bb_fr
-
Compteur de contenus
14 -
Inscription
-
Dernière visite
bb_fr's Achievements
Junior Member (3/12)
0
Réputation sur la communauté
-
Voilà : REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandFrom] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandTo] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools-1033] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="daemon" "hkey"="HKLM" "command"="\"D:\\OUTILS\\D-Tools\\daemon.exe\" -lang 1033" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state] "system.ini"=dword:00000000 "win.ini"=dword:00000000 "bootini"=dword:00000002 "services"=dword:00000000 "startup"=dword:00000002
-
Super merci , c'est finalement plus simple que je ne pensais. Question : il y a possibilité de virer la ligne dans l'option démarrage de msconfig concernant Daemon même si la ligne est désactivée ?
-
Bonjour, j'ai désinstallé le logiciel Daemon tools en vérifiant qu'il n'y avait pas de disque virtuel existant, je l'ai fait en principe proprement. J'ai même nettoyé la base de registre. Résultat : au boot de l'ordinateur persiste une fenêtre disant "product not installed". Ce message est apparu juste après désinstallation du logiciel et reboot. Comment virer ce message, est-ce que quelqu'un a déjà rencontré ce pb auparavant ? Merci pour les réponses.
-
[Résolu] Trojan : Zlob.DNSChanger
bb_fr a répondu à un(e) sujet de bb_fr dans Analyses et éradication malwares
et merci à l'équipe de Zebulon -
[Résolu] Trojan : Zlob.DNSChanger
bb_fr a répondu à un(e) sujet de bb_fr dans Analyses et éradication malwares
Encore merci pour tous les conseils et la rapidité de tes réponses, Bernard -
[Résolu] Trojan : Zlob.DNSChanger
bb_fr a répondu à un(e) sujet de bb_fr dans Analyses et éradication malwares
Tout est bien qui finit bien, passage de Spybot avec plus aucune trace ! Merci de ton aide précieuse Agnes -
[Résolu] Trojan : Zlob.DNSChanger
bb_fr a répondu à un(e) sujet de bb_fr dans Analyses et éradication malwares
Bonjour j'espère avoir bien suivi la manoeuvre car je n'ai pas bien compris le "assure-toi que Run fixit soit activé" Voici le rapport : Username "BBY" - 2007-08-07 20:30:18 [Fixwareout edited 2007/07/05] »»»»»Prerun check HKLM\SOFTWARE\~\Winlogon\ "System"="csgfu.exe" HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{F351C318-B801-4EB5-8540-BEB60FF8D859} "DhcpNameServer"="85.255.114.45,85.255.112.195" <Value cleared. Cache de résolution DNS vidé. System was rebooted successfully. »»»»» Postrun check HKLM\SOFTWARE\~\Winlogon\ "system"="" .... .... »»»»» Misc files. .... »»»»» Checking for older varients. .... »»»»» Current runs (hklm hkcu "run" Keys Only) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UserFaultCheck"="%systemroot%\\system32\\dumprep 0 -u" "TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot" "SoundMan"="SOUNDMAN.EXE" "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" "Launch Ai Booster"="C:\\Program Files\\ASUS\\Ai Booster\\OverClk.exe" "iTunesHelper"="\"D:\\OUTILS\\iTunes\\iTunesHelper.exe\"" "DAEMON Tools-1033"="\"D:\\OUTILS\\D-Tools\\daemon.exe\" -lang 1033" "BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" "avast!"="D:\\OUTILS\\Avast4\\ashDisp.exe" "ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "AlcWzrd"="ALCWZRD.EXE" "Alcmtr"="ALCMTR.EXE" "Cobian Backup 8 interface"="D:\\OUTILS\\Backup\\cbInterface.exe -service" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled] "QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime" "Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" "MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background" "H/PC Connection Agent"="\"D:\\Microsoft ActiveSync\\WCESCOMM.EXE\"" "Uniblue RegistryBooster 2"="D:\\OUTILS\\Security\\RegistryBooster 2\\RegistryBooster.exe /S" .... Hosts file was reset, If you use a custom hosts file please replace it »»»»» End report »»»»» -
[Résolu] Trojan : Zlob.DNSChanger
bb_fr a répondu à un(e) sujet de bb_fr dans Analyses et éradication malwares
Etape 2 : liste des process Process PID CPU Description User Name Priority Handles Window Title System Idle Process 0 95 <access denied> 0 0 System 4 00 AUTORITE NT\SYSTEM 8 1304 smss.exe 760 00 Gestionnaire de session Windows NT AUTORITE NT\SYSTEM 11 20 csrss.exe 836 00 Client Server Runtime Process AUTORITE NT\SYSTEM 13 574 winlogon.exe 864 00 Application d'ouverture de session Windows NT AUTORITE NT\SYSTEM 13 457 services.exe 908 00 Applications Services et Contrôleur AUTORITE NT\SYSTEM 9 319 spoolsv.exe 492 00 Spooler SubSystem App AUTORITE NT\SYSTEM 8 164 ati2evxx.exe 1088 00 ATI External Event Utility EXE Module AUTORITE NT\SYSTEM 8 86 svchost.exe 1108 00 Generic Host Process for Win32 Services AUTORITE NT\SYSTEM 8 223 svchost.exe 1156 00 Generic Host Process for Win32 Services AUTORITE NT\SERVICE RÉSEAU 8 293 BTNtService.exe 1296 00 AUTORITE NT\SYSTEM 13 94 svchost.exe 1312 00 Generic Host Process for Win32 Services AUTORITE NT\SYSTEM 8 1502 svchost.exe 1424 00 Generic Host Process for Win32 Services AUTORITE NT\SERVICE LOCAL 8 80 svchost.exe 1464 00 Generic Host Process for Win32 Services AUTORITE NT\SERVICE RÉSEAU 8 87 CDANTSRV.EXE 1492 00 C-Dilla RTS Service AUTORITE NT\SYSTEM 8 25 svchost.exe 1540 00 Generic Host Process for Win32 Services AUTORITE NT\SERVICE LOCAL 8 206 cbService.exe 1608 01 Cobian Backup Black Moon Service AUTORITE NT\SYSTEM 8 57 aswUpdSv.exe 1824 00 avast! Antivirus updating service AUTORITE NT\SYSTEM 8 27 ashServ.exe 1888 00 avast! antivirus service AUTORITE NT\SYSTEM 13 238 PERSFW.exe 2164 00 Kerio Personal Firewall Engine AUTORITE NT\SYSTEM 8 85 ashMaiSv.exe 2516 00 avast! e-Mail Scanner Service AUTORITE NT\SYSTEM 8 93 ashWebSv.exe 2652 00 avast! Web Scanner AUTORITE NT\SYSTEM 8 99 iPodService.exe 2768 00 iPodService Module AUTORITE NT\SYSTEM 8 114 alg.exe 3184 00 Application Layer Gateway Service AUTORITE NT\SERVICE LOCAL 8 103 lsass.exe 920 00 LSA Shell (Export Version) AUTORITE NT\SYSTEM 9 353 ati2evxx.exe 1716 00 ATI External Event Utility EXE Module AUTORITE NT\SYSTEM 8 93 explorer.exe 1992 00 Explorateur Windows BB\BBY 8 622 SYSTEME (C:) ALCWZRD.EXE 128 00 BB\BBY 8 80 iTunesHelper.exe 316 00 iTunesHelper Module BB\BBY 8 118 daemon.exe 328 00 Virtual DAEMON Manager BB\BBY 8 62 rundll32.exe 336 00 Exécuter une DLL en tant qu'application BB\BBY 8 76 SOUNDMAN.EXE 440 00 Realtek Sound Manager BB\BBY 8 59 realsched.exe 740 00 RealNetworks Scheduler BB\BBY 8 114 realplay.exe 3032 00 RealPlayer BB\BBY 4 196 ashDisp.exe 800 00 avast! service GUI component BB\BBY 8 80 atiptaxx.exe 808 00 ATI Desktop Control Panel BB\BBY 8 107 ALCMTR.EXE 992 00 Realtek AC97 Audio - Event Monitor BB\BBY 8 89 ctfmon.exe 1384 00 CTF Loader BB\BBY 8 69 msmsgs.exe 1412 00 Windows Messenger BB\BBY 8 186 WCESCOMM.EXE 1484 00 Connection Manager BB\BBY 8 84 acrotray.exe 1652 00 AcroTray BB\BBY 8 27 KEM.exe 1780 00 Logitech SetPoint BB\BBY 8 87 KHALMNPR.exe 2080 00 Logitech Hardware Abstraction Layer BB\BBY 8 133 WZQKPICK.EXE 1956 00 WinZip Executable BB\BBY 8 43 sbrowser.exe 2504 00 FlashPeak SlimBrowser BB\BBY 8 795 SlimBrowser - Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP procexp.exe 2688 04 Sysinternals Process Explorer BB\BBY 13 188 Process Explorer - Sysinternals: www.sysinternals.com Process: System Idle Process Pid: 0 Handle Type Access Name Je passe maintenant à fixwareout -
[Résolu] Trojan : Zlob.DNSChanger
bb_fr a répondu à un(e) sujet de bb_fr dans Analyses et éradication malwares
Etape 1 : Smitfraudfix en mode sans echec Rapport SmitFraudFix v2.207 Rapport fait à 20:03:04.87, 07/08/2007 Executé à partir de D:\OUTILS\Security\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode sans echec »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost 127.0.0.1 idnet-ua.corp.com »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{A7EE27A3-07CC-4FBC-8750-BE306BDD6961}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123 HKLM\SYSTEM\CCS\Services\Tcpip\..\{F351C318-B801-4EB5-8540-BEB60FF8D859}: DhcpNameServer=85.255.114.45,85.255.112.195 HKLM\SYSTEM\CS1\Services\Tcpip\..\{A7EE27A3-07CC-4FBC-8750-BE306BDD6961}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123 HKLM\SYSTEM\CS1\Services\Tcpip\..\{F351C318-B801-4EB5-8540-BEB60FF8D859}: DhcpNameServer=85.255.114.45,85.255.112.195 HKLM\SYSTEM\CS3\Services\Tcpip\..\{A7EE27A3-07CC-4FBC-8750-BE306BDD6961}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123 HKLM\SYSTEM\CS3\Services\Tcpip\..\{F351C318-B801-4EB5-8540-BEB60FF8D859}: DhcpNameServer=85.255.114.45,85.255.112.195 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123 »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="csgfu.exe" »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Fin Apparemment les lignes sont toujours là -
[Résolu] Trojan : Zlob.DNSChanger
bb_fr a répondu à un(e) sujet de bb_fr dans Analyses et éradication malwares
Merci Agnes, je le ferai demain. Voici les rapports Kapersky sur C: et D: apparemment il détecte des virus qu'Avast ne détecte pas. ------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Tuesday, August 07, 2007 12:18:25 AM Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version : 5.0.83.0 Dernière mise à jour de la base antivirus Kaspersky : 6/08/2007 Enregistrements dans la base antivirus Kaspersky : 376190 ------------------------------------------------------------------------------- Paramètres d'analyse: Analyser avec la base antivirus suivante: étendue Analyser les archives: vrai Analyser les bases de messagerie: vrai Cible de l'analyse - Dossiers: C:\ Statistiques de l'analyse: Total d'objets analysés: 24698 Nombre de virus trouvés: 1 Nombre d'objets infectés: 0 / 0 Nombre d'objets suspects: 2 Durée de l'analyse: 00:18:42 Nom de l'objet infecté / Nom du virus / Dernière action C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Yazzle.zip/Yazzle1739OinUninstaller.exe Suspect : Password-protected-EXE ignoré C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Yazzle.zip ZIP: suspect - 1 ignoré C:\Documents and Settings\BBY\Cookies\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\BBY\Local Settings\Application Data\Microsoft\Media Player\CurrentDatabase_360.wmdb L'objet est verrouillé ignoré C:\Documents and Settings\BBY\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré C:\Documents and Settings\BBY\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\BBY\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\BBY\Local Settings\Historique\History.IE5\MSHist012007080620070807\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\BBY\Local Settings\Historique\History.IE5\MSHist012007080720070808\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\BBY\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\BBY\NTUSER.DAT L'objet est verrouillé ignoré C:\Documents and Settings\BBY\ntuser.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré C:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\change.log L'objet est verrouillé ignoré C:\WINDOWS\$_hpcst$.hpc L'objet est verrouillé ignoré C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré C:\WINDOWS\SoftwareDistribution\EventCache\{10CA9CEC-8A93-4EC2-B331-6958B429E682}.bin L'objet est verrouillé ignoré C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré C:\WINDOWS\Temp\Perflib_Perfdata_724.dat L'objet est verrouillé ignoré C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré Analyse terminée. D:\ ---------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Tuesday, August 07, 2007 12:35:23 AM Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version : 5.0.83.0 Dernière mise à jour de la base antivirus Kaspersky : 6/08/2007 Enregistrements dans la base antivirus Kaspersky : 376190 ------------------------------------------------------------------------------- Paramètres d'analyse: Analyser avec la base antivirus suivante: étendue Analyser les archives: vrai Analyser les bases de messagerie: vrai Cible de l'analyse - Dossiers: D:\ Statistiques de l'analyse: Total d'objets analysés: 19059 Nombre de virus trouvés: 5 Nombre d'objets infectés: 13 / 0 Nombre d'objets suspects: 0 Durée de l'analyse: 00:16:16 Nom de l'objet infecté / Nom du virus / Dernière action D:\OUTILS\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré D:\OUTILS\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré D:\OUTILS\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré D:\OUTILS\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré D:\OUTILS\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré D:\OUTILS\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré D:\OUTILS\Backup\DB\log.txt L'objet est verrouillé ignoré D:\OUTILS\Security\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré D:\OUTILS\Utilitaires\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe/data0002 Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4 ignoré D:\OUTILS\Utilitaires\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe/data0003 Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4 ignoré D:\OUTILS\Utilitaires\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe/data0006 Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4 ignoré D:\OUTILS\Utilitaires\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4 ignoré D:\OUTILS\Utilitaires\vnc-4.0-x86_win32.zip ZIP: infecté - 4 ignoré D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\A0001144.exe/data0002 Infecté : Trojan-Downloader.Win32.PurityScan.eg ignoré D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\A0001144.exe NSIS: infecté - 1 ignoré D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\A0001154.exe/file10 Infecté : Trojan-Downloader.Win32.Agent.bls ignoré D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\A0001154.exe/file11/data0002 Infecté : Trojan-Downloader.Win32.PurityScan.eg ignoré D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\A0001154.exe/file11 Infecté : Trojan-Downloader.Win32.PurityScan.eg ignoré D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\A0001154.exe/file12 Infecté : Trojan-Downloader.Win32.IstBar.gen ignoré D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\A0001154.exe Inno: infecté - 4 ignoré D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\change.log L'objet est verrouillé ignoré Analyse terminée. -
[Résolu] Trojan : Zlob.DNSChanger
bb_fr a répondu à un(e) sujet de bb_fr dans Analyses et éradication malwares
Bonsoir Agnes, l'analyse Kapersky va suivre, mais je crois que tu as mis le doigt dessus. je suis allé dans Regedit, et à l'endroit de la clé j'ai trouvé non pas ce qui est indiqué via Spybot cest-à-dire : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F351C318-B801-4EB5-8540-BEB60FF8D859}\DhcpNameServer=208.67.220.220,208.67.222.222 mais j'ai trouvé dans le champ DhcpNameServer une adresse =85.255.114.45,85.255.112.195 qui correspond à une adresse en Ukraine, donc ce n'est pas bon du tout. A partir de là qu'est-ce que l'on peut faire ? Je rappelle que jusqu'à présent tout va bien sur le fonctionnement du PC. -
[Résolu] Trojan : Zlob.DNSChanger
bb_fr a répondu à un(e) sujet de bb_fr dans Analyses et éradication malwares
C'est bien çà que je ne comprends pas moi aussi aucun problème au niveau internet Par contre, aucun fichier trouvé nommé csfgu.exe -
[Résolu] Trojan : Zlob.DNSChanger
bb_fr a répondu à un(e) sujet de bb_fr dans Analyses et éradication malwares
Bonjour Agnes, merci pour ton attention. Voici comme demandé les rapports SmitfraudFix et Combofix. SmitFraudFix v2.207 Rapport fait à 20:07:06.40, 05/08/2007 Executé à partir de D:\OUTILS\Security\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode normal »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe D:\OUTILS\Avast4\aswUpdSv.exe D:\OUTILS\Avast4\ashServ.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\WINDOWS\SOUNDMAN.EXE D:\OUTILS\iTunes\iTunesHelper.exe D:\Microsoft Office\Real\RealPlayer\RealPlay.exe D:\OUTILS\D-Tools\daemon.exe C:\WINDOWS\system32\rundll32.exe D:\OUTILS\Avast4\ashDisp.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\ALCWZRD.EXE C:\WINDOWS\ALCMTR.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe D:\Microsoft ActiveSync\WCESCOMM.EXE D:\OUTILS\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Program Files\Logitech\SetPoint\KEM.exe C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE D:\OUTILS\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\spoolsv.exe D:\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE D:\OUTILS\Kerio\Personal Firewal\persfw.exe C:\Program Files\iPod\bin\iPodService.exe D:\OUTILS\Avast4\ashMaiSv.exe D:\OUTILS\Avast4\ashWebSv.exe C:\Program Files\Outlook Express\msimn.exe D:\SlimBrowser\sbrowser.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\BBY »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\BBY\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BBY\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="csgfu.exe" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets DNS Server Search Order: 82.216.111.125 DNS Server Search Order: 82.216.111.124 DNS Server Search Order: 82.216.111.125 DNS Server Search Order: 82.216.111.123 HKLM\SYSTEM\CCS\Services\Tcpip\..\{A7EE27A3-07CC-4FBC-8750-BE306BDD6961}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123 HKLM\SYSTEM\CCS\Services\Tcpip\..\{F351C318-B801-4EB5-8540-BEB60FF8D859}: DhcpNameServer=85.255.114.45,85.255.112.195 HKLM\SYSTEM\CS1\Services\Tcpip\..\{A7EE27A3-07CC-4FBC-8750-BE306BDD6961}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123 HKLM\SYSTEM\CS1\Services\Tcpip\..\{F351C318-B801-4EB5-8540-BEB60FF8D859}: DhcpNameServer=85.255.114.45,85.255.112.195 HKLM\SYSTEM\CS3\Services\Tcpip\..\{A7EE27A3-07CC-4FBC-8750-BE306BDD6961}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123 HKLM\SYSTEM\CS3\Services\Tcpip\..\{F351C318-B801-4EB5-8540-BEB60FF8D859}: DhcpNameServer=85.255.114.45,85.255.112.195 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin ComboFix 07-07-30.2 - "BBY" 2007-08-05 20:02:45.3 [GMT 2:00] - NTFS Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.Vrai ((((((((((((((((((((((((( Files Created from 2007-07-05 to 2007-08-05 ))))))))))))))))))))))))))))))) 2007-08-05 15:38 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-08-05 15:38 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-08-05 15:38 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-08-02 20:42 <REP> d-------- C:\DOCUME~1\BBY\APPLIC~1\Uniblue 2007-08-02 20:15 <REP> d-------- C:\WINDOWS\pss 2007-08-02 20:02 2,998 --a------ C:\WINDOWS\system32\tmp.reg 2007-08-02 19:49 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-07-29 18:19 37,027 --a------ C:\WINDOWS\atmoUn.exe 2007-07-29 18:19 <REP> d-------- C:\Program Files\Viewpoint 2007-07-29 18:19 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viewpoint 2007-07-14 00:26 <REP> dr------- C:\DOCUME~1\LOCALS~1\Favoris 2007-07-11 21:12 <REP> dr------- C:\DOCUME~1\NETWOR~1\Favoris 2007-07-11 21:09 427,520 --a------ C:\WINDOWS\WRServices.dll (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-05 20:03 --------- d-------- C:\DOCUME~1\BBY\APPLIC~1\SlimBrowser 2007-07-30 23:28 --------- d-------- C:\Program Files\Windows Media Connect 2 2007-07-29 18:19 --------- d-------- C:\DOCUME~1\BBY\APPLIC~1\AdobeUM 2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr 2007-05-16 17:13 683520 --a------ C:\WINDOWS\system32\inetcomm.dll ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-03-03 00:30] "SoundMan"="SOUNDMAN.EXE" [2004-07-01 05:58 C:\WINDOWS\SOUNDMAN.EXE] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-06-08 13:31 C:\WINDOWS\KHALMNPR.Exe] "Launch Ai Booster"="C:\Program Files\ASUS\Ai Booster\OverClk.exe" [2004-08-17 17:57] "iTunesHelper"="D:\OUTILS\iTunes\iTunesHelper.exe" [2006-06-14 16:24] "DAEMON Tools-1033"="D:\OUTILS\D-Tools\daemon.exe" [2004-08-22 17:05] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 17:10 C:\WINDOWS\system32\bthprops.cpl] "avast!"="D:\OUTILS\Avast4\ashDisp.exe" [2007-07-28 00:03] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 21:05] "AlcWzrd"="ALCWZRD.EXE" [2004-07-05 12:05 C:\WINDOWS\ALCWZRD.EXE] "Alcmtr"="ALCMTR.EXE" [2004-07-02 13:49 C:\WINDOWS\ALCMTR.EXE] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24] "H/PC Connection Agent"="D:\Microsoft ActiveSync\WCESCOMM.EXE" [2003-04-23 01:09] "Uniblue RegistryBooster 2"="D:\OUTILS\Security\RegistryBooster 2\RegistryBooster.exe" [] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Acrobat Assistant.lnk - D:\OUTILS\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 02:19:50] Lancement rapide d'Adobe Reader.lnk - D:\Microsoft Office\Acrobat7\Reader\reader_sl.exe [2005-09-24 08:05:26] Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\KEM.exe [2004-12-07 23:00:15] WinZip Quick Pick.lnk - D:\OUTILS\WinZip\WZQKPICK.EXE [2004-12-09 01:12:24] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "System"="csgfu.exe" R0 BTHidMgr;Bluetooth HID Manager Service;C:\WINDOWS\system32\Drivers\BTHidMgr.sys R0 IFP1000;iRiver Internet Audio Player IFP-1000;C:\WINDOWS\system32\drivers\ifp1000.sys R1 AsIO;AsIO;\??\C:\WINDOWS\system32\drivers\AsIO.sys R1 fwdrv;Kerio Personal Firewall Driver;C:\WINDOWS\system32\Drivers\fwdrv.sys R2 BthServ;Bluetooth Support Service;C:\WINDOWS\system32\svchost.exe -k bthsvcs R3 ATIAVAIW;ATI T200 Unified AVStream service;C:\WINDOWS\system32\DRIVERS\atinavt2.sys R3 BlueletAudio;Bluetooth Audio Service;C:\WINDOWS\system32\DRIVERS\blueletaudio.sys R3 BT;Bluetooth PAN Network Adapter;C:\WINDOWS\system32\DRIVERS\btnetdrv.sys R3 Btcsrusb;Bluetooth USB For Bluetooth Service;C:\WINDOWS\system32\Drivers\btcusb.sys R3 BTHidEnum;Bluetooth HID Enumerator;C:\WINDOWS\system32\DRIVERS\vbtenum.sys R3 LHidKe;Logitech SetPoint HID Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\LHidKE.Sys R3 LHidUsbK;Logitech SetPoint USB Receiver Device Driver;C:\WINDOWS\system32\Drivers\LHidUsbK.Sys R3 LMouKE;Logitech SetPoint Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\LMouKE.Sys R3 LUsbKbd;Logitech SetPoint USB Keyboard Filter;C:\WINDOWS\system32\Drivers\LUsbKbd.Sys R3 MTsensor;ATK0110 ACPI UTILITY;C:\WINDOWS\system32\DRIVERS\ASACPI.sys R3 ROOTMODEM;Microsoft Legacy Modem Driver;C:\WINDOWS\system32\Drivers\RootMdm.sys R3 VComm;Virtual Serial port driver;C:\WINDOWS\system32\DRIVERS\VComm.sys R3 VcommMgr;Bluetooth VComm Manager Service;C:\WINDOWS\system32\Drivers\VcommMgr.sys S3 atinrvxx;ATI WDM Rage Theater Video;C:\WINDOWS\system32\DRIVERS\atinrvxx.sys S3 BthEnum;Pilote de bloc de demande Bluetooth;C:\WINDOWS\system32\DRIVERS\BthEnum.sys S3 BthPan;P‚riph‚rique Bluetooth (r‚seau personnel);C:\WINDOWS\system32\DRIVERS\bthpan.sys S3 BTHPORT;Pilote de port Bluetooth;C:\WINDOWS\system32\Drivers\BTHport.sys S3 BTHUSB;Pilote USB radio Bluetooth;C:\WINDOWS\system32\Drivers\BTHUSB.sys S3 C-Dilla;C-Dilla;\??\C:\WINDOWS\system32\drivers\CDANT.SYS S3 HdAudAddService;Pilote de fonction Microsoft UAA pour Service High Definition Audio;C:\WINDOWS\system32\drivers\HdAudio.sys S3 MPE;Filtre BDA MPE;C:\WINDOWS\system32\DRIVERS\MPE.sys S3 MRENDIS5;MRENDIS5 NDIS Protocol Driver;\??\C:\PROGRA~1\COMMON~1\Motive\MRENDIS5.SYS S3 MVDCODEC;ATI WDM Specialized MVD Codec;C:\WINDOWS\system32\DRIVERS\atinmdxx.sys S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\PLCMPR5.SYS S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\PLCNDIS5.SYS S3 RFCOMM;P‚riph‚rique Bluetooth (TDI protocole RFCOMM);C:\WINDOWS\system32\DRIVERS\rfcomm.sys S3 wceusbsh;Windows CE USB Serial Host Driver;C:\WINDOWS\system32\DRIVERS\wceusbsh.sys [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs BthServ ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-05 20:03:34 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-05 20:03:58 C:\ComboFix2.txt ... 2007-08-05 15:42 --- E O F --- Voili voilou -
Bonjour à tous, voici depuis plusieurs jours que je parcours les forums en quête d'information sur ce Zlob.DNSChanger. De ce fait je me suis doté de HiJackThis que je trouve très bien. Auparavant, j'avais déjà une batterie d'antispyware, etc. style spybot, adaware + antivirus avast + ccleaner etc. En faisant tourner Spybot, celui-ci me détecte : Zlob.DNSChanger: TCP/IP Settings #1 (Undefined) (Modification du registre, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F351C318-B801-4EB5-8540-BEB60FF8D859}\DhcpNameServer=208.67.22 0.220,208.67.222.222 qui est bien connu de tous car je l'ai rencontré plusieurs fois dans les forum. J'ai donc pris mon courage à deux bras et à partir de la log de HiJackThis, j'ai analysé chaque ligne. J'ai trouvé quelques trucs à fixer, et le dernier rapport donne ceci : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:32:02, on 05/08/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe D:\OUTILS\Avast4\aswUpdSv.exe D:\OUTILS\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\WINDOWS\SOUNDMAN.EXE D:\OUTILS\iTunes\iTunesHelper.exe D:\OUTILS\D-Tools\daemon.exe C:\WINDOWS\system32\rundll32.exe D:\OUTILS\Avast4\ashDisp.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\ALCWZRD.EXE C:\WINDOWS\ALCMTR.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe D:\Microsoft ActiveSync\WCESCOMM.EXE D:\IVT Corporation\BlueSoleil\BTNtService.exe D:\OUTILS\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Program Files\Logitech\SetPoint\KEM.exe C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE D:\OUTILS\WinZip\WZQKPICK.EXE C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE D:\OUTILS\Kerio\Personal Firewal\persfw.exe D:\OUTILS\Avast4\ashMaiSv.exe D:\OUTILS\Avast4\ashWebSv.exe C:\Program Files\iPod\bin\iPodService.exe D:\OUTILS\Adobe\Acrobat 6.0\Acrobat\Acrobat.exe C:\WINDOWS\system32\WISPTIS.EXE D:\SlimBrowser\sbrowser.exe d:\Microsoft Office\OFFICE11\WINWORD.EXE C:\Program Files\Outlook Express\msimn.exe D:\OUTILS\Security\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\OUTILS\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\OUTILS\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\OUTILS\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Launch Ai Booster] C:\Program Files\ASUS\Ai Booster\OverClk.exe O4 - HKLM\..\Run: [iTunesHelper] "D:\OUTILS\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\OUTILS\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [avast!] D:\OUTILS\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [uniblue RegistryBooster 2] D:\OUTILS\Security\RegistryBooster 2\RegistryBooster.exe /S O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = D:\OUTILS\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Microsoft Office\Acrobat7\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe O4 - Global Startup: WinZip Quick Pick.lnk = D:\OUTILS\WinZip\WZQKPICK.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} (AlternaTIFF ActiveX) - http://www.alternatiff.com/install/00/alttiff.cab O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.0.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\OUTILS\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\OUTILS\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - D:\OUTILS\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - D:\OUTILS\Avast4\ashWebSv.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\OUTILS\Kerio\Personal Firewal\persfw.exe -- End of file - 6699 bytes donc en principe plus rien de douteux, sauf avis contraire d'un expert. Sauf qu'en faisant tourner à nouveau Spy bot, je me retrouve toujours avec cette ligne : Zlob.DNSChanger: TCP/IP Settings #1 (Undefined) (Modification du registre, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F351C318-B801-4EB5-8540-BEB60FF8D859}\DhcpNameServer=208.67.22 0.220,208.67.222.222 je rajoute que j'ai fait également tourner Combofix et SmitfraudFix. Si quelqu'un a un avis sur ce Zlob persistant, je suis preneur et l'en remercie par avance !