Assiste.Forums

[jbo]

Bonjour,

Qui peut m'aider à supprimer ce spyware Trojan.Downloader.Win32.Zlob.bo qui est systématiquement dans la mémoire.

Avec un outil gratuit, ce serait encore plus sympa

Merci

[nickW]

Bonsoir et bienvenue,

Tu appliques la Mini-manip
Puis tu envoies une copie de ton log (journal) dans le sous-forum "Logs HijackThis".

A bientôt,

[buli]

salut,

tu commences en demarrant en mode sans echec, tu désactives la restauration automatique, puis tu lances ton lance ton antivirus préféré mis à jour. si tu n'en a pas, AVG est gratuit.

ensuite tu utilises CCcleaner, tu le lances, tu nettoies jusqu'a temps que tu n'es plus rien.

tiens nous au courant

a+ buli

[nickW]

Bonsoir buli,

Réponse superficielle et probablement incompréhensible!

mode sans echec--->Kézako
restauration automatique--->Kézako bis
AVG--->Kézako ter
CCcleaner--->Kézako quater

Un antivirus n'est pas un anti-trojans.

Salut,

[buli]

salut nickW

En effet Z-lob est un trojan et pas un virus. Ce trojan est de faible agressivité. Comme tu dois le savoir il a pour objectif de récupérer et d'installer d'autres mauvaises choses sur le PC.

Donc je me suis permis de poster en lui conseillant dans un premier temps de démarrer en mode sans echec. Dans ce mode tu n'as pas internet, donc plus de risque de récupérer autres choses de plus.

Retirer la restauration automatique est pour prévenir d'une éventuelle restauration opérée par le trojan à l'insu jbo.

AVG, oui est un antivirus, pas un anti-trojans, mais il a le mérite d'être gratuit et d'être efficace.( à mon sens...)

Utiliser CCcleaner, te permet de nettoyer ta base de registre des entrées de Zlob.

Quand à ma réponse superficielle et incompréhensible, tu as le droit de le penser. Moi je t'ais senti un peu expéditif.

Je ne connais pas Jbo, il arrive juste, difficile de lui faire une réponse adaptée à son niveau.

a+

[Nestor]

Bonjour,
Voici un tuto général relatif à la suppression des malwares. Tu peux sauter la phase antivirus, puisque tu es infectée par un trojan. Mais on n'est jamais trop prudent avec un cheval de Troye. Sa fonction principale est d'ouvrir une porte pour un petit copain plus dangereux...
Nestor
Suppression des Malwares (Version simplifiée)
0.Préparation :
- Stopper tout processus actif (vérifier via le gestionnaire des tâches : Ctrl Alt Del).
- Stopper les processus récalcitrants si nécessaire (CopyLock) (freeware sur clubic.com).
=>Copylock.exe > Add > Folder to Delete (Dossier à effacer) → L’explorateur Windows apparaît et tu sélectionnes le programme à virer (+ Apply + Close).

- Désactiver la restauration système ( ! Cela supprime tous les points antérieurs):
NB : Les anti-virus ne scannent pas certains fichiers cachés par le système ; il est donc nécessaire de la désactiver. (Démarrer > Tous les programmes > Accessoires > Outils Système > restauration).

- Désactiver les fichiers cachés :
=> Panneau Config > Apparences & Thèmes > Options des Dossiers (onglet Affichage)
Cocher « Afficher Fichiers & Dossiers cachés ».
Décocher « masquer les extensions de fichiers dont le type est connu » (Déjà fait).
Décocher « masquer les Fichiers protégés du Système d’Exploitation ».

- Antivirus en ligne :
=> Panda : (si ton antivirus n'est pas AVAST) (le scan de Panda provoque l'alerte d'un faux positif lors
d'un prochain scan avec AVAST) http://www.pandasoftware.com/products/activescan.htm
Clic sur PandaActiveScan en bas à gauche.
=> ou si tu utilises le navigateur Mozilla Firefox (ne nécessite pas d'activeX, mais JavaSun) :
Trend Micro → http://fr.trendmicro-europe.com/consume ... launch.php
Cliquer sur Check my PC---------> puis cocher I agree…..-------> Continue with Next Step

1.Scan en Mode sans Echec (tapoter F8 pdt l’amorçage du système, après le 2ème écran « noir / blanc »).
=> Scanner avec Ad-aware, Spybot, SpywareBlaster. (Complémentaires)
demos animées de prog sur le site suivant (copier / coller l’adresse ci-après dans le navigateur):
http://forum.hardware.fr/hardwarefr/Win ... 8433-1.htm
=> Scanner avec un anti-trojan : A2, Cwshredder. (Complémentaires)
=> Scanner le disque dur avec l’antivirus.
=> Vider la corbeille.
=> Ne garder qu’un seul antivirus (conflit) : Désinstaller proprement via ajout / Suppression des programmes.
(Démarrer > Panneau de Configuration > Installation / Suppression des programmes).

2. Contrôle du PC :
=> Vérifier les paramètres de démarrage :
Enlever les raccourcis programmes non désirés, dans le dossier démarrage de windows. En outre, cela améliorera grandement le démarrage du PC: → chemin : Docu & Settings > Nom_de_l’utilisateur > Menu Démarrer > Programmes > Démarrage). Si inconnu, faites une recherche dans Windows (Démarrer > Rechercher) ou sur le web via google. En cas de doute, fixer (= supprimer).
NB : Vous ne supprimez pas les programmes, vous leur demander d’aller jouer ailleurs ;)

=> Disfonctionnement du PC :
Si vous n’avez pas récupéré le contrôle de l’ordinateur, ou si il y a encore des disfonctionnements, télécharger
et lancer HijackThis :
Ce logiciel, dont Merijn est l’auteur, permet de supprimer les lignes / programmes suspects.
Prudence donc pour les débutants. Utiliser seulement l'option " Do a system scan and save a logfile".


- installation et utilisation de HijackThis :
Créer un nouveau dossier à la racine de C:\Program Files\HijackThis. Créer un raccourci sur le bureau si souhaité.
Important: Surtout ne pas créer ce dossier HijackThis dans un répertoire temporaire (Pas de dossier « temp » dans le
chemin d’accès). Sinon vous aurez des problèmes…
Après le scan, poster le log (journal) sur un forum (copier/coller) et demander conseil avant toute suppression.

3. Mode normal (éradiqué des malwares) :
- Revenir au mode normal ( + dossiers cachés recochés)
- Réactiver la « restauration Système » (Auto → vérifier). + Créer un point de restauration.

4. Prévention - Consignes de sécurité :
- Télécharger « Hostsman » via google, pour se protéger contre « les redirections merdiques » (ordinateur piraté).
http://hostsman.abelhadigital.com/
Dézipper et installer dans le répertoire proposé (C:\Program Files\Abelhadigital\Hostsman).
Mettre à jour les définitions.
Mettre le fichier Hosts en lecture seule. (Clic droite de la souris + Propriétés) : C:\Windows > System32 > Drivers >
Etc > Hosts.
Nestor
PS: Si tu ne comprends pas qque chose, n'hésite pas à poser des questions.

[nickW]

Bonsoir,

Si tu ne comprends pas qque chose, n'hésite pas à poser des questions.

Qui es-tu?


A suivre,

PS:
Ne pas signer un tuto, c'est manquer de courage!

[nickW]

Re-Bonsoir,

Voir cette discussion:

http://forum.zebulon.fr/lofiversion/ind ... 78576.html

Re-salut,

[Nestor789]

Bonsoir NickW, bonsoir à tous,
Mon post a été signé deux fois (Nestor). On mettra ça sur le compte d'une journée surchargée. javascript:emoticon(':wink:')
Wink
Nestor345
NB: 1° Qui je suis? Nestor a 52 ans et est enseignant...
2° Si je dérange, tu peux me le dire clairment (lien).
3° En ce qui concerne HijackThis, je pars du principe que l'internaute essaye de se prendre en charge, s'il le souhaite, et s'il n'a pas perdu le contrôle de son PC. Il applique d'abord une procédure de nettoyage classique (contre les spam, trojan, etc) sur base d'un tuto avec le pas-à-pas (pour les débutants) ...
S'il n'a pas encore récupéré un fonctionnement normal, éradiqué des malwares, il fais un un scan avec HijackThis et poste un log pour demander conseil.
Cette procédure a l'avantage de décharger les modérateurs d'une analyse systématique du log de HijackThis. En outre, l'internaute participe activement à sa défense et se prend plus rapidement en charge s'il le souhaite...
Mais tout le monde n'est pas de cet avis... Sur certain(s) forum(s) HijackThis a une place centrale, primordiale. Dans la procédure que je propose, Hijack vient en fin de parcours (si on n'a pas perdu le contrôle du PC).
Nestor345

[nickW]

Bonsoir Nestor alias Nestor345 alias Nestor789,

Je me permets de placer quelques commentaires dans ton message:

Cette procédure ne s'applique-t-elle qu'à Windows XP??

0.Préparation :
- Stopper tout processus actif (vérifier via le gestionnaire des tâches : Ctrl Alt Del).
Que fait-on sans Explorer.EXE?
Que fait-on sans antivirus, sans pare-feu?
- Stopper les processus récalcitrants si nécessaire (CopyLock) (freeware sur clubic.com).
=>Copylock.exe > Add > Folder to Delete (Dossier à effacer) ? L’explorateur Windows apparaît et tu sélectionnes le programme à virer (+ Apply + Close).
Je suppose qu'il faut relancer tous les processus pour aller chercher CopyLock?
Le programme CopyLock s'appelle aujourd'hui Locked Files Wizard, il est en version 2.01, et le site de son créateur est: http://www.noeld.com/programs.asp?cat=misc#CopyLock (toujours télécharger un programme depuis le site de son créateur).
Ce programme doit être utilisé avec précaution (risque de "planter" définitivement le système).
Quels sont donc ces processus récalcitrants? svchost.exe, smss.exe, winlogon.exe, services.exe, lsass.exe?
- Désactiver la restauration système ( ! Cela supprime tous les points antérieurs):
NB : Les anti-virus ne scannent pas certains fichiers cachés par le système ; il est donc nécessaire de la désactiver. (Démarrer > Tous les programmes > Accessoires > Outils Système > restauration).

- Désactiver les fichiers cachés :
On ne "désactive pas les fichiers cachés", mais on affiche tous les fichiers, y compris les fichiers cachés!
=> Panneau Config > Apparences & Thèmes > Options des Dossiers (onglet Affichage)
Cocher « Afficher Fichiers & Dossiers cachés ».
Décocher « masquer les extensions de fichiers dont le type est connu » (Déjà fait).
Décocher « masquer les Fichiers protégés du Système d’Exploitation ».

- Antivirus en ligne :
=> Panda : (si ton antivirus n'est pas AVAST) (le scan de Panda provoque l'alerte d'un faux positif lors d'un prochain scan avec AVAST) http://www.pandasoftware.com/products/activescan.htm
Clic sur PandaActiveScan en bas à gauche.
Il n'y a pas de "PandaActiveScan en bas à gauche", mais un bouton "Scan your PC"
Il faut cliquer sur un gros bouton vert "Check Now!"
Il faut entrer des données, cliquer sur le bouton "Scan Now", accepter l'installation d'un composant ActiveX, puis cliquer sur "Local Disks" pour lancer le scan.
Après la fin du balayage, il faut cliquer sur le bouton "See Report", puis sur "Save Report" et enregistrer le rapport.
=> ou si tu utilises le navigateur Mozilla Firefox (ne nécessite pas d'activeX, mais JavaSun) :
Trend Micro ? http://fr.trendmicro-europe.com/consume ... launch.php
Cliquer sur Check my PC---------> puis cocher I agree..-------> Continue with Next Step
Il faut cliquer sur "Check my PC now", il faut que JavaScript soit activé, il faut cocher la case devant "J'accepte les conditions d'utilisation", puis cliquer sur le bouton "Appeler HouseCall"

1.Scan en Mode sans Echec (tapoter F8 pdt l’amorçage du système, après le 2ème écran « noir / blanc »).
=> Scanner avec Ad-aware, Spybot, SpywareBlaster. (Complémentaires)
demos animées de prog sur le site suivant (copier / coller l’adresse ci-après dans le navigateur):
http://forum.hardware.fr/hardwarefr/Win ... 8433-1.htm
Il faut avoir téléchargé, installé et mis à jour tous ces logiciels avant de démarrer en mode sans échec!
Les tutoriaux d'Assiste sont parfaitement clairs, ainsi que le guide officiel de Spybot-S&D.
On ne "scanne" pas avec SpywareBlaster.
=> Scanner avec un anti-trojan : A2, Cwshredder. (Complémentaires)
=> Scanner le disque dur avec l’antivirus.
=> Vider la corbeille.
=> Ne garder qu’un seul antivirus (conflit) : Désinstaller proprement via ajout / Suppression des programmes.
(Démarrer > Panneau de Configuration > Installation / Suppression des programmes).

2. Contrôle du PC :
=> Vérifier les paramètres de démarrage :
Enlever les raccourcis programmes non désirés, dans le dossier démarrage de windows. En outre, cela améliorera grandement le démarrage du PC: ? chemin : Docu & Settings > Nom_de_l’utilisateur > Menu Démarrer > Programmes > Démarrage). Si inconnu, faites une recherche dans Windows (Démarrer > Rechercher) ou sur le web via google. En cas de doute, fixer (= supprimer).
NB : Vous ne supprimez pas les programmes, vous leur demander d’aller jouer ailleurs ;)
Comment reconnaître un programme dont le lancement au démarrage est obligatoire d'un programme "superflu au démarrage"? Une recherche sur Google de tous ces processus peut s'avérer fastidieuse, et est souvent irréalisable si l'écran est envahi de popups en permanence.
=> Disfonctionnement du PC :
Si vous n’avez pas récupéré le contrôle de l’ordinateur, ou si il y a encore des disfonctionnements, télécharger et lancer HijackThis :
Ce logiciel, dont Merijn est l’auteur, permet de supprimer les lignes / programmes suspects.
Prudence donc pour les débutants. Utiliser seulement l'option " Do a system scan and save a logfile".
HijackThis permet bien plus d'actions que "supprimer les lignes / programmes suspects"!
Il est préférable de créer un fichier journal (log) en mode normal.


- installation et utilisation de HijackThis :
Créer un nouveau dossier à la racine de C:\Program Files\HijackThis. Créer un raccourci sur le bureau si souhaité.
Que signifie "à la racine de C:\Program Files\HijackThis"?
Si l'on place l'archive auto-extractible HijackThis.exe dans le nouveau dossier C:\Program Files\HijackThis, il y aura décompression de cette archive dans un dossier temporaire avant exécution du programme.
Important: Surtout ne pas créer ce dossier HijackThis dans un répertoire temporaire (Pas de dossier « temp » dans le chemin d’accès). Sinon vous aurez des problèmes
Il n'y aura pas d'autres problèmes que la non-possibilité d'utiliser les sauvegardes.
Après le scan, poster le log (journal) sur un forum (copier/coller) et demander conseil avant toute suppression.

3. Mode normal (éradiqué des malwares) :
- Revenir au mode normal ( + dossiers cachés recochés)
- Réactiver la « restauration Système » (Auto ? vérifier). + Créer un point de restauration.

4. Prévention - Consignes de sécurité :
- Télécharger « Hostsman » via google, pour se protéger contre « les redirections merdiques » (ordinateur piraté).
http://hostsman.abelhadigital.com/
Dézipper et installer dans le répertoire proposé (C:\Program Files\Abelhadigital\Hostsman).
Mettre à jour les définitions.
Mettre le fichier Hosts en lecture seule. (Clic droite de la souris + Propriétés) : C:\Windows > System32 > Drivers > Etc > Hosts.
La seule consigne de sécurité serait donc de protéger le fichier hosts?
Que dire des ports restés ouverts?
Que dire des contrôles ActiveX?
Que dire de l'application des patches Microsoft?
Que dire des services dangereux toujours actifs?
.....

Nestor
PS: Si tu ne comprends pas qque chose, n'hésite pas à poser des questions.

Il me semble qu'il existe sur Assiste.com une certaine Manip bien plus complète que ton "tuto général", et HijackThis y est abordé dans l'épilogue après 5+12 étapes de nettoyage et sécurisation.
Je pense donc que ton "tuto" ne peut être suivi en l'état, qu'il est bien peu didactique, parfois dangereux, et totalement incomplet sur la prévention.