Sujet Précédent Sujet Suivant

[Virus] Infecté par Trojan.Zlob.GT

Résolu
<Cédric> Messages postés 22 Statut Membre -  
 xyzall -
Bonjour a tous,

Voilà je suis nouveau sur le forum et je vous solicite pour un probleme sur le "Trojan.Zlob.GT".
En effet j'ai effectué une analyse antivirus a l'aide de Bitdefender 9 et je me suis apercu que certain fichier étaient infectés par "Trojan.Zlob.GT" ( Désinfection & Déplacement impossible ) 

C:\RECYCLER\S-1-5-21-1946082954-3853682491-3366233740-1005\Dc541.exe=>(ZIP Sfx o)=>crack.exe=>(NSIS o)=>lzma_solid_nsis0008=>(NSIS g)=>lzma_solid_nsis0000	Infecté avec: Trojan.Zlob.GT
C:\RECYCLER\S-1-5-21-1946082954-3853682491-3366233740-1005\Dc541.exe=>(ZIP Sfx o)=>crack.exe=>(NSIS o)=>lzma_solid_nsis0008=>(NSIS g)=>lzma_solid_nsis0000	Désinfection impossible
C:\RECYCLER\S-1-5-21-1946082954-3853682491-3366233740-1005\Dc541.exe=>(ZIP Sfx o)=>crack.exe=>(NSIS o)=>lzma_solid_nsis0008=>(NSIS g)=>lzma_solid_nsis0000	Déplacement impossible
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP340\A0082150.exe=>(NSIS o)=>lzma_solid_nsis0000	Infecté avec: Trojan.Zlob.GT
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP340\A0082150.exe=>(NSIS o)=>lzma_solid_nsis0000	Désinfection impossible
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP340\A0082150.exe=>(NSIS o)=>lzma_solid_nsis0000	Déplacement impossible
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP340\A0082159.exe=>(NSIS o)=>lzma_solid_nsis0008=>(NSIS g)=>lzma_solid_nsis0000	Infecté avec: Trojan.Zlob.GT
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP340\A0082159.exe=>(NSIS o)=>lzma_solid_nsis0008=>(NSIS g)=>lzma_solid_nsis0000	Désinfection impossible
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP340\A0082159.exe=>(NSIS o)=>lzma_solid_nsis0008=>(NSIS g)=>lzma_solid_nsis0000	Déplacement impossible


J'ai donc suivi les informations que j'ai pu trouver sur le meme probleme sur votre forum, a savoir telecharger "SmitfraudFix" et lancer une premiere analyse (sans redemarrage en mode sans echec).
Ma question est la suivante, au vu du rapport ci dessous, suis-je encore infecté par le Trojan ??? 

SmitFraudFix v2.132

Rapport fait à 18:48:19,76, 05/01/2007
Executé à partir de C:\Documents and Settings\Gonin Cedric\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Gonin Cedric


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Gonin Cedric\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GONINC~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="sockspy.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Merci par avance pour vos renseignements
A voir également:

8 réponses

Réponse 1 / 8
salwa5 Messages postés 7552 Statut Contributeur 1 670
 
bonsoir :)

ceci C:\RECYCLER\... represente ta corbeille donc vide la

et ceci C:\System Volume Information\_restore... represente ta restauration du system pour vider ce repertoir il faut:

desactivé la restoration :

clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique

ensuite reactive la restauration car cette fonction peu etre tres utile en cas de plantage

clike droit sur post de travaille/proprietes/restauration system et la tu decoche desactiver la restauration du systeme tu applique

a+++
0
Réponse 2 / 8
<Cédric> Messages postés 22 Statut Membre
 
Tout d'abord merci pour ta reponse rapide,

En ce qui concerne le Trojan, en faisant ce que tu m'indiques j'en serais definitivement debarrassé alors !!!
(Par contre ca veut dire que je supprime tous les points precedemments fait !!! j'y aurais plus acces meme apres la reactivation si ??)

Encore merci ^^
0
Réponse 3 / 8
salwa5 Messages postés 7552 Statut Contributeur 1 670
 
normalement oui :)

a+++
0
<Cédric> Messages postés 22 Statut Membre
 
C'est bon, apres avoir refait une analyse, "Trojan.Zlob.GT" n'apparait plus, merci pour ton aide salwa5.
Il me reste cependant deux autres petits virus (moins important d'apres moi), mais saurais tu par hasard les eliminer :

- Exploit.IECrashJS.B ( La suppression des fichiers contenus dans "Temporary Internet Files" ne sert a rien)

- Application.Prockill.J 
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\B7FUPQGL\fillmem[1].htm	Suspect avec: Exploit.IECrashJS.B
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\B7FUPQGL\fillmem[1].htm	Copié
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\B7FUPQGL\fillmem[1].htm=>(JAVASCRIPT 1)	Suspect avec: Exploit.IECrashJS.B
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\B7FUPQGL\fillmem[1].htm=>(JAVASCRIPT 1)	Copie impossible
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\B7FUPQGL\fillmem[1].htm=>(JAVASCRIPT 3)	Suspect avec: Exploit.IECrashJS.B
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\B7FUPQGL\fillmem[1].htm=>(JAVASCRIPT 3)	Copie impossible
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\B7FUPQGL\fillmem[2].htm	Suspect avec: Exploit.IECrashJS.B
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\B7FUPQGL\fillmem[2].htm	Copié
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\B7FUPQGL\fillmem[2].htm=>(JAVASCRIPT 1)	Suspect avec: Exploit.IECrashJS.B
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\B7FUPQGL\fillmem[2].htm=>(JAVASCRIPT 1)	Copie impossible
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\B7FUPQGL\fillmem[2].htm=>(JAVASCRIPT 3)	Suspect avec: Exploit.IECrashJS.B
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\B7FUPQGL\fillmem[2].htm=>(JAVASCRIPT 3)	Copie impossible
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\COIKUZQ1\fillmem[1].htm	Suspect avec: Exploit.IECrashJS.B
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\COIKUZQ1\fillmem[1].htm	Copié
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\COIKUZQ1\fillmem[1].htm=>(JAVASCRIPT 1)	Suspect avec: Exploit.IECrashJS.B
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\COIKUZQ1\fillmem[1].htm=>(JAVASCRIPT 1)	Copie impossible
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\COIKUZQ1\fillmem[1].htm=>(JAVASCRIPT 3)	Suspect avec: Exploit.IECrashJS.B
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\COIKUZQ1\fillmem[1].htm=>(JAVASCRIPT 3)	Copie impossible
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\QTNHBXPE\fillmem[1].htm	Suspect avec: Exploit.IECrashJS.B
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\QTNHBXPE\fillmem[1].htm	Copié
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\QTNHBXPE\fillmem[1].htm=>(JAVASCRIPT 1)	Suspect avec: Exploit.IECrashJS.B
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\QTNHBXPE\fillmem[1].htm=>(JAVASCRIPT 1)	Copie impossible
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\QTNHBXPE\fillmem[1].htm=>(JAVASCRIPT 3)	Suspect avec: Exploit.IECrashJS.B
C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\QTNHBXPE\fillmem[1].htm=>(JAVASCRIPT 3)	Copie impossible
C:\WINDOWS\RESTORE.INS=>C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE	Détecté: Application.Prockill.J
C:\WINDOWS\RESTORE.INS=>C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE	Désinfection impossible
C:\WINDOWS\RESTORE.INS=>C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE	Déplacement impossible
C:\WINDOWS\system\RESTORE.INS=>C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE	Détecté: Application.Prockill.J
C:\WINDOWS\system\RESTORE.INS=>C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE	Désinfection impossible
C:\WINDOWS\system\RESTORE.INS=>C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE	Déplacement impossible


Merci A+
(oups, petite erreur de manip, le 5 avant le 4 LOL)
0
Réponse 4 / 8
<Cédric> Messages postés 22 Statut Membre
 
OK je vais refaire une analyse avec bitdefender, je te tiens au courant du resultat !!
(PS: ca risque d'etre un peu long pasque y a ce qui faut comme dossier a analyser) lol

A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
salwa5 Messages postés 7552 Statut Contributeur 1 670
 
pour celui ci

C:\WINDOWS\system\RESTORE.INS

supprime le en mode sans echec

redemare en mode sans echec (redemarrage + tapotte sans arret sur la touche F8 desque l'ordi s'allume)

cherches et supprime le fichier en gras :

C:\WINDOWS\system\RESTORE.INS

pour l'autre fichier il faut vidé le cache d'internet explorer ( fichier temporaire et cookies )

paneau de configuration/option internet / click sur "supprimer les fichiers ...

une fenetre s'ouvre : coche supprimé tout le contenu hors connexion puis click sur ok .

click aussi sur supprimé les cookies

sinon utilise ce petit programe qui se chargera de vider le cache d'internet explorer

il supprime les fichiers inutiles (fichiers temporaire , cookies .. ect

Ccleaner
https://www.malekal.com/tutoriel-ccleaner/

a+++++++++
0
Réponse 6 / 8
<Cédric> Messages postés 22 Statut Membre
 
merci pour tes réponses, ca aura fait un bon petit nettoyage des intrus de mon PC.

++
0
Réponse 7 / 8
salwa5 Messages postés 7552 Statut Contributeur 1 670
 
de rien

a++
0
Réponse 8 / 8
xyzall
 
After about 20 hrs of trying everything mentioned above, I finally found a solution that worked for me with XP.

Try this:

Reboot in Safe Mode

Click on:

My Computer

Local Disk (C)

Now onto folders:

Documents and Settings

* now find the folder with your user name & click it *

Application Data

Google

INSIDE the Google folder DELETE these:

kjzna1562565.exe

spcffwl.dll

the entire folder called TSCAN

now close & go back to your desktop & empty the recycle bin.

RESTART

You should now be able to open Internet Explorer & have it respond normally.

Hope this helps!
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses