Trojan dns.changer

mickey -  
crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
J'ai essayé d'enlever ce trojan avec spybot, bit defender, avg, malwarebytes' et rien ne fait.
Comment faire !
Configuration: Windows XP
Firefox 3.0.3

13 réponses

  1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    fait un rapport avec hijackthis, fais un double-clic sur HJTInstall.exe afin de lancer l'installation ,clique sur Install ensuite sur I Accept, ensuite Clique sur Do a scan system and save log file.Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu et poste le ici pour que quelqu'un puisse l'analyser,voici le tuto hijackthis
    0
    1. mickey
       
      Merci de l'intérêt apporté à mon problème voici le hijackthis



      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 00:24:56, on 01/11/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
      C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Creative\Shared Files\CTAudSvc.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\ehome\ehtray.exe
      C:\PROGRA~1\AVG\AVG8\avgtray.exe
      C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
      C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\WINDOWS\system32\CTXFIHLP.EXE
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
      C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe
      C:\Program Files\Cyberlink\Shared Files\brs.exe
      C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
      C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
      C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
      C:\WINDOWS\eHome\ehRecvr.exe
      C:\WINDOWS\eHome\ehSched.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\PROGRA~1\AVG\AVG8\avgrsx.exe
      C:\PROGRA~1\AVG\AVG8\avgemc.exe
      C:\WINDOWS\system32\dllhost.exe
      C:\WINDOWS\eHome\ehmsas.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
      C:\WINDOWS\system32\msiexec.exe
      C:\Documents and Settings\roberto\Bureau\HiJackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
      O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
      O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
      O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
      O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
      O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe"
      O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
      O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe"
      O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe"
      O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
      O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
      O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
      O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
      O20 - AppInit_DLLs: avgrsstx.dll
      O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. https://www.bitdefender.fr/ - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
      O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
      O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CTAELicensing.exe
      O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
      O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
      0
  2. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    tu as installé 2 antivirus?
    --
    Pensez à mettre vos messages en résolu quand ils le sont. 
    Pour ceux qui sont anonyme, pensez à avertir les modos avec le triangle jaune que votre sujet est résolu.
    Merci
    0
    1. mickey
       
      A la base j'ai toujours fonctionné qu'avec zone alarme et depuis ce problème j'ai essayé tout les antivirus possible...
      0
    2. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503 > mickey
       
      désinstaller déjà des antivirus afin d'en avoir qu'1 sur ton pc car avoir trop d'antivirus ça fait conflit et après les antivirus ne savent plus quoi faire.
      Fait un scan en ligne avec kaspersky
      0
    3. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046 > pimprenelle27 Messages postés 22182 Statut Contributeur sécurité
       
      Salut,
      Petite précision : scan à faire avec Internet Explorer.
      Bonne continuation.
      0
    4. mickey > crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
       
      merci pour la précision, j'étais en train d'essayer avec mozilla
      0
    5. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503 > crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
       
      non installe le module complémentaire dans firefox Ie tab et tu pourras faire le scan avec firefox.
      0
  3. mickey
     
    Par contre faut-il que je décoche dans les options d'affichage "afficher les dossiers cachés", "masquer les extensions dont le type est connu", "masquer les fichiers protégés du système d'exploitation" ?
    0
    1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
       
      non je ne pense pas. mais tu n'as pas répondu à ma question.
      0
  4. mickey
     
    la réponse est un peu plus haut, en effet j'ai avg et bit defender depuis hier soir. Je désactive soit un soit l'autre au démarrage en essayer de faire des scans pour supprimer ce trojan.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. mickey
     
    Voici le rapport Kapersky qui ne détecte pas dns.changer mais un autre trojan...

    KASPERSKY ON-LINE SCANNER REPORT
    Saturday, November 01, 2008 10:51:04 AM
    Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.84.2
    Dernière mise à jour de la base antivirus Kaspersky : 31/10/2008
    Enregistrements dans la base antivirus Kaspersky : 1224028
    -------------------------------------------------------------------------------

    Paramètres d'analyse:
    Analyser avec la base antivirus suivante: standard
    Analyser les archives: vrai
    Analyser les bases de messagerie: vrai

    Cible de l'analyse - Poste de travail:
    A:\
    C:\
    D:\
    E:\
    F:\
    G:\
    H:\
    I:\

    Statistiques de l'analyse:
    Total d'objets analysés: 43852
    Nombre de virus trouvés: 1
    Nombre d'objets infectés: 4 / 0
    Nombre d'objets suspects: 0
    Durée de l'analyse: 01:05:13

    Nom de l'objet infecté / Nom du virus / Dernière action
    C:\Documents and Settings\All Users\Application Data\avg8\emc\Log\emc.log L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\avg8\Log\avgcore.log L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\avg8\Log\avglng.log L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\avg8\Log\avgrs.log L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\avg8\Log\avgsched.log L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\avg8\Log\avgwd.log L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\avg8\Log\avgwdsvc.log L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\CyberLink\BDNAV\BRF.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\cert8.db L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\content-prefs.sqlite L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\cookies.sqlite L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\downloads.sqlite L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\formhistory.sqlite L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\key3.db L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\parent.lock L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\permissions.sqlite L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\places.sqlite L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\places.sqlite-journal L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\search.sqlite L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Local Settings\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Local Settings\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Local Settings\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Local Settings\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Local Settings\Application Data\Mozilla\Firefox\Profiles\yahie2n9.default\urlclassifier3.sqlite L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Local Settings\Historique\History.IE5\MSHist012008110120081102\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Local Settings\Temp\etilqs_H6RHbP4IzQrKfVdaaRgt L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\roberto\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    C:\System Volume Information\_restore{C4035A44-0FD5-4744-AD2E-1578F70DC281}\RP21\change.log L'objet est verrouillé ignoré
    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\Internet Logs\CICIGNO.ldb L'objet est verrouillé ignoré
    C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré
    C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré
    C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré
    C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré
    C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{993D23CE-46F7-4EDD-B3ED-6EDFFEE5E350}.crmlog L'objet est verrouillé ignoré
    C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\EventCache\{7DEE73F8-F914-46D1-806A-C5E95D92333B}.bin L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\edbtmp.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\ACEEvent.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\Media Ce.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\Temp\Perflib_Perfdata_13c.dat L'objet est verrouillé ignoré
    C:\WINDOWS\Temp\ZLT00885.TMP L'objet est verrouillé ignoré
    C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
    D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    G:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    G:\System Volume Information\_restore{EEBC1F4B-BC14-4547-8419-4D9DE394973E}\RP446\A0128785.com L'objet est verrouillé ignoré
    H:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    H:\System Volume Information\_restore{EEBC1F4B-BC14-4547-8419-4D9DE394973E}\RP446\A0128779.com L'objet est verrouillé ignoré
    I:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    I:\System Volume Information\_restore{EEBC1F4B-BC14-4547-8419-4D9DE394973E}\RP446\A0128777.exe/data0002 Infecté : Trojan.Win32.Monder.qzl ignoré
    I:\System Volume Information\_restore{EEBC1F4B-BC14-4547-8419-4D9DE394973E}\RP446\A0128777.exe NSIS: infecté - 1 ignoré
    I:\System Volume Information\_restore{EEBC1F4B-BC14-4547-8419-4D9DE394973E}\RP446\A0128781.com L'objet est verrouillé ignoré
    I:\System Volume Information\_restore{EEBC1F4B-BC14-4547-8419-4D9DE394973E}\RP446\A0128787.exe/data0002 Infecté : Trojan.Win32.Monder.qzl ignoré
    I:\System Volume Information\_restore{EEBC1F4B-BC14-4547-8419-4D9DE394973E}\RP446\A0128787.exe NSIS: infecté - 1 ignoré

    Analyse terminée.
    0
  7. mickey
     
    Et voici le rapport Malwarebytes'

    Malwarebytes' Anti-Malware 1.30
    Version de la base de données: 1349
    Windows 5.1.2600 Service Pack 2

    01/11/2008 11:18:38
    mbam-log-2008-11-01 (11-18-29).txt

    Type de recherche: Examen rapide
    Eléments examinés: 45784
    Temps écoulé: 2 minute(s), 18 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 6
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.202 85.255.112.197 1.2.3.4 -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{be7305a5-9b49-4757-9ce3-4d161a7c4ac6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.202 85.255.112.197 1.2.3.4 -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.202 85.255.112.197 1.2.3.4 -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{be7305a5-9b49-4757-9ce3-4d161a7c4ac6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.202 85.255.112.197 1.2.3.4 -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.202 85.255.112.197 1.2.3.4 -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{be7305a5-9b49-4757-9ce3-4d161a7c4ac6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.202 85.255.112.197 1.2.3.4 -> No action taken.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Que dois-je faire ?
    0
  8. mickey
     
    Un petit Up, je galère avec ces trojans y aurait-il un helper.
    0
    1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
       
      afficher rapport et supprimer ce qu'il à trouvé.
      0
      1. mickey > pimprenelle27 Messages postés 22182 Statut Contributeur sécurité
         
        Lorsque je supprime les infections et que je redémarre l'ordinateur, les infections sont toujours présentes.

        Voila le rapport malwarebytes :

        Malwarebytes' Anti-Malware 1.30
        Version de la base de données: 1349
        Windows 5.1.2600 Service Pack 2

        01/11/2008 13:32:06
        mbam-log-2008-11-01 (13-31-59).txt

        Type de recherche: Examen rapide
        Eléments examinés: 45768
        Temps écoulé: 2 minute(s), 23 second(s)

        Processus mémoire infecté(s): 0
        Module(s) mémoire infecté(s): 0
        Clé(s) du Registre infectée(s): 0
        Valeur(s) du Registre infectée(s): 0
        Elément(s) de données du Registre infecté(s): 4
        Dossier(s) infecté(s): 0
        Fichier(s) infecté(s): 0

        Processus mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Module(s) mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Clé(s) du Registre infectée(s):
        (Aucun élément nuisible détecté)

        Valeur(s) du Registre infectée(s):
        (Aucun élément nuisible détecté)

        Elément(s) de données du Registre infecté(s):
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.202 85.255.112.197 1.2.3.4 -> No action taken.
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{be7305a5-9b49-4757-9ce3-4d161a7c4ac6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.202 85.255.112.197 1.2.3.4 -> No action taken.
        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.202 85.255.112.197 1.2.3.4 -> No action taken.
        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{be7305a5-9b49-4757-9ce3-4d161a7c4ac6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.202 85.255.112.197 1.2.3.4 -> No action taken.

        Dossier(s) infecté(s):
        (Aucun élément nuisible détecté)

        Fichier(s) infecté(s):
        (Aucun élément nuisible détecté)
        0
  9. mickey
     
    D'ailleurs mon pc portable de mon épouse situé à mon domicile à le même trojan, il est relié au routeur sur le même FAI.

    Un peu d'aide svp
    0
    1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
       
      essaye en mode sans echec.
      0
  10. olivier
     
    J'ai le même souci. J'ai tout essyé....anti-malware, anti spyware, antivirus... Le pire, c'est qu'en étant sous ubuntu, j'avais le même souci. A chaque fois, que je lançais une recherche avec yahoo...rebelote. Quand j'ai lancé le sujet sur le forum d'ubuntu...Les forumers m'ont fait penser à autre chose...un problème harware avec le routeur qui serait plombé à son tour... réponse des forumers...utiliser opendns...
    0
  11. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Salut,
    Mickey dazns ton rapport malwarebytes anti malware :
    "No action taken"
    Il faut supprimer ce qu'il trouve.
    Bonne continuation.
    0
  12. Pandat Messages postés 17 Statut Membre 2
     
    J'ai Lansé deux fois le scan en mode sans echec avec malwarebytes, et a la deuxieme fois j'ai eu ce rapport

    Malwarebytes' Anti-Malware 1.31
    Version de la base de données: 1499
    Windows 5.1.2600 Service Pack 3

    14/12/2008 16:48:00
    mbam-log-2008-12-14 (16-48-00).txt

    Type de recherche: Examen complet (C:\|D:\|E:\|)
    Eléments examinés: 151222
    Temps écoulé: 29 minute(s), 27 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 4
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.66;85.255.112.98 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{d4b18c1d-d5e7-4814-abc0-3d61156e407a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.66;85.255.112.98 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.66;85.255.112.98 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{d4b18c1d-d5e7-4814-abc0-3d61156e407a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.66;85.255.112.98 -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{35436AC1-7769-4F79-8B10-45B12F3CCA3C}\RP12\A0005803.dll (Trojan.Agent) -> Quarantined and deleted successfully.

    Ici il marque (Quarantined and deleted successfully.) pas comme dans ton rapprot, il faut que tu arrive a ce résultat. bon courage
    0
    1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
       
      reposte un hijackthis merci.
      0
  13. zwiky
     
    bonjour,

    bon j'ai comme beaucoups d'internaute j'ai le meme probléme avec Trojan dnschanger.

    J'ai suivi les procédures conseillées, avec fixwareout, maelwarebytes .....etc le trojan est bien localisé, apparement effacé ...mais il revient toujours.

    Mais j'ai remarqué que dans le rapport fixwareout il y a une ligne indiquant que le cache dns n'est pas accéssible ! avez vous une idée du probléme ?

    merci
    0
    1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Salut,
      Poste ton propre message pour ne pas faire de bêtises et ne pas perturber le sujet déjà existant.
      Merci.
      Crapoulou.
      0