Zlob.dnschanger.rtk... et autre ?

Luana -  
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,

Aujourd'hui dans le doute d'avoir quelques saletés dans mon pc, j'ai réalisé une analyse Spybot qui m'a trouvé 2-3 trucs, dont le trojan Zlob.dnschanger.rtk, qui refuse de dégager malgré plusieurs corrections des problèmes.
J'ai ensuite fait une analyse Ad-Aware qui lui m'a trouvé des Hosts File entry et un malware. Et voici une analyse hijackthis pour voir un peu ce qui va pas ^^

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:16, on 04/12/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Windows\PLFSetI.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\UMStor\Res.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Windows\ehome\ehmsas.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Users\P\AppData\Local\Temp\RtkBtMnt.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Acer\ALaunch\ALaunchSvc.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\System32\alg.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\P\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [PLFSetL] C:\Windows\\PLFSetL.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Windows\UMStor\Res.EXE
O4 - HKLM\..\Run: [501.tmp] C:\Windows\temp\501.tmp
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA8173] command /c del "c:\resycled\boot.com"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5302] cmd /c del "c:\resycled\boot.com"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5038] command /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3506] cmd /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3214] command /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2331] cmd /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\RunOnce: [SpybotDeletingB5365] command /c del "c:\resycled\boot.com"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2789] cmd /c del "c:\resycled\boot.com"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9000] command /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8771] cmd /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5978] command /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2251] cmd /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.systemrequirementslab.com/cyri
O17 - HKLM\System\CCS\Services\Tcpip\..\{17DF5725-0FAF-45AB-920E-2C80F827C0FB}: NameServer = 85.255.112.137;85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{D590B405-8975-45EC-AA3D-9B3C8283FCED}: NameServer = 85.255.112.137;85.255.112.235
O17 - HKLM\System\CS1\Services\Tcpip\..\{17DF5725-0FAF-45AB-920E-2C80F827C0FB}: NameServer = 85.255.112.137;85.255.112.235
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdnuj.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 11320 bytes

Merci d'avance de votre aide :)
Configuration: Windows Vista
Firefox 3.0.4

18 réponses

  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour,

    1) Durant la désinfection de ton ordinateur, les différentes manipulations doivent s’effectuer en tant qu’administrateur.

    Dans le panneau de configuration, choisir l’affichage classique.

    Dans Comptes d’Utilisateurs --> activer ou désactiver le contrôle des comptes d’utilisateurs
    Puis décoche la ligne "Utiliser le controle .. "
    Il te sera demandé de redémarrer l’ordinateur. Accepte.

    2) tu télécharges smitfraudfix :

    En image :
    http://siri.urz.free.fr/Fix/SmitfraudFix.php
    http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

    tu double cliques sur smitfraudfix.cmd et tu choisis l' option 1 .
    Un rapport sera crée.
    Copie/colle le rapport dans ton prochain message.

    A+
    0
  2. Luana
     
    Voilà qui est fait, le rapport me fait peur x)

    SmitFraudFix v2.381

    Scan done at 16:30:21,40, 04/12/2008
    Run from C:\Users\P\Desktop\SmitfraudFix
    OS: Microsoft Windows [version 6.0.6001] - Windows_NT
    The filesystem type is NTFS
    Fix run in normal mode

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Windows\RtHDVCpl.exe
    C:\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
    C:\Windows\PLFSetI.exe
    C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
    C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Windows\UMStor\Res.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
    C:\Windows\ehome\ehmsas.exe
    C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
    C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
    C:\Program Files\Apoint2K\ApMsgFwd.exe
    C:\Users\P\AppData\Local\Temp\RtkBtMnt.exe
    C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Program Files\OrangeHSS\systray\systrayapp.exe
    C:\Acer\Empowering Technology\eAudio\eAudio.exe
    C:\Acer\ALaunch\ALaunchSvc.exe
    C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
    C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
    C:\Acer\Empowering Technology\eNet\eNet Service.exe
    C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    C:\Acer\Mobility Center\MobilityService.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Windows\system32\DRIVERS\xaudio.exe
    C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
    C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
    C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\system32\wbem\unsecapp.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\System32\alg.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\Windows Media Player\wmpnetwk.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Windows\system32\conime.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Windows\system32\SearchProtocolHost.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Windows\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    hosts file corrupted !

    127.0.0.1 www.legal-at-spybot.info
    127.0.0.1 legal-at-spybot.info

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\P

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\P\AppData\Local\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\P\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu

    C:\Users\P\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\homeview FOUND !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\P\FAVORI~1

    »»»»»»»»»»»»»»»»»»»»»»»» Desktop

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, following keys are not inevitably infected!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, following keys are not inevitably infected!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, following keys are not inevitably infected!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, following keys are not inevitably infected!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""
    "LoadAppInit_DLLs"=dword:00000000

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\Windows\\system32\\userinit.exe,"

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

    Description: Broadcom NetLink (TM) Gigabit Ethernet
    DNS Server Search Order: 85.255.112.137;85.255.112.235

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{17DF5725-0FAF-45AB-920E-2C80F827C0FB}: DhcpNameServer=192.168.1.1 192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{17DF5725-0FAF-45AB-920E-2C80F827C0FB}: NameServer=85.255.112.137;85.255.112.235
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{D590B405-8975-45EC-AA3D-9B3C8283FCED}: DhcpNameServer=85.255.112.137;85.255.112.235
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{D590B405-8975-45EC-AA3D-9B3C8283FCED}: NameServer=85.255.112.137;85.255.112.235
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{17DF5725-0FAF-45AB-920E-2C80F827C0FB}: DhcpNameServer=192.168.1.1 192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{17DF5725-0FAF-45AB-920E-2C80F827C0FB}: NameServer=85.255.112.137;85.255.112.235
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{D590B405-8975-45EC-AA3D-9B3C8283FCED}: DhcpNameServer=85.255.112.137;85.255.112.235
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{D590B405-8975-45EC-AA3D-9B3C8283FCED}: NameServer=85.255.112.137;85.255.112.235
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{17DF5725-0FAF-45AB-920E-2C80F827C0FB}: DhcpNameServer=192.168.1.1 192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{D590B405-8975-45EC-AA3D-9B3C8283FCED}: DhcpNameServer=192.168.1.1 192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

    »»»»»»»»»»»»»»»»»»»»»»»» End
    0
  3. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Redémarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 à l’allumage du pc sans t’arrêter.

    Une fenêtre va s’ouvrir. Choisis démarrer en mode sans échec puis tape entrée.
    Choisis ton compte.

    Relance le programme Smitfraud,
    Cette fois choisis l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal,
    copie/colle le rapport sauvegardé sur le forum.

    A+
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bien joué. Effectivement, il y avait ton fichier hosts qui apparaissait.

    Pour cette manipulation, je te conseille de noter ou d'imprimer ce texte car la désinfection va se faire en mode sans échec et tu n'auras pas accès à Internet pour visualiser les consignes.
    Autre astuce : Copie/colle le texte dans un fichier .txt que tu enregistres sur ton bureau. Tu le retrouveras alors sur ton bureau et en mode sans échec.

    Tu télécharges MalwareBytes.
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tu l'installes. Choisis les options par défaut.
    A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’exécuter .
    Ne choisis que la mise à jour. Le logiciel sera lancé en mode sans échec.

    Tu relances l'ordinateur en mode sans échec ( tapote la touche F8 après redémarrage ).
    Tu choisis ton compte utilisateur.

    Pour lancer MalwareBytes, double-clique sur le raccourci du bureau.

    Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
    Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
    Clique sur lancer l’examen.

    A la fin de la recherche, Comme il est demandé, clique sur afficher les résultats de la recherche.
    Choisis alors Supprimer la selection pour nettoyer les infections.
    Tu postes le rapport dans ton prochain message.

    Si tu ne le retrouves pas, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est.
    Clique dessus et choisir ouvrir.

    Le scan prend en moyenne 50 mn.

    A+
    0
  6. Luana
     
    Le scan n'a pris que 16min, je sais pas si c'est normal... ^^

    En tout cas, voilà le rapport !

    Malwarebytes' Anti-Malware 1.31
    Version de la base de données: 1460
    Windows 6.0.6001 Service Pack 1

    04/12/2008 17:55:54
    mbam-log-2008-12-04 (17-55-54).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 138953
    Temps écoulé: 16 minute(s), 46 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 7
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Tribute Service (Trojan.Agent) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\501.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{17df5725-0faf-45ab-920e-2c80f827c0fb}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.137;85.255.112.235 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{d590b405-8975-45ec-aa3d-9b3c8283fced}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.137;85.255.112.235 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{17df5725-0faf-45ab-920e-2c80f827c0fb}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.137;85.255.112.235 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{d590b405-8975-45ec-aa3d-9b3c8283fced}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.137;85.255.112.235 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{17df5725-0faf-45ab-920e-2c80f827c0fb}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.137;85.255.112.235 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{d590b405-8975-45ec-aa3d-9b3c8283fced}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.137;85.255.112.235 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{d590b405-8975-45ec-aa3d-9b3c8283fced}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.137;85.255.112.235 -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\homeview\Uninstall.lnk (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\Program Files\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    0
  7. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Poste moi un rapport Hijackthis ( click droit --> exécuter en tant qu'administrateur ), stp.

    A+
    0
  8. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Super. le rapoort Hijackthis montre que le détournement de DNS a été nettoyé.
    Cela voulait dire que ton surf était détourné vers un site ukrainien qui examinait ce que tu visitais comme sites !

    Lance Hijackthis ( click droit --> exécuter en tant qu'administrateur ) et tu choisis " Do a system scan only ".
    Tu sélectionnes les lignes suivantes :

    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)


    Tu choisis l'option " Fixchecked " en bas de la page.

    Cela te dit quelque chose Sonix software ?
    Il est installé sur ton PC.
    Peux-tu regarder ?

    Autre chose, tu n'as pas de parefeu d'installé, a moins que tu n'utilises celui de vista.

    A+
    0
  9. Luana
     
    Sonix software ? Euh non pas grand chose Oo
    Je vais voir ce que c'est

    Ouip j'utilise le pare-feu de Vista, je sais pas s'il est vraiment utile mais bon ^^
    0
  10. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Tu vas faire un scan en ligne sur le site de nod32
    https://www.eset.com/

    Uniquement pour IE.

    Installe l'activeX ( en dessous de la barre de liens )
    A la fin du scan clique sur Remove Found Threats ( --> suprime la sélection )
    puis cliquer sur scan pour le lancer.

    A la fin, colle le rapport ; il se trouve en : C:\Program Files\EsetOnlineScanner\log.txt

    A+
    0
  11. Luana
     
    Voilà ce qu'il a trouvé :

    # version=4
    # OnlineScanner.ocx=1.0.0.56
    # OnlineScannerDLLA.dll=1, 0, 0, 51
    # OnlineScannerDLLW.dll=1, 0, 0, 51
    # OnlineScannerUninstaller.exe=1, 0, 0, 49
    # vers_standard_module=3664 (20081204)
    # vers_arch_module=1.064 (20080214)
    # vers_adv_heur_module=1.064 (20070717)
    # EOSSerial=6d51615dfcafce47a8996926feba7783
    # end=finished
    # remove_checked=true
    # unwanted_checked=false
    # utc_time=2008-12-04 10:00:52
    # local_time=2008-12-04 11:00:52 (+0100, Paris, Madrid)
    # country="France"
    # osver=6.0.6001 NT Service Pack 1
    # scanned=315393
    # found=1
    # scan_time=2362
    D:\resycled\boot.com a variant of Win32/Olmarik.H trojan (unable to clean - deleted) 00000000000000000000000000000000
    0
  12. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bon, on avance.

    Les rapports sont bons mais j'aimerais vérifier une chose.

    Télécharges Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
    http://images.malwareremoval.com/random/RSIT.exe

    Déconnecte toi et ferme toutes tes applications en cours.

    click droit et exécuter en tant qu'administrateur sur " RSIT.exe " pour le lancer .
    dans la fenêtre qui va s’ouvrir choisis 2 months pour l'option "List files/folders created ..." ,
    cliques ensuite sur " Continue " pour lancer l'analyse ...

    Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

    Attends jusqu’à la fin de l’analyse.
    deux rapports vont être generés.

    Poste le contenu de " log.txt ", ainsi que de " info.txt " ( dans la barre des tâches), pour analyse et attends la suite ...

    Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.

    A+
    0
  13. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    1) Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.
    http://oldtimer.geekstogo.com/OTMoveIt3.exe

    Double-clique sur OTMoveIt.exe pour le lancer.
    Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.


    :Files
    c:\resycled\boot.com
    C:\Windows\System32\kdnuj.exe


    clique sur MoveIt! pour lancer la suppression.
    Le résultat apparaitra dans le cadre "Results".
    Clique sur Exit pour fermer.

    Poste le rapport ( fichier .log ) situé dans C:\_OTMoveIt\MovedFiles.
    Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

    2) On s'attaque aux protections de ton PC.
    Commence par installer un antivirus.

    Télécharge et installe Antivir ( en français )
    https://www.avira.com/

    Aide toi du tuto suivant si tu le veux.
    https://kerio.probb.fr/t3106-tuto-antivir-antivirus-version-franaise

    Mets à jour Antivir et lance un scan complet :
    Pour cela, clique sur l'onglet Protection Locale puis Scanner
    Choisis les éléments à scanner ( disques durs locaux ).
    Lance le scan. Lorsque le scan est terminé, tu as la possibilité de générer un rapport en cliquant sur le bouton rapport.
    Poste le rapport.

    A+
    0
  14. Luana
     
    Le scan d'Antivir est en cours, mais OTMoveIt3 n'a rien trouvé :

    ========== FILES ==========
    File/Folder C:\resycled\boot.com not found.
    File/Folder C:\Windows\System32\kdnuj.exe not found.

    OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12052008_143318
    0
  15. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    On va installer un parefeu. C'est un peu compliqué car les parefeus actuels peuvent être capricieux.
    Ils interfèrent dans toutes les applications qui veulent accéder au net.
    Tu as donc dans un premier temps des alertes qui te demandent si tu acceptes ou pas que tel ou tel programme accède à tel ou tel autre programme.

    Si tu n'es pas très habitué à ce genre d'alertes, je te conseille de ne pas choisir un niveau trop élevé de protections. Ce sera suffisant mais tu ne seras pas gené tout le temps.

    je t'indique trois produits. Installe en un et dis moi ton choix.
    Essaie le et comprend le fonctionnement de ce type de protection.

    pare-feu gratuits :

    Zone alarm :
    https://www.malekal.com/tutoriel-zonealarm-firewall/

    - Comodo™ Firewall ( version 3.0 en anglais, sinon 2.4 multi-langues )
    https://www.malekal.com/tutorial-comodo-firewall/
    http://www.personalfirewall.comodo.com/download_firewall.html#fw2.4
    Attention décochez lors de l'installation les options relatives à AskBar

    - Kerio Personal Firewall
    https://www.malekal.com/tutorial-et-guide-counterspy/

    Le meilleur, à mon avis, est Comodo., mais il faut savoir le configurer.
    il y a différents niveaux de protection ( trial pour apprentissage, safe par défaut, .., paranoid déconseillé ).

    ZoneAlarm est connu. Lis le tuto. Il y a une partie Contrôle des programmes et leurs accès à internet. Ceci t'expliquera comment réagir avec les alertes.

    A+
    0