Ordi infecté par trojan.dnschanger

Question

Bonjour, 

Configuration: Windows XP / Firefox 3.6.12

Depuis plusieurs jours, nous sommes redirigé sur d'autres pages google que celles désirées quand nous n'avons pas "page introuvable".
Impossible de faire un scan du pc avec MALWAREBYTES, quand on le lance on a erreur 730
Impossible de lancer Spybot

J'ai télécharger sur clé USB Superantimalware, qui nous a trouvé TROJAN.DNS-CHANGER mais ne nous l'a pas supprimé.

Avant de faire n'importe quoi, pouvez-vous m'aider

Sur le PC infecté, nous avions COMBOFIX (déjà eu un problème avec un rootkit il y a 1 an !!!)

Merci d'avance pour votre aide

Cdt

Utilisateur anonyme · Answer

Bonsoir

Tu supprimes cette version de ComboFix si tu l'as encore;
et tu installes et utilises cette dernière version;merci. 

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes



@+

noisette · Answer

Meri pour la réponse,

Est ce que je peux le mettre sur clé usb, car impossible de le telecharger sur le pc infécté, la fenetre de téléchargement s'ouvre mais rien ne se télécharge !!!

Pas cool

Utilisateur anonyme · Answer

Bonsoir

Merci d'avoir exposé le problème original  ;((

Donc à partir de ce PC dispo

Tu télécharges sur une clé Usb ou autre support amovible.

ZHPDiag

Ensuite sur le pC à problèmes tu procèdes comme si dessous:

 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

noisette · Answer

Merci, 

J'ai installé ZHPDiag et lancé sur le pc infecté, mais ça fait 30 min qu'il reste bloqué à 80 % Etat général des services non Microsoft EGS
Sablier et plus rien ne se passe

Que faut-il que je fasse ?
Attendre ? ou relancer le pc

Utilisateur anonyme · Answer

Re 

Que cela  donne  t' il en mode sans echec? 
J'ai pu voir que ComboFix avait déjà été utilisé??


@+ 
---------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

noisette · Answer

Merci, en mode sans échec l'analyse reste bloqué au même stade !

Je crois que je vais le laissé un peu et voir demain pour résoudre le problème.

Merci encore pour votre aide

Bonne soirée

noisette · Answer

Comme je vous l'ai dejà dis merci pour votre aide

Donc reprenons :

Mode sans échec => HS reste bloqué au même endroit que la 1er fois.

J'ai redemarré le PC normalement.

Utilisateur anonyme · Answer

Re 

Sur ce PC à problèmes ;vu que le mode sans echec ne fonctionne pas

 Utilisateurs de Vista /!\

 
 Désactivez le contrôle des comptes utilisateurs avant utilisation de cet outil: 

 
* Allez dans "Démarrer" puis Panneau de configuration. 
* Double Cliquez sur l'icône Comptes d'utilisateurs et sur "Activer ou désactiver le contrôle des comptes d'utilisateurs".  
* Décochez la case "Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur". 
* Validez par OK et redémarrez.
* Aide en image.
 
 Explications option 1 (Recherche) : 

 
Télécharge FindyKill ( de El Desaparecido) sur ton bureau  et installe le : 
 
http://www.teamxscript.org/findykillTelechargement.html

! Déconnecte toi et ferme toutes applications en cours ! 

 
* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut. 
 
 * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
 
* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil.
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 
 
* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 
 
Laisse travailler l'outil et ne touche à rien ... 
 
--> Poste le rapport qui apparaît à la fin , sur le forum ...
 
( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 
 
 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

@+

---------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

noisette · Answer

Voici le rapport


############################## | FindyKill V5.052 |

# User : Les Bébés () # SN101607770003
# Update on 23/10/2010 by El Desaparecido
# Start at: 21:17:04 | 11/11/2010
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

#                 Intel(R) Celeron(R) CPU 2.70GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1368 [VPS 101111-1] 4.8.1368 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 74,55 Go (9,03 Go free) [HDD] # NTFS
# D:\ # Disque CD-ROM # 691,09 Mo (0 Mo free) [PHARAON] # CDFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
# K:\ # Disque amovible # 7,47 Go (7,35 Go free) # FAT32

################## | Eléments infectieux |

D:\autorun.inf  
J:\autorun.inf  

################## | Registre |

[HKCU\Software\Classes\ed2k]  
[HKCR\ed2k]  

################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.052 ! |

Utilisateur anonyme · Answer

Re

Procèdes tu à partir du PC à soucis?

noisette · Answer

Non, impossible de telecharger quoi que ce soit sur le pc infecté, la fenetre de telechargement s'ouvre mais le programme a telecharger est annulé automatiquement.
Donc je telecharge sur cle usb et met après sur le pc hs.

Pour le moment le pc infecté est deconnecté !!!

Utilisateur anonyme · Answer

Re

Le rapport Findykill ,de quel PC est il?

noisette · Answer

Findykill a été lancé sur le pc infecté
Le rapport a été enregistré puis mis sur la cle usb pour pouvoir le poster sur le forum

Pourquoi il y a pbl ? 

Merci encore

Utilisateur anonyme · Answer

Re

Relance FindyKill et passe à l'option "F"
et poste moi le rapport ;merci.
@+

noisette · Answer

Petit soucis  = pas d'option F
J'ai suppression 2
Tutoriel 3
Désinstaller 4
Quitter Q
Faire un don 5

Que dois je faire, merci

Utilisateur anonyme · Answer

Re 

Oups... ; F comme français ;mais il te faut bien faire l'option 2 (Suppression). 
Poste le rapport ;merci. 
@+ 

---------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

noisette · Answer

Bonjour Guillaume 5188

Le scan du PC reste bloqué depuis 1h00 sur 40 % 
Niveau patch c:\activdoc\static\

Dois-je le laisser continuer ?

Cordialement

noisette · Answer

Bonjour 

c'est repartit enfin je l'espere

noisette · Answer

Bonjour,

Voila maintenant 48h que j'ai lancé la suppression de Findykill et il reste toujours à 40%.

Il reste plus de 1/2 heure sur des fichier zip.

N'y aurait il pas un problème, dois-je continuer à le laisser tourné

Merci d'avance et bon dimanche

Utilisateur anonyme · Answer

Bonjour

Laisse tomber.
Reprenons ;
Sur le PC à problèmes vérifie ceci:

Supprimer le Proxy dans Internet Explorer.
Outils>>Options>>Connexions>>Bouton paramètres réseau>>serveur proxy(décocher utiliser un proxy...etc)


Proxy Firefox
 OUTILS >>OPTIONS>> AVANCE, il y a un sous onglet RESEAU puis CONNEXION...à droite tu trouveras PARAMETRES...et dans paramètres, tu coches PAS DE PROXY...tu fais OK, tu fermes Firefox et ensuite tu le relances.

Ensuite dis moi si tu as Internet ou encore des redirections.

@+

Utilisateur anonyme · Answer

Bonsoir

A partir de ce PC :

Télécharge OTLPENet sur le bureau.
Double clique ou clic droit sous Vista ou Seven pour lancer l'application.
On va te demander si tu veux graver ...
Prépare un CD vierge et lance OTLPENet, cela va te permettre de graver une image iso. 
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM 
Pour se faire suivre ce lien : Booter sur un CD 
Tuto OTLPE 

Tu lances l'iso d'OTLPENet que tu as gravé sur le PC à problèmes.

*	une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune 

*	Double-clique sur l'icone OTLPE 
*	quand demandé "Do you wish to load the remote registry", select Yes 
*	quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes 
*	vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK 
*	sous Custom Scan box 
1) copie_colle le contenu du cadre ci dessous: 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%SYSTEMDRIVE%\*.exe 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
cdrom.sys 
disk.sys 
ndis.sys 
mountmgr.sys 
aec.sys 
rasacd.sys 
mrxsmb10.sys 
mrxsmb20.sys 
termdd.sys 
mrxsmb.sys 
win32k.sys 
storport.sys 
IdeChnDr.sys 
viasraid.sys 
explorer.exe 
winlogon.exe 
wininit.exe
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
ahcix86.sys 
KR10N.sys 
nvstor32.sys 
ahcix86s.sys 
nvrd32.sys 
/md5stop 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
CREATERESTOREPOINT

*	copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller. 

*	2) Clic Run Scan pour démarrer le scan. 
*	Une fois terminé , le fichier se trouve là C:\OTL.txt 
*	Copie_colle le contenu dans ta prochaine réponse. 



@+

noisette · Answer

Bonsoir

Désolé de n'avoir pu répondre avant, mais n'ayant pas de graveur dvd j'ai du attendre pour qu'on me le grave !!!

Le fichier gravé est combofix (je n'ai pas tout compris)

Bonne soirée et encore merci

Voici le rapport :
ComboFix 10-11-23.01 - Les Bébés 26/11/2010  21:38:17.2.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.767.392 [GMT 1:00]
Lancé depuis: D:\Asdehi.exe
AV: avast! antivirus 4.8.1368 [VPS 101126-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Thumbs.db
c:\windows\system32\userinitxx.exe

Une copie infectée de c:\windows\system32\drivers\aic78u2.sys a été trouvée et désinfectée 
Copie restaurée à partir de - Kitty had a snack :p 
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_usnjsvc


(((((((((((((((((((((((((((((   Fichiers créés du 2010-10-26 au 2010-11-26  ))))))))))))))))))))))))))))))))))))
.

2010-11-11 20:15 . 2010-11-14 06:49	--------	d-----w-	C:\FyK
2010-11-11 09:28 . 2010-11-11 09:28	--------	d-----w-	c:\documents and settings\Les Bébés\Application Data\SUPERAntiSpyware.com
2010-11-11 09:28 . 2010-11-11 09:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2010-11-07 07:57 . 2009-06-30 09:37	28552	----a-w-	c:\windows\system32\drivers\pavboot.sys
2010-11-07 07:56 . 2010-11-07 07:56	--------	d-----w-	c:\program files\Panda Security
2010-11-07 07:08 . 2010-11-07 07:09	--------	d-----w-	C:\caro
2010-11-07 07:08 . 2010-11-07 07:07	401408	----a-w-	c:\windows\system32\CF28973.exe
2010-11-06 09:30 . 2010-11-06 09:29	401408	----a-w-	c:\windows\system32\CF15006.exe
2010-11-06 09:29 . 2010-11-06 09:25	401408	----a-w-	c:\windows\system32\CF27720.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-26 20:30 . 2010-09-23 02:36	1409	----a-w-	c:\windows\QTFont.for
2010-09-18 10:23 . 2002-09-30 10:49	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2002-09-30 10:49	974848	--sha-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2002-09-30 10:49	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2002-09-30 10:49	953856	------w-	c:\windows\system32\mfc40u.dll
2010-09-09 13:34 . 2004-08-23 18:35	832512	----a-w-	c:\windows\system32\wininet.dll
2010-09-09 13:34 . 2004-08-19 23:09	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-09-09 13:34 . 2002-09-30 10:49	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2010-09-09 13:34 . 2002-09-30 10:48	17408	----a-w-	c:\windows\system32\corpol.dll
2010-09-08 15:57 . 2004-08-19 22:56	389120	----a-w-	c:\windows\system32\html.iec
2010-09-01 11:51 . 2002-09-30 10:48	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 07:55 . 2002-09-30 10:49	1852928	----a-w-	c:\windows\system32\win32k.sys
2002-08-30 11:00	94864	--sh--w-	c:\windows	wain.dll
2008-04-14 02:33	50688	--sh--w-	c:\windows	wain_32.dll
2008-04-14 02:33	57344	--sha-w-	c:\windows\system32\msvcirt.dll
2008-04-14 02:33	413696	--sha-w-	c:\windows\system32\msvcp60.dll
2008-04-14 02:33	343040	--sha-w-	c:\windows\system32\msvcrt.dll
2008-04-14 02:33	551936	--sh--w-	c:\windows\system32\oleaut32.dll
2008-04-14 02:33	84992	--sha-w-	c:\windows\system32\olepro32.dll
2008-04-14 02:34	12288	--sh--w-	c:\windows\system32egsvr32.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-18 110592]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576]
"REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"Share-to-Web Namespace Daemon"="c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 57344]
"NovaNet-WEB Tray Control"="c:\program files\Packard Bell EverSafe\TrayControl.exe" [2003-07-21 762368]
"ATIPTA"="c:\ati technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 344064]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2008-05-19 185896]
"StxTrayMenu"="c:\program files\Seagate\SystemTray\StxMenuMgr.exe" [2007-01-18 190008]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-07-01 77824]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ALUAlert"="c:\program files\Symantec\LiveUpdate\ALUNotify.exe" [2006-02-20 67264]
"Symantec NetDriver Warning"="c:\progra~1\SYMNET~1\SNDWarn.exe" [2004-10-29 218232]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
HPAiODevice(hp psc 700 series) - 1.lnk - c:\program files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe [2002-4-24 487484]
Olitec DSL Wizard.LNK - c:\program files\Olitec\DSL Wizard\Setup.exe [2004-5-10 4026368]
Packard Bell EverSafe Tray Control.lnk - c:\program files\Packard Bell EverSafe\TrayControl.exe [2004-5-10 762368]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Les Bébés^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.0.lnk]
path=c:\documents and settings\Les Bébés\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.0.lnk
backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 15:07	2260480	--sha-r-	c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\IncrediMail\bin\IncMail.exe"=
"c:\Program Files\IncrediMail\bin\IMApp.exe"=
"c:\Program Files\TYPSoft FTP Server\ftpserv.exe"=
"c:\PVSW\Bin\w3dbsmgr.exe"=
"c:\Program Files\IncrediMail\bin\ImpCnt.exe"=
"c:\Program Files\Java\jre1.5.0_08\bin\javaw.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\UBISOFT\THE SETTLERS - Bâtisseurs d'Empire\base\bin\Settlers6.exe"=
"c:\Program Files\MSN Messenger\msnmsgr.exe"=
"c:\Program Files\MSN Messenger\livecall.exe"=

R1 SASDIFSV;SASDIFSV;c:\docume~1\LESBBS~1\LOCALS~1\Temp\SAS_SelfExtract\SASDIFSV.SYS [x]
R1 SASKUTIL;SASKUTIL;c:\docume~1\LESBBS~1\LOCALS~1\Temp\SAS_SelfExtract\SASKUTIL.SYS [x]
R2 gupdate1c8fe2d5788ca28;Google Update Service (gupdate1c8fe2d5788ca28);c:\program files\Google\Update\GoogleUpdate.exe [2008-08-30 133104]
R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-06-30 28552]
S1 Asapi;Asapi; [x]
S1 aswSP;avast! Self Protection; [x]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-09-15 20560]
S3 STAC97NA;SigmaTel 3D Environmental Audio;c:\windows\system32\drivers\stac97na.sys [2002-09-20 296179]
S3 STAC97NH;STAC97NH;c:\windows\system32\drivers\stac97nh.sys [2002-09-20 231983]

.
Contenu du dossier 'Tâches planifiées'

2010-11-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-08-14 04:24]

2010-11-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-08-14 04:24]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Add animation to IncrediMail Style Box - c:\progra~1\INCRED~1\binesources\WebMenuImg.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Ouvrir dans WordPerfect - c:\program files\Corel\WordPerfect Office X4\Programs\WPLauncher.hta
Trusted Zone: animaz.fr\www
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Les Bébés\Application Data\Mozilla\Firefox\Profiles\3t8tozig.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - prefs.js: network.proxy.type - 0
FF - component: c:\documents and settings\Les Bébés\Application Data\Mozilla\Firefox\Profiles\3t8tozig.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer
pzylomgamesplayer.dll
FF - plugin: c:\program files\Google\Lively
plively.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39
pGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pMdm.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pornap.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-Sonic RecordNow! - c:\program fileshcvskj0e30ghcvskj0e30g.exe
AddRemove-InstallShield_{ECD43B7A-CB3B-4AF8-91F6-C460A575E411} - c:\program files\InstallShield Installation Information\{ECD43B7A-CB3B-4AF8-91F6-C460A575E411}\setup.exe
AddRemove-{D3F80A98-05AB-4D8C-9272-766CCFA6A48D} - c:\program files\InstallShield Installation Information\{D3F80A98-05AB-4D8C-9272-766CCFA6A48D}\setup.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-26 22:05
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 


c:\windows\TEMP\_av_proI.tm~a01276\onefile.dld 0 bytes

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(616)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2408)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\apps\ABoard\AOSD.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\progra~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
c:\pvsw\Bin\WGE_SRV.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\pvsw\BIN\W3dbsmgr.EXE
c:\windows\system32\slserv.exe
c:\windows\wanmpsvc.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\progra~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
.
**************************************************************************
.
Heure de fin: 2010-11-26  22:19:51 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-11-26 21:19

Avant-CF: 9 637 011 456 octets libres
Après-CF: 9 569 202 176 octets libres

- - End Of File - - CF4D9B609BBC57C7583E63F30B4729A4

Utilisateur anonyme · Answer

Bonjour

Tu as donc réussi à lancer un ComboFix?


Donc passons à la suite;pour le moment on laisse tomber OTLPE.

ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===| 
                ----------------------------------------------------------------------------------------------- 

Toujours avec toutes les protections désactivées, fais ceci : 

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) 
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : 

                                       ---------------------------------------------------------- 


KillAll:: 


File::
c:\windows\system32\CF28973.exe 
c:\windows\system32\CF15006.exe 
c:\windows\system32\CF27720.exe 


                              -----------------------------------------------------------------

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt 
* Quitte le Bloc Notes 

* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US 
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


@+

Ordi infecté par trojan.dnschanger

23 réponses

Votre réponse

Discussions similaires

Newsletters