Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

PC infecté par zlob dns changer

Dernière réponse le 29 déc 2007 à 21:05:23 COCO27, le 29 déc 2007 à 14:45:15

Signaler ce message aux modérateurs

Bonjour,

J'ai un problème avec un virus récalcitrant : zlob dns changer (sous XP pack1). Spybot le détecte mais ne parvient pas à le détruire. J'ai consulté de nombreux Topics, fais d'innombrables scans avec d'innombrables utilitaires, en mode sans échec ou pas, mais la bestiole résiste. A court de solution, je viens solliciter l'aide d'une personne capable de comprendre un rapport hijack (que je tiens prêt).
Cette infection semble se traduire par un ralentissement des surfs (sous mozilla) et un affichage incomplet des pages qui finissent par s'afficher totalement en jouant avec précedent et suivant... ça énerve !
Merci par avance à la bonne âme qui me viendra en aide.

ps : Je n'ai pas de pare-feu (c'est pas bien du tout..) mais promis je vais installer Z.A.

Configuration: Windows XP
Firefox 2.0.0.11

Meilleures réponses pour « PC infecté par zlob dns changer » dans :

Infecté par zlob DNS changer (Résolu) Voir

Zlob dns changer Voir

Zlob dns changer detecté par spybot,, Voir

PC infecté par des rogues VoirQue faire si votre pc est infecté par un ou plusieurs rogues ?? Définition d'un rogue Procédure préliminaire à exécuter si vous êtes sous Vista 1. SmitfraudFix Option 1 - Recherche Option 2 - Nettoyage 2. MalwareByte's Anti...

[Virus] Que faire quand on est infecté ? VoirSi vous savez ou vous pensez être infecté par un virus Si vous savez ou vous pensez être infecté par un virus, il faut s'en occuper le plus rapidement possible car l'infection peut inviter d'autres infections dans votre PC et votre système risque...

Garder la connexion internet lors du changement d'utilisateur VoirIl arrive sur un PC, que lors du changement d'un utilisateur que le connexion internet soit coupée : * Pour garder la connexion lorsqu'un utilisateur ayant un compte sur le PC veut changer de session: Il faut effectuer un changement dans le...

Zlob dns moi aussi (Résolu) Voir

Zlob dns changer ...vient de m'attaquer .. Voir

PC infecté, mais je ne sais pas par quoi... Voir

Posez votre question Répondre

nardino, le 29 déc 2007 à 15:04:43

Bonjour,

Pas de pare-feu, pas de SP2, et tu t'étonnes.
Avec çà je vous mets une livre de cracks, deux louches de P2P, deux trois warez bien frais.
Et je vous indique où se trouve la poubelle pour y mettre "votre" pc, qui n'est d'ailleurs plus le votre.
Bref.

1°-Télécharge Antivir

-Antivir de Avira : http://www.free-av.com/

Clique sur "download here" en bas de la colonne Classic et dans la fenêtre suivante clique sur la version de ton système.
(Attention pas disponible pour Vista 64 bits.)

Enregistre le fichier (16.4 Mo) et installe le programme.
Voici un tutoriel pour ce faire et bien paramétrer le programme.

http://speedweb1.free.fr/frames2.php?page=tuto5
Merci à Tesgaz.

Mets-le à jour et referme-le.

2°-Démarrage en mode sans échec

Important de faire la procédure sous ce mode.
Il faut choisir la même session que celle qui est infectée et non pas la session Administrateur qui apparaît.

Après la fermeture de la première fenêtre, au tout début de la phase de démarrage du PC (boot), appuie sur F8.
Une fenêtre de type DOS s'ouvre, sélectionne [b]Mode sans échec[/b] à l'aide des flèches du clavier et clique sur Entrée (Enter).
Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire et peut prendre quelque minutes pour démarrer.

3°-Scan antivirus

Tu cliques sur l'icône du bureau pour lancer Antivir.
Dans l'onglet Scanner,; tu cliques sur la croix devant Manual Selection et tu coches Poste de travail.
Tu laisses tout coché pour la première analyse.
Tu cliques sur l'icône en forme de loupe en-dessous de Status pour lancer l'analyse qui peut durée une heure.
Il est préférable de ne pas s'éloigner pour répondre aux messages en cas d'alerte.
Tu choisis "Moved to quarantine" pour tout ce qu'il trouve.
Quand le scan est terminé, tu clique sur End.

4°-Redémarrage en mode normal

Tu postes le rapport Antivir.
Tu ouvres le programme et dans l'onglet Reports, choisi Scan avec la date correspondante, double-clique dessus et ensuite sur Report file
Fais un copier-coller de la totalité du rapport ici.
Ce programme sera désinstallé ou remplacera ton antivirus existant selon tes souhaits car il ne faut pas garder deux antivirus actifs en même temps.

Installe un vrai pare-feu:
http://www.personalfirewall.comodo.com/
Comodo™ Firewall
La version 2.4 si tu parle pas l'anglais.

@plus
nardino

Répondre à nardino

COCO27, le 29 déc 2007 à 15:35:04

Bonjour nardino,

En premier lieu, un grand merci pour ton aide. Je sais que tu as raison pour l'essentiel sauf pour :
. les 2 ou 3 warez (pas de ça chez moi... pas encore).
. je ne suis pas "étonné" d'avoir un virus les forums montrent la fréquence du problème.
. mon PC n'est pas encore destiné à la poubelle (pas avant que j'ai 1000 euros pour en racheter un bon).

Tes sarcasmes sont justifiés, je les prends donc avec humilité et sourire.
Concernant Antivir, ça tombe plutôt bien, c'est l'antivirus que j'utilise, je te post le report dans une grosse heure.

Merci, à tout à l'heure.

Répondre à COCO27

nardino, le 29 déc 2007 à 15:56:30

Re,
Tout ceci est dit sans méchanceté, simplement pour remuer un peu.
La fréquence des virus est directement proportionnelle aux causes que j'ai cité.
Un peu de lecture.
http://pagesperso-orange.fr/rue-du-montceau/pps/prevention.pdf

Peux-tu joindre un log Hijackthis à ton rapport Antivir ?
Télécharge Hijackthis de Trend Micro:
http://www.trendsecure.com/...
Installes-le.
Il sera dans C:\Program Files\TrendMicro\HijackThis2.0.2\HijackThis.exe

[*]Lances-le par Do a system scan and save a logfile.
[*]A la fin du scan, un blocnote va s'ouvrir, enregistre le sous HJT1.txt.
[*]Puis sans le fermer :
CTRL+A pour tout sélectionner
CTRL+C pour copier
CTRL+V pour coller dans la réponse
[*]Tu le refermes pour le moment.
[*]Tu attends les résultats de l'analyse.

@plus
nardino

Répondre à nardino

COCO27, le 29 déc 2007 à 17:16:34

Re,

Merci pour les liens, avec ça, j'ai du pain sur la planche mais depuis le temps que je dois sécuriser ce PC, cette fois plus d'excuses...

Voici le rapport antivir,pour moi, ça semble propre et pourtant Zlob est présent (dixit spybot) :

AntiVir PersonalEdition Classic
Report file date: samedi 29 décembre 2007 15:43

Scanning for 994689 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 1) [5.1.2600]
Username: moi
Computer name: moi01

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 13/10/2007 08:30:12
AVSCAN.DLL : 7.0.6.0 49192 Bytes 13/10/2007 08:30:12
LUKE.DLL : 7.0.5.3 147496 Bytes 13/10/2007 08:30:13
LUKERES.DLL : 7.0.6.1 10280 Bytes 13/10/2007 08:30:13
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 08:30:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 11:10:57
ANTIVIR2.VDF : 7.0.1.170 311296 Bytes 28/12/2007 11:27:02
ANTIVIR3.VDF : 7.0.1.173 4608 Bytes 28/12/2007 11:27:02
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 28/12/2007 11:11:10
AVWINLL.DLL : 1.0.0.7 14376 Bytes 05/05/2007 00:39:34
AVPREF.DLL : 7.0.2.2 25640 Bytes 13/10/2007 08:30:12
AVREP.DLL : 7.0.0.1 155688 Bytes 05/05/2007 00:39:55
AVPACK32.DLL : 7.6.0.2 360488 Bytes 28/12/2007 11:11:23
AVREG.DLL : 7.0.1.6 30760 Bytes 13/10/2007 08:30:12
AVARKT.DLL : 1.0.0.20 278568 Bytes 13/10/2007 08:30:11
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 13/10/2007 08:30:12
NETNT.DLL : 7.0.0.0 7720 Bytes 05/05/2007 00:39:54
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 13/10/2007 08:30:02
RCTEXT.DLL : 7.0.62.0 86056 Bytes 13/10/2007 08:30:02
SQLITE3.DLL : 3.3.17.1 339968 Bytes 13/10/2007 08:30:13

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: samedi 29 décembre 2007 15:43

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '40' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!

End of the scan: samedi 29 décembre 2007 16:30
Used time: 47:18 min

The scan has been done completely.

2646 Scanning directories
148987 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
148987 Files not concerned
6371 Archives were scanned
2 Warnings
0 Notes

Navré de t'imposer cette pénible lecture mais puisque tu le demandes, alors voilà en plus le rapport hijack (c'est là que j'ai besoin de ton aide et de tes compétences car pour moi c'est du javanais :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:09:33, on 29/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\My Lockbox\flockbox.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Documents and Settings\STEPH\Bureau\utilitaires\gravure\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [flockbox] C:\Program Files\My Lockbox\flockbox.exe /a
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Documents and Settings\STEPH\Bureau\utilitaires\gravure\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E6B68AD-5D08-407A-8928-605E465ED2FA}: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{32C91A4C-E572-4627-89AD-4F761E51AFAC}: NameServer = 85.255.113.134 85.255.112.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{D69028A1-D027-4C34-8C32-C03C496E990D}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E6B68AD-5D08-407A-8928-605E465ED2FA}: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E6B68AD-5D08-407A-8928-605E465ED2FA}: NameServer = 208.67.220.220 208.67.222.222
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
End of file - 5070 bytes

Je reste en veille en attente du bilan, bon courage à toi, à bientôt et encore merci.

Répondre à COCO27

nardino, le 29 déc 2007 à 17:37:07

Bonjour,
Infection par Wareout.
Télécharge FixWareout.exe :
http://downloads.subratam.org/Fixwareout.exe
ou
http://download.bleepingcomputer.com/lonny/Fixwareout.exe
Enregistre le fichier sur le Bureau.

Ferme tous les programmes en cours..
Double-clique sur FixWareout.exe pour le lancer.
Clique sur "Next", puis sur "Install"
Vérifie que la case "Run fixit" est cochée et clique sur "Finish".
Suivre les messages affichés dans la fenêtre type DOS:

"Appuyer sur une touche pour continuer ...", appuyer n'importe quelle touche du clavier.

Il est demandé de redémarrer l'ordinateur:
A l'affichage d'une fenêtre 'BFU', "Please allow your system to reboot ...": cliquer sur OK.
A l'affichage d'une fenêtre 'System Settings Change', "You must restart your computer before the new settings ...": cliquer sur Oui/Yes.

Le système va mettre plus de temps que d'habitude pour démarrer: c'est normal.

Après le redémarrage, suivre les invites des messages:
-Affichage d'une fenêtre 'BFU', "Beginning fix;", cliquer sur OK.
-Affichage d'une fenêtre 'BFU', "Still working. Please be patient.", cliquer sur OK.
-Affichage d'une fenêtre 'BFU', "Finished!", cliquer sur OK.

Un rapport C:\fixwareout\report.txt sera créé, copier-coller ce dernier dans la prochaine réponse avec un nouveau rapport Hijackthis établi en mode normal.

Si nécessaire
Aller dans Démarrer - Panneau de configuration - Connexions, clic droit sur la connexion - Propriétés - onglet Gestion de réseau
Mettre en surbrillance Protocole Internet (TCP/IP) puis cliquer sur le bouton Propriétés.
Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne 017 :
(85.255.114.73 85.255.112.227 etc...)

Pour les éliminer, cocher : "Obtenir les adresses des serveurs DNS automatiquement" puis cliquer 2 fois sur"Ok" et redémarrer le PC.

@plus
nardino

Répondre à nardino

COCO27, le 29 déc 2007 à 18:20:57

Zlob suite,

Bon ok, mon zlob est en fait Wareout, un grand merci à toi pour la rapidité et l'efficacité de ton analyse, puisque l'histoire est en bonne voie alors poursuivons.
J'ai effectué le fixwareout et coché "DNS AUTO" dans la connexion mais pas encore relancé le PC.

Voici le rapport fixwareout :

Username "STEPH" - 29/12/2007 17:52:57 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.

System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=dword:00000000
....
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion "ctcsc" Value deleted
HKCR\CLSID\{1B307FE1-3D7C-4482-A711-764732BE1DB5}\_h\4 Deleted.
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NeroCheck"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"flockbox"="C:\\Program Files\\My Lockbox\\flockbox.exe /a"
"HP Software Update"="C:\\Program Files\\Hewlett-Packard\\HP Software Update\\HPWuSchd2.exe"
"DAEMON Tools"="\"C:\\Documents and Settings\\STEPH\\Bureau\\utilitaires\\gravure\\DAEMON Tools\\daemon.exe\" -lang 1033"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\System32\\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Et un nouveau rapport hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12:36, on 29/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\My Lockbox\flockbox.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Documents and Settings\STEPH\Bureau\utilitaires\gravure\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [flockbox] C:\Program Files\My Lockbox\flockbox.exe /a
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Documents and Settings\STEPH\Bureau\utilitaires\gravure\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E6B68AD-5D08-407A-8928-605E465ED2FA}: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{32C91A4C-E572-4627-89AD-4F761E51AFAC}: NameServer = 85.255.113.134 85.255.112.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{D69028A1-D027-4C34-8C32-C03C496E990D}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E6B68AD-5D08-407A-8928-605E465ED2FA}: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E6B68AD-5D08-407A-8928-605E465ED2FA}: NameServer = 208.67.220.220 208.67.222.222
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
End of file - 5153 bytes

Je n'ose même plus te souhaiter bon courage, après tout ça...

Je m'absente 1 heure, mille excuses pour te laisser en plan alors que tu offres une aide précieuse et bénévole mais je n'ai pas le choix. Je reprends le fil dès mon retour.

A tout à l'heure.

Répondre à COCO27

nardino, le 29 déc 2007 à 19:30:58

Bonsoir.

Tu lances hijackthis par scan only et tu coches toutes les 017 puis Fix checked.
Puis tu recommences pour les DNS.
(Aller dans Démarrer - Panneau de configuration - Connexions, clic droit sur la connexion - Propriétés - onglet Gestion de réseau
Mettre en surbrillance Protocole Internet (TCP/IP) puis cliquer sur le bouton Propriétés.
Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera ces adresses présentes dans le rapport hijackthis en ligne 017 )
Pour les éliminer, cocher : "Obtenir les adresses des serveurs DNS automatiquement" puis cliquer 2 fois sur"Ok" et redémarrer le PC.

Et poste un Hijackthis tout neuf et tout propre.
@plus
nardino

Répondre à nardino

COCO27, le 29 déc 2007 à 19:35:06

Retour pour fin de désinfection,

Bon, après une courte absence, je suis prêt à en finir avec le wareout.
Je reste en veille dans l'attente de ta réponse nardino.

A plus.

Répondre à COCO27

COCO27, le 29 déc 2007 à 19:55:35

Voilà un nouveau rapport tout beau, tout neuf :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:44, on 29/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\My Lockbox\flockbox.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Documents and Settings\STEPH\Bureau\utilitaires\gravure\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [flockbox] C:\Program Files\My Lockbox\flockbox.exe /a
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Documents and Settings\STEPH\Bureau\utilitaires\gravure\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
End of file - 4529 bytes

Les méchantes lignes 017 sont parties, les DNS sont sur automatiques et donc il n'y a plus rien dans les DNS préférées ou auxiliaires.

Il me reste 2 questions subsidiaires :

1- Mon dernier hijack est-il bien propre ?
2- S'il l'est, je vais de ce pas installer un pare-feu et là, j'ai un cas de conscience, tu me recommandes comodo (et tes conseils sont précieux) mais je connais zone-alarm qui n'est pas trop pénible (pour un firewall...tout est relatif) et je sais le paramétrer, alors je demande une confirmation et me rangerai à ton avis.

Merci (une fois de plus mais avec grande sincérité).

A plus.

COCO27

Répondre à COCO27

nardino, le 29 déc 2007 à 20:50:39

Bonsoir.
Le dernier rapport est propre.
Pour le pare-feu, Comodo est beaucoup plus efficace car il intègre une protection du système.
La version 2.4 est en français .
Il y a aussi PCtools Personal Firewall.
http://www.pctools.com/fr/firewall/
PC Tools Firewall Plus
Autre conseil, installe le SP2:
-Pack SP2 pour Windows XP
http://www.microsoft.com/...
Ton système sera moins vulnérable.
@plus
nardino

Répondre à nardino

COCO27, le 29 déc 2007 à 21:05:23

Youpi,

Bravo, bravo et encore merci pour le dépannage et la petite morale (bien méritée). Je cours sur le lien de début de discussion pour télécharger Comodo et passer au pack2 de XP.
De toute façon je peux me lancer, je crains plus rien, je sais que tu es là ;).

Alors à bientôt peut-être, merci à toi et à toute l'équipe de "commentçamarche".

COCO27;

Répondre à COCO27

Posez votre question Répondre