Maudit Zlob dns changerRésolu/Fermé

Question

Bonjour,

Tout d'abord merci pour toute l'aide que vous allez m'apporter. J'ai parcouru plusieurs sujet et tenté de régler mon problème sans venir vous ennuyer mais ce maudit Zlob me casse les . ... pieds ^^

bref ma connexion internet devient méga chiante et une fois sur deux je suis obligé de réactualiser ma page qui se charge quand elle en a envie.

J'ai essayé de changer mon DNS moi même en entrant les DNS type que j'ai pu trouver su le net (80.246.ect)

... j'entre tout mes paramètres et que je click sur fermer. Mais quand j'ouvre de nouveau la fenêtre les paramètres reviennent comme si je n'avais rien modifié !!!

Ce maudit Zlob me met en serveur DNS préféré => 80.255.112.117

et pas moyen de le modifier. 

J'ai installé AVG antivirus et SpyBot tout les deux le détectent mais ne parviennent pas à l'éliminer. Il revient tout le temps.

Merci d'avance de toute l'aide que vous pourrez m'apporter.

Utilisateur anonyme · Accepted Answer

vas dans poste de travail
entre dans le disque C
post usbfix.txt


Telecharge malwarebytes 

Tu l´instale; le programme va se mettre automatiquement a jour. 

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression". 

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection. 

si il t´es demandé de redemarrer > click sur "yes". 

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum. 
Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log

helliumsdirtbox · Answer

j'ai fait un logfile su Hijackthis ... si ça peut aider


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:37, on 29/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\windows\system32\svchost.exe
C:\windows\System32\alg.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\windows\explorer.exe
C:\Program Files\Wireless LAN Utility\SiSCFG.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Documents and Settings\Admin\Bureau\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lo.st
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoBho - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [C:\windows\system32\kdpwj.exe] C:\windows\system32\kdpwj.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [LaunchList] C:\Program Files\Pinnacle\Studio 10\LaunchList.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\RunOnce: [NSSInstallation] C:\windows\system32\Adobe\Shockwave 11
ssstub.exe /RunOnce
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA3061] command /c del "c:esycled\boot.com"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4577] cmd /c del "c:esycled\boot.com"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2232] command /c del "C:\WINDOWS\system32\kdpwj.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5784] cmd /c del "C:\WINDOWS\system32\kdpwj.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: NameServer = 85.255.112.117;85.255.112.149
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: NameServer = 85.255.112.117;85.255.112.149
O17 - HKLM\System\CS1\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: NameServer = 85.255.112.117;85.255.112.149
O17 - HKLM\System\CS2\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: NameServer = 85.255.112.117;85.255.112.149
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

Utilisateur anonyme · Answer

Salut,

# Télécharge ceci: (merci a S!RI pour ce petit programme). 

http://siri.urz.free.fr/Fix/SmitfraudFix.exe 

Exécute le, Double click sur Smitfraudfix.exe choisit l’option 5, 
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php 
il va générer un rapport : copie/colle le sur le poste stp.

casimire666 · Answer

salut    va voir là  :     https://fr.pcthreat.com/

helliumsdirtbox · Answer

Voilà le rapport. Merci d'avance


SmitFraudFix v2.379

Rapport fait à 18:23:43,73, 29/11/2008
Executé à partir de C:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte Fast Ethernet PCI de base SiS 900 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.112.117;85.255.112.149

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: 802.11 USB Wireless LAN Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.112.117;85.255.112.149

HKLM\SYSTEM\CCS\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: DhcpNameServer=85.255.112.117;85.255.112.149
HKLM\SYSTEM\CCS\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: NameServer=85.255.112.117;85.255.112.149
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: NameServer=85.255.112.117;85.255.112.149
HKLM\SYSTEM\CS1\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: DhcpNameServer=85.255.112.117;85.255.112.149
HKLM\SYSTEM\CS1\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: NameServer=85.255.112.117;85.255.112.149
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: NameServer=85.255.112.117;85.255.112.149
HKLM\SYSTEM\CS2\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: DhcpNameServer=85.255.112.117;85.255.112.149
HKLM\SYSTEM\CS2\Services\Tcpip\..\{17FBB190-D9D3-4591-BAC5-6511E411CD88}: NameServer=85.255.112.117;85.255.112.149
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: DhcpNameServer=85.255.112.117;85.255.112.149
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: NameServer=85.255.112.117;85.255.112.149
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

Utilisateur anonyme · Answer

Telecharge UsbFix sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

-->choisi l option 1 (nettoyage)

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

helliumsdirtbox · Answer

je ne trouve pas le rapport

en revanche il m'a dit : 421 too many connection to this IP

helliumsdirtbox · Answer

au passage j'ai plus accès à mon 2eme disque dur interne

Utilisateur anonyme · Answer

oui ça m étonne pas

on verra ça ensuite

passe malearebyte

helliumsdirtbox · Answer

en tout cas merci de ton aide.

Il scan là.

en revanche je suis vert mais je vais devoir y aller, (une jolie fille à ne pas faire attendre, je suppose que tu me comprends) ^^

pourrais on se recontacter par mail? genre demain en début d'après midi? ou sur msn (comme tu veux)

Utilisateur anonyme · Answer

ok je comprend


ça sera sur le site sur cette meme conversation

ps : oublie pas les preservatifs -;)

Bonne soirée

helliumsdirtbox · Answer

non tkt ^^ ... bah écoute j'espère que demain on arrivera à se recapter.

Le scan prend longtemps sinon je peux encore attendre 5 min

Utilisateur anonyme · Answer

non ça risque de durer genre 1H 

le mieux est que tu ailles rejoindre ta belle et on reprendra demain

@+

helliumsdirtbox · Answer

oki merci énormément pour ton aide. Je serais connecté vers 13h demain.


Encore mille merci. Je donnerais ton pseudo à mon préservatif ce soir (quel honneur ^^)

bye bonne soirée à toi aussi

Utilisateur anonyme · Answer

LOL

@++

helliumsdirtbox · Answer

bon re ... j'ai fait un scan et apparemment il a supprimé pas mal de cochonnerie 

voilà le rapport

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1434
Windows 5.1.2600 Service Pack 2

30/11/2008 03:45:51
mbam-log-2008-11-30 (03-45-43).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 151295
Temps écoulé: 1 hour(s), 34 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 14
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sexvid (Trojan.DNSChanger) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

re

tu as supprimé , ?  No action taken

de plus le rapport est incomplet

helliumsdirtbox · Answer

oui j'ai supprimé ... du coup il a enregistré  ce rapport là

Utilisateur anonyme · Answer

réouvre malewarebyte
va sur rapport/log

et post le rapport apres suppression stp

helliumsdirtbox · Answer

je vais manger je re dans 20 minutes.

Encore merci de m'aider et d'être au rendez vous tu rox

Utilisateur anonyme · Answer

ok

bon ap

http://www.commentcamarche.net/forum/affich 9663662 maudit zlob dns changer?entiere#19

helliumsdirtbox · Answer

tiens

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1434
Windows 5.1.2600 Service Pack 2

30/11/2008 03:46:07
mbam-log-2008-11-30 (03-46-07).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 151295
Temps écoulé: 1 hour(s), 34 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 14
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sexvid (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdpwj.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{17fbb190-d9d3-4591-bac5-6511e411cd88}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.117;85.255.112.149 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{17fbb190-d9d3-4591-bac5-6511e411cd88}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.117;85.255.112.149 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ff3cc5df-a122-4302-82e1-d77b5f6ad21f}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.117;85.255.112.149 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{17fbb190-d9d3-4591-bac5-6511e411cd88}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.117;85.255.112.149 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{17fbb190-d9d3-4591-bac5-6511e411cd88}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.117;85.255.112.149 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{ff3cc5df-a122-4302-82e1-d77b5f6ad21f}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.117;85.255.112.149 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{17fbb190-d9d3-4591-bac5-6511e411cd88}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.117;85.255.112.149 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{17fbb190-d9d3-4591-bac5-6511e411cd88}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.117;85.255.112.149 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{ff3cc5df-a122-4302-82e1-d77b5f6ad21f}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.117;85.255.112.149 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{17fbb190-d9d3-4591-bac5-6511e411cd88}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.117;85.255.112.149 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{17fbb190-d9d3-4591-bac5-6511e411cd88}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.117;85.255.112.149 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{ff3cc5df-a122-4302-82e1-d77b5f6ad21f}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.117;85.255.112.149 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{ff3cc5df-a122-4302-82e1-d77b5f6ad21f}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.117;85.255.112.149 -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

ok

a ton retour de table

réouvre malewarebyte
va sur quarantaine
supprime tout


Télécharge ToolsCleaner sur ton bureau. 
--> 
http://pc-system.fr/ 
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 


Télécharge HijackThis (outils de dignostic) ici : 

->  Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
->  http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 
->  ftp://ftp.commentcamarche.com/download/HJTInstall.exe

-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation 

-> Clique sur Install ensuite sur I Accept 

-> Clique sur Do a scan system and save log file 

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

helliumsdirtbox · Answer

Voilà chiki

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:33:29, on 30/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\Wireless LAN Utility\SiWake.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Wireless LAN Utility\SiSCFG.exe
C:\windows\system32\CNAB4RPK.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lo.st
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoBho - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [C:\windows\system32\kdpwj.exe] C:\windows\system32\kdpwj.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [LaunchList] C:\Program Files\Pinnacle\Studio 10\LaunchList.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\RunOnce: [NSSInstallation] C:\windows\system32\Adobe\Shockwave 11
ssstub.exe /RunOnce
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

Utilisateur anonyme · Answer

Télécharge Ad-remover ( de C_XX ) sur ton bureau ( et pas ailleurs!) : 

http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

! Déconnecte toi et ferme toutes applications en cours ! 

* Clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installe par défaut . 
* Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil . 
* Au menu principal choisis l'option "A" et tape sur [entrée] . 

Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparait à la fin . 

( le rapport est sauvegardé aussi sous C:\Ad-report.log ) 

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

helliumsdirtbox · Answer

ok je fais ça de suite.

helliumsdirtbox · Answer

il a marqué le fichier spécifié est introuvable

puis il s'est désinstallé tout seul ... il est sympa hein?

Ma connexion à l'air d'être revenue à la normal.

ça fait zizir

Utilisateur anonyme · Answer

tu l a laissé s installer dans programme files ?

helliumsdirtbox · Answer

jte mets quand même le rapport


 
F --------- Logfile of AD-Remover 1.0.5.5 by C_XX ---------
 
# OPTION: Scan
 
START at: 13:46:53 | 30/11/2008
ON: Microsoft Windows XP [version 5.1.2600] ( Windows XP )
Internet Explorer: [6.0.2900.2180]
EXECUTED FROM: C:\Documents and Settings\Admin\Bureau\AD-Remover.bat
USER: Admin ( Current user is an administrator )
PC: XPSP2-7AACBF1FD
BOOT MODE: Normal
DRIVE(S): A:\
- 
Systemdrive: C:\ (NTFS)
 
--------- [ RUNNING PROCESSES ] --------- 

\SystemRoot\System32\smss.exe   
\??\C:\windows\system32\csrss.exe   
\??\C:\windows\system32\winlogon.exe   
C:\windows\system32\services.exe   
C:\windows\system32\lsass.exe   
C:\windows\system32\svchost.exe   
C:\windows\system32\svchost.exe   
C:\windows\System32\svchost.exe   
C:\windows\system32\spoolsv.exe   
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe   
C:\Program Files\Bonjour\mDNSResponder.exe   
C:\windows\system32\svchost.exe   
C:\windows\Explorer.EXE   
C:\WINDOWS\system32\LVCOMSX.EXE   
C:\Program Files\Logitech\Video\LogiTray.exe   
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe   
C:\PROGRA~1\AVG\AVG8\avgtray.exe   
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe   
C:\PROGRA~1\AVG\AVG8\avgrsx.exe   
C:\Program Files\Wireless LAN Utility\SiWake.exe   
C:\PROGRA~1\AVG\AVG8\avgemc.exe   
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe   
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe   
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe   
C:\Program Files\Logitech\Video\FxSvr2.exe   
C:\Program Files\Wireless LAN Utility\SiSCFG.exe   
C:\windows\System32\alg.exe   
C:\WINDOWS\system32\wbem\wmiprvse.exe   
C:\windows\system32\CNAB4RPK.EXE   
 
---------------------------- [~> 29] 


+---------------------------------------------------------------------------+
+------------------------------- SERVICES FOUND ..
+---------------------------------------------------------------------------+


+---------------------------------------------------------------------------+
+------------------------------- REGISTRY ELEMENTS FOUND ..
+---------------------------------------------------------------------------+

"HKEY_CLASSES_ROOT\EoRezoBHO.EoBho"
"HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1"
"HKEY_CURRENT_USER\SOFTWARE\EoRezo"
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}"
"HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo"
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\EoRezoBHO.DLL"
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run" /v "EoEngine"

+---------------------------------------------------------------------------+
+------------------------------- FILES\FOLDERS FOUND ..
+---------------------------------------------------------------------------+

[12/11/2008 11:07|d--------] C:\Documents and Settings\Admin\Application Data\EoRezo
[09/11/2008 11:44|--a------] C:\Documents and Settings\Admin\Cookies\admin@eorezo[1].txt
[09/11/2008 14:06|--a------] C:\Documents and Settings\Admin\Cookies\admin@scache.eorezo[1].txt
[09/11/2008 23:41|--a------] C:\Documents and Settings\Admin\Cookies\admin@scache0.eorezo[1].txt
[10/11/2008 05:37|--a------] C:\Documents and Settings\Admin\Cookies\admin@scache1.eorezo[1].txt
[09/11/2008 14:06|--a------] C:\Documents and Settings\Admin\Cookies\admin@scache2.eorezo[1].txt

+---------------------------------------------------------------------------+
+------------------------------- ADDED SCAN ..
+---------------------------------------------------------------------------+

 
 
+---------- Scanning prefs.js ... ( # Mozilla User Preferences )
 
...\4m1tiouy.default\prefs.js :
 
~~~~ Mozilla FireFox version 3.0.4 ~~~~

 
+----------+ 

 
+---------------------------------------------------------------------------+ 

+--[HKEY_CURRENT_USER\...\Run] 

MsnMsgr	REG_SZ	"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
LogitechSoftwareUpdate	REG_SZ	"C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
AdobeBridge	REG_SZ	
SpybotSD TeaTimer	REG_SZ	C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
 
+--[HKEY_LOCAL_MACHINE\...\Run] 

NvMediaCenter	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
EoEngine	REG_SZ	
LVCOMSX	REG_SZ	C:\WINDOWS\system32\LVCOMSX.EXE
LogitechVideoRepair	REG_SZ	C:\Program Files\Logitech\Video\ISStart.exe 
LogitechVideoTray	REG_SZ	C:\Program Files\Logitech\Video\LogiTray.exe
Adobe Reader Speed Launcher	REG_SZ	"C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
C:\windows\system32\kdpwj.exe	REG_SZ	C:\windows\system32\kdpwj.exe
SunJavaUpdateSched	REG_SZ	"C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
AdobeCS4ServiceManager	REG_SZ	"C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
LaunchList	REG_SZ	C:\Program Files\Pinnacle\Studio 10\LaunchList.exe
AVG8_TRAY	REG_SZ	C:\PROGRA~1\AVG\AVG8\avgtray.exe
 
+--[HKEY_USERS\.DEFAULT\...\Run] 

 
+--[HKEY_CURRENT_USER\...\Internet Explorer\MAIN] 

Start Page : hxxp://www.lo.st
 
+--[HKEY_LOCAL_MACHINE\...\Internet Explorer\MAIN] 

Start Page : hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

helliumsdirtbox · Answer

non j'ai bien fait gaffe de l'installer sur le bureau

Utilisateur anonyme · Answer

Nettoyage AD-Remover : 

! Déconnecte toi et ferme toutes application en cours ( navigarteur compris ) ! 

* Relance "Ad-remover" : au menu principal choisis l'option "B" . 

* A l'écran de sélection ( écran ) : 

> choisis le(s) chiffre(s) suivant pour nettoyer les traces de : 


2 - "Eorezo" puis [entrée] 


Une fois la sélection faite, tape S puis [entrée] pour lancer la suppression . 

--> le programme va travailler , ne touche à rien ... 


* Poste le rapport qui apparait à la fin + un nouvel Hijackthis pour analyse ... 

( le rapport est sauvegardé aussi sous C:\Ad-report.log ) 

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\

helliumsdirtbox · Answer

voilà j'ai trouvé le rapport à la même place que l'autre donc j'espère que c'est pas le même et qu'il l'a bien modifié


 
F --------- Logfile of AD-Remover 1.0.5.5 by C_XX ---------
 
# OPTION: Clean
 
START at: 13:55:14 | 30/11/2008 
ON: Microsoft Windows XP [version 5.1.2600] ( Windows XP )
Internet Explorer: [6.0.2900.2180]
 
*** Limited to ***
 
Eorezo 
 
******************
 
EXECUTED FROM: C:\Documents and Settings\Admin\Bureau\AD-Remover.bat
USER: Admin ( Current user is an administrator )
PC: XPSP2-7AACBF1FD
BOOT MODE: Normal
DRIVE(S): A:\
- 
Systemdrive: C:\ (NTFS)
 
--------- [ RUNNING PROCESSES ] --------- 

\SystemRoot\System32\smss.exe  
\??\C:\windows\system32\csrss.exe  
\??\C:\windows\system32\winlogon.exe  
C:\windows\system32\services.exe  
C:\windows\system32\lsass.exe  
C:\windows\system32\svchost.exe  
C:\windows\system32\svchost.exe  
C:\windows\System32\svchost.exe  
C:\windows\system32\spoolsv.exe  
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe  
C:\Program Files\Bonjour\mDNSResponder.exe  
C:\windows\system32\svchost.exe  
C:\windows\Explorer.EXE  
C:\WINDOWS\system32\LVCOMSX.EXE  
C:\Program Files\Logitech\Video\LogiTray.exe  
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe  
C:\PROGRA~1\AVG\AVG8\avgtray.exe  
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe  
C:\PROGRA~1\AVG\AVG8\avgrsx.exe  
C:\Program Files\Wireless LAN Utility\SiWake.exe  
C:\PROGRA~1\AVG\AVG8\avgemc.exe  
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe  
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe  
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe  
C:\Program Files\Logitech\Video\FxSvr2.exe  
C:\Program Files\Wireless LAN Utility\SiSCFG.exe  
C:\windows\System32\alg.exe  
C:\WINDOWS\system32\wbem\wmiprvse.exe  
C:\windows\system32\CNAB4RPK.EXE  
C:\Program Files\Mozilla Firefox\firefox.exe  
 
---------------------------- [~> 30] 

(!) ---- IE start pages reset

+---------------------------------------------------------------------------+
+------------------------------- SERVICES DELETED ..
+---------------------------------------------------------------------------+


+---------------------------------------------------------------------------+
+------------------------------- REGISTRY ELEMENTS DELETED ..
+---------------------------------------------------------------------------+

"HKEY_CLASSES_ROOT\EoRezoBHO.EoBho"
"HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1"
"HKEY_CURRENT_USER\SOFTWARE\EoRezo"
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}"
"HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo"
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\EoRezoBHO.DLL"
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run" /v "EoEngine"

+---------------------------------------------------------------------------+
+------------------------------- FILES\FOLDERS DELETED ..
+---------------------------------------------------------------------------+

[12/11/2008 11:07|d--------] C:\Documents and Settings\Admin\Application Data\EoRezo
[09/11/2008 11:44|--a------] C:\Documents and Settings\Admin\Cookies\admin@eorezo[1].txt
[09/11/2008 14:06|--a------] C:\Documents and Settings\Admin\Cookies\admin@scache.eorezo[1].txt
[09/11/2008 23:41|--a------] C:\Documents and Settings\Admin\Cookies\admin@scache0.eorezo[1].txt
[10/11/2008 05:37|--a------] C:\Documents and Settings\Admin\Cookies\admin@scache1.eorezo[1].txt
[09/11/2008 14:06|--a------] C:\Documents and Settings\Admin\Cookies\admin@scache2.eorezo[1].txt
 
(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives. 


+---------------------------------------------------------------------------+
+------------------------------- ADDED SCAN ..
+---------------------------------------------------------------------------+

+--[HKEY_CURRENT_USER\...\Run] 

MsnMsgr	REG_SZ	"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
LogitechSoftwareUpdate	REG_SZ	"C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
AdobeBridge	REG_SZ	
SpybotSD TeaTimer	REG_SZ	C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
 
+--[HKEY_LOCAL_MACHINE\...\Run] 

NvMediaCenter	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
LVCOMSX	REG_SZ	C:\WINDOWS\system32\LVCOMSX.EXE
LogitechVideoRepair	REG_SZ	C:\Program Files\Logitech\Video\ISStart.exe 
LogitechVideoTray	REG_SZ	C:\Program Files\Logitech\Video\LogiTray.exe
Adobe Reader Speed Launcher	REG_SZ	"C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
C:\windows\system32\kdpwj.exe	REG_SZ	C:\windows\system32\kdpwj.exe
SunJavaUpdateSched	REG_SZ	"C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
AdobeCS4ServiceManager	REG_SZ	"C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
LaunchList	REG_SZ	C:\Program Files\Pinnacle\Studio 10\LaunchList.exe
AVG8_TRAY	REG_SZ	C:\PROGRA~1\AVG\AVG8\avgtray.exe
 
+--[HKEY_USERS\.DEFAULT\...\Run] 

 
+--[HKEY_CURRENT_USER\...\Internet Explorer\MAIN] 

Start Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
 
+--[HKEY_LOCAL_MACHINE\...\Internet Explorer\MAIN] 

Start Page : hxxp://fr.msn.com/



ensuite je fais un scan Hijackthis

helliumsdirtbox · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:06:11, on 30/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\windows\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\windows\system32\CNAB4RPK.EXE
C:\windows\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Wireless LAN Utility\SiWake.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Wireless LAN Utility\SiSCFG.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [C:\windows\system32\kdpwj.exe] C:\windows\system32\kdpwj.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [LaunchList] C:\Program Files\Pinnacle\Studio 10\LaunchList.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF3CC5DF-A122-4302-82E1-D77B5F6AD21F}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

helliumsdirtbox · Answer

c'est bizarre 

j'avais l'impression que c'était ça qui foutait la merde

O4 - HKLM\..\Run: [C:\windows\system32\kdpwj.exe] C:\windows\system32\kdpwj.exe

Utilisateur anonyme · Answer

en effet c étais lui le coupable

on va rééssayer usbfix

laisse le bien s installer dans programfile


Telecharge UsbFix sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

-->choisi l option 1 (nettoyage)

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

helliumsdirtbox · Answer

la racine du disque c'est bien C: ?

Utilisateur anonyme · Answer

yes

helliumsdirtbox · Answer

il n'y est pas alors

Utilisateur anonyme · Answer

> Télécharge Flash_Disinfector (de sUBs) sur ton bureau : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe 
- Double clique dessus puis laisse toi guider. 


ensuite désinstal java car pas a jours et telecharge et instal cette version :

https://www.java.com/fr/download/manual.jsp

si tu peux faire la maj de internet explorer (ce que je doute) fais le :

IE 7 : ftp://ftp.telecharger.com/01net/IE7Setup.exe

ensuite refais un scan hijackthis et post le rapport stp

helliumsdirtbox · Answer

ok je fais ça ...

pour IE explorer je ne l'utilise jamais ... je préfére le renard puant. ^^
Faut il le mettre à jour quand même.

Et pour java je mettrais également à jour plus tard.

Je dois y aller la une autre demoiselle m'attends. ^^

En tout cas ça à l'air de fonctionner maintenant. J'espère qu'il ne reviendras pas m'ennuyer celui là.

Je tiens à vraiment te remercier de m'avoir consacré du temps. c'est vraiment cool de ta part.

MERCI ENORMEMENT

helliumsdirtbox · Answer

le truc pour Flash il a marqué Done

Utilisateur anonyme · Answer

ok

bon dimanche alors

@++

helliumsdirtbox · Answer

merci bon dimanche à toi aussi.

Et encore merci pour ton aide.

Utilisateur anonyme · Answer

lol

de rien

@++

helliumsdirtbox · Answer

++++

Maudit Zlob dns changer

45 réponses

Discussions similaires

Newsletters