Trojan : Win32:Zlob-AB et mscornet.exe toujours là....
Trojan : Win32:Zlob-AB et mscornet.exe toujours là.... - Sécurité - Windows & Software
Marsh Posté le 28-12-2005 à 13:45:33
salut
Télécharge ceci: (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit loption 1, il va générer un rapport
Copie/colle le sur le poste stp.
a+
Marsh Posté le 28-12-2005 à 19:03:09
| regis41 a écrit : salut |
Salut, merci pour ton aide (je viens de rentrer, c'est pourquoi je post maintenant). Voici le rapport généré par Smitfraudfix.cmd :
------------------------------------------------------------------------------------------------------------
SmitFraudFix v2.10
Rapport fait à 18:59:58,19 le 28/12/2005
Executé à partir de D:\Logiciels\Anti-trojan\SmitFraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\mscornet.exe PRESENT !
C:\WINDOWS\system32\ncompat.tlb PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT!
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Reza\Application Data
C:\Documents and Settings\Reza\Application Data\PSGuard.com PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues
HKLM\SOFTWARE\PSGuard.com Présent !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Dmon de cache des catgories de composant"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
--------------------------------------------------------------------------------------------------------
Marsh Posté le 28-12-2005 à 21:44:01
Bonsoir,
Pour avancer Mister Régis, que je salue au passage :
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de lallumage du pc sans tarrêter
Une fenêtre va souvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau sil ny a pas toutes les couleurs et autres cest normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit loption 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
Relance hijackthis et colle un nouveau log ici.
A+
Marsh Posté le 29-12-2005 à 14:44:32
salut incognito02 et merci pour le relais 
J'ai fais les manip que tu proposes et voici les log de smitfraud et hijackthis
------------------------------------------------------------------------------------------------------
SmitFraudFix v2.10
Rapport fait à 14:34:59,31 le 29/12/2005
Executé à partir de D:\Logiciels\Anti-trojan\SmitFraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\system32\ld????.tmp supprimé
C:\WINDOWS\system32\mscornet.exe supprimé
C:\WINDOWS\system32\ncompat.tlb supprimé
C:\WINDOWS\system32\ot.ico supprimé
C:\WINDOWS\system32\ts.ico supprimé
C:\WINDOWS\system32\1024\ supprimé
C:\Documents and Settings\Reza\Application Data\PSGuard.com\ supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
HKLM\SOFTWARE\PSGuard.com supprimé
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 14:39:15, on 29/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avast4\aswUpdSv.exe
D:\PROGRA~1\WINPAT~1\WinPatrol.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Avast4\ashServ.exe
C:\Program Files\CoolMon\CoolMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Program Files\Avast4\ashMaiSv.exe
D:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Logiciels\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [WinPatrol] "d:\PROGRA~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Client Mail Checker Plus] "D:\Program Files\Client Mail Checker\cmc.exe" reduce
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: CoolMon.lnk = C:\Program Files\CoolMon\CoolMon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{510BCED5-BFFB-45CA-95E6-A52E2B73D0E5}: NameServer = 192.168.0.27,193.252.19.3,193.252.19.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{85359D33-0DC0-445B-B23E-CF80D020B06C}: NameServer = 192.168.0.79,193.252.19.3
O23 - Service: Apache - Unknown owner - D:\PROGRA~1\EASYPH~1\Apache\apache.exe" --ntservice (file missing)
O23 - Service: Apache2 - Unknown owner - D:\Program Files\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: MySql - Unknown owner - D:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
------------------------------------------------------------------------------------------------------
et
Marsh Posté le 29-12-2005 à 18:03:05
regis41
bien pour l'instant, le pc tourne comme une horloge, je n'ai remarqué aucun pb particulier et avast ne detecte aucun virus. Pourvu que ça dure. Merci
Marsh Posté le 31-12-2005 à 18:05:26
Je croyais être débarassé de ce trojan mais voilà qu'Avast le détecte à nouveau. hmmm....
Marsh Posté le 02-01-2006 à 16:42:43
Salut, je prends un peu de temps pour répondre car je ne peux poster que dans la soirée voire la matinée... Bref, voici le log que je vois dans "demarrer/panneau de configuration/outils d'administration/evenements/antivirus" :
Sign of "Win32:Zlob-AB [Trj]" has been found in "C:\System Volume Information\_restore{38EBE0B7-78C9-4E08-9D68-A4A67BB194F8}\RP465\A0072810.exe\[Upack]" file.
En fait, Avast me le fait savoir en affichant la fenêtre de détection de virus, mais quand je clique sur le bouton supprimer, il ne peut le faire car ce virus est utilisé dans un processus, maintenant, je ne sais pas de quel processus il s'agit....
Merci encore pour ta patience.
Marsh Posté le 02-01-2006 à 18:23:52
salut
il est inactif puisqu il se situe dans ta restauration systeme:
¤Désactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique.
Puis,
¤Réactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et applique.
A+
Marsh Posté le 02-01-2006 à 19:49:34
salut,
ok j'ai fais la manipulation. Je te dirais si j'ai toujours le problème. Merci
a+
Marsh Posté le 04-01-2006 à 22:48:19
Bonsoir,
Oui, ça a l'air de fonctionner, du moins Avast n'affiche plus le message de détection du virus et le PC fonctionne bien.
Merci beaucoup !
Marsh Posté le 08-01-2006 à 09:14:06
j'ai éliminé le virus mscornet avec smitfraudfix (j'ai oubliè de mettre en mode sans échec).
Depuis, les lecteurs et graveurs de DVD ne fonctionnent plus. J'ai essayé de les désinstaller et de les réinstaller logiciellement, mais cela ne marche toujours pas. Avez-vous une explication et que faire?
Merci
Message édité par ptitkoc le 10-01-2006 à 08:27:42
Sujets relatifs:
- trojan rdriv.sys
- Help Trojan : Backdoor.Fodger, Trojan.Downloader / Hijackthis inside
- Help ! Trojan Horse Generic.GM
- Un trojan dans le répertoire "host"
- trojan
- infecté par win32.tenga.a
- HELP, Michant virus, Virus win32.Muce.A , svp aidez moi a l'éradiquer
- transfert de bases mySQL (Win32 -> Linux)
- Problème dû à un trojan??
- Probleme avec un ou plusieurs trojan
Marsh Posté le 28-12-2005 à 09:57:34
Bonjour à tous,
windows/system32. En voulant le supprimer via l'antivirus (Avast), il me dit que c'est impossible car il est utilisé par un processus. J'ai donc fais un hijackthis et si je ne me trompe pas, je ne constate aucun problème d'après le log.
Mon antivirus a détecté un trojan ce matin portant le nom "mscornet.exe" (Win32:Zlob-AB) localisé dans le répertoire C
-------------------------------------------------------------------------------
Voici le log hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 09:34:26, on 28/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avast4\aswUpdSv.exe
D:\PROGRA~1\WINPAT~1\WinPatrol.exe
D:\Program Files\Avast4\ashServ.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CoolMon\CoolMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Program Files\Avast4\ashMaiSv.exe
D:\Program Files\Avast4\ashWebSv.exe
D:\Program Files\Avast4\ashDisp.exe
D:\Program Files\Firefox\firefox.exe
D:\Logiciels\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [WinPatrol] "d:\PROGRA~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Client Mail Checker Plus] "D:\Program Files\Client Mail Checker\cmc.exe" reduce
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: CoolMon.lnk = C:\Program Files\CoolMon\CoolMon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma
Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
http://messenger.zone.msn.com/bina [...] b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{510BCED5-BFFB-45CA-95E6-A52E2B73D0E5}: NameServer =
192.168.0.27,193.252.19.3,193.252.19.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{85359D33-0DC0-445B-B23E-CF80D020B06C}: NameServer =
192.168.0.79,193.252.19.3
O23 - Service: Apache - Unknown owner - D:\PROGRA~1\EASYPH~1\Apache\apache.exe" --ntservice (file missing)
O23 - Service: Apache2 - Unknown owner - D:\Program Files\Apache Group\Apache2\bin\Apache.exe" -k runservice (file
missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: MySql - Unknown owner - D:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
----------------------------------------------------------------------------
Pourriez-vous me guider sur la/les solutions envisageables pour virer ce trojan svp ? Merci d'avance et bonne journee.
Message édité par zeus17 le 31-12-2005 à 18:04:33