Maudit Zlob dns changer

Résolu
helliumsdirtbox Messages postés 26 Statut Membre -  
helliumsdirtbox Messages postés 26 Statut Membre -
Bonjour,

Tout d'abord merci pour toute l'aide que vous allez m'apporter. J'ai parcouru plusieurs sujet et tenté de régler mon problème sans venir vous ennuyer mais ce maudit Zlob me casse les . ... pieds ^^

bref ma connexion internet devient méga chiante et une fois sur deux je suis obligé de réactualiser ma page qui se charge quand elle en a envie.

J'ai essayé de changer mon DNS moi même en entrant les DNS type que j'ai pu trouver su le net (80.246.ect)

... j'entre tout mes paramètres et que je click sur fermer. Mais quand j'ouvre de nouveau la fenêtre les paramètres reviennent comme si je n'avais rien modifié !!!

Ce maudit Zlob me met en serveur DNS préféré => 80.255.112.117

et pas moyen de le modifier.

J'ai installé AVG antivirus et SpyBot tout les deux le détectent mais ne parviennent pas à l'éliminer. Il revient tout le temps.

Merci d'avance de toute l'aide que vous pourrez m'apporter.
Configuration: Windows XP
Firefox 3.0.4

45 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une connexion Internet problématique est due à une infection Zlob qui modifie le DNS et empêche l’utilisateur de régler les DNS manuellement sur Windows XP. Des solutions préconisent Malwarebytes Anti-Malware pour un examen complet et la suppression des éléments détectés, avec l’arrêt d’Internet Explorer pendant l’opération et la sauvegarde du rapport. Des analyses complémentaires et des logs, tels que HijackThis, permettent d’identifier des entrées de registre et des services malveillants, notamment des modifications de DNS et des traces dans des clés de registre compromis. En cas de doute persistant, des rapports MBAM ou HijackThis peuvent être sauvegardés pour vérification future, et la recommandation est de re-scanner régulièrement pour s’assurer que le DNS reste sain.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    vas dans poste de travail
    entre dans le disque C
    post usbfix.txt

    Telecharge malwarebytes

    Tu l´instale; le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

    Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des elements on ete trouvés > click sur supprimer la selection.

    si il t´es demandé de redemarrer > click sur "yes".

    A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log
    2
  2. helliumsdirtbox Messages postés 26 Statut Membre
     
    j'ai fait un logfile su Hijackthis ... si ça peut aider

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:17:37, on 29/11/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\windows\system32\csrss.exe
    C:\windows\system32\winlogon.exe
    C:\windows\system32\services.exe
    C:\windows\system32\lsass.exe
    C:\windows\system32\svchost.exe
    C:\windows\system32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\system32\spoolsv.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\windows\system32\svchost.exe
    C:\windows\System32\alg.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\AVG\AVG8\avgtray.exe
    C:\windows\explorer.exe
    C:\Program Files\Wireless LAN Utility\SiSCFG.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    C:\PROGRA~1\AVG\AVG8\avgrsx.exe
    C:\PROGRA~1\AVG\AVG8\avgemc.exe
    C:\Documents and Settings\Admin\Bureau\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lo.st
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: EoBho - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [C:\windows\system32\kdpwj.exe] C:\windows\system32\kdpwj.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
    O4 - HKLM\..\Run: [LaunchList] C:\Program Files\Pinnacle\Studio 10\LaunchList.exe
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKLM\..\RunOnce: [NSSInstallation] C:\windows\system32\Adobe\Shockwave 11\nssstub.exe /RunOnce
    O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
    O4 - HKLM\..\RunOnce: [SpybotDeletingA3061] command /c del "c:\resycled\boot.com"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC4577] cmd /c del "c:\resycled\boot.com"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA2232] command /c del "C:\WINDOWS\system32\kdpwj.exe"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC5784] cmd /c del "C:\WINDOWS\system32\kdpwj.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
    O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
    O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
    O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
    O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
    O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: NameServer = 85.255.112.117;85.255.112.149
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: NameServer = 85.255.112.117;85.255.112.149
    O17 - HKLM\System\CS1\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: NameServer = 85.255.112.117;85.255.112.149
    O17 - HKLM\System\CS2\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: NameServer = 85.255.112.117;85.255.112.149
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
    O20 - AppInit_DLLs: avgrsstx.dll
    O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
    O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    0
  3. Utilisateur anonyme
     
    Salut,

    # Télécharge ceci: (merci a S!RI pour ce petit programme).

    http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    Exécute le, Double click sur Smitfraudfix.exe choisit l’option 5,
    voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
    il va générer un rapport : copie/colle le sur le poste stp.

    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. helliumsdirtbox Messages postés 26 Statut Membre
     
    Voilà le rapport. Merci d'avance

    SmitFraudFix v2.379

    Rapport fait à 18:23:43,73, 29/11/2008
    Executé à partir de C:\Program Files\Mozilla Firefox\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

    Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

    Description: Carte Fast Ethernet PCI de base SiS 900 - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 85.255.112.117;85.255.112.149

    Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

    Description: 802.11 USB Wireless LAN Adapter - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 85.255.112.117;85.255.112.149

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: DhcpNameServer=85.255.112.117;85.255.112.149
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: NameServer=85.255.112.117;85.255.112.149
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: NameServer=85.255.112.117;85.255.112.149
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: DhcpNameServer=85.255.112.117;85.255.112.149
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: NameServer=85.255.112.117;85.255.112.149
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: NameServer=85.255.112.117;85.255.112.149
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: DhcpNameServer=85.255.112.117;85.255.112.149
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: NameServer=85.255.112.117;85.255.112.149
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: DhcpNameServer=85.255.112.117;85.255.112.149
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: NameServer=85.255.112.117;85.255.112.149
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix
    0
  6. Utilisateur anonyme
     
    Telecharge UsbFix sur ton bureau

    --> Lance l installation avec les parametres par default

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    --> Double clic sur le raccourci UsbFix sur ton bureau

    -->choisi l option 1 (nettoyage)

    --> Le pc va redémarer

    -->Apres redémarrage post le rapport UsbFix.txt

    Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
    0
  7. helliumsdirtbox Messages postés 26 Statut Membre
     
    je ne trouve pas le rapport

    en revanche il m'a dit : 421 too many connection to this IP
    0
  8. helliumsdirtbox Messages postés 26 Statut Membre
     
    au passage j'ai plus accès à mon 2eme disque dur interne
    0
  9. Utilisateur anonyme
     
    oui ça m étonne pas

    on verra ça ensuite

    passe malearebyte
    0
  10. helliumsdirtbox Messages postés 26 Statut Membre
     
    en tout cas merci de ton aide.

    Il scan là.

    en revanche je suis vert mais je vais devoir y aller, (une jolie fille à ne pas faire attendre, je suppose que tu me comprends) ^^

    pourrais on se recontacter par mail? genre demain en début d'après midi? ou sur msn (comme tu veux)
    0
  11. Utilisateur anonyme
     
    ok je comprend

    ça sera sur le site sur cette meme conversation

    ps : oublie pas les preservatifs -;)

    Bonne soirée
    0
  12. helliumsdirtbox Messages postés 26 Statut Membre
     
    non tkt ^^ ... bah écoute j'espère que demain on arrivera à se recapter.

    Le scan prend longtemps sinon je peux encore attendre 5 min
    0
  13. Utilisateur anonyme
     
    non ça risque de durer genre 1H

    le mieux est que tu ailles rejoindre ta belle et on reprendra demain

    @+
    0
  14. helliumsdirtbox Messages postés 26 Statut Membre
     
    oki merci énormément pour ton aide. Je serais connecté vers 13h demain.

    Encore mille merci. Je donnerais ton pseudo à mon préservatif ce soir (quel honneur ^^)

    bye bonne soirée à toi aussi
    0
  15. helliumsdirtbox Messages postés 26 Statut Membre
     
    bon re ... j'ai fait un scan et apparemment il a supprimé pas mal de cochonnerie

    voilà le rapport

    Malwarebytes' Anti-Malware 1.30
    Version de la base de données: 1434
    Windows 5.1.2600 Service Pack 2

    30/11/2008 03:45:51
    mbam-log-2008-11-30 (03-45-43).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 151295
    Temps écoulé: 1 hour(s), 34 minute(s), 38 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 14
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sexvid (Trojan.DNSChanger) -> No action taken.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)
    0
  16. Utilisateur anonyme
     
    re

    tu as supprimé , ? No action taken

    de plus le rapport est incomplet
    0
  17. helliumsdirtbox Messages postés 26 Statut Membre
     
    oui j'ai supprimé ... du coup il a enregistré ce rapport là
    0
  18. Utilisateur anonyme
     
    réouvre malewarebyte
    va sur rapport/log

    et post le rapport apres suppression stp
    0
  19. helliumsdirtbox Messages postés 26 Statut Membre
     
    je vais manger je re dans 20 minutes.

    Encore merci de m'aider et d'être au rendez vous tu rox
    0
  • 1
  • 2
  • 3