Downloader.Zlob.aty

[chris111]

Bonjour à tous,

J'avais quelques disfonctionnements, j'ai donc lancé Spybot (qui n'a rien détecté) et Ewido hier soir, qui m'a détecter de sales bestioles sans pouvoir les enlever.
J'ai appliqué la procédure de Cyrrus ce matin, après avoir désintaller Ewido pour le remplacer par AVG-AS.
AVG-AS a apparement traité les 3 bestioles, mais j'aimerais avoir votre avis pour savoir si il en reste.

Je mets les 2 rapports en pièces jointes.

Merci d'avance pour votre aide.

Edit: Damned! il en reste, car je suis redirigé lorsque je choisis une adresse sous google.
-----

[igor51]

Bonsoir chris,


voici la procédure: il faut que la fasse en entier:

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

Télécharge le FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

O17 - HKLM\System\CCS\Services\Tcpip \..\{7ED3E580-B3DA-421D-8E08-CFE36AF262F0}: NameServer = 85.255.116.61 85.255.112.218
O17 - HKLM\System\CS1\Services\Tcpip \Parameters: NameServer = 85.255.116.61 85.255.112.218
O17 - HKLM\System\CS2\Services\Tcpip \Parameters: NameServer = 85.255.116.61 85.255.112.218
O17 - HKLM\System\CCS\Services\Tcpip \Parameters: NameServer = 85.255.116.61 85.255.112.218

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le rapport C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

Bonne soirée,

Igor

[chris111]

Salut Igor51,

J'ai suivi la procédure que tu m'as indiqué. Je joins les deux rapports.

Bonne soirée à toi aussi.

Chris111

[igor51]

Bonsoir Chris,

Ton log est propre, as-tu encore des problèmes?

J'ai pu noter que tu n'as de firewall, je te conseille vivement d'en installer un.

Je t'encourage vivement à lire le dossier de JPL sur la protection des ordinateurs pour ne plus que celà t'arrive.

Tu y trouveras des explications pour installer un firewall.

ON va faire un scan pour vérifier de la bonne santé de ton pc.

Fais un scan en ligne avec Kaspersky WebScanner
Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
On va te demander de télécharger un contôle active x, accepte .
Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
Le scan va commencer.Poste le rapport qui sera généré stp.

Bonne soirée,

Igor

[A voir en vidéo sur Futura]

[chris111]

Bonsoir Igor51,
Les symptômes initiaux ont disparus, mais en ce moment beaucoup de pages ne s'affichent plus (par ex: celle de Kaspersky ou celle de Google, mais celle sur les firewalls marche, bizarre!).
Je vais retenter dans un petit moment, et rebooter si besoin.

En attendant, est-ce qu'installer Zonealarm par exemple ne va poser de problème avec le pare feu de Windows (un peu comme les antivirus qui n'aiment pas trop être simultanement installé sur un ordinateur)?

A+
Chris111

[Cyrrus]

Bonsoir chris, Igor,

Je me permets de répondre à la place d'igor pour cette question :

Les firewalls ont les même restrictions d'usage que les antivirus : jamais deux ensemble. Cela ne protège pas deux fois mieux..et cela risque de creer des conflits.

Par conséquent, désactive le parefeu de Windows pour installer ZA. Une fois cela fait, tu n'auras plus besoin de le réactiver, ZA s'occupant de te proteger.

Bonne soirée
Cyrrus

[igor51]

Bonsoir Chris, Cyrrus

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".
Toujours sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

Pour effectuer les scans, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).

Scan en ligne avec Kaspersky :
- Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas!.
- Si tu es perdu, tu peux suivre cette aide pour les scans en ligne
- Scan la zone critique
- Poste le rapport du scan ici

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

(cela pourra peut être résoudre tes problèmes)

Si certaines pages ne marchent toujours pas, fais ceci :

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml
- Clic en bas sur "I accept"
- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
- Lance-le en double-cliquant sur le fichier blbeta.exe
- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log et Poste le rapport ici :
Aide : Tu peux consulter le tutorial de F-Secure BlackLight

Bonne soirée,

Igor

[invite275db609]

Bonjour a tous

Par conséquent, désactive le parefeu de Windows pour installer ZA. Une fois cela fait, tu n'auras plus besoin de le réactiver, ZA s'occupant de te proteger

Il me semble que ZA ou Kerio désactive automatiquement le Pare-Feu de windows lorsqu'on les installe ... mais peut-etre que je me trompe ...

Bonne journée

[chris111]

Salut Igor, Cyrrus et synthexe,

Bon j'y suis arrivé finalement. Je mets le rapport kapersky.
Apparement, il me reste deux bestioles.
Igor, en attendant ton analyse je commence l'analyse Blacklight.

A+
Chris

[chris111]

Ci joint le rapport blacklight.

[igor51]

Bonsoir chris,


voici la suite:

1/ Démarre en mode sans échec :

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924

2/ Affiche tous les dossiers/fichiers

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
2. Cocher la case : Afficher les fichiers et dossiers cachés
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
5. Cliquer Appliquer puis OK

3/ Suppression manuelle :

Supprimes les fichiers/dossiers suivants :

C:\Driver1\xt34m1
C:\WINDOWS\system32\kdadb.exe

Vide la corbeille !!

4/ Refais un scan avec AVG-AS

• Du mode Sans Échec, lance AVG Anti-Spyware,
• Choisis l'onglet Analyse puis Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
• clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
  
• AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
  
• Clique sur "Enregstrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

5/ Redémarre en mode normal

Dans ta prochaine réponse, poste moi le rapport d'AVG-AS et dis moi si tu as encore des problèmes.

Bonne soirée,

Igor

[chris111]

Salut Igor51,
Je joins le rapport AVG-AS en mode sans échec. Ca a l'air ok!
Je n'ai plus de symptôme apparent.

ZoneAlarm inactive-t-il automatiquement le pare feu Windows, comme le dit Synthexe?

[chris111]

Avec le rapport c'est mieux!

[igor51]

Bonsoir chris!

ZoneAlarm inactive-t-il automatiquement le pare feu Windows, comme le dit Synthexe?

Alors la, je sais vraiment pas, mais vérifie quand meme :

Démarrer-> Panneau de configuration -> Pare feu windows

Vérifie qu'il soit désactivé sinon, un risque de conflit est possible !!

Fais cette dernière manipulation :

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."
  
  Et voila, un nouveau point de restauration qui est a priori propre

Ton système est maintenant propre !

Je t'encourage vivement à lire le dossier de JPL sur la protection des ordinateurs pour ne plus que celà t'arrive.

Si, dedans, il y quelque chose que tu ne comprends pas, n'hésite pas à poser toutes les question que tu souhaites.

Bonne soirée,

Igor

Edit : pense à recacher les fichiers/dossiers systèmes pour ne pas en supprimer un par mégarde

[chris111]

Bonsoir Igor et merci pour tout, t'es un as!
Merci également à Cyrrus et à Synthexe pour leurs commentaires