Zlob.dnschanger.rtk... et autre ?Fermé

Question

Bonjour,

Aujourd'hui dans le doute d'avoir quelques saletés dans mon pc, j'ai réalisé une analyse Spybot qui m'a trouvé 2-3 trucs, dont le trojan Zlob.dnschanger.rtk, qui refuse de dégager malgré plusieurs corrections des problèmes.
J'ai ensuite fait une analyse Ad-Aware qui lui m'a trouvé des Hosts File entry et un malware. Et voici une analyse hijackthis pour voir un peu ce qui va pas ^^

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:16, on 04/12/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Windows\PLFSetI.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\UMStor\Res.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Windows\ehome\ehmsas.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Users\P\AppData\Local\Temp\RtkBtMnt.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Acer\ALaunch\ALaunchSvc.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\System32\alg.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\P\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [PLFSetL] C:\Windows\PLFSetL.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Windows\UMStor\Res.EXE
O4 - HKLM\..\Run: [501.tmp] C:\Windows	emp\501.tmp
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA8173] command /c del "c:esycled\boot.com"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5302] cmd /c del "c:esycled\boot.com"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5038] command /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3506] cmd /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3214] command /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2331] cmd /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\RunOnce: [SpybotDeletingB5365] command /c del "c:esycled\boot.com"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2789] cmd /c del "c:esycled\boot.com"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9000] command /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8771] cmd /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5978] command /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2251] cmd /c del "C:\Windows\System32\kdnuj.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.systemrequirementslab.com/cyri
O17 - HKLM\System\CCS\Services\Tcpip\..\{17DF5725-0FAF-45AB-920E-2C80F827C0FB}: NameServer = 85.255.112.137;85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{D590B405-8975-45EC-AA3D-9B3C8283FCED}: NameServer = 85.255.112.137;85.255.112.235
O17 - HKLM\System\CS1\Services\Tcpip\..\{17DF5725-0FAF-45AB-920E-2C80F827C0FB}: NameServer = 85.255.112.137;85.255.112.235
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdnuj.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

verni29 · Answer

Bonjour,

1) Durant la désinfection de ton ordinateur, les différentes manipulations doivent s’effectuer en tant qu’administrateur.

Dans le  panneau de configuration, choisir l’affichage classique.

Dans Comptes d’Utilisateurs  --> activer ou désactiver le contrôle des comptes d’utilisateurs
Puis décoche la ligne "Utiliser le controle .. "
Il te sera demandé de redémarrer l’ordinateur. Accepte.

2) tu télécharges smitfraudfix : 

En image : 
http://siri.urz.free.fr/Fix/SmitfraudFix.php 
http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

tu double cliques sur smitfraudfix.cmd et tu choisis l' option 1 .
Un  rapport sera crée. 
Copie/colle le rapport dans ton prochain message.

A+

Luana · Answer

Voilà qui est fait, le rapport me fait peur x)

SmitFraudFix v2.381

Scan done at 16:30:21,40, 04/12/2008
Run from C:\Users\P\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Windows\PLFSetI.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\UMStor\Res.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Windows\ehome\ehmsas.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Users\P\AppData\Local\Temp\RtkBtMnt.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Acer\ALaunch\ALaunchSvc.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\System32\alg.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1	www.legal-at-spybot.info
127.0.0.1	legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\P


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\P\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\P\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\Users\P\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\homeview FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\P\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000000


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\system32\userinit.exe,"


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

Description: Broadcom NetLink (TM) Gigabit Ethernet
DNS Server Search Order: 85.255.112.137;85.255.112.235

HKLM\SYSTEM\CCS\Services\Tcpip\..\{17DF5725-0FAF-45AB-920E-2C80F827C0FB}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{17DF5725-0FAF-45AB-920E-2C80F827C0FB}: NameServer=85.255.112.137;85.255.112.235
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D590B405-8975-45EC-AA3D-9B3C8283FCED}: DhcpNameServer=85.255.112.137;85.255.112.235
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D590B405-8975-45EC-AA3D-9B3C8283FCED}: NameServer=85.255.112.137;85.255.112.235
HKLM\SYSTEM\CS1\Services\Tcpip\..\{17DF5725-0FAF-45AB-920E-2C80F827C0FB}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{17DF5725-0FAF-45AB-920E-2C80F827C0FB}: NameServer=85.255.112.137;85.255.112.235
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D590B405-8975-45EC-AA3D-9B3C8283FCED}: DhcpNameServer=85.255.112.137;85.255.112.235
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D590B405-8975-45EC-AA3D-9B3C8283FCED}: NameServer=85.255.112.137;85.255.112.235
HKLM\SYSTEM\CS2\Services\Tcpip\..\{17DF5725-0FAF-45AB-920E-2C80F827C0FB}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D590B405-8975-45EC-AA3D-9B3C8283FCED}: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

verni29 · Answer

Redémarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 à l’allumage du pc sans t’arrêter. 

Une fenêtre va s’ouvrir. Choisis démarrer en mode sans échec puis tape entrée. 
Choisis ton compte.
 
Relance le programme Smitfraud, 
Cette fois choisis l’option 2, répond oui a tous ; 
Sauvegarde le rapport, Redémarre en mode normal, 
copie/colle le rapport sauvegardé sur le forum.

A+

Luana · Answer

Voilà c'est fait, le rapport étant un peu long je l'ai mis sur Cjoint ^^

https://www.cjoint.com/?merfUDfK8W

verni29 · Answer

Bien joué. Effectivement, il y  avait ton fichier hosts qui apparaissait.

Pour cette manipulation, je te conseille de noter ou d'imprimer ce texte car la désinfection va se faire en mode sans échec et tu n'auras pas accès à Internet pour visualiser les consignes.
Autre astuce : Copie/colle le texte dans un fichier .txt que tu enregistres sur ton bureau. Tu le retrouveras alors sur ton bureau et en mode sans échec.

Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’exécuter . 
Ne choisis que la mise à jour. Le logiciel sera lancé en mode sans échec. 

Tu relances l'ordinateur en mode sans échec ( tapote la touche F8 après redémarrage ). 
Tu choisis ton compte utilisateur. 

Pour lancer MalwareBytes, double-clique sur le raccourci du bureau. 

Dans l’onglet Recherche, sélectionne Exécuter un examen complet. 
Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur. 
Clique sur lancer l’examen. 

A la fin de la recherche, Comme il est demandé, clique sur afficher les résultats de la recherche. 
Choisis alors Supprimer la selection pour nettoyer les infections. 
Tu postes le rapport dans ton prochain message.

Si tu ne le retrouves pas, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est.
Clique dessus et choisir ouvrir.

Le scan prend en moyenne 50 mn.

A+

Luana · Answer

Le scan n'a pris que 16min, je sais pas si c'est normal... ^^

En tout cas, voilà le rapport !

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1460
Windows 6.0.6001 Service Pack 1

04/12/2008 17:55:54
mbam-log-2008-12-04 (17-55-54).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 138953
Temps écoulé: 16 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Tribute Service (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\501.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{17df5725-0faf-45ab-920e-2c80f827c0fb}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.137;85.255.112.235 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{d590b405-8975-45ec-aa3d-9b3c8283fced}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.137;85.255.112.235 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{17df5725-0faf-45ab-920e-2c80f827c0fb}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.137;85.255.112.235 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{d590b405-8975-45ec-aa3d-9b3c8283fced}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.137;85.255.112.235 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{17df5725-0faf-45ab-920e-2c80f827c0fb}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.137;85.255.112.235 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{d590b405-8975-45ec-aa3d-9b3c8283fced}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.137;85.255.112.235 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{d590b405-8975-45ec-aa3d-9b3c8283fced}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.137;85.255.112.235 -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\homeview\Uninstall.lnk (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Quarantined and deleted successfully.

verni29 · Answer

Poste moi un rapport Hijackthis ( click droit --> exécuter en tant qu'administrateur ), stp.

A+

Luana · Answer

Et voilà !

https://www.cjoint.com/?meuo4YDKdz

verni29 · Answer

Super. le rapoort Hijackthis montre que le détournement de DNS a été nettoyé.
Cela voulait dire que ton surf était détourné vers un site ukrainien qui examinait ce que tu visitais comme sites !

Lance Hijackthis ( click droit --> exécuter en tant qu'administrateur ) et tu choisis " Do a system scan only  ".
Tu sélectionnes les lignes suivantes :

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
 
Tu choisis l'option " Fixchecked " en bas de la page.

Cela te dit quelque chose Sonix software ?
Il est installé sur ton PC.
Peux-tu regarder ?

Autre chose, tu n'as pas de parefeu d'installé, a moins que tu n'utilises celui de vista. 

A+

Luana · Answer

Sonix software ? Euh non pas grand chose Oo
Je vais voir ce que c'est

Ouip j'utilise le pare-feu de Vista, je sais pas s'il est vraiment utile mais bon ^^

verni29 · Answer

Tu vas faire un scan en ligne sur le site de nod32
https://www.eset.com/

Uniquement pour IE.

Installe l'activeX ( en dessous de la barre de liens )
A la fin du scan clique sur Remove Found Threats (  --> suprime la sélection )
puis cliquer sur scan pour le lancer.

A la fin, colle le rapport ; il se trouve en : C:\Program Files\EsetOnlineScanner\log.txt

A+

Luana · Answer

Voilà ce qu'il a trouvé :

# version=4
# OnlineScanner.ocx=1.0.0.56
# OnlineScannerDLLA.dll=1, 0, 0, 51
# OnlineScannerDLLW.dll=1, 0, 0, 51
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3664 (20081204)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.064 (20070717)
# EOSSerial=6d51615dfcafce47a8996926feba7783
# end=finished
# remove_checked=true
# unwanted_checked=false
# utc_time=2008-12-04 10:00:52
# local_time=2008-12-04 11:00:52 (+0100, Paris, Madrid)
# country="France"
# osver=6.0.6001 NT Service Pack 1
# scanned=315393
# found=1
# scan_time=2362
D:\resycled\boot.com	a variant of Win32/Olmarik.H trojan (unable to clean - deleted)	00000000000000000000000000000000

verni29 · Answer

Bon, on avance.

Les rapports sont bons mais j'aimerais vérifier une chose.

Télécharges Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau. 
http://images.malwareremoval.com/random/RSIT.exe 

Déconnecte toi et ferme toutes tes applications en cours.

click droit et exécuter en tant qu'administrateur sur " RSIT.exe " pour le lancer . 
dans la fenêtre qui va s’ouvrir choisis  2 months pour l'option "List files/folders created ..." , 
cliques ensuite sur " Continue " pour lancer l'analyse ... 

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence. 

Attends jusqu’à la fin de l’analyse.
deux rapports vont être generés. 

Poste le contenu de " log.txt ", ainsi que de " info.txt " ( dans la barre des tâches), pour analyse et attends la suite ... 

Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier  C:\rsit.

A+

Luana · Answer

Voilà le fichier info :

https://www.cjoint.com/?mfbDUo5AbP

Et le fichier log :

https://www.cjoint.com/?mfbEkFu2FO

Merci beaucoup de ton aide jusque là ^^

verni29 · Answer

1) Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau. 
http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt.exe pour le lancer. 
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous  Paste Instructions for Items to be Moved. 


:Files
c:\resycled\boot.com
C:\Windows\System32\kdnuj.exe 

clique sur MoveIt! pour lancer la suppression. 
Le résultat apparaitra dans le cadre "Results". 
Clique sur Exit pour fermer.

Poste le rapport ( fichier .log ) situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

2) On s'attaque aux protections de ton PC.
Commence par installer un antivirus.

Télécharge et installe Antivir ( en français )
https://www.avira.com/

Aide toi du tuto suivant si tu le veux.
https://kerio.probb.fr/t3106-tuto-antivir-antivirus-version-franaise

Mets à jour Antivir et lance un scan complet :
Pour cela, clique sur l'onglet Protection Locale  puis Scanner
Choisis les éléments à scanner ( disques durs locaux ).
Lance le scan. Lorsque le scan est terminé, tu as la possibilité de générer un rapport en cliquant sur le bouton rapport.
Poste le rapport.

A+

Luana · Answer

Le scan d'Antivir est en cours, mais OTMoveIt3 n'a rien trouvé :

========== FILES ==========
File/Folder C:\resycled\boot.com not found.
File/Folder C:\Windows\System32\kdnuj.exe not found.
 
OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12052008_143318

Luana · Answer

Et voici le rapport d'Antivir :

https://www.cjoint.com/?mfposQeNVu

verni29 · Answer

On va installer un parefeu. C'est un peu compliqué car les parefeus actuels peuvent être capricieux.
Ils interfèrent dans toutes les applications qui veulent accéder au net.
Tu as donc dans un premier temps des alertes qui te demandent si tu acceptes ou pas que tel ou tel programme accède à tel ou tel autre programme.

Si tu n'es pas très habitué à ce genre d'alertes, je te conseille de ne pas choisir un niveau trop élevé de protections. Ce sera suffisant mais tu ne seras pas gené tout le temps.

je t'indique trois produits. Installe en un et dis moi ton choix.
Essaie le et comprend le fonctionnement de ce type de protection.

pare-feu gratuits :

Zone alarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/

- Comodo™ Firewall ( version 3.0 en anglais, sinon 2.4 multi-langues )
https://www.malekal.com/tutorial-comodo-firewall/
http://www.personalfirewall.comodo.com/download_firewall.html#fw2.4
Attention décochez lors de l'installation les options relatives à AskBar

- Kerio Personal Firewall
https://www.malekal.com/tutorial-et-guide-counterspy/

Le meilleur, à mon avis, est Comodo., mais il faut savoir le configurer.
il y a différents niveaux de protection ( trial pour apprentissage, safe par défaut, .., paranoid déconseillé ).

ZoneAlarm est connu. Lis le tuto. Il y a une partie Contrôle des programmes et leurs accès à internet. Ceci t'expliquera comment réagir avec les alertes. 

A+

Zlob.dnschanger.rtk... et autre ?

18 réponses

Newsletters