downloader.zlob.aty Fermé

Question

Bonjour à toutes et à tous

Quand j'analyse mon PC avec AVG, 8 emplacements sont infectés avec Downloader.zlob.aty et je n'arrive pas à m'en débarrasser. Quelqu'un a-il une solution, mais simple car je suis nul de chez nul et bien incapable de comprendre un rapport ou autre langage de spécialiste.

Merci par avance et à bientôt

Pompano

Regis59 · Answer

Salut,

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
----------------------------------------------------------------------------
Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5).  
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

A+

Regis59 · Answer

Salut

J ai vu que tu avais un autre poste, soit tu continues ici ou la bas mais en tout cas, nous ne ferons pas 2 fois le meme travail.

Merci de ta compréhension

Regis59 · Answer

Re,

Je disais que tu recois deja une aide ici:
pc tres lent et sites non desires#2006 11 14%2016%3A52%3A38

Tu comprends mieux?

a+

pompano · Answer

Oui je n'avais pas compris que les aides étaient liées. 

Je vous prie de m'excuser 

Sur quelle demande préférez vous que nous continuions à chercher une solution pour mon PC

Pompano

Regis59 · Answer

Re,

C'est juste que, pour le meme probleme, il ne faut pas faire 50 messages sinon on travaille en double, tu comprends?

C'est toi qui choisis, soit ici ou las bas, peu importe mais indique sur un des deux postes que tu continue sur l autre poste.

A+

pompano · Answer

OK je continue avec vous

pompano · Answer

J'ai prévenu l'autre personne que je cloturais mon dossier avec elle pour continuer avec vous.

Que fait on maintenant ?

Encore merci et désolé pour les erreurs dues sans doute à mon grand age

Pompano

pompano · Answer

Bonjour

j'ai retrouvé le 1er rapport

SmitFraudFix v2.120

Rapport fait à 10:01:36,75, 15/11/2006
Executé à partir de C:\Program Files\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Admin


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Admin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Admin\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

pe386 détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


A bientôt

Pompano

pompano · Answer

Bonjour,

Le virus est toujours là.

Que puis je faire pour m'en débarasser ?

Merci de votre aide

Pompano

Regis59 · Answer

Salut,

télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/demohijack.htm
	
Bon courage

A+

Qc001 · Answer

Salut François : tu as une belle infection Wareout. Cette discussion-ci appartient à Pompano, donc prière d'en lancer une nouvelle juste pour toi. On saura mieux t'aider de cette façon :-)
**Note : les manips ci-bas ne sont pas pour toi ! Alors prudence, et démarre ta propre discussion afin qu'un bénévole examine ta situation. Merci !
------------------------

Coucou Quentin ;-)

Je peux essayer un outil avec Pompano ?

Ok... Pompano, ceci est pour toi :

Télécharge ce fichier (par ejvindh)
http://www.uploads.ejvindh.net/rustbfix.exe
...et sauvegarde-le sur ton Bureau.

Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiqueras qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

@+

Regis59 · Answer

Salut Mark,

Pas de soucis :-)

Salut Pompano,

C'est une page pour y mettre des commandes...

Comme tu as posté a 10 du matin, est ce que c est toujours identique? Tu peux fermer cette fenetre ou non? En sans echec, il demarre ou non?

a+

Qc001 · Answer

Salut Quentin :-)

Pompano : tout s'est arrêté après avoir cliqué sur le lien ?.. ou bien après avoir lancé l'outil ??

Bizarre... As-tu essayé de le redémarrer comme le spécifie Regis59 ?

S'il est toujours à l'écran noir, tu peux arrêter l'ordi en enfonçant le bouton Marche/Arrêt >> maintiens-le enfoncé jusqu'à l'arrêt de l'ordi. Démarre l'ordi à nouveau.

Dis-nous comment ça se déroule :-)

@+

Jyrki69 · Answer

J'ai le spyware downloader.zlob.aty sur mon ordi et rien à faire pour s'en débarasser.
J'ai essayé tout ce qui est marqué dans ce fil et bien d'autres choses.
Le seul et unique antispyware qui le repère c'est AVG 7.5 mais dès qu'il l'efface, le spyware se remet tout seul.
J'ai désactivé la restauration du système avant de faire un nettoyage mais aucun résultat non plus.

Que faire ????????????????????????????????????????????????????

Regis59 · Answer

Salut,

Poste le rapport AVG stp

A+

Jyrki69 · Answer

Help !

Regis59 · Answer

Salut

1-

Télécharge Blacklight (de F-Secure) a l’une des 2 adresses : 
https://www.f-secure.com/en 
https://www.f-secure.com/en 

et sauvegarde le sur ton Bureau. 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). 

Copie et colle le contenu de ce rapport dans ta prochaine réponse 

2-

télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/demohijack.htm
	
Bon courage

A+

Regis59 · Answer

Bonjour, 

Méthode à suivre dans l'ordre... 
---------------------------------------------------------------------------- 
¤Télécharge ces logiciels mais que tu n‘utilises pas tout de suite: 
(ceux que tu n as pas)

1/

Spybot S&D 1.4 
https://www.safer-networking.org/ 

Démo d’utilisation (merci à Balltrap34 pour cette réalisation).
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

2/

Ad-Aware SE 1.06 
https://www.adaware.com/ 
-Une aide:
http://usa.lucretius-ada.com/zcvisitor/8782d344-4821-11ea-83ce-0a2cdf2c6be7?campaignid=0d1dff40-82d7-11e9-9533-0a157bfa6bfc 
- installe le patch français, tu pourras le trouver ici: 
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe 
et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation).
http://pageperso.aol.fr/balltrap34/adawrevid.asf 

3/ AVG Anti-Spyware :

https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/ 

4/ Ccleaner :

https://www.malekal.com/tutoriel-ccleaner/
---------------------------------------------------------------------------- 
¤Affiche tous les fichiers et dossiers : 
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage 

Coche « afficher les fichiers et dossiers cachés » 

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décoche « masquer les extensions dont le type est connu » 
Puis fais «Ok» pour valider les changements. 

Et appliquer !
---------------------------------------------------------------------------- 
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O17 - HKLM\System\CCS\Services\Tcpip\..\{343994E7-70FA-4A2F-8762-1741480996CE}: NameServer = 85.255.115.84,85.255.112.221 

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.84 85.255.112.221 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.84 85.255.112.221

---------------------------------------------------------------------------- 
¤Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5).  
----------------------------------------------------------------------------
¤Recherche et supprime ceci: 
attention seulement les fichiers  (si présents).

c:\WINDOWS\system32\kdpkb.exe
---------------------------------------------------------------------------
Aller dans Démarrer > Panneau de configuration > Connexions > clic droit sur la connexion > Propriétés > onglet Gestion de réseau
Mettre en surbrillance Protocole Internet (tcp/ip) puis cliquer sur le bouton Propriétés.
Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne 017 =>(85.255.115.84 85.255.112.221)

----------------------------------------------------------------------------
¤ Lancer et exécuter AVG A-S pour un scan complet et copier/coller le rapport en forum.
----------------------------------------------------------------------------
¤ Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
----------------------------------------------------------------------------
¤ Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
-------------------------------------------------------------------------------------------
¤ Lance CCleaner comme sur le tuto fournit au début de la procédure.
----------------------------------------------------------------------------
¤ Vide ta Corbeille.
----------------------------------------------------------------------------
¤ Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Précise tes soucis s’il en reste.... 

Tiens-moi au courant 
 
A+

Regis59 · Answer

Salut

Oh non, rien de compliqué, tout est expliqué !!

A+

Regis59 · Answer

Salut

Ou en sont tes soucis?

A+

Regis59 · Answer

Salut

Qui te le detecte? Et ou?

a+

Regis59 · Answer

Salut

AVG indique ceci?

[200] VM_00D70000 -> Downloader.Zlob.aty 
[224] VM_00C20000 -> Downloader.Zlob.aty 
[800] VM_00A00000 -> Downloader.Zlob.aty 
[892] VM_003C0000 -> Downloader.Zlob.aty 

A+

Regis59 · Answer

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

Regis59 · Answer

Re,

Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5).  
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

Jyrki · Answer

Très étrange : le problème semble avoir disparu !!!!
Internet Explorer remarche normalement !!!!!!!!!!!!!!!!!!!!!!!!!!!!

J'ai fait un scan par Ad-Aware qui n'a plus rien trouvé.
Je vais en faire un par SpyBot et un par AVG Anti-Spyware et je reviens.

Regis59 · Answer

Salut

Smitfraudifx a été crée spécialement pour ce type d'infection.
L'option 1 que tu as utilisé scanne ton pc a la recherche d infections.
L'option 2 les supprime.

Tu as compris le moment ou cela a disparu?

Ou en sont tes soucis?

a+

Regis59 · Answer

Salut

Oui C'est le programme.

De rien,

Joyeuses Fetes

A+

on es pas censer etre aider? · Answer

j'ai cliquer sur ce fameux truc a installer et cé un cheval de troie pas cool du tout franchement et plus un spyware dedans en plus
le logiciel sur le site es infecter

Regis59 · Answer

Dis pas n'importe quoi, c'est un faux positif !!

A+