x

Infection par Zlob.downloader

 
05/06/2006 17:02 #1
bonjour à tous!
je suis infecté par Zlob.downloader, Spybot le détecte mais il revient, alors que AVG ne le voit même pas!
quelqu'un peut-il me venir en aide?

voila mon rapport hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16:47:20, on 05/06/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\FLORIA~1\LOCALS~1\Temp\Rar$EX00.109\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\System32\hp100.tmp
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Network Host Service] tfehoev32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [Network Host Service] tfehoev32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: BitTorrent.lnk = C:\Program Files\BitTorrent\bittorrent.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F2C917E-CD2B-4757-8C1A-4D90B6CF87BC}: NameServer = 86.64.145.146 84.103.237.146
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

Merci d'avance!

dim
DI
anonyme
Groupe :
Visiteur
Annonces
Publicité
anonyme
05/06/2006 18:00 #2
Ta fameuse saleté:
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\System32\hp100.tmp

Là, un spy dans bien des cas:
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

Regarde a quoi correspond ces trucs bizarres:
O4 - HKLM\..\Run: [Network Host Service] tfehoev32.exe

O4 - HKLM\..\RunServices: [Network Host Service] tfehoev32.exe

Et enfin celle là si tu ne connais pas cette adresse (pas ton FAI):
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F2C917E-CD2B-4757-8C1A-4D90B6CF87BC}: NameServer = 86.64.145.146 84.103.237.146

Celle là est missing:
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

Et enfin regarde à quoi mène ces deux liens bien souvent la misère se trouve aussi dedans (ouvres les avec un bloc note smiley)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
15904
06/06/2006 00:13 #3
ok j'ai effacer ce que vous m'avez montré mais maintenant une fenêtre win s'ouvre au démarrage dans le répertoire C:windows/systeme32!
c'est pas trop génant mais c'est un peut bizar...qu'en pensez-vous?

Visiteur
VI
anonyme
Groupe :
Visiteur
06/06/2006 07:13 #4
fait demarrer => executer et tapes "msconfig"
et ensuite recherches la ligne en question et décoches là

Normalement tu ne devrai plus avoir cette fenetre

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
15904
07/06/2006 19:50 #5
j'ai trouver ce qui clochait!
encore merci pour m'avoir sorti de ce mauvais pas, heureusement qu'il existe des forums de cette qualitée!

Visiteur
VI
anonyme
Groupe :
Visiteur
Annonce
REDimpact Spray Anti Agression de Poche Gel 40 ML - Taille Standard - Format : Sac a Main Femme, Manteau Femme, Sacoche Homme, Veste, Sac a Dos
19.95 €
REDimpact Spray Anti Agression de Poche Gel 40 ML - Taille Standard - Format : Sac a Main Femme, Manteau Femme, Sacoche Homme, Veste, Sac a Dos
Philips GC026/80 Rasoir Anti-Bouloche et Anti-Peluche - Noir et Or
14.99 €  12.99 €
Philips GC026/80 Rasoir Anti-Bouloche et Anti-Peluche - Noir et Or
Publicité
anonyme
07/06/2006 20:24 #6

Visiteurs a écrit:
j'ai trouver ce qui clochait!
encore merci pour m'avoir sorti de ce mauvais pas, heureusement qu'il existe des forums de cette qualitée!

Merci!

Ce compliment sera imprimé et figurera avec les autres, comme quoi parfois une bonne parole vaut plus que tous les comptes en banques du monde smiley

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
15904
13/06/2006 00:56 #7
Bonjour j'ai fais tout ce que vous dites ! voici mon rapport:

SmitFraudFix v2.59

Rapport fait à 0:49:08,25, 13/06/2006
Executé à partir de C:\Documents and Settings\Damien\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{315f73fc-a7b1-49e6-a3c4-cc00cf8a3fdb}"="fossilage"

[HKEY_CLASSES_ROOT\CLSID\{315f73fc-a7b1-49e6-a3c4-cc00cf8a3fdb}\InProcServer32]
@="C:\WINDOWS\system32\erxbx.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{315f73fc-a7b1-49e6-a3c4-cc00cf8a3fdb}\InProcServer32]
@="C:\WINDOWS\system32\erxbx.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{315f73fc-a7b1-49e6-a3c4-cc00cf8a3fdb}"="fossilage"

[HKEY_CLASSES_ROOT\CLSID\{315f73fc-a7b1-49e6-a3c4-cc00cf8a3fdb}\InProcServer32]
@="C:\WINDOWS\system32\erxbx.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{315f73fc-a7b1-49e6-a3c4-cc00cf8a3fdb}\InProcServer32]
@="C:\WINDOWS\system32\erxbx.dll"



»»»»»»»»»»»»»»»»»»»»»»»» Fin

Que doit je faire ensuite ?

Merci d'avance

Damien
DA
anonyme
Groupe :
Visiteur
13/06/2006 07:57 #8
Normalement si tu as bien tout fait, il a fait le nettoyage!
Fais un scan pour vérifier.

Mais cela doit être tout bon.

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
15904
Annonces
Publicité
anonyme
13/06/2006 12:00 #9
Eh bien zlob est toujours là et j'ai un truc à côté de l'horloge clignotant qui me dit spyware critical errors.... etc

que puis-je faire d'autre ?

Damien
DA
anonyme
Groupe :
Visiteur
13/06/2006 13:08 #10
tu l'as bien fait en mode sans echecs?
Car là ce n'est pas normal qu'il soit encore là.

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
15904
Vous souhaitez contribuer à ce sujet ?
Vous avez une réponse à apporter, vous avez une solution ?
Venez répondre !
C'est gratuit et aucun compte à créer pour répondre dans le forum.
Vous souhaitez poser une question ?
Vous avez une autre question, pour un nouveau sujet ?
Venez demander !
C'est gratuit et aucun compte à créer pour poser votre question dans le forum.
 
Vous avez trouvé cette réponse utile ? Partagez-la !