[Résolu] Trojan : Zlob.DNSChanger

[bb_fr]

Bonjour à tous,

voici depuis plusieurs jours que je parcours les forums en quête d'information sur ce Zlob.DNSChanger.

De ce fait je me suis doté de HiJackThis que je trouve très bien.

Auparavant, j'avais déjà une batterie d'antispyware, etc. style spybot, adaware + antivirus avast + ccleaner etc.

En faisant tourner Spybot, celui-ci me détecte :

Zlob.DNSChanger: TCP/IP Settings #1 (Undefined) (Modification du registre, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F351C318-B801-4EB5-8540-BEB60FF8D859}\DhcpNameServer=208.67.22

0.220,208.67.222.222

qui est bien connu de tous car je l'ai rencontré plusieurs fois dans les forum.

J'ai donc pris mon courage à deux bras et à partir de la log de HiJackThis, j'ai analysé chaque ligne. J'ai trouvé quelques trucs à fixer, et le dernier rapport donne ceci :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:32:02, on 05/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

D:\OUTILS\Avast4\aswUpdSv.exe

D:\OUTILS\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\SOUNDMAN.EXE

D:\OUTILS\iTunes\iTunesHelper.exe

D:\OUTILS\D-Tools\daemon.exe

C:\WINDOWS\system32\rundll32.exe

D:\OUTILS\Avast4\ashDisp.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\ALCWZRD.EXE

C:\WINDOWS\ALCMTR.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

D:\Microsoft ActiveSync\WCESCOMM.EXE

D:\IVT Corporation\BlueSoleil\BTNtService.exe

D:\OUTILS\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Logitech\SetPoint\KEM.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

D:\OUTILS\WinZip\WZQKPICK.EXE

C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

D:\OUTILS\Kerio\Personal Firewal\persfw.exe

D:\OUTILS\Avast4\ashMaiSv.exe

D:\OUTILS\Avast4\ashWebSv.exe

C:\Program Files\iPod\bin\iPodService.exe

D:\OUTILS\Adobe\Acrobat 6.0\Acrobat\Acrobat.exe

C:\WINDOWS\system32\WISPTIS.EXE

D:\SlimBrowser\sbrowser.exe

d:\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Program Files\Outlook Express\msimn.exe

D:\OUTILS\Security\HiJackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\OUTILS\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\OUTILS\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\OUTILS\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Launch Ai Booster] C:\Program Files\ASUS\Ai Booster\OverClk.exe

O4 - HKLM\..\Run: [iTunesHelper] "D:\OUTILS\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\OUTILS\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [avast!] D:\OUTILS\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [uniblue RegistryBooster 2] D:\OUTILS\Security\RegistryBooster 2\RegistryBooster.exe /S

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Acrobat Assistant.lnk = D:\OUTILS\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Microsoft Office\Acrobat7\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe

O4 - Global Startup: WinZip Quick Pick.lnk = D:\OUTILS\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} (AlternaTIFF ActiveX) - http://www.alternatiff.com/install/00/alttiff.cab

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.0.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\OUTILS\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\OUTILS\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\OUTILS\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\OUTILS\Avast4\ashWebSv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\OUTILS\Kerio\Personal Firewal\persfw.exe

 

--

End of file - 6699 bytes

 

donc en principe plus rien de douteux, sauf avis contraire d'un expert.

Sauf qu'en faisant tourner à nouveau Spy bot, je me retrouve toujours avec cette ligne :

Zlob.DNSChanger: TCP/IP Settings #1 (Undefined) (Modification du registre, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F351C318-B801-4EB5-8540-BEB60FF8D859}\DhcpNameServer=208.67.22

0.220,208.67.222.222

je rajoute que j'ai fait également tourner Combofix et SmitfraudFix.

Si quelqu'un a un avis sur ce Zlob persistant, je suis preneur et l'en remercie par avance !

Modifié le 8 août 2007 par bb_fr

[AgnesD]

Hello bb_fr

Peux tu me fournir les rapports smitfraud et combofix ?

Leur analyse permettra de mieux t'aiguiller.

[bb_fr]

Bonjour Agnes,

 

merci pour ton attention.

Voici comme demandé les rapports SmitfraudFix et Combofix.

 

SmitFraudFix v2.207

 

Rapport fait à 20:07:06.40, 05/08/2007

Executé à partir de D:\OUTILS\Security\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

D:\OUTILS\Avast4\aswUpdSv.exe

D:\OUTILS\Avast4\ashServ.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\SOUNDMAN.EXE

D:\OUTILS\iTunes\iTunesHelper.exe

D:\Microsoft Office\Real\RealPlayer\RealPlay.exe

D:\OUTILS\D-Tools\daemon.exe

C:\WINDOWS\system32\rundll32.exe

D:\OUTILS\Avast4\ashDisp.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\ALCWZRD.EXE

C:\WINDOWS\ALCMTR.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

D:\Microsoft ActiveSync\WCESCOMM.EXE

D:\OUTILS\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Logitech\SetPoint\KEM.exe

C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

D:\OUTILS\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\spoolsv.exe

D:\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

D:\OUTILS\Kerio\Personal Firewal\persfw.exe

C:\Program Files\iPod\bin\iPodService.exe

D:\OUTILS\Avast4\ashMaiSv.exe

D:\OUTILS\Avast4\ashWebSv.exe

C:\Program Files\Outlook Express\msimn.exe

D:\SlimBrowser\sbrowser.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\BBY

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\BBY\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BBY\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"="csgfu.exe"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets

DNS Server Search Order: 82.216.111.125

DNS Server Search Order: 82.216.111.124

DNS Server Search Order: 82.216.111.125

DNS Server Search Order: 82.216.111.123

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A7EE27A3-07CC-4FBC-8750-BE306BDD6961}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F351C318-B801-4EB5-8540-BEB60FF8D859}: DhcpNameServer=85.255.114.45,85.255.112.195

HKLM\SYSTEM\CS1\Services\Tcpip\..\{A7EE27A3-07CC-4FBC-8750-BE306BDD6961}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F351C318-B801-4EB5-8540-BEB60FF8D859}: DhcpNameServer=85.255.114.45,85.255.112.195

HKLM\SYSTEM\CS3\Services\Tcpip\..\{A7EE27A3-07CC-4FBC-8750-BE306BDD6961}: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123

HKLM\SYSTEM\CS3\Services\Tcpip\..\{F351C318-B801-4EB5-8540-BEB60FF8D859}: DhcpNameServer=85.255.114.45,85.255.112.195

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=82.216.111.125 82.216.111.124 82.216.111.125 82.216.111.123

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

ComboFix 07-07-30.2 - "BBY" 2007-08-05 20:02:45.3 [GMT 2:00] - NTFS

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.Vrai

 

 

((((((((((((((((((((((((( Files Created from 2007-07-05 to 2007-08-05 )))))))))))))))))))))))))))))))

 

 

2007-08-05 15:38 53,248 --a------ C:\WINDOWS\system32\Process.exe

2007-08-05 15:38 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2007-08-05 15:38 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2007-08-02 20:42 <REP> d-------- C:\DOCUME~1\BBY\APPLIC~1\Uniblue

2007-08-02 20:15 <REP> d-------- C:\WINDOWS\pss

2007-08-02 20:02 2,998 --a------ C:\WINDOWS\system32\tmp.reg

2007-08-02 19:49 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-07-29 18:19 37,027 --a------ C:\WINDOWS\atmoUn.exe

2007-07-29 18:19 <REP> d-------- C:\Program Files\Viewpoint

2007-07-29 18:19 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viewpoint

2007-07-14 00:26 <REP> dr------- C:\DOCUME~1\LOCALS~1\Favoris

2007-07-11 21:12 <REP> dr------- C:\DOCUME~1\NETWOR~1\Favoris

2007-07-11 21:09 427,520 --a------ C:\WINDOWS\WRServices.dll

 

 

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

 

2007-08-05 20:03 --------- d-------- C:\DOCUME~1\BBY\APPLIC~1\SlimBrowser

2007-07-30 23:28 --------- d-------- C:\Program Files\Windows Media Connect 2

2007-07-29 18:19 --------- d-------- C:\DOCUME~1\BBY\APPLIC~1\AdobeUM

2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe

2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr

2007-05-16 17:13 683520 --a------ C:\WINDOWS\system32\inetcomm.dll

 

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" []

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-03-03 00:30]

"SoundMan"="SOUNDMAN.EXE" [2004-07-01 05:58 C:\WINDOWS\SOUNDMAN.EXE]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-06-08 13:31 C:\WINDOWS\KHALMNPR.Exe]

"Launch Ai Booster"="C:\Program Files\ASUS\Ai Booster\OverClk.exe" [2004-08-17 17:57]

"iTunesHelper"="D:\OUTILS\iTunes\iTunesHelper.exe" [2006-06-14 16:24]

"DAEMON Tools-1033"="D:\OUTILS\D-Tools\daemon.exe" [2004-08-22 17:05]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 17:10 C:\WINDOWS\system32\bthprops.cpl]

"avast!"="D:\OUTILS\Avast4\ashDisp.exe" [2007-07-28 00:03]

"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 21:05]

"AlcWzrd"="ALCWZRD.EXE" [2004-07-05 12:05 C:\WINDOWS\ALCWZRD.EXE]

"Alcmtr"="ALCMTR.EXE" [2004-07-02 13:49 C:\WINDOWS\ALCMTR.EXE]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]

"H/PC Connection Agent"="D:\Microsoft ActiveSync\WCESCOMM.EXE" [2003-04-23 01:09]

"Uniblue RegistryBooster 2"="D:\OUTILS\Security\RegistryBooster 2\RegistryBooster.exe" []

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Acrobat Assistant.lnk - D:\OUTILS\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 02:19:50]

Lancement rapide d'Adobe Reader.lnk - D:\Microsoft Office\Acrobat7\Reader\reader_sl.exe [2005-09-24 08:05:26]

Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\KEM.exe [2004-12-07 23:00:15]

WinZip Quick Pick.lnk - D:\OUTILS\WinZip\WZQKPICK.EXE [2004-12-09 01:12:24]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"System"="csgfu.exe"

 

R0 BTHidMgr;Bluetooth HID Manager Service;C:\WINDOWS\system32\Drivers\BTHidMgr.sys

R0 IFP1000;iRiver Internet Audio Player IFP-1000;C:\WINDOWS\system32\drivers\ifp1000.sys

R1 AsIO;AsIO;\??\C:\WINDOWS\system32\drivers\AsIO.sys

R1 fwdrv;Kerio Personal Firewall Driver;C:\WINDOWS\system32\Drivers\fwdrv.sys

R2 BthServ;Bluetooth Support Service;C:\WINDOWS\system32\svchost.exe -k bthsvcs

R3 ATIAVAIW;ATI T200 Unified AVStream service;C:\WINDOWS\system32\DRIVERS\atinavt2.sys

R3 BlueletAudio;Bluetooth Audio Service;C:\WINDOWS\system32\DRIVERS\blueletaudio.sys

R3 BT;Bluetooth PAN Network Adapter;C:\WINDOWS\system32\DRIVERS\btnetdrv.sys

R3 Btcsrusb;Bluetooth USB For Bluetooth Service;C:\WINDOWS\system32\Drivers\btcusb.sys

R3 BTHidEnum;Bluetooth HID Enumerator;C:\WINDOWS\system32\DRIVERS\vbtenum.sys

R3 LHidKe;Logitech SetPoint HID Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\LHidKE.Sys

R3 LHidUsbK;Logitech SetPoint USB Receiver Device Driver;C:\WINDOWS\system32\Drivers\LHidUsbK.Sys

R3 LMouKE;Logitech SetPoint Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\LMouKE.Sys

R3 LUsbKbd;Logitech SetPoint USB Keyboard Filter;C:\WINDOWS\system32\Drivers\LUsbKbd.Sys

R3 MTsensor;ATK0110 ACPI UTILITY;C:\WINDOWS\system32\DRIVERS\ASACPI.sys

R3 ROOTMODEM;Microsoft Legacy Modem Driver;C:\WINDOWS\system32\Drivers\RootMdm.sys

R3 VComm;Virtual Serial port driver;C:\WINDOWS\system32\DRIVERS\VComm.sys

R3 VcommMgr;Bluetooth VComm Manager Service;C:\WINDOWS\system32\Drivers\VcommMgr.sys

S3 atinrvxx;ATI WDM Rage Theater Video;C:\WINDOWS\system32\DRIVERS\atinrvxx.sys

S3 BthEnum;Pilote de bloc de demande Bluetooth;C:\WINDOWS\system32\DRIVERS\BthEnum.sys

S3 BthPan;P‚riph‚rique Bluetooth (r‚seau personnel);C:\WINDOWS\system32\DRIVERS\bthpan.sys

S3 BTHPORT;Pilote de port Bluetooth;C:\WINDOWS\system32\Drivers\BTHport.sys

S3 BTHUSB;Pilote USB radio Bluetooth;C:\WINDOWS\system32\Drivers\BTHUSB.sys

S3 C-Dilla;C-Dilla;\??\C:\WINDOWS\system32\drivers\CDANT.SYS

S3 HdAudAddService;Pilote de fonction Microsoft UAA pour Service High Definition Audio;C:\WINDOWS\system32\drivers\HdAudio.sys

S3 MPE;Filtre BDA MPE;C:\WINDOWS\system32\DRIVERS\MPE.sys

S3 MRENDIS5;MRENDIS5 NDIS Protocol Driver;\??\C:\PROGRA~1\COMMON~1\Motive\MRENDIS5.SYS

S3 MVDCODEC;ATI WDM Specialized MVD Codec;C:\WINDOWS\system32\DRIVERS\atinmdxx.sys

S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\PLCMPR5.SYS

S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\PLCNDIS5.SYS

S3 RFCOMM;P‚riph‚rique Bluetooth (TDI protocole RFCOMM);C:\WINDOWS\system32\DRIVERS\rfcomm.sys

S3 wceusbsh;Windows CE USB Serial Host Driver;C:\WINDOWS\system32\DRIVERS\wceusbsh.sys

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs BthServ

 

 

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-08-05 20:03:34

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

Completion time: 2007-08-05 20:03:58

C:\ComboFix2.txt ... 2007-08-05 15:42

 

--- E O F ---

 

 

Voili voilou

Modifié le 5 août 2007 par bb_fr

[AgnesD]

Ok rien de bien terrifiant.

Ce que je ne comprend pas c'est pourquoi cette ligne suspecte n'apparait que dans spybot...

Et pas dans les rapports Smitfraud.

Peux tu stp faire une recherche sur le fichier csgfu.exe dans ta machine (recherche dans les fichiers systèmes et cachés)

si tu le trouve le faire analyser là

http://virusscan.jotti.org/

Si non tien moi au courant.

constate tu des problèmes au niveau de ton surf ? redirections ou autres ?

Modifié le 5 août 2007 par AgnesD

[bb_fr]

Ce que je ne comprend pas c'est pourquoi cette ligne suspecte n'apparait que dans spybot...

Et pas dans les rapports Smitfraud.

C'est bien çà que je ne comprends pas moi aussi

 

constate tu des problèmes au niveau de ton surf ? redirections ou autres ?

aucun problème au niveau internet

Par contre, aucun fichier trouvé nommé csfgu.exe

Modifié le 5 août 2007 par bb_fr

[AgnesD]

Bonsoir.

On est pas à l'abri d'une confusion de Spybot.

 

Peux tu s'il te plais faire un scan chez Kaspersky, et aller voir directement par regedit si cette ligne est présente ou pas.

[bb_fr]

Bonsoir.

On est pas à l'abri d'une confusion de Spybot.

 

Peux tu s'il te plais faire un scan chez Kaspersky, et aller voir directement par regedit si cette ligne est présente ou pas.

Bonsoir Agnes,

l'analyse Kapersky va suivre, mais je crois que tu as mis le doigt dessus. je suis allé dans Regedit, et à l'endroit de la clé j'ai trouvé non pas ce qui est indiqué via Spybot cest-à-dire :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F351C318-B801-4EB5-8540-BEB60FF8D859}\DhcpNameServer=208.67.220.220,208.67.222.222

mais j'ai trouvé dans le champ DhcpNameServer une adresse =85.255.114.45,85.255.112.195 qui correspond à une adresse en Ukraine, donc ce n'est pas bon du tout. A partir de là qu'est-ce que l'on peut faire ? Je rappelle que jusqu'à présent tout va bien sur le fonctionnement du PC.

[AgnesD]

Elle m'avait échappé elles sont présentes dans le rapports Smitfraudfix.....

je m'excuse.

 

Passe smitfraudfix

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport sur le forum.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention que l'option 2 de l'outil supprime le fond d'écran !

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/proc...processutil.htm

Poste le rapport qui suivra.

Si je suis encore dans le coin entre les deux poste le rapport Smitfraudfix

Si je ne suis plus là et seulement si les lignes suspectes sont encore là, enchaine sur Fixwareout.

 

 

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

 

Télécharge le FixWareout (LonnyRJones) sur le Bureau.

**Si le lien ne fonctionne pas, clique ici**

 

Lance le fix (FixWareout.exe), clique sur Next puis Install.

Assure-toi que Run fixit soit bien activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.

Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

Au final, poste le contenu du rapport C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

 

N'oublie pas les rapports

Modifié le 6 août 2007 par AgnesD

[bb_fr]

Merci Agnes,

je le ferai demain.

Voici les rapports Kapersky sur C: et D: apparemment il détecte des virus qu'Avast ne détecte pas.

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Tuesday, August 07, 2007 12:18:25 AM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 6/08/2007

Enregistrements dans la base antivirus Kaspersky : 376190

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: étendue

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Dossiers:

C:\

 

Statistiques de l'analyse:

Total d'objets analysés: 24698

Nombre de virus trouvés: 1

Nombre d'objets infectés: 0 / 0

Nombre d'objets suspects: 2

Durée de l'analyse: 00:18:42

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Yazzle.zip/Yazzle1739OinUninstaller.exe Suspect : Password-protected-EXE ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Yazzle.zip ZIP: suspect - 1 ignoré

C:\Documents and Settings\BBY\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\BBY\Local Settings\Application Data\Microsoft\Media Player\CurrentDatabase_360.wmdb L'objet est verrouillé ignoré

C:\Documents and Settings\BBY\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\BBY\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\BBY\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\BBY\Local Settings\Historique\History.IE5\MSHist012007080620070807\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\BBY\Local Settings\Historique\History.IE5\MSHist012007080720070808\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\BBY\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\BBY\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\BBY\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\change.log L'objet est verrouillé ignoré

C:\WINDOWS\$_hpcst$.hpc L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\EventCache\{10CA9CEC-8A93-4EC2-B331-6958B429E682}.bin L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_724.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

 

Analyse terminée.

 

D:\

----------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Tuesday, August 07, 2007 12:35:23 AM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 6/08/2007

Enregistrements dans la base antivirus Kaspersky : 376190

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: étendue

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Dossiers:

D:\

 

Statistiques de l'analyse:

Total d'objets analysés: 19059

Nombre de virus trouvés: 5

Nombre d'objets infectés: 13 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 00:16:16

 

Nom de l'objet infecté / Nom du virus / Dernière action

D:\OUTILS\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

D:\OUTILS\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

D:\OUTILS\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

D:\OUTILS\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

D:\OUTILS\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

D:\OUTILS\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

D:\OUTILS\Backup\DB\log.txt L'objet est verrouillé ignoré

D:\OUTILS\Security\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

D:\OUTILS\Utilitaires\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe/data0002 Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4 ignoré

D:\OUTILS\Utilitaires\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe/data0003 Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4 ignoré

D:\OUTILS\Utilitaires\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe/data0006 Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4 ignoré

D:\OUTILS\Utilitaires\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4 ignoré

D:\OUTILS\Utilitaires\vnc-4.0-x86_win32.zip ZIP: infecté - 4 ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\A0001144.exe/data0002 Infecté : Trojan-Downloader.Win32.PurityScan.eg ignoré

D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\A0001144.exe NSIS: infecté - 1 ignoré

D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\A0001154.exe/file10 Infecté : Trojan-Downloader.Win32.Agent.bls ignoré

D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\A0001154.exe/file11/data0002 Infecté : Trojan-Downloader.Win32.PurityScan.eg ignoré

D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\A0001154.exe/file11 Infecté : Trojan-Downloader.Win32.PurityScan.eg ignoré

D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\A0001154.exe/file12 Infecté : Trojan-Downloader.Win32.IstBar.gen ignoré

D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\A0001154.exe Inno: infecté - 4 ignoré

D:\System Volume Information\_restore{7C36E781-58F7-459D-9D98-EEE06C4FCEC0}\RP5\change.log L'objet est verrouillé ignoré

 

Analyse terminée.

[AgnesD]

la plupart sont dans la restauration systéme ou des "risktools" soit des outils considérés comme à risque, mais pas de vrai virus ( VNC et quelques utilitaires que je t'ai fait telecharger (smitfraud) qui ne sont pas des virus.

Fait la suite surtout.