[TJ] Win32:Zlob-BN, BM

POUPI -  
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

je viens solliciter de l'aide...

Après des soucis matériels j'ai réinstaller mon pc et voila qu'à la première connexion hier soir avast me sort des chevaux de troie Win32:Zlob-BN et Win32:Zlob-BM... Avast n'en vient pas à bout, spybot et adaware non plus !! grrrrrr.... je m'y connais on va dire moyennement en informatique mais la je n'arrive pas à m'en débarrasser et je crise grave...

quelqu'un pourrait aider une jeune fille désespérée ?

Merci d'avance...

:(
Configuration: PENTIUM 4 CPU 2.80GHz
W_XP PRO

54 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un utilisateur signale après réinstallation que l’ordinateur détecte des trojans Win32:Zlob-BN et Win32:Zlob-BM à la première connexion et que Avast ne parvient pas à les éliminer. Plusieurs échanges présentent des témoignages variés et la discussion évolue vers des vérifications de sécurité, notamment sur le pare-feu et l’analyse des rapports système concernant Zlob. La meilleure réponse proposée se concentre sur le firewall et demande le détail du pare-feu actif avant d’interpréter un fichier HijackThis ou des rapports complémentaires. D'autre part, des échanges ultérieurs mentionnent le partage d’un rapport HijackThis et l’absence de logiciel firewall actif, précisant l’usage d’un routeur comme pare-feu matériel.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Bonsoir,

    Bien sûr qu'on va t'aider ;)

    Tour d'abord, quel est ton firewall ?
    0
  2. poupi
     
    Merciiiiiiii...

    pas de logiciel firewall... c'est le routeur linsys qui me sert de firewall hard !!
    0
  3. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut;

    Télécharge ceci: (merci a S!RI pour ce programme).
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.
    ----------------------------------------------------------------------------
    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

    A+
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    ok !

    A+
    0
  6. poupi
     
    voici mon 1er rapport...

    SmitFraudFix v2.65

    Rapport fait à 20:41:06,37, 27/06/2006
    Executé à partir de C:\Documents and Settings\CACHENOISETTE30\Bureau\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\ld????.tmp PRESENT !
    C:\WINDOWS\system32\ot.ico PRESENT !
    C:\WINDOWS\system32\regperf.exe PRESENT !
    C:\WINDOWS\system32\stdole3.tlb PRESENT !
    C:\WINDOWS\system32\ts.ico PRESENT !
    C:\WINDOWS\system32\1024\ PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\CACHENOISETTE30\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\CACHEN~1\Favoris

    C:\DOCUME~1\CACHEN~1\Favoris\Antivirus Test Online.url PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{7916f057-223f-4612-ac84-e882cbe043d4}"="bals"

    [HKEY_CLASSES_ROOT\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32]
    @="C:\WINDOWS\System32\hvcycg.dll"

    [HKEY_CURRENT_USER\Software\Classes\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32]
    @="C:\WINDOWS\System32\hvcycg.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  7. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Ok, fais la suite

    ;-)
    0
  8. poupi
     
    Je suis pas sur que tout soit ok mais vous m'avez déja rendu le sourire lol...

    Voila le 2ème rapport...

    SmitFraudFix v2.65

    Rapport fait à 20:46:59,68, 27/06/2006
    Executé à partir de C:\Documents and Settings\CACHENOISETTE30\Bureau\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{7916f057-223f-4612-ac84-e882cbe043d4}"="bals"

    [HKEY_CLASSES_ROOT\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32]
    @="C:\WINDOWS\System32\hvcycg.dll"

    [HKEY_CURRENT_USER\Software\Classes\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32]
    @="C:\WINDOWS\System32\hvcycg.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    C:\WINDOWS\System32\hvcycg.dll -> Missing File

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\WINDOWS\system32\ld????.tmp supprimé
    C:\WINDOWS\system32\ot.ico supprimé
    C:\WINDOWS\system32\regperf.exe supprimé
    C:\WINDOWS\system32\stdole3.tlb supprimé
    C:\WINDOWS\system32\ts.ico supprimé
    C:\WINDOWS\system32\1024\ supprimé
    C:\DOCUME~1\CACHEN~1\Favoris\Antivirus Test Online.url supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  9. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Remet un smitfraudfix option 1.

    a+
    0
  10. poupi
     
    Je vais le faire mais snif snif il me sort maintenant Win32:FakeAlert

    Je suis maudiiiiiite snif :(
    0
  11. poupi
     
    il me dit ca :

    SmitFraudFix v2.65

    Rapport fait à 21:38:24,17, 27/06/2006
    Executé à partir de C:\Documents and Settings\CACHENOISETTE30\Bureau\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\CACHENOISETTE30\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\CACHEN~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  12. poupi
     
    J'ai aucun PRESENT! c'est tout est ok non... Win32:FakeAlert a été stoppé aussi non ?
    0
  13. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Oui, il semblerait....

    Pour verifier:

    télécharge HijackThis ici:
    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Bon courage

    A+
    0
  14. poupi
     
    ok je m'exécute de suite...

    merci encore, ca vous semble peut être pas beaucoup pour vous mais ca fait du bien d'être épaulé quand on est perdu !! :-)
    0
  15. poupi
     
    voila

    Logfile of HijackThis v1.99.1
    Scan saved at 21:54:30, on 27/06/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\9182ecd5.exe
    C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Mozilla Thunderbird\thunderbird.exe
    C:\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [9182ecd5.exe] C:\WINDOWS\System32\9182ecd5.exe
    O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [9182ecd5.exe] C:\Documents and Settings\CACHENOISETTE30\Local Settings\Application Data\9182ecd5.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_sit...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_sit...
    O17 - HKLM\System\CCS\Services\Tcpip\..\{83B3A11A-5FD8-4BCC-884B-43D2DF63497D}: NameServer = 192.168.1.1
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    Ca te dit quoi ?? lol
    0
  16. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Coucou poupi,

    Moi et regis on forme une très bonne équipe ;)

    La suite de l'histoire...


    Je suis quasi sûr mais pour être certain :

    Rends toi sur http://www.virustotal.com/flash/index_en.html
    Clique sur "Parcourir..." et cherche le fichier en gras :
    C:\WINDOWS\System32\9182ecd5.exe
    Clique sur "Send" et attends un instant.
    Copie/colle le rapport sur le forum.

    On te donnera la suite de la manip. après le match.

    à tout de suite ;)
    0
  17. poupi
     
    mdr... il m'annonce plus de 250 minutes d'attente... vous avez de quoi en voir 3 de matchs !!

    en attendant bon but !!

    A+ tard

    :-)
    0
  18. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Y'a un probleme la lol
    Normalement c est >1min lol

    T'as retenté?

    Quel spectacle a la TV !
    0
  19. poupi
     
    Vive les 3 minutes additionnelles !! lol

    je rééssaye s'il faut mais ca a baissé depuis tout à l'heure lol

    Your file "9182ecd5.exe" is queued in position: 61. Estimated start time is between 81 and 355 seconds.

    je retente...
    0
  20. poupi
     
    En réessayant il m'annonce ca !! peur !!

    Your file "9182ecd5.exe" is queued in position: 146. Estimated start time is between 194 and 851 seconds.

    j'ai gardé le 1er accès, à croire qu'y a foule ce soir !! lol
    0
  • 1
  • 2
  • 3