Trojan dont je n'arrive pas à me debarasser
boeder21
-
Xplode Messages postés 9212 Statut Contributeur sécurité -
Xplode Messages postés 9212 Statut Contributeur sécurité -
Bonjour à tous,
J'ai un petit souci avec un trojan que montivirus Avira reconnait me n'arrive pas à s'en débarasser ('TR/Zapchast.dfd').
En gros, quelle que soit l'action que je choisis (refuser l'accès, supprimer, mettre en quarantaine) l'alerte revient continuellement, ce qui m'empeche de travailler.
J'ai lancè Spybot (après une full mise à jour), sans succès.
Merci d'avance pour votre aide !
J'ai un petit souci avec un trojan que montivirus Avira reconnait me n'arrive pas à s'en débarasser ('TR/Zapchast.dfd').
En gros, quelle que soit l'action que je choisis (refuser l'accès, supprimer, mettre en quarantaine) l'alerte revient continuellement, ce qui m'empeche de travailler.
J'ai lancè Spybot (après une full mise à jour), sans succès.
Merci d'avance pour votre aide !
10 réponses
-
Bonjour et bienvenue sur CommentCaMarche !
◈ Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !
◈ Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.
▶▷▶▷▶▷▶▷▶▷ ZHPDiag ◁◀◁◀◁◀◁◀◁◀
◈ Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
◈ Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
◈ Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau.
Note : Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur "
◈ Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
◈ Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
◈ Rend toi sur cjoint puis clique sur " Parcourir ".
◈ Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
◈ Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé. -
-
Ok fais ceci :
▶▷▶▷▶▷▶▷▶▷ Malwarebytes' Anti-Malware ◁◀◁◀◁◀◁◀◁◀
◈ Télécharge Malwarebytes' Anti-malware sur ton bureau.
◈ Installe le en suivant les instructions. Coche "Créer une icône sur le bureau"
◈ A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
◈ Une fois lancé, clique sur "Exécuter un examen complet" puis sur [Rechercher]
◈ Sélectionne tout tes disques locaux et amovibles.
◈ Patiente pendant toute la durée du scan, puis clique sur [Ok] une fois l'analyse effectuée.
◈ Clique ensuite sur [Afficher les résultats] puis sur [Supprimer la sélection]. Valide ensuite par [Ok].
◈ MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
◈ Tu peux ensuite vider la quarantaine de MBAM.
Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
◈ Si tu as des soucis, un tutoriel est disponible à cette adresse. -
Bonjour,
Voilà le rapport MBAM :
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Version de la base de données: 5768
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
15/02/2011 20:26:25
mbam-log-2011-02-15 (20-26-25).txt
Type d'examen: Examen complet (C:\|D:\|E:\|G:\|)
Elément(s) analysé(s): 267762
Temps écoulé: 1 heure(s), 11 minute(s), 34 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4D1C4E81-A32A-416B-BCDB-33B3EF3617D3} (Adware.Need2Find) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\documents and settings\Matteo\local settings\temporary internet files\Content.IE5\YZZCDP5E\info[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Matteo\mes documents\A trier\nero_keygen\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\bszip.dll (Worm.P2P) -> Quarantined and deleted successfully.
c:\program files\outlook\p.zip (Worm.Alcra) -> Quarantined and deleted successfully.
c:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully. -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Bonjour,
Attention avec le P2P et les keygen, si t'es infecté c'est probablement à cause de ça ;-)
Refais moi un rapport ZHPDiag, il doit plus rester grand chose maintenant. -
Re-bonjour Xplode,
Oui je sais, j'en ai fini avec le P2P (ce qu'on voit dans le rapport doit être un reste de ma jeunesse rebelle et inconsciente ;-), pour les keygen et compagnie j'essaie de faire attention, mais bon nul n'est infaillible... Enfin bref !
Le problème persiste toujours malgré MBAM malheureusement...
Voilà le nouveau rapport ZHPDiag
https://www.cjoint.com/?0cunw7uNLWc
Encore merci ! -
Bonjour,
Commence par désinstaller Spybot qui est inutile ( obsolète et consomme trop de ram avec ton tea-timer ) puis fais ceci :
▶▷▶▷▶▷▶▷▶▷ ZHPFix ◁◀◁◀◁◀◁◀◁◀
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
◈ Copie le texte en gras ci-dessous ( CTRL + C pour copier )
O64 - Services: CurCS - (.not file.) - NDISRD (NDISRD) .(.Pas de propriétaire - Pas de description.) - LEGACY_NDISRD
O64 - Services: CurCS - C:\Program Files\XXXCodec\casrv.exe (.not file.) - XXXCodec Service (XXXCodec Acceleration Service) .(.Pas de propriétaire - Pas de description.) - LEGACY_XXXCODEC_ACCELERATION_SERVICE
SS - | Auto 14/01/2005 0 | (XXXCodec Acceleration Service) . (.Pas de propriétaire.) - C:\Program Files\XXXCodec\casrv.exe
O44 - LFC:[MD5.9B3F0F095669B0752C8AECCB1E3630B0] - 20/02/2011 - 13:17:57 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ANIWZCSUSERNAME{96972235-5004-49A4-8382-6218EC159796} [7]
O20 - AppInit_DLLs: . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\system32\xjpasub.dll
O51 - MPSK:{21e1e540-76db-11da-a352-001109d95e4f}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\Autorun\UbiAutorun.exe (.not file.)
O51 - MPSK:{21e1e546-76db-11da-a352-001109d95e4f}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\Autorun\UbiAutorun.exe (.not file.)
O51 - MPSK:{251567bf-02d7-11dc-8189-001109d95e4f}\Shell\AutoRun\command - Clé orpheline
O51 - MPSK:{251567bf-02d7-11dc-8189-001109d95e4f}\Shell\explore\command - Clé orpheline
O51 - MPSK:{251567bf-02d7-11dc-8189-001109d95e4f}\Shell\open\command - Clé orpheline
O51 - MPSK:{3801f171-760c-11da-a350-001109d95e4f}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\Autorun\UbiAutorun.exe (.not file.)
O51 - MPSK:{a968dd9e-05f2-11dc-8191-001109d95e4f}\Shell\explore\command - Clé orpheline
O51 - MPSK:{a968dd9e-05f2-11dc-8191-001109d95e4f}\Shell\open\command - Clé orpheline
O23 - Service: (XXXCodec Acceleration Service) - Clé orpheline
O51 - MPSK:{72725220-7610-11da-a351-001109d95e4f}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\autorun.exe (.not file.)
[HKLM\Software\Panda Software]
◈ Lance ZHPFix qui est présent sur ton bureau.
◈ Clique sur le "H" bleu ( Coller les lignes Helper )
◈ Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.
◈ Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]
◈ Clique maintenant sur [Tous] , puis sur [Nettoyer]
◈ Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
◈ Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt -
Voilà le rapport ZHPFix
Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-20-02-2011-18-58-36.txt
Run by Matteo at 20/02/2011 18:58:36
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - NDISRD (NDISRD) .(.Pas de propriétaire - Pas de description.) - LEGACY_NDISRD => Clé supprimée avec succès
O64 - Services: CurCS - C:\Program Files\XXXCodec\casrv.exe (.not file.) - XXXCodec Service (XXXCodec Acceleration Service) .(.Pas de propriétaire - Pas de description.) - LEGACY_XXXCODEC_ACCELERATION_SERVICE => Clé supprimée avec succès
SS - | Auto 14/01/2005 0 | (XXXCodec Acceleration Service) . (.Pas de propriétaire.) - C:\Program Files\XXXCodec\casrv.exe => Clé supprimée avec succès
O51 - MPSK:{21e1e540-76db-11da-a352-001109d95e4f}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\Autorun\UbiAutorun.exe (.not file.) => Clé supprimée avec succès
O51 - MPSK:{21e1e546-76db-11da-a352-001109d95e4f}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\Autorun\UbiAutorun.exe (.not file.) => Clé supprimée avec succès
O51 - MPSK:{251567bf-02d7-11dc-8189-001109d95e4f}\Shell\AutoRun\command - Clé orpheline => Clé supprimée avec succès
O51 - MPSK:{251567bf-02d7-11dc-8189-001109d95e4f}\Shell\explore\command - Clé orpheline => Clé absente
O51 - MPSK:{251567bf-02d7-11dc-8189-001109d95e4f}\Shell\open\command - Clé orpheline => Clé absente
O51 - MPSK:{3801f171-760c-11da-a350-001109d95e4f}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\Autorun\UbiAutorun.exe (.not file.) => Clé supprimée avec succès
O51 - MPSK:{a968dd9e-05f2-11dc-8191-001109d95e4f}\Shell\explore\command - Clé orpheline => Clé supprimée avec succès
O51 - MPSK:{a968dd9e-05f2-11dc-8191-001109d95e4f}\Shell\open\command - Clé orpheline => Clé absente
O23 - Service: (XXXCodec Acceleration Service) - Clé orpheline => Clé absente
O51 - MPSK:{72725220-7610-11da-a351-001109d95e4f}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\autorun.exe (.not file.) => Clé supprimée avec succès
HKLM\Software\Panda Software => Clé supprimée avec succès
========== Elément(s) de donnée du Registre ==========
O20 - AppInit_DLLs: . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\system32\xjpasub.dll => Donnée supprimée avec succès
========== Fichier(s) ==========
c:\program files\xxxcodec\casrv.exe => Fichier absent
c:\windows\system32\aniwzcsusername{96972235-5004-49a4-8382-6218ec159796} => Supprimé et mis en quarantaine
c:\windows\system32\xjpasub.dll => Supprimé et mis en quarantaine
========== Récapitulatif ==========
14 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
3 : Fichier(s)
End of the scan -
En tout cas après redémarrage les alertes intempestives ont enfin disparu !
Est-ce que pour le reste le rapport te semble bon ? -
Oui, c'est clean. On termine si tu le veux bien :
-+-+-+-+-> Mise à jour du PC <-+-+-+-+-
[x] Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant.
1ère étape : Java
[o] Télécharge JavaRa puis décompresse le sur ton bureau.
[o] Ouvre le dossier JavaRa puis exécute JavaRa.exe.
[o] Clique sur "Search For Updates".
[o] Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
[o] Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
[o] Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
[o] Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ".
[o] Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message.
/!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à cette adresse puis passe directement à la partie " Remove Older Versions " /!\
2ème étape : Adobe Reader
[x] Si tu utilises adobe reader, il est important qu'il soit à jour.
[x] Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC ( Voir ici )
[x] Pour vérifier qu'adobe reader est à jour, lance le puis clique sur [Aide] -> [Rechercher les mises à jour]
3ème étape : Internet Explorer
[x] Même si tu n'utilises pas Internet Explorer pour naviguer, il est important de le mettre à jour !
[o] Télécharge Internet Explorer 8 puis installe le.
-+-+-+-+-> DelFix <-+-+-+-+-
[x] Télécharge DelFix sur ton bureau.
[x] Lance le et appuie sur [Suppression]
[x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
[x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation].
-+-+-+-+-> Purger la restauration système <-+-+-+-+-
[x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.
[x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.
[x] Tutoriels :
- Windows XP
- Windows Vista
- Windows 7
-+-+-+-+-> Liens utiles <-+-+-+-+-
Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.
- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire
