Zlob.DNSChanger espion?
Arlekine
-
afideg Messages postés 10970 Statut Contributeur sécurité -
afideg Messages postés 10970 Statut Contributeur sécurité -
Bonjour,
Mon PC déraille completement en ce moment, il s'éteint tout seul de façon aléatoire sauf que la derniere fois j'ai cru qu'il n'allait jamais se rallumer!! J'ai donc fait un scan avec Spybot qui me detecte Zlob.DNSChanger, voici mon rapport SmitFraud
SmitFraudFix v2.02
Rapport fait à 12:28:42,37 le 18/09/2007
Executé à partir de C:\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\cedric\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
J'ai aussi passé un coup de Hijackthis et voilà son rapport:
Logfile of HijackThis v1.99.1
Scan saved at 12:33:40, on 18/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\cedric\Bureau\HijackThis.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: H - {C9905EF0-610F-4404-9030-A3F345D069F5} - C:\WINDOWS\System32\comi.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Windows Media Player] mediaplayer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MySpaceIM] C:\Program Files\MySpace\IM\MySpaceIM.exe
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Startup: [ mp3 - explorer ].lnk = C:\Program Files\mp3-explorer\SystrayStarter.exe
O4 - Global Startup: Exif Launcher 2.lnk = ?
O4 - Global Startup: Lightsurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\PROGRA~1\Goto\MEMOWE~1\IEBtn\Launcher (file missing)
O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\PROGRA~1\Goto\MEMOWE~1\IEBtn\Launcher (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CE2E749-7A8A-47CC-9C1E-6431C9411528}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F46735A-5B54-4866-A0DA-7F8D12257ACF}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BDD65F0-5E84-42FF-944A-8767328DAEC4}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{7901FF01-CE84-4579-B548-E725B1B317E6}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CD026D5-9B8D-4360-BEDB-2CA5BD576E95}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3BF4AF1-8FED-42D7-B102-8D9BB07DDC2F}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4E0F95F-E965-4D3B-87E2-A06FC87536D7}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9A29221-78D0-488C-8C61-7A2179EE7008}: NameServer = 85.255.115.236,85.255.112.168
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEB3096A-A54B-4FA0-8504-010F7506E5D4}: NameServer = 85.255.115.236,85.255.112.168
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5A2DDA1-D0B5-4757-BD12-662F11D55356}: NameServer = 85.255.115.236,85.255.112.168
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
Comment me défaire de ce virus? J'ai besoin d'aide. Merci
Mon PC déraille completement en ce moment, il s'éteint tout seul de façon aléatoire sauf que la derniere fois j'ai cru qu'il n'allait jamais se rallumer!! J'ai donc fait un scan avec Spybot qui me detecte Zlob.DNSChanger, voici mon rapport SmitFraud
SmitFraudFix v2.02
Rapport fait à 12:28:42,37 le 18/09/2007
Executé à partir de C:\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\cedric\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
J'ai aussi passé un coup de Hijackthis et voilà son rapport:
Logfile of HijackThis v1.99.1
Scan saved at 12:33:40, on 18/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\cedric\Bureau\HijackThis.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: H - {C9905EF0-610F-4404-9030-A3F345D069F5} - C:\WINDOWS\System32\comi.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Windows Media Player] mediaplayer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MySpaceIM] C:\Program Files\MySpace\IM\MySpaceIM.exe
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Startup: [ mp3 - explorer ].lnk = C:\Program Files\mp3-explorer\SystrayStarter.exe
O4 - Global Startup: Exif Launcher 2.lnk = ?
O4 - Global Startup: Lightsurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\PROGRA~1\Goto\MEMOWE~1\IEBtn\Launcher (file missing)
O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\PROGRA~1\Goto\MEMOWE~1\IEBtn\Launcher (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CE2E749-7A8A-47CC-9C1E-6431C9411528}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F46735A-5B54-4866-A0DA-7F8D12257ACF}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BDD65F0-5E84-42FF-944A-8767328DAEC4}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{7901FF01-CE84-4579-B548-E725B1B317E6}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CD026D5-9B8D-4360-BEDB-2CA5BD576E95}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3BF4AF1-8FED-42D7-B102-8D9BB07DDC2F}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4E0F95F-E965-4D3B-87E2-A06FC87536D7}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9A29221-78D0-488C-8C61-7A2179EE7008}: NameServer = 85.255.115.236,85.255.112.168
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEB3096A-A54B-4FA0-8504-010F7506E5D4}: NameServer = 85.255.115.236,85.255.112.168
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5A2DDA1-D0B5-4757-BD12-662F11D55356}: NameServer = 85.255.115.236,85.255.112.168
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
Comment me défaire de ce virus? J'ai besoin d'aide. Merci
A voir également:
- Zlob.DNSChanger espion?
- Camera espion salle de bain - Accueil - Confidentialité
- Comment detecter un gps espion - Accueil - Confidentialité
- Logiciel anti espion - Télécharger - Confidentialité
- Jeu espion telephone - Guide
- Caméra espion - Accueil - Protection
7 réponses
Salut Arlekine
Télécharge le FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
https://www.bleepingcomputer.com/download/linux/
Ferme toutes les fenêtres de tous les programmes ouverts.
Lance le Fixwareout.exe: clique sur Next, puis "Install", puis assure toi que "Run fixit" est activé puis clique sur "Finish".
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais-le.
Ton système mettra un peu plus de temps au démarrage, c'est normal.
Une fois le scan terminé, un rapport va s'afficher.
Note : [Le bureau sans icône va apparaître ainsi qu'une petite fenêtre ayant pour titre BFU. Clique sur OK et patiente jusqu'à la fin du scan. (Ca peut prendre plusieurs minutes pendant lesquelles tu as l'impression que rien ne se passe. Patiente!)]
Al
Télécharge le FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
https://www.bleepingcomputer.com/download/linux/
Ferme toutes les fenêtres de tous les programmes ouverts.
Lance le Fixwareout.exe: clique sur Next, puis "Install", puis assure toi que "Run fixit" est activé puis clique sur "Finish".
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais-le.
Ton système mettra un peu plus de temps au démarrage, c'est normal.
Une fois le scan terminé, un rapport va s'afficher.
Note : [Le bureau sans icône va apparaître ainsi qu'une petite fenêtre ayant pour titre BFU. Clique sur OK et patiente jusqu'à la fin du scan. (Ca peut prendre plusieurs minutes pendant lesquelles tu as l'impression que rien ne se passe. Patiente!)]
Al
j'ai suivi exactement la procédure que tu m'as indiqué et au redémarrage du PC ça m'a généré le rapport suivant:
Username "cedric" - 18/09/2007 13:58:34 [Fixwareout edited 9/01/2007]
~~~~~ Prerun check
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{E9A29221-78D0-488C-8C61-7A2179EE7008}
"nameserver"="85.255.115.236,85.255.112.168" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{EEB3096A-A54B-4FA0-8504-010F7506E5D4}
"nameserver"="85.255.115.236,85.255.112.168" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{F5A2DDA1-D0B5-4757-BD12-662F11D55356}
"nameserver"="85.255.115.236,85.255.112.168" <Value cleared.
Cache de résolution DNS vidé.
System was rebooted successfully.
~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0\\bin\\jusched.exe"
"NeroCheck"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"LVCOMS"="C:\\Program Files\\Fichiers communs\\Logitech\\QCDriver2\\LVCOMS.EXE"
"C-Media Mixer"="Mixer.exe /startup"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
"REGSHAVE"="C:\\Program Files\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"Microsoft Windows Media Player"="mediaplayer.exe"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"
"Yahoo! Pager"="C:\\Program Files\\Yahoo!\\Messenger\\ypager.exe -quiet"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"
"MySpaceIM"="C:\\Program Files\\MySpace\\IM\\MySpaceIM.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
Est ce grave docteur?
Username "cedric" - 18/09/2007 13:58:34 [Fixwareout edited 9/01/2007]
~~~~~ Prerun check
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{E9A29221-78D0-488C-8C61-7A2179EE7008}
"nameserver"="85.255.115.236,85.255.112.168" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{EEB3096A-A54B-4FA0-8504-010F7506E5D4}
"nameserver"="85.255.115.236,85.255.112.168" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{F5A2DDA1-D0B5-4757-BD12-662F11D55356}
"nameserver"="85.255.115.236,85.255.112.168" <Value cleared.
Cache de résolution DNS vidé.
System was rebooted successfully.
~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0\\bin\\jusched.exe"
"NeroCheck"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"LVCOMS"="C:\\Program Files\\Fichiers communs\\Logitech\\QCDriver2\\LVCOMS.EXE"
"C-Media Mixer"="Mixer.exe /startup"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
"REGSHAVE"="C:\\Program Files\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"Microsoft Windows Media Player"="mediaplayer.exe"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"
"Yahoo! Pager"="C:\\Program Files\\Yahoo!\\Messenger\\ypager.exe -quiet"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"
"MySpaceIM"="C:\\Program Files\\MySpace\\IM\\MySpaceIM.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
Est ce grave docteur?
Re,
Merci
Déjà une belle saleté de partie.
Mais connais-tu ceci : C:\\Program Files\\MySpace\\IM\\MySpaceIM.exe ?
Je vois que tu as installé ANTIVIR (bon) et AVAST (pas recommandé); en plus, il ne faut qu'un seul antivirus en action sur un PC.
Donc, tu vas supprimer Avast, comme ceci avec ce tool < https://www.avast.com/uninstall-utility > ; en général ça marche bien.
Quand Avast sera désinstallé, lance une analyse complète avec Antivir ( y compris Rootkits ) et poste le rapport. Merci
Pour ces O17 - HKLM\System\CCS\Services\Tcpip\..\{5BDD65F0-5E84-42FF-944A-8767328DAEC4}: NameServer = 208.67.220.220,208.67.222.222 , as-tu utiliser l'OpenDNS ? Pour comprendre, lis ceci ici < http://thau.name/ > au 9ème paragraphe.
Ensuite, clic: "Démarrer" > "Panneau de configuration" > "Connexions réseau" > Faire un clic-droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si tu utilises un modem téléphonique, et choisir « Propriétés ».
Dans la fenêtre qui s'ouvre, sélectionne « Protocole internet TCP/IP » et clique sur "Propriétés". Tu dois obtenir cette fenêtre . Note les valeurs qui sont dans les cases pointées par les flèches rouges sur l'image. (C'est pour pouvoir faire machine arrière si jamais on a un souci).
Coche le bouton-ratio devant la case « Obtenir les adresses des serveurs DNS automatiquement ».
Clique sur OK autant de fois que nécessaire pour fermer les fenêtres.
Lance ton navigateur (=redémarre le PC) et vérifie que la connexion à Internet fonctionne toujours.
(Si ta connexion ne marche plus, ferme toutes les fenêtres de ton navigateur, retourne dans les connexions réseau, re-coche « Utiliser les serveurs DNS suivants » et saisis les 2 serveurs DNS qu'il y avait initialement.)
Commence toujours avec ça.
Nous verrons la suite en fonction du rapport d'Antivir.
Courage
Al.
Merci
Déjà une belle saleté de partie.
Mais connais-tu ceci : C:\\Program Files\\MySpace\\IM\\MySpaceIM.exe ?
Je vois que tu as installé ANTIVIR (bon) et AVAST (pas recommandé); en plus, il ne faut qu'un seul antivirus en action sur un PC.
Donc, tu vas supprimer Avast, comme ceci avec ce tool < https://www.avast.com/uninstall-utility > ; en général ça marche bien.
Quand Avast sera désinstallé, lance une analyse complète avec Antivir ( y compris Rootkits ) et poste le rapport. Merci
Pour ces O17 - HKLM\System\CCS\Services\Tcpip\..\{5BDD65F0-5E84-42FF-944A-8767328DAEC4}: NameServer = 208.67.220.220,208.67.222.222 , as-tu utiliser l'OpenDNS ? Pour comprendre, lis ceci ici < http://thau.name/ > au 9ème paragraphe.
Ensuite, clic: "Démarrer" > "Panneau de configuration" > "Connexions réseau" > Faire un clic-droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si tu utilises un modem téléphonique, et choisir « Propriétés ».
Dans la fenêtre qui s'ouvre, sélectionne « Protocole internet TCP/IP » et clique sur "Propriétés". Tu dois obtenir cette fenêtre . Note les valeurs qui sont dans les cases pointées par les flèches rouges sur l'image. (C'est pour pouvoir faire machine arrière si jamais on a un souci).
Coche le bouton-ratio devant la case « Obtenir les adresses des serveurs DNS automatiquement ».
Clique sur OK autant de fois que nécessaire pour fermer les fenêtres.
Lance ton navigateur (=redémarre le PC) et vérifie que la connexion à Internet fonctionne toujours.
(Si ta connexion ne marche plus, ferme toutes les fenêtres de ton navigateur, retourne dans les connexions réseau, re-coche « Utiliser les serveurs DNS suivants » et saisis les 2 serveurs DNS qu'il y avait initialement.)
Commence toujours avec ça.
Nous verrons la suite en fonction du rapport d'Antivir.
Courage
Al.
Salut,
J'ai désinstallé avast et réinstallé la derniere version de antivir, j'ai passé le scan et voilà le rapport, il m'a trouvé 2 ou 3 trojan, que faire ensuite?
AntiVir PersonalEdition Classic
Report file date: mardi 18 septembre 2007 18:34
Scanning for 1074668 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 1) [5.1.2600]
Username: SYSTEM
Computer name: MONPTILOU
Version information:
BUILD.DAT : 268 15604 Bytes 31/08/2007 13:04:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 11:32:40
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 11:32:46
ANTIVIR2.VDF : 6.39.1.120 1918464 Bytes 12/09/2007 16:33:00
ANTIVIR3.VDF : 6.39.1.147 162304 Bytes 18/09/2007 16:33:00
AVEWIN32.DLL : 7.6.0.10 2789888 Bytes 18/09/2007 16:33:05
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21
Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: F:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: mardi 18 septembre 2007 18:34
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'cidaemon.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'MsPMSPSv.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'cisvc.exe' - '1' Module(s) have been scanned
Scan process 'bgsvcgen.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'TICIcon.exe' - '1' Module(s) have been scanned
Scan process 'Ymsgr_tray.exe' - '1' Module(s) have been scanned
Scan process 'hgcctl95.exe' - '1' Module(s) have been scanned
Scan process 'SystrayStarter.exe' - '1' Module(s) have been scanned
Scan process 'SPUVolumeWatcher.exe' - '1' Module(s) have been scanned
Scan process 'WZQKPICK.EXE' - '1' Module(s) have been scanned
Scan process 'IconMgr.exe' - '1' Module(s) have been scanned
Scan process 'QuickDCF2.exe' - '1' Module(s) have been scanned
Scan process 'MySpaceIM.exe' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'winampa.exe' - '1' Module(s) have been scanned
Scan process 'qttask.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned
Scan process 'mixer.exe' - '1' Module(s) have been scanned
Scan process 'LVComS.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
43 processes with 43 modules were scanned
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'E:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '43' files ).
Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\mssql0.exe
[DETECTION] Is the Trojan horse TR/Dldr.Agent.bci
[INFO] The file was moved to '47630db8.qua'!
Begin scan in 'D:\' <LOULETTE>
Begin scan in 'E:\' <TAF_PRINCIPAL>
Begin scan in 'F:\' <MULTIMEDIA>
F:\MP3\Electro-lounge-trip-hop-acid jazz\AIR\AIR - The Virgin Suicides\Audioconvert v2.0.375\keygen.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47691221.qua'!
End of the scan: mardi 18 septembre 2007 21:57
Used time: 3:23:11 min
The scan has been done completely.
10786 Scanning directories
303568 Files were scanned
2 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
2 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
303566 Files not concerned
2796 Archives were scanned
1 Warnings
3 Notes
J'ai désinstallé avast et réinstallé la derniere version de antivir, j'ai passé le scan et voilà le rapport, il m'a trouvé 2 ou 3 trojan, que faire ensuite?
AntiVir PersonalEdition Classic
Report file date: mardi 18 septembre 2007 18:34
Scanning for 1074668 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 1) [5.1.2600]
Username: SYSTEM
Computer name: MONPTILOU
Version information:
BUILD.DAT : 268 15604 Bytes 31/08/2007 13:04:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 11:32:40
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 11:32:46
ANTIVIR2.VDF : 6.39.1.120 1918464 Bytes 12/09/2007 16:33:00
ANTIVIR3.VDF : 6.39.1.147 162304 Bytes 18/09/2007 16:33:00
AVEWIN32.DLL : 7.6.0.10 2789888 Bytes 18/09/2007 16:33:05
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21
Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: F:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: mardi 18 septembre 2007 18:34
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'cidaemon.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'MsPMSPSv.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'cisvc.exe' - '1' Module(s) have been scanned
Scan process 'bgsvcgen.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'TICIcon.exe' - '1' Module(s) have been scanned
Scan process 'Ymsgr_tray.exe' - '1' Module(s) have been scanned
Scan process 'hgcctl95.exe' - '1' Module(s) have been scanned
Scan process 'SystrayStarter.exe' - '1' Module(s) have been scanned
Scan process 'SPUVolumeWatcher.exe' - '1' Module(s) have been scanned
Scan process 'WZQKPICK.EXE' - '1' Module(s) have been scanned
Scan process 'IconMgr.exe' - '1' Module(s) have been scanned
Scan process 'QuickDCF2.exe' - '1' Module(s) have been scanned
Scan process 'MySpaceIM.exe' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'winampa.exe' - '1' Module(s) have been scanned
Scan process 'qttask.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned
Scan process 'mixer.exe' - '1' Module(s) have been scanned
Scan process 'LVComS.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
43 processes with 43 modules were scanned
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'E:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '43' files ).
Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\mssql0.exe
[DETECTION] Is the Trojan horse TR/Dldr.Agent.bci
[INFO] The file was moved to '47630db8.qua'!
Begin scan in 'D:\' <LOULETTE>
Begin scan in 'E:\' <TAF_PRINCIPAL>
Begin scan in 'F:\' <MULTIMEDIA>
F:\MP3\Electro-lounge-trip-hop-acid jazz\AIR\AIR - The Virgin Suicides\Audioconvert v2.0.375\keygen.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47691221.qua'!
End of the scan: mardi 18 septembre 2007 21:57
Used time: 3:23:11 min
The scan has been done completely.
10786 Scanning directories
303568 Files were scanned
2 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
2 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
303566 Files not concerned
2796 Archives were scanned
1 Warnings
3 Notes
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
C'est bon tout cela; on avance.
Ne vide pas trop vite la quarantaine de Antivir, parce que ce fichier "mssql0.exe est trop récent, et donc pas assez de coordonnées à son sujet ==> " Estimation de sûreté : Incertain ; D'abord vu : 29 mai 2007 puis le 1juin 2007; Communique avec des sites Web en utilisant des protocoles de httpout.
Je cherche encore.
Par exemple il y a ceci, mais que j'ai des difficultés à traduire < http://lists.ibiblio.org/pipermail/freetds/2006q3/020607.html >.
Il ne semble pas étonnant que Antivir le classe en Trojan.
Je te recommande de le garder quelque temps en quarantaine; et de la vider si tu ne détectes aucune anomalie de connexion ou de comportement du PC.
Mais je suis en manque d'infos par l'absence de réponse à mes autres questions et plus particulièrement cette question relative aux O17, à OpenDNS et à la configuration de ton "Protocole internet TCP/IP". ==> ces questions font faire débat à cause d'éventuelles failles qu'elles peuvent révéler.
Et si tu ne souhaites pas (à juste titre) laisser "traîner" tes paramètres sur forum, nous pourrons traiter la discussios en MP (=messagerie privée).
Mais tu le sais certainement (je le flaire) dans ces 017, ne sont "légitimes" que les adresses IP privées (réseau d'entreprise ou configuration manuelle d'un routeur/Box) comprises dans ces trois échelles :
10.0.0.0 >> 10.255.255.255
172.16.0.0 >> 172.31.255.255
192.168.0.0 >> 192.168.255.255
Précise-moi également si tu as un laptop ou un fixe et si tu es en réseau ou en configuration manuelle d'un routeur/Box.
Comment se comporte actuellement le PC ?
Merci & bonne nuit
À demain
Al.
C'est bon tout cela; on avance.
Ne vide pas trop vite la quarantaine de Antivir, parce que ce fichier "mssql0.exe est trop récent, et donc pas assez de coordonnées à son sujet ==> " Estimation de sûreté : Incertain ; D'abord vu : 29 mai 2007 puis le 1juin 2007; Communique avec des sites Web en utilisant des protocoles de httpout.
Je cherche encore.
Par exemple il y a ceci, mais que j'ai des difficultés à traduire < http://lists.ibiblio.org/pipermail/freetds/2006q3/020607.html >.
Il ne semble pas étonnant que Antivir le classe en Trojan.
Je te recommande de le garder quelque temps en quarantaine; et de la vider si tu ne détectes aucune anomalie de connexion ou de comportement du PC.
Mais je suis en manque d'infos par l'absence de réponse à mes autres questions et plus particulièrement cette question relative aux O17, à OpenDNS et à la configuration de ton "Protocole internet TCP/IP". ==> ces questions font faire débat à cause d'éventuelles failles qu'elles peuvent révéler.
Et si tu ne souhaites pas (à juste titre) laisser "traîner" tes paramètres sur forum, nous pourrons traiter la discussios en MP (=messagerie privée).
Mais tu le sais certainement (je le flaire) dans ces 017, ne sont "légitimes" que les adresses IP privées (réseau d'entreprise ou configuration manuelle d'un routeur/Box) comprises dans ces trois échelles :
10.0.0.0 >> 10.255.255.255
172.16.0.0 >> 172.31.255.255
192.168.0.0 >> 192.168.255.255
Précise-moi également si tu as un laptop ou un fixe et si tu es en réseau ou en configuration manuelle d'un routeur/Box.
Comment se comporte actuellement le PC ?
Merci & bonne nuit
À demain
Al.
bonjour,
merci d'avoir répondu aussi tardivement hier...
Pour revenir à tes questions laissées sans réponse car manque de temps pour tout faire...je reprends donc tes questions et je pose ma réponse en dessous:
Question: Mais connais-tu ceci : C:\\Program Files\\MySpace\\IM\\MySpaceIM.exe ?
Réponse : C'est la bôîte de connexion chat de Myspace qui s'ouvre au démarrage de mon PC. (d'ailleurs elle m'ennuie assez je vais certainement l'enlever)
Question: Pour ces O17 - HKLM\System\CCS\Services\Tcpip\..\{5BDD65F0-5E84-42FF-944A-8767328DAEC4}: NameServer = 208.67.220.220,208.67.222.222 , as-tu utiliser l'OpenDNS ?
Réponse : je n'ai, à ma connaissance, pas utilisé l'OpenDNS.
Suite à tes recommandations j'ai suivi la procédure, j'ai coché le bouton radio etc...relancé ma navigation et aucun problème de connexion (par contre j'ai remarqué un détail, peut être est-il insignifiant...en allant dans Connexion au réseau local la fenêtre n'affichait qu'une seule connexion carte réseau, j'ai modifié les paramètres sur celle-ci et en relançant la navig la fenêtre affichait cette fois 2 connexions, carte réseau et sans fil...est ce normal?). Est ce que je dois laisser les nouveaux paramètres de connexion ou je remets les adresses du serveur DNS comme avant?)
Question: Précise-moi également si tu as un laptop ou un fixe et si tu es en réseau ou en configuration manuelle d'un routeur/Box.
Réponse : C'est un fixe et j'ai la Freebox donc configuration manuelle d'un routeur/Box.
Question: Comment se comporte actuellement le PC ?
Réponse : Pour l'instant ça à l'air d'aller, plus de plantage aléatoire mais je le trouve un peu lent...enfin il était déjà un peu lent avant...
Pour revenir au trojan mssql0.exe je n'ai pas compris non plus le doc html que tu m'as envoyé...
merci d'avoir répondu aussi tardivement hier...
Pour revenir à tes questions laissées sans réponse car manque de temps pour tout faire...je reprends donc tes questions et je pose ma réponse en dessous:
Question: Mais connais-tu ceci : C:\\Program Files\\MySpace\\IM\\MySpaceIM.exe ?
Réponse : C'est la bôîte de connexion chat de Myspace qui s'ouvre au démarrage de mon PC. (d'ailleurs elle m'ennuie assez je vais certainement l'enlever)
Question: Pour ces O17 - HKLM\System\CCS\Services\Tcpip\..\{5BDD65F0-5E84-42FF-944A-8767328DAEC4}: NameServer = 208.67.220.220,208.67.222.222 , as-tu utiliser l'OpenDNS ?
Réponse : je n'ai, à ma connaissance, pas utilisé l'OpenDNS.
Suite à tes recommandations j'ai suivi la procédure, j'ai coché le bouton radio etc...relancé ma navigation et aucun problème de connexion (par contre j'ai remarqué un détail, peut être est-il insignifiant...en allant dans Connexion au réseau local la fenêtre n'affichait qu'une seule connexion carte réseau, j'ai modifié les paramètres sur celle-ci et en relançant la navig la fenêtre affichait cette fois 2 connexions, carte réseau et sans fil...est ce normal?). Est ce que je dois laisser les nouveaux paramètres de connexion ou je remets les adresses du serveur DNS comme avant?)
Question: Précise-moi également si tu as un laptop ou un fixe et si tu es en réseau ou en configuration manuelle d'un routeur/Box.
Réponse : C'est un fixe et j'ai la Freebox donc configuration manuelle d'un routeur/Box.
Question: Comment se comporte actuellement le PC ?
Réponse : Pour l'instant ça à l'air d'aller, plus de plantage aléatoire mais je le trouve un peu lent...enfin il était déjà un peu lent avant...
Pour revenir au trojan mssql0.exe je n'ai pas compris non plus le doc html que tu m'as envoyé...
Bonsoir arlekine,
D'abord, content que ton PC se comporte au mieux.
Aussi, merci pour tes réponses claires.
Ensuite pour:
•- « C:\\Program Files\\MySpace\\IM\\MySpaceIM.exe est la boîte de connexion chat de Myspace qui s'ouvre au démarrage de mon PC. (d'ailleurs elle m'ennuie assez je vais certainement l'enlever). »
-C'est une bonne décision.
Donc, via le "Poste de travail", disque local "C:\" , répertoire "Program Files", supprime le dossier "MySpace".
Nous nous contenterons de cette façon pour le moment.
S'il devait s'avérer que des reliquats de ce logiciel viennent nous créer problèmes, nous agirions alors directement dans la Base de Registres (BdR) en prennant nos précautions.
•- « Pour revenir au "trojan" mssql0.exe je n'ai pas compris non plus le doc html que tu m'as envoyé...»
-Il s'agissait de démontrer les possiblités qu'a ce mssql0.exe pour s'infiltrer partout dans le système (il suffit de quelques lignes de commandes -à mon avis volontaires ou non-) ==> je n'ai pas le temps d'étudier.
•- Pour ces O17, elles sont pourtant bien le reflet du principe de l'OpenDSN.
Il y a deux écoles, mais dont les arguments de l'une comme de l'autres ne savent me convaincre.
1- Certains laissent courir ces IP mais pour autant que les "primaires/préférées" = 208.67.220.220, et que les "secondaires/auxiliaires" = 208.67.222.222.
C'est pourquoi je demandais une capture écran de la page Protocole internet TCP/IP.
2- Ce qui est sûr: les 017 d'HijackThis ne sont pas à fixer si elles révèlent :
-des IP privées >> connexion en petit réseau local comme chez moi ou réseau d'entreprise, ou
-des serveurs DNS de FAI (dans google tape DNS FAI, il y a des listes) >> c'est que la personne les a entrées manuellement.
3- D'autres sont partagés selon le type de PC en ce qui concernent le mode manuel ci-avant ou le mode automatique "Obtenir les adresses des serveurs DNS automatiquement" comme je te l'ai proposé.
- MANUEL parce que par habitude et sur les PC fixes, certains paramètrent toujours les connexions en manuel en désactivant le DHCP dans le modem.
- "Obtenir les adresses des serveurs DNS automatiquement", OUI , pour les portables qui retrouveront avec le réglage automatique des adresses exotiques de routeurs inaccessibles en manuel.
Pour ceci : « (par contre j'ai remarqué un détail, peut être est-il insignifiant...en allant dans Connexion au réseau local la fenêtre n'affichait qu'une seule connexion carte réseau, j'ai modifié les paramètres sur celle-ci et en relançant la navig la fenêtre affichait cette fois 2 connexions, carte réseau et sans fil...est ce normal?). Est ce que je dois laisser les nouveaux paramètres de connexion ou je remets les adresses du serveur DNS comme avant?) »
Pas de souci; regarde ce que j'ai < http://img220.imageshack.us/img220/1425/screenshot082nu5.png >.
Tu constates aussi 2 réseaux locaux ( c'est, paraît-il le fait de IP dynamiques, et ton PC passe d'un réseau à l'autre automatiquement selon la plage d'IP en cours ); le troisième réseau sans fil dépend de ta carte-mère ( chez moi c'est ASUS qui a un module prévu pour WiFi, ce qui laisse apparaître son icône).
Bonne continuation
Al.
D'abord, content que ton PC se comporte au mieux.
Aussi, merci pour tes réponses claires.
Ensuite pour:
•- « C:\\Program Files\\MySpace\\IM\\MySpaceIM.exe est la boîte de connexion chat de Myspace qui s'ouvre au démarrage de mon PC. (d'ailleurs elle m'ennuie assez je vais certainement l'enlever). »
-C'est une bonne décision.
Donc, via le "Poste de travail", disque local "C:\" , répertoire "Program Files", supprime le dossier "MySpace".
Nous nous contenterons de cette façon pour le moment.
S'il devait s'avérer que des reliquats de ce logiciel viennent nous créer problèmes, nous agirions alors directement dans la Base de Registres (BdR) en prennant nos précautions.
•- « Pour revenir au "trojan" mssql0.exe je n'ai pas compris non plus le doc html que tu m'as envoyé...»
-Il s'agissait de démontrer les possiblités qu'a ce mssql0.exe pour s'infiltrer partout dans le système (il suffit de quelques lignes de commandes -à mon avis volontaires ou non-) ==> je n'ai pas le temps d'étudier.
•- Pour ces O17, elles sont pourtant bien le reflet du principe de l'OpenDSN.
Il y a deux écoles, mais dont les arguments de l'une comme de l'autres ne savent me convaincre.
1- Certains laissent courir ces IP mais pour autant que les "primaires/préférées" = 208.67.220.220, et que les "secondaires/auxiliaires" = 208.67.222.222.
C'est pourquoi je demandais une capture écran de la page Protocole internet TCP/IP.
2- Ce qui est sûr: les 017 d'HijackThis ne sont pas à fixer si elles révèlent :
-des IP privées >> connexion en petit réseau local comme chez moi ou réseau d'entreprise, ou
-des serveurs DNS de FAI (dans google tape DNS FAI, il y a des listes) >> c'est que la personne les a entrées manuellement.
3- D'autres sont partagés selon le type de PC en ce qui concernent le mode manuel ci-avant ou le mode automatique "Obtenir les adresses des serveurs DNS automatiquement" comme je te l'ai proposé.
- MANUEL parce que par habitude et sur les PC fixes, certains paramètrent toujours les connexions en manuel en désactivant le DHCP dans le modem.
- "Obtenir les adresses des serveurs DNS automatiquement", OUI , pour les portables qui retrouveront avec le réglage automatique des adresses exotiques de routeurs inaccessibles en manuel.
Pour ceci : « (par contre j'ai remarqué un détail, peut être est-il insignifiant...en allant dans Connexion au réseau local la fenêtre n'affichait qu'une seule connexion carte réseau, j'ai modifié les paramètres sur celle-ci et en relançant la navig la fenêtre affichait cette fois 2 connexions, carte réseau et sans fil...est ce normal?). Est ce que je dois laisser les nouveaux paramètres de connexion ou je remets les adresses du serveur DNS comme avant?) »
Pas de souci; regarde ce que j'ai < http://img220.imageshack.us/img220/1425/screenshot082nu5.png >.
Tu constates aussi 2 réseaux locaux ( c'est, paraît-il le fait de IP dynamiques, et ton PC passe d'un réseau à l'autre automatiquement selon la plage d'IP en cours ); le troisième réseau sans fil dépend de ta carte-mère ( chez moi c'est ASUS qui a un module prévu pour WiFi, ce qui laisse apparaître son icône).
Bonne continuation
Al.
