Virus Win32:Zbot-MPD
Fermé
hyspanos
Messages postés
9
Date d'inscription
mardi 9 février 2010
Statut
Membre
Dernière intervention
27 juillet 2010
-
9 févr. 2010 à 16:21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 10 févr. 2010 à 00:21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 10 févr. 2010 à 00:21
A voir également:
- Virus Win32:Zbot-MPD
- Tinyurl virus - Forum Virus / Sécurité
- Svchost.exe virus - Guide
- Tlauncher virus ✓ - Forum Jeux vidéo
- Hacktool win32 autokms ✓ - Forum Virus / Sécurité
- 6 proccesus svchost.exe Virus? ✓ - Forum Virus / Sécurité
13 réponses
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
9 févr. 2010 à 16:37
9 févr. 2010 à 16:37
Bonjour,
essaye comme ceci :
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage
[Coche] « afficher les dossiers et fichiers cachés »
[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
[Décoche] « masquer les extensions dont le type est connu »
Puis fais [appliquer] pour valider les changements.
Et [Ok]
===
Ouvre l'explorateur Windiws et cherche ce répertoire : C:\Windows\System32\lowsec
Fais un clic droit et Supprimer.
===
Relance HijackThis.
Choisis Do a scan only
Coche la case devant les lignes suivantes
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.lnk = ?
Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
Clique sur fix checked.
Ferme Hijackthis.
===
Réouvre l'Explorateur Windows et cherche ce fichier :
C:\WINDOWS\system32\sdra64.exe
Fais un clic droit et Supprimer.
===
Télécharge la dernière version de ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
Branche tes supports externes susceptibles d'avoir été infectés.
pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.
pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur Cijoint
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
essaye comme ceci :
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage
[Coche] « afficher les dossiers et fichiers cachés »
[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
[Décoche] « masquer les extensions dont le type est connu »
Puis fais [appliquer] pour valider les changements.
Et [Ok]
===
Ouvre l'explorateur Windiws et cherche ce répertoire : C:\Windows\System32\lowsec
Fais un clic droit et Supprimer.
===
Relance HijackThis.
Choisis Do a scan only
Coche la case devant les lignes suivantes
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.lnk = ?
Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
Clique sur fix checked.
Ferme Hijackthis.
===
Réouvre l'Explorateur Windows et cherche ce fichier :
C:\WINDOWS\system32\sdra64.exe
Fais un clic droit et Supprimer.
===
Télécharge la dernière version de ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
Branche tes supports externes susceptibles d'avoir été infectés.
pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.
pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur Cijoint
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
hyspanos
Messages postés
9
Date d'inscription
mardi 9 février 2010
Statut
Membre
Dernière intervention
27 juillet 2010
9 févr. 2010 à 17:07
9 févr. 2010 à 17:07
Alors, déjà, merci pour cette première réponse, mais ...
Il ne semble pas exister de C:\Windows\System32\lowsec
et lorsque que je veux supprimer C:\WINDOWS\system32\sdra64.exe , j'ai un message d'erreur comme quoi ce fichier ne peut pas etre supprimer car il est utilisé par un autre utilisateur ou un autre programme.
Résultat , impossible d'installer ZHPDiag car il est automatiquement corrompu après le téléchargement !
( J'ai bien effectuer les opérations dans l'ordre indiqué tout en respectant les consignes ! )
Il ne semble pas exister de C:\Windows\System32\lowsec
et lorsque que je veux supprimer C:\WINDOWS\system32\sdra64.exe , j'ai un message d'erreur comme quoi ce fichier ne peut pas etre supprimer car il est utilisé par un autre utilisateur ou un autre programme.
Résultat , impossible d'installer ZHPDiag car il est automatiquement corrompu après le téléchargement !
( J'ai bien effectuer les opérations dans l'ordre indiqué tout en respectant les consignes ! )
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
9 févr. 2010 à 17:13
9 févr. 2010 à 17:13
Re,
supprime ZHPDiag que tu as téléchargé.
Essaye de démarrer en mode sans échec avec prise en charge réseau.
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec avec prise en charge réseau puis tape Entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
Recommence la manip avec ZHPDiag.
supprime ZHPDiag que tu as téléchargé.
Essaye de démarrer en mode sans échec avec prise en charge réseau.
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec avec prise en charge réseau puis tape Entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
Recommence la manip avec ZHPDiag.
hyspanos
Messages postés
9
Date d'inscription
mardi 9 février 2010
Statut
Membre
Dernière intervention
27 juillet 2010
9 févr. 2010 à 17:34
9 févr. 2010 à 17:34
Je l'ai retélécharger en mode sans echec, et idem, fichier corrompu...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
9 févr. 2010 à 17:43
9 févr. 2010 à 17:43
Re,
supprime de nouveau tout ce que tu as téléchargé.
Télécharger rkill depuis l'un des liens ci-dessous:
http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe
Enregistrer le fichier sur le Bureau.
Désactiver le module résident de l'antivirus et celui de l'antispyware.
Faire un double clic sur le fichier rkill] téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier [b]rkill/b téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
Une fenêtre à fond noir va apparaître brièvement, puis disparaître.
Tu posteras le rappoer dans ta réponse.
Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.
Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.
====
Ensuite, sans redémarrer l'ordi, réessaye avec ZHPDiag.
Dès que tu redémarres l'ordi, il faut que tu refasses tourner rkill (si il débloques la situation).
supprime de nouveau tout ce que tu as téléchargé.
Télécharger rkill depuis l'un des liens ci-dessous:
http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe
Enregistrer le fichier sur le Bureau.
Désactiver le module résident de l'antivirus et celui de l'antispyware.
Faire un double clic sur le fichier rkill] téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier [b]rkill/b téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
Une fenêtre à fond noir va apparaître brièvement, puis disparaître.
Tu posteras le rappoer dans ta réponse.
Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.
Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.
====
Ensuite, sans redémarrer l'ordi, réessaye avec ZHPDiag.
Dès que tu redémarres l'ordi, il faut que tu refasses tourner rkill (si il débloques la situation).
hyspanos
Messages postés
9
Date d'inscription
mardi 9 février 2010
Statut
Membre
Dernière intervention
27 juillet 2010
9 févr. 2010 à 17:54
9 févr. 2010 à 17:54
Bien joué ZHPDiag a bien voulu s'installer :
http://www.cijoint.fr/cjlink.php?file=cj201002/cijlV915cd.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cijlV915cd.txt
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
9 févr. 2010 à 18:07
9 févr. 2010 à 18:07
Re,
OK,
Si tu as le rapport de rkill, poste le
On continue comme ça :
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.
hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.
5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.
6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :
7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
12) Ferme MBAM en cliquant sur Quitter.
13) Poste le rapport dans ta réponse
OK,
Si tu as le rapport de rkill, poste le
On continue comme ça :
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.
hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.
5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.
6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :
7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
12) Ferme MBAM en cliquant sur Quitter.
13) Poste le rapport dans ta réponse
hyspanos
Messages postés
9
Date d'inscription
mardi 9 février 2010
Statut
Membre
Dernière intervention
27 juillet 2010
9 févr. 2010 à 18:23
9 févr. 2010 à 18:23
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3714
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
09/02/2010 18:22:25
mbam-log-2010-02-09 (18-22-25).txt
Type de recherche: Examen rapide
Eléments examinés: 119177
Temps écoulé: 5 minute(s), 53 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.
Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-4219113397-5598754722-696764503-1962\nissan.exe (Worm.Autorun.B) -> Delete on reboot.
C:\Documents and Settings\Hadrien\Local Settings\Temp\e7aesagme6 .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.
Version de la base de données: 3714
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
09/02/2010 18:22:25
mbam-log-2010-02-09 (18-22-25).txt
Type de recherche: Examen rapide
Eléments examinés: 119177
Temps écoulé: 5 minute(s), 53 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.
Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-4219113397-5598754722-696764503-1962\nissan.exe (Worm.Autorun.B) -> Delete on reboot.
C:\Documents and Settings\Hadrien\Local Settings\Temp\e7aesagme6 .exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
9 févr. 2010 à 18:50
9 févr. 2010 à 18:50
Re,
tu peux me poster C:\rkill.log
ensuite, tu fais redémarrer l'ordi pour achever le nettoyage de MBAM.
tu peux me poster C:\rkill.log
ensuite, tu fais redémarrer l'ordi pour achever le nettoyage de MBAM.
hyspanos
Messages postés
9
Date d'inscription
mardi 9 février 2010
Statut
Membre
Dernière intervention
27 juillet 2010
9 févr. 2010 à 21:31
9 févr. 2010 à 21:31
Merci beaucoup je pense que cette fois on l'a eu, seul bémol, depuis que j'ai ce virus la roulette de mon touchpad ainsi que les combinaison Fn + Fx ne marche plus, et même maintenant qu'on a viré le virus, elle ne marche toujours pas . ( Fx = F1 , F2 , F3 , etc ... )
voila les log de rkill :
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Hadrien on 09/02/2010 at 21:28:40.
Processes terminated by Rkill or while it was running:
C:\Documents and Settings\Hadrien\Bureau\rkill.pif
Rkill completed on 09/02/2010 at 21:28:44.
voila les log de rkill :
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Hadrien on 09/02/2010 at 21:28:40.
Processes terminated by Rkill or while it was running:
C:\Documents and Settings\Hadrien\Bureau\rkill.pif
Rkill completed on 09/02/2010 at 21:28:44.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
9 févr. 2010 à 22:21
9 févr. 2010 à 22:21
Re,
refais tourner ZHPDiag comme la première fois sauf que :
avant de cliquer sur la loupe,
tu cliques sur la tournevis et tu coches la case devant la ligne O65 (en plus de celles déjà cochées).
Ensuite, tu cliques sur la loupe.
refais tourner ZHPDiag comme la première fois sauf que :
avant de cliquer sur la loupe,
tu cliques sur la tournevis et tu coches la case devant la ligne O65 (en plus de celles déjà cochées).
Ensuite, tu cliques sur la loupe.
hyspanos
Messages postés
9
Date d'inscription
mardi 9 février 2010
Statut
Membre
Dernière intervention
27 juillet 2010
9 févr. 2010 à 23:50
9 févr. 2010 à 23:50
Re,
http://www.cijoint.fr/cjlink.php?file=cj201002/cijFXz6qLu.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cijFXz6qLu.txt
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
10 févr. 2010 à 00:21
10 févr. 2010 à 00:21
Re,
plus d'infection active visible dans ce rapport.
Un peu de nettoyage.
Clique sur l'icône de ZHPFix sur ton Bureau.
Clique sur OK pour faire apparaître une case à gauche de chaque ligne.
Coche la case devant
O51 - MPSK:{30453be9-75a3-11de-b4a4-002243e4b6ae}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- 28b6ry9r.exe (.not file.)
Vérifie que tu n'as que cette ligne de cochée.
Clique sur Nettoyer.
Laisse l'outil travaillert.
Le rapport va s'ouvrir dans la fenêtre.
Poste le dans ta réponse;
===
Purge de la restauration système :
Ouvre ce lien :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
dans un premier temps tu le suis pour désactiver la restauration système.
Tu fermes la fenêtre.
Dans un deuxième temps, tu le suis pour réactiver la restauration.
Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.
===
Vide ta Corbeille.
Purge la quarantaine de MBAM et celle de ton antivirus.
===
Nettoyage des fichiers temporaires (à faire tous les jours) :
=>Télécharge ATF-Cleaner (Attribune)
-- Met le sur ton bureau
=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected
* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
===
Tiens moi au courant.
* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Quitte ATF-Cleaner
plus d'infection active visible dans ce rapport.
Un peu de nettoyage.
Clique sur l'icône de ZHPFix sur ton Bureau.
Clique sur OK pour faire apparaître une case à gauche de chaque ligne.
Coche la case devant
O51 - MPSK:{30453be9-75a3-11de-b4a4-002243e4b6ae}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- 28b6ry9r.exe (.not file.)
Vérifie que tu n'as que cette ligne de cochée.
Clique sur Nettoyer.
Laisse l'outil travaillert.
Le rapport va s'ouvrir dans la fenêtre.
Poste le dans ta réponse;
===
Purge de la restauration système :
Ouvre ce lien :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
dans un premier temps tu le suis pour désactiver la restauration système.
Tu fermes la fenêtre.
Dans un deuxième temps, tu le suis pour réactiver la restauration.
Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.
===
Vide ta Corbeille.
Purge la quarantaine de MBAM et celle de ton antivirus.
===
Nettoyage des fichiers temporaires (à faire tous les jours) :
=>Télécharge ATF-Cleaner (Attribune)
-- Met le sur ton bureau
=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected
* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
===
Tiens moi au courant.
* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Quitte ATF-Cleaner