg75.sys
* Sélectionne le en cliquant dessus puis clique sur "ouvrir" en bas de la fenêtre qui va se fermer
* Clique maintenant puis sur le bouton "Envoyer le fichier"
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Le fichier est mis en attente puis le scan débute => sauvegarde le résultat
Copie-Colle l'intégralité des résultats dans la réponse.
4. Supprime le dossier rsit dans le répertoire suivant : C:\rsit
puis relance HijackThis
* Dans la fenêtre principale "Main Menu" clique sur le bouton "None of the above, just start the program"
* Clique sur le bouton Scan dans le sous-menu Scan & fix stuff
* Après le balayage, coche les cases des lignes indiquées si toujours présentes :
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll (file missing)
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O20 - Winlogon Notify: cbssreg - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll
* Clique ensuite sur le bouton Fix checked dans le sous-menu Scan & fix stuff
* Répond "Oui" dans la fenêtre d'avertissement, referme le programme après la suppression.
5. Refait la procédure de diagnostic comme au début :
https://forums.commentcamarche.net/forum/affich-15820974-trojan-spotted-zbot-pasnoeldutout#2
*****
A +
Ok je fais ça en rentrant,
sinon oui j'ai modifié mon msconfig et j'avais déjà activé l'option pour voir mes fichiers cachés ^^
a toute :)
sinon oui j'ai modifié mon msconfig et j'avais déjà activé l'option pour voir mes fichiers cachés ^^
a toute :)
salut salut,
Alors
1/ c'est fait
2/ ce programme/dossier n'existe pas
3/ ce fichier n'existe pas !
4/
F2 - REG:system.ini: => inexistant
O2 - BHO: ShoppingReport => idem
O2 - BHO: (no name) => suprimé
O2 - BHO: EoRezoBHO => inexistant
O3 - Toolbar: DAEMON => idem
O4 - HKCU\..\Run: [Steam] => pas supprimé, steam n'est pas un virus...
04 CTFMON (les 4) => supprimés
O9 - Extra button (les 2) => inexistants
O20 - Winlogon Notify => idem
voilà je relance rsit et hijackthis des maintenant
Alors
1/ c'est fait
2/ ce programme/dossier n'existe pas
3/ ce fichier n'existe pas !
4/
F2 - REG:system.ini: => inexistant
O2 - BHO: ShoppingReport => idem
O2 - BHO: (no name) => suprimé
O2 - BHO: EoRezoBHO => inexistant
O3 - Toolbar: DAEMON => idem
O4 - HKCU\..\Run: [Steam] => pas supprimé, steam n'est pas un virus...
04 CTFMON (les 4) => supprimés
O9 - Extra button (les 2) => inexistants
O20 - Winlogon Notify => idem
voilà je relance rsit et hijackthis des maintenant
re, voila
Voici le log suivit du fichier info
Logfile of random's system information tool 1.06 (written by random/random)
Run by utilisateur at 2009-12-29 15:49:09
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 44 GB (18%) free of 238 GB
Total RAM: 2047 MB (64% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49:12, on 29/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\Program Files\SFR\Kit\WiFi\9wifi.exe
C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe
C:\program files\steam\steam.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\RaUI.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\utilisateur\Bureau\vir\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\utilisateur\Bureau\vir\utilisateur.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
O4 - HKLM\..\Run: [Autoconfigurateur WiFi SFR] "C:\Program Files\SFR\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMax] "C:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON\daemon.exe" -autorun
O4 - HKCU\..\Run: [CurseClient] C:\Program Files\Curse\CurseClient.exe -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\WINDOWS\RaUI.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.travian.com/fr
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - http://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Hamachi Service (HamachiService) - LogMeIn Inc. - C:\Program Files\Hamachi\hamachi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
Voici le log suivit du fichier info
Logfile of random's system information tool 1.06 (written by random/random)
Run by utilisateur at 2009-12-29 15:49:09
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 44 GB (18%) free of 238 GB
Total RAM: 2047 MB (64% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49:12, on 29/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\Program Files\SFR\Kit\WiFi\9wifi.exe
C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe
C:\program files\steam\steam.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\RaUI.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\utilisateur\Bureau\vir\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\utilisateur\Bureau\vir\utilisateur.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
O4 - HKLM\..\Run: [Autoconfigurateur WiFi SFR] "C:\Program Files\SFR\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMax] "C:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON\daemon.exe" -autorun
O4 - HKCU\..\Run: [CurseClient] C:\Program Files\Curse\CurseClient.exe -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\WINDOWS\RaUI.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.travian.com/fr
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - http://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Hamachi Service (HamachiService) - LogMeIn Inc. - C:\Program Files\Hamachi\hamachi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut
je regarde les rapports et je te réponds ce soir mais 2 trucs :
Pourquoi as tu installer A-Squared ??? à part les cookies et les faux positifs, et prendre de l'espace en mémoire : aucune utilité !
O4 - HKCU\..\Run: [Steam] => pas supprimé, steam n'est pas un virus...
Tu croyais pas m'apprendre quelque chose au moins !
Alors moi je t'apprends quelque chose CTFMON non plus
les lignes fixés en 04 ne supprime pas l'application ni le fichier, simplement l'application ne démarre plus avec Windows c'est tout.
OK à tout à l'heure
je regarde les rapports et je te réponds ce soir mais 2 trucs :
Pourquoi as tu installer A-Squared ??? à part les cookies et les faux positifs, et prendre de l'espace en mémoire : aucune utilité !
O4 - HKCU\..\Run: [Steam] => pas supprimé, steam n'est pas un virus...
Tu croyais pas m'apprendre quelque chose au moins !
Alors moi je t'apprends quelque chose CTFMON non plus
les lignes fixés en 04 ne supprime pas l'application ni le fichier, simplement l'application ne démarre plus avec Windows c'est tout.
OK à tout à l'heure
Ahah :)
Mais je veux que steam se lance moi x]
J'ai installé a-squadred car il marche bien contre les trojans, je pense qu'il m'en a supprimé ^^
Mais jvais le désinstaller bientôt je crois ^^
En tout cas merci a tal'heure
Mais je veux que steam se lance moi x]
J'ai installé a-squadred car il marche bien contre les trojans, je pense qu'il m'en a supprimé ^^
Mais jvais le désinstaller bientôt je crois ^^
En tout cas merci a tal'heure
re
Tu installes les logiciels que tu veux, tu es libre pas de soucis, mais tu attends la fin de la procédure.
==> poste moi le rapport asquared qui t'as enlever des trojans stp
Tu as 19 logiciels qui se lancent au démarrage c'est ton droit, pas de soucis non plus.
Ton disque dur est trop plein, pas plus sinon cela va te causer des ralentissements
==> System drive C: has 44 GB (18%) free of 238 GB
Je reviens tout à l'heure pour la suite car il reste des éléments néfastes.
A+
Tu installes les logiciels que tu veux, tu es libre pas de soucis, mais tu attends la fin de la procédure.
==> poste moi le rapport asquared qui t'as enlever des trojans stp
Tu as 19 logiciels qui se lancent au démarrage c'est ton droit, pas de soucis non plus.
Ton disque dur est trop plein, pas plus sinon cela va te causer des ralentissements
==> System drive C: has 44 GB (18%) free of 238 GB
Je reviens tout à l'heure pour la suite car il reste des éléments néfastes.
A+
Bonsoir
en plus du rapport de scan demandé, il faut que tu analyses ce fichier sur virus total : ajia1z8u.sys en suivant la même manip' qu'au message 21 paragraphe 3. stp
https://forums.commentcamarche.net/forum/affich-15820974-trojan-spotted-zbot-pasnoeldutout?page=2#21
A +
en plus du rapport de scan demandé, il faut que tu analyses ce fichier sur virus total : ajia1z8u.sys en suivant la même manip' qu'au message 21 paragraphe 3. stp
https://forums.commentcamarche.net/forum/affich-15820974-trojan-spotted-zbot-pasnoeldutout?page=2#21
A +
ok, on verra pour le msconfig après alors ^^
he lance ça, mais au fait le message numéro 24 j'avais oublié de redémarré, je repost le bon ?
rapport a-squared :
quarantaine :
trace.TrakingCookie (x2)
virus.Win32.Trojan!IK
le fichier ajia machin .sys n'existe pas
he lance ça, mais au fait le message numéro 24 j'avais oublié de redémarré, je repost le bon ?
rapport a-squared :
quarantaine :
trace.TrakingCookie (x2)
virus.Win32.Trojan!IK
le fichier ajia machin .sys n'existe pas
Bonjour
Dommage que le rapport ne donne pas la localisation car on ne sait pas si c'est un élément en quarantaine ou pas, pareils pour les 2 fichiers ajia1z8u.sys et azhhpg75.sys tu es sûr d'avoir affiché les dossiers et les fichiers cachés ??
Fait un scan en ligne ESET avec IE : https://www.eset.com/int/home/online-scanner/
aide en images = http://www.bibou0007.com/scans-en-ligne-f75/tutorial-eset-on-line-scanner-t3691.htm
Poste le rapport qui se trouve ici: C:\Program Files\EsetOnlineScanner\log.txt
A +
Dommage que le rapport ne donne pas la localisation car on ne sait pas si c'est un élément en quarantaine ou pas, pareils pour les 2 fichiers ajia1z8u.sys et azhhpg75.sys tu es sûr d'avoir affiché les dossiers et les fichiers cachés ??
Fait un scan en ligne ESET avec IE : https://www.eset.com/int/home/online-scanner/
aide en images = http://www.bibou0007.com/scans-en-ligne-f75/tutorial-eset-on-line-scanner-t3691.htm
Poste le rapport qui se trouve ici: C:\Program Files\EsetOnlineScanner\log.txt
A +
Salut !
Voilà le rapport d'Eset
C:\Program Files\Ad-Remover\Process.com Win32/PrcView application cleaned by deleting - quarantined
C:\Program Files\Ad-Remover\BACKUP\AD-R.exe Win32/PrcView application deleted - quarantined
C:\UsbFix\Tools\Kill_P.exe Win32/PrcView application cleaned by deleting - quarantined
C:\WINDOWS\TEMP\nxei.tmp\svchost.exe a variant of Win32/Kryptik.BIN trojan cleaned by deleting - quarantined
Bonne journée et bonne fête
Voilà le rapport d'Eset
C:\Program Files\Ad-Remover\Process.com Win32/PrcView application cleaned by deleting - quarantined
C:\Program Files\Ad-Remover\BACKUP\AD-R.exe Win32/PrcView application deleted - quarantined
C:\UsbFix\Tools\Kill_P.exe Win32/PrcView application cleaned by deleting - quarantined
C:\WINDOWS\TEMP\nxei.tmp\svchost.exe a variant of Win32/Kryptik.BIN trojan cleaned by deleting - quarantined
Bonne journée et bonne fête
Salut
Bon c'est OK, ESET n'a détecté que la quarantaine de certain outils utilisés, mais pourquoi tu n'as pas posté l'intégralité du rapport ?
Télécharge OTM (de Old_Timer) sur le bureau, lien = http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
* Lance l'outil en faisant un double clic sur l'icône OTM
Une fenêtre s'ouvre :
* Copie la liste en citation ci-dessous et colle-la dans le cadre "Paste instructions for Items to be Moved"
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\azhhpg75]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ajia1z8u]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
:Files
C:\WINDOWS\System32\drivers\azhhpg75.sys
C:\WINDOWS\System32\drivers\ajia1z8u.sys
:Commands
[purity]
[emptytemp]
* Clique sur MoveIt ! pour lancer la suppression
* A la fin du processus le PC va redémarrer
* Poste le rapport dans qui se trouve dans le répertoire suivant C:\_OTMoveIt\MovedFile
Passe de bonnes fêtes aussi, A +
Bon c'est OK, ESET n'a détecté que la quarantaine de certain outils utilisés, mais pourquoi tu n'as pas posté l'intégralité du rapport ?
Télécharge OTM (de Old_Timer) sur le bureau, lien = http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
* Lance l'outil en faisant un double clic sur l'icône OTM
Une fenêtre s'ouvre :
* Copie la liste en citation ci-dessous et colle-la dans le cadre "Paste instructions for Items to be Moved"
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\azhhpg75]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ajia1z8u]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
:Files
C:\WINDOWS\System32\drivers\azhhpg75.sys
C:\WINDOWS\System32\drivers\ajia1z8u.sys
:Commands
[purity]
[emptytemp]
* Clique sur MoveIt ! pour lancer la suppression
* A la fin du processus le PC va redémarrer
* Poste le rapport dans qui se trouve dans le répertoire suivant C:\_OTMoveIt\MovedFile
Passe de bonnes fêtes aussi, A +
Re, voilà le rapport de OTM =)
All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\azhhpg75\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ajia1z8u\ not found.
========== FILES ==========
File/Folder C:\WINDOWS\System32\drivers\azhhpg75.sys not found.
File/Folder C:\WINDOWS\System32\drivers\ajia1z8u.sys not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 133390 bytes
->Temporary Internet Files folder emptied: 33237 bytes
User: utilisateur
->Temp folder emptied: 1218737219 bytes
->Temporary Internet Files folder emptied: 21381747 bytes
->Java cache emptied: 13690455 bytes
->FireFox cache emptied: 81446201 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 16873948 bytes
%systemroot%\System32 .tmp files removed: 4848128 bytes
Windows Temp folder emptied: 97962 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23968498 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 280657 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 1 318,00 mb
OTM by OldTimer - Version 3.1.4.0 log created on 12312009_120821
Files moved on Reboot...
Registry entries deleted on Reboot...
Et j'ai redémarré :)
All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\azhhpg75\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ajia1z8u\ not found.
========== FILES ==========
File/Folder C:\WINDOWS\System32\drivers\azhhpg75.sys not found.
File/Folder C:\WINDOWS\System32\drivers\ajia1z8u.sys not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 133390 bytes
->Temporary Internet Files folder emptied: 33237 bytes
User: utilisateur
->Temp folder emptied: 1218737219 bytes
->Temporary Internet Files folder emptied: 21381747 bytes
->Java cache emptied: 13690455 bytes
->FireFox cache emptied: 81446201 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 16873948 bytes
%systemroot%\System32 .tmp files removed: 4848128 bytes
Windows Temp folder emptied: 97962 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23968498 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 280657 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 1 318,00 mb
OTM by OldTimer - Version 3.1.4.0 log created on 12312009_120821
Files moved on Reboot...
Registry entries deleted on Reboot...
Et j'ai redémarré :)
Re, Ok super comment va le PC maintenant ?
Si OK on désinstalle les outils :
Télécharge Tools Cleaner (par A.Rothstein & dj QUIOU) sur le bureau et lance le
* Clique sur Recherche et laisse le scan se terminer
* Clique ensuite sur Suppression
* Clique sur Quitter, pour que le rapport puisse se créer
* Poste le dans ton prochain message
Le rapport (TCleaner.txt) se trouve à la racine du disque dur (C:\)
Surtout suis bien la procédure jusqu'au bout, on va finir le nettoyage et mettre à jour le système. Je te donnerai quelques conseils pour surfer plus sereinement à l'avenir.
A +
Si OK on désinstalle les outils :
Télécharge Tools Cleaner (par A.Rothstein & dj QUIOU) sur le bureau et lance le
* Clique sur Recherche et laisse le scan se terminer
* Clique ensuite sur Suppression
* Clique sur Quitter, pour que le rapport puisse se créer
* Poste le dans ton prochain message
Le rapport (TCleaner.txt) se trouve à la racine du disque dur (C:\)
Surtout suis bien la procédure jusqu'au bout, on va finir le nettoyage et mettre à jour le système. Je te donnerai quelques conseils pour surfer plus sereinement à l'avenir.
A +
Salut salut !
BONNE ANNEE !!!
Voila le rapport ToolsCleaner :)
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\UsbFix.txt: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\Gmer.exe: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\HijackThis.exe: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\ToolBarSD.exe: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\hijackthis.log: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\TB.txt: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\UsbFix.txt: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\Rsit.exe: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\Toolbar SD: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\UsbFix: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\Rsit: trouvé !
C:\Program Files\Ad-remover: trouvé !
---------------------------------
--> Suppression:
C:\Documents and Settings\utilisateur\Bureau\vir\Gmer.exe: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\HijackThis.exe: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\ToolBarSD.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\hijackthis.log: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\TB.txt: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\UsbFix.txt: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\Rsit.exe: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\Toolbar SD: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\UsbFix: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\Rsit: supprimé !
C:\Program Files\Ad-remover: supprimé !
BONNE ANNEE !!!
Voila le rapport ToolsCleaner :)
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\UsbFix.txt: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\Gmer.exe: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\HijackThis.exe: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\ToolBarSD.exe: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\hijackthis.log: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\TB.txt: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\UsbFix.txt: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\Rsit.exe: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\Toolbar SD: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\UsbFix: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\Rsit: trouvé !
C:\Program Files\Ad-remover: trouvé !
---------------------------------
--> Suppression:
C:\Documents and Settings\utilisateur\Bureau\vir\Gmer.exe: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\HijackThis.exe: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\ToolBarSD.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\hijackthis.log: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\TB.txt: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\UsbFix.txt: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\Rsit.exe: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\Toolbar SD: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\UsbFix: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\Rsit: supprimé !
C:\Program Files\Ad-remover: supprimé !
Bonne Année !!
Tu ne m'as pas dit comment aller le PC ? C'est que tout va bien, on continue...
Pour la question sur MsConfig , ton PC doit démarrer normalement et pas en mode sélectif ou diagnostic, s'il est trop lent au démarrage, c'est à cause du nombre d'applications qui se lancent en même temps que Windows. Ensuite ton disque dur est presque à la limite, comme tu as une seule partition cela peut ralentir Windows. En tout cas au niveau RAM 2 Go c'est largement OK pour XP, et le nombre de services est normal par rapport au système.
Tu peux poster dans le forum approprié pour essayer d'optimiser ta machine.
1. Supprime les anciens points de restauration :
Clique sur le Poste de travail, puis fait un clic droit sur le disque dur principal (en général C:/)
* Clique sur Propriétés
Dans la fenêtre qui s'ouvre dans l'onglet général
* Clique sur Nettoyage de disque
Une boîte de dialogue te demande de patienter le temps du calcul, une nouvelle fenêtre va s'ouvrir.
* Choisit le 2ème onglet Autres options puis l'item Restauration du système
* Valide la boîte de dialogue qui s'affiche en cliquant sur Oui
* Ferme ensuite la fenêtre Nettoyage de disque en cliquant sur OK
2. Nettoyage du registre
https://www.commentcamarche.net/telecharger/utilitaires/19203-regseeker/
tuto : http://www.6ma.fr/tuto/regseeker-nettoyer-la-base-de-registre/
3. Les logiciels de sécurité
Tu peux garder Malwarebytes qui est un excellent logiciel anti-malware et t'en servir régulièrement pour un scan rapide sur ton PC sans oublier de le mettre à jour.
Tu peux réactiver aussi ton Fire-wall.
4. Mises à jour
Mise à jour de Java
Télécharge JRE 6 Update 17 ici : https://www.java.com/fr/download/ et installe le, normalement maintenant il supprimera les anciennes versions présentes si nécessaires sinon tu peux le faire via Ajout/Suppression de Programme
Mise à jour des logiciels présents sur ta machine
Vérifie si tes logiciels sont à jour sur Sécunia : https://www.flexera.com/products/operations/software-vulnerability-management.html
* Clique sur Start Scanner
* Une fois "Java applet" chargé, coche :
Enable thorough system inspection
Display only insecure programs
* Clique sur Start
Patiente le scan peut être long ! Le résultat t'indiquera les logiciels à mettre à jour ainsi que les liens pour le faire. Les fois suivantes tu pourras juste faire Display only insecure programs pour te maintenir à jour.
**************************
Quelques règles simples :
* La multiplication des protections est une source de conflit et n'est pas plus efficace pour la sécurité :
1 seul anti-virus à jour, 1 seul pare-feu à jour, 1 seul anti-spyware (une préférence pour MBAM)
* Ne pas surfer en droits administrateurs
* Tenir Windows et les autre logiciels sensibles à jour : Anti-Virus, Java, Adobe, etc..
* Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant.
* Éviter les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)
* Ne pas cliquer aveuglement sur des liens contenus dans les messages inconnus ou suspects (E-mails, messageries instantanées, réseaux sociaux...)
* Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT) SECURISER FIREFOX EN 12 POINTS (par OGU) : http://www.libellules.ch/securiser_firefox_1.php
Je t'invite à lire ces différents articles, afin de surfer plus sereinement :
Prévention & Protection : http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection
Les idées reçues en sécurité logicielle : http://www.libellules.ch/idees_recues_securite.php
LES RISQUES SÉCURITAIRES DU PEER-TO-PEER (par OGU) : http://www.libellules.ch/...
le P2P et ses conséquences !!! (par tesgaz) : http://forum.pitcatsite.fr/viewtopic.php?f=3&t=28
Pourquoi et comment je me fais infecter ? (par Malekal) : https://forum.malekal.com/viewtopic.php?t=3259&start=
**************************
Je te renouvelle mes vœux pour la nouvelle année, n'oublies pas de me faire part d'éventuelles difficultés dans les dernières étapes.
Si tout se passe bien clique ensuite sur résolu, merci.
Tu ne m'as pas dit comment aller le PC ? C'est que tout va bien, on continue...
Pour la question sur MsConfig , ton PC doit démarrer normalement et pas en mode sélectif ou diagnostic, s'il est trop lent au démarrage, c'est à cause du nombre d'applications qui se lancent en même temps que Windows. Ensuite ton disque dur est presque à la limite, comme tu as une seule partition cela peut ralentir Windows. En tout cas au niveau RAM 2 Go c'est largement OK pour XP, et le nombre de services est normal par rapport au système.
Tu peux poster dans le forum approprié pour essayer d'optimiser ta machine.
1. Supprime les anciens points de restauration :
Clique sur le Poste de travail, puis fait un clic droit sur le disque dur principal (en général C:/)
* Clique sur Propriétés
Dans la fenêtre qui s'ouvre dans l'onglet général
* Clique sur Nettoyage de disque
Une boîte de dialogue te demande de patienter le temps du calcul, une nouvelle fenêtre va s'ouvrir.
* Choisit le 2ème onglet Autres options puis l'item Restauration du système
* Valide la boîte de dialogue qui s'affiche en cliquant sur Oui
* Ferme ensuite la fenêtre Nettoyage de disque en cliquant sur OK
2. Nettoyage du registre
https://www.commentcamarche.net/telecharger/utilitaires/19203-regseeker/
tuto : http://www.6ma.fr/tuto/regseeker-nettoyer-la-base-de-registre/
3. Les logiciels de sécurité
Tu peux garder Malwarebytes qui est un excellent logiciel anti-malware et t'en servir régulièrement pour un scan rapide sur ton PC sans oublier de le mettre à jour.
Tu peux réactiver aussi ton Fire-wall.
4. Mises à jour
Mise à jour de Java
Télécharge JRE 6 Update 17 ici : https://www.java.com/fr/download/ et installe le, normalement maintenant il supprimera les anciennes versions présentes si nécessaires sinon tu peux le faire via Ajout/Suppression de Programme
Mise à jour des logiciels présents sur ta machine
Vérifie si tes logiciels sont à jour sur Sécunia : https://www.flexera.com/products/operations/software-vulnerability-management.html
* Clique sur Start Scanner
* Une fois "Java applet" chargé, coche :
Enable thorough system inspection
Display only insecure programs
* Clique sur Start
Patiente le scan peut être long ! Le résultat t'indiquera les logiciels à mettre à jour ainsi que les liens pour le faire. Les fois suivantes tu pourras juste faire Display only insecure programs pour te maintenir à jour.
**************************
Quelques règles simples :
* La multiplication des protections est une source de conflit et n'est pas plus efficace pour la sécurité :
1 seul anti-virus à jour, 1 seul pare-feu à jour, 1 seul anti-spyware (une préférence pour MBAM)
* Ne pas surfer en droits administrateurs
* Tenir Windows et les autre logiciels sensibles à jour : Anti-Virus, Java, Adobe, etc..
* Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant.
* Éviter les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)
* Ne pas cliquer aveuglement sur des liens contenus dans les messages inconnus ou suspects (E-mails, messageries instantanées, réseaux sociaux...)
* Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT) SECURISER FIREFOX EN 12 POINTS (par OGU) : http://www.libellules.ch/securiser_firefox_1.php
Je t'invite à lire ces différents articles, afin de surfer plus sereinement :
Prévention & Protection : http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection
Les idées reçues en sécurité logicielle : http://www.libellules.ch/idees_recues_securite.php
LES RISQUES SÉCURITAIRES DU PEER-TO-PEER (par OGU) : http://www.libellules.ch/...
le P2P et ses conséquences !!! (par tesgaz) : http://forum.pitcatsite.fr/viewtopic.php?f=3&t=28
Pourquoi et comment je me fais infecter ? (par Malekal) : https://forum.malekal.com/viewtopic.php?t=3259&start=
**************************
Je te renouvelle mes vœux pour la nouvelle année, n'oublies pas de me faire part d'éventuelles difficultés dans les dernières étapes.
Si tout se passe bien clique ensuite sur résolu, merci.
Hello !
Désolé pour l'attente ! J'ai pas eu accès a mon pc :/ >_<
bref, tout va mieux, j'ai suivit les 4 points que tu m'as donné et lu les divers articles également ;-)
Sinon j'ai encore un doute...
J'ai remis mon MSconfig perso et j'ai toujours une application iexplore.exe a environ 3k d'utilisation mémoire... Qu'es ce que c'est ??!
Merci pour ton aide en tous cas et encore désolé pour l'attente !
Jte souhaite une excellente année !
Désolé pour l'attente ! J'ai pas eu accès a mon pc :/ >_<
bref, tout va mieux, j'ai suivit les 4 points que tu m'as donné et lu les divers articles également ;-)
Sinon j'ai encore un doute...
J'ai remis mon MSconfig perso et j'ai toujours une application iexplore.exe a environ 3k d'utilisation mémoire... Qu'es ce que c'est ??!
Merci pour ton aide en tous cas et encore désolé pour l'attente !
Jte souhaite une excellente année !
Bonsoir teory et merci pour les voeux
bref, tout va mieux, j'ai suivit les 4 points que tu m'as donné et lu les divers articles également
:-)
J'ai remis mon MSconfig perso et j'ai toujours une application iexplore.exe a environ 3k d'utilisation mémoire... Qu'es ce que c'est ??!
Comme déjà expliqué au début du message 36 :
Pour la question sur MsConfig , ton PC doit démarrer normalement et pas en mode sélectif ou diagnostic, s'il est trop lent au démarrage, c'est à cause du nombre d'applications qui se lancent en même temps que Windows. Ensuite ton disque dur est presque à la limite, comme tu as une seule partition cela peut ralentir Windows. En tout cas au niveau RAM 2 Go c'est largement OK pour XP, et le nombre de services est normal par rapport au système.
Tu peux poster dans le forum approprié pour essayer d'optimiser ta machine.
Je pense que c'était assez clair, on peut arrêter certains services et en mettre d'autres en manuel pour optimiser. Mais pas en désactivant tout et pas de cette manière car tu désactives entre autre le service de l'anti-virus et du pare-feu.
le 29 décembre en fin de désinfection, IEXPLORER.exe n'apparait plus dans Running Processes , le rapport rsit ne montre plus d'infection visible et le scan ESET ne trouve que des éléments néfastes dans les quarantaines des outils de désinfection utilisés :
https://forums.commentcamarche.net/forum/affich-15820974-trojan-spotted-zbot-pasnoeldutout?page=2#24
Poste un nouveau rapport log.txt de rsit en prenant soin de fermer toutes les applications en cours.
A +
bref, tout va mieux, j'ai suivit les 4 points que tu m'as donné et lu les divers articles également
:-)
J'ai remis mon MSconfig perso et j'ai toujours une application iexplore.exe a environ 3k d'utilisation mémoire... Qu'es ce que c'est ??!
Comme déjà expliqué au début du message 36 :
Pour la question sur MsConfig , ton PC doit démarrer normalement et pas en mode sélectif ou diagnostic, s'il est trop lent au démarrage, c'est à cause du nombre d'applications qui se lancent en même temps que Windows. Ensuite ton disque dur est presque à la limite, comme tu as une seule partition cela peut ralentir Windows. En tout cas au niveau RAM 2 Go c'est largement OK pour XP, et le nombre de services est normal par rapport au système.
Tu peux poster dans le forum approprié pour essayer d'optimiser ta machine.
Je pense que c'était assez clair, on peut arrêter certains services et en mettre d'autres en manuel pour optimiser. Mais pas en désactivant tout et pas de cette manière car tu désactives entre autre le service de l'anti-virus et du pare-feu.
le 29 décembre en fin de désinfection, IEXPLORER.exe n'apparait plus dans Running Processes , le rapport rsit ne montre plus d'infection visible et le scan ESET ne trouve que des éléments néfastes dans les quarantaines des outils de désinfection utilisés :
https://forums.commentcamarche.net/forum/affich-15820974-trojan-spotted-zbot-pasnoeldutout?page=2#24
Poste un nouveau rapport log.txt de rsit en prenant soin de fermer toutes les applications en cours.
A +
AIE AIE AIE
En fait non !
Mse me disais depuis hier soir de faire une analyse rapide, et j'ai attendu jusqu'a maitenant, car je viens d'effectuer un scan et voilà le rapport ...
Elément détécté : TrojanProxy:Win32/Sebfov.B
Microsoft Security Essentials a rencontré l'erreur suivante : Code d'erreur 0x80070020. Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
Catégorie : Cheval de Troie proxy
Description : Ce programme est dangereux. Il agit en tant que serveur proxy.
Recommandation : Supprimer immédiatement ce logiciel.
Éléments :
file:C:\Documents and Settings\All Users\Documents\Settings\cbss.dll
regkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\cbssreg
winlognotif:HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\cbssreg
On est repartit :( :cry:
En fait non !
Mse me disais depuis hier soir de faire une analyse rapide, et j'ai attendu jusqu'a maitenant, car je viens d'effectuer un scan et voilà le rapport ...
Elément détécté : TrojanProxy:Win32/Sebfov.B
Microsoft Security Essentials a rencontré l'erreur suivante : Code d'erreur 0x80070020. Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
Catégorie : Cheval de Troie proxy
Description : Ce programme est dangereux. Il agit en tant que serveur proxy.
Recommandation : Supprimer immédiatement ce logiciel.
Éléments :
file:C:\Documents and Settings\All Users\Documents\Settings\cbss.dll
regkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\cbssreg
winlognotif:HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\cbssreg
On est repartit :( :cry:
