Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Zlob DNSCHANGER

sunshine33

Par sunshine33
dans Analyses et éradication malwares

 Partager

Messages recommandés

sunshine33 Junior Member

sunshine33

Posté(e)
Posté(e)

j'ai suivi à la lettre un précedent post pour remedier à ce probleme car j'ai le même type de problème:

 

J'ai des popup publicitaires qui s'ouvre aléatoirement

 

1: j'ai fait SpyBot search and destroy

il m'a trouvé Zlob dnschanger

 

apres suppression il revient à chaque fois

 

2: SmitFraudFix

Les parmétres DNS de ma connexion réseau ont été modifiés à mon insu, j'ai remis les DNS de mon forunisseur d'accès FREE.fr

 

voici le rapport smitfraudfix:

 

ce que je trouve suspect est en italique (pour la partie DNS)

 

et en gras ans le process:

C:\windows\system32\atgiuhjcoi.exe

 

je n'ai rien trouvé sur le net concernant ce fichier, si je l'arrête j'ai plus des popup de pub, par contre le fichier en lui même est introuvable dans le repertoire précisé.

 

SmitFraudFix v2.219

 

Rapport fait à 15:07:49,59, 03/09/2007

Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\smitfraud\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\PROGRA~1\NETSUP~1\client32.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\apvxdwin.exe

c:\program files\panda software\panda antivirus 2007\WebProxy.exe

C:\WINDOWS\SYSTEM32\notepad.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\windows\system32\atgiuhjcoi.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\INS\VitalAgent\Program\VtlAgent.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\UTILIS~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Carte Realtek Ethernet à base RTL8029(AS)(Générique) - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.32.5

DNS Server Search Order: 212.27.32.6

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CS1\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CS2\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

le rapport de Fixwareout

 

Username "Utilisateur" - 03/09/2007 14:57:38 [Fixwareout edited 9/01/2007]

 

~~~~~ Prerun check

 

Cache de résolution DNS vidé.

 

 

System was rebooted successfully.

 

~~~~~ Postrun check

HKLM\SOFTWARE\~\Winlogon\ "System"=""

....

....

~~~~~ Misc files.

....

~~~~~ Checking for older varients.

....

 

~~~~~ Current runs (hklm hkcu "run" Keys Only)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

"nwiz"="nwiz.exe /install"

"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"

"SoundMan"="SOUNDMAN.EXE"

"LogitechVideoRepair"="C:\\Program Files\\Logitech\\Video\\ISStart.exe"

"LogitechVideoTray"="C:\\Program Files\\Logitech\\Video\\LogiTray.exe"

"zBrowser Launcher"="C:\\Program Files\\Logitech\\iTouch\\iTouch.exe"

"EM_EXEC"="C:\\PROGRA~1\\Logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"

"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_02\\bin\\jusched.exe\""

"DAEMON Tools"="\"C:\\Program Files\\DAEMON Tools\\daemon.exe\" -lang 1033"

"APVXDWIN"="\"C:\\Program Files\\Panda Software\\Panda Antivirus 2007\\APVXDWIN.EXE\" /s"

"NeroFilterCheck"="C:\\Program Files\\Fichiers communs\\Ahead\\Lib\\NeroCheck.exe"

"atgiuhjcoi"="c:\\windows\\system32\\atgiuhjcoi.exe atgiuhjcoi"

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVIEW"="rundll32.exe nview.dll,nViewLoadHook"

"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Program Files\\Fichiers communs\\Ahead\\Lib\\NMBgMonitor.exe\""

"H/PC Connection Agent"="\"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe\""

....

Hosts file was reset, If you use a custom hosts file please replace it...

~~~~~ End report ~~~~~

 

 

Que dois-e faire pour résoudre mon problème.

 

Merci d'avance pour votre aide

eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

Re

 

Peux tu poster un log hijackthis et un rapport smitfraud option 5 stp

 

@+

 

Eclypse

sunshine33 Junior Member

sunshine33

Posté(e)
  • Auteur
Posté(e)

Logfile of HijackThis v1.99.1

Scan saved at 18:45:44, on 03/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\PROGRA~1\NETSUP~1\client32.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\apvxdwin.exe

c:\program files\panda software\panda antivirus 2007\WebProxy.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\INS\VitalAgent\Program\VtlAgent.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\psimreal.exe

C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: MyVitalAgent.lnk = C:\Program Files\INS\VitalAgent\Program\VtlAgent.exe

O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: PhotoCapt - {D4935849-9EBC-4eac-A3AF-0C861DDAF397} - C:\Program Files\PhotoCapt\PhotoCapt.exe

O9 - Extra 'Tools' menuitem: PhotoCapt - {D4935849-9EBC-4eac-A3AF-0C861DDAF397} - C:\Program Files\PhotoCapt\PhotoCapt.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4E8A3661-FB5B-4AEF-BF60-B0E9712FAE49} (Silverwire Image Uploader 3.0 Control) - http://cdiscount.htmlupload.com/upload/Jav...geUploader3.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase8300.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094569854750

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer = 212.27.32.5,212.27.32.6

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Apache - Unknown owner - C:\Program Files\Apache Group\Apache\Apache.exe" --ntservice (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Client32 - NetSupport Ltd - C:\PROGRA~1\NETSUP~1\client32.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe

 

 

 

SmitFraudFix v2.219

 

Rapport fait à 18:48:09,26, 03/09/2007

Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\smitfraud\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

 

Description: Carte Realtek Ethernet à base RTL8029(AS)(Générique) - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.32.5

DNS Server Search Order: 212.27.32.6

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CS1\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CS2\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

 

Description: Carte Realtek Ethernet à base RTL8029(AS)(Générique) - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.32.5

DNS Server Search Order: 212.27.32.6

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CS1\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CS2\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

As tu fais un smitfraud option 2 ? si oui as tu encore le rapport ? (Mode sans echec obligatoire) F8 au démarrage du pc

sunshine33 Junior Member

sunshine33

Posté(e)
  • Auteur
Posté(e)

je n'arrive pas a demarrer en mode sans echec, je fais F8 en tapotant ou en fixe, windows démarre normalement.

 

voici le rapport mais en mode normal

 

SmitFraudFix v2.219

 

Rapport fait à 19:49:22,29, 03/09/2007

Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\smitfraud\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Carte Realtek Ethernet à base RTL8029(AS)(Générique) - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.32.5

DNS Server Search Order: 212.27.32.6

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CS1\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CS2\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

Re

 

Essaye ce scan

 

analyseql0.png Kaspersky

  • Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien
  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur bouton-scann1.jpg
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

sunshine33 Junior Member

sunshine33

Posté(e)
  • Auteur
Posté(e)

voici le mode sans echec

 

SmitFraudFix v2.219

 

Rapport fait à 20:18:45,03, 03/09/2007

Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\smitfraud\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CS1\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CS2\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

eclypse Extrem Member

eclypse

Posté(e)
Posté(e) (modifié)

Re

 

Reouvre hijackthis et coche

O17 - HKLM\System\CCS\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer = 212.27.32.5,212.27.32.6

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

 

Clique sur fix checked

 

Fais un smitfraud choix 5 puis poste le rapport

 

analyseql0.png OTMoveIt (Old_Timer)

 

Télécharge OTMoveIt de Old_Timer sur ton Bureau.

  • Double-clique sur OTMoveIt.exe pour le lancer.
  • Assure toi que Unregister Dll's and Ocx's soit coché.
  • Copie-colle dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved

C:\windows\system32\atgiuhjcoi.exe

  • Clique sur MoveIt! pour lancer la suppression.
  • Le résultat apparaitra dans le cadre Results. Copie le résultat.
  • Clique sur Exit pour fermer.
  • Colle le résultat dans ta prochain réponse.

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas acceptes par Yes. Et poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom [nombres_nombres].log

Modifié par eclypse
sunshine33 Junior Member

sunshine33

Posté(e)
  • Auteur
Posté(e)

Re

 

Reouvre hijackthis et coche

Clique sur fix checked

 

Fais un smitfraud choix 5 puis poste le rapport

 

1-J'ai fixé ce que tu me demandes avec Hijackthis

 

2- le rapport smitfraud apres Hijackthis

SmitFraudFix v2.219

 

Rapport fait à 20:53:52,45, 03/09/2007

Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\smitfraud\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS1\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: DhcpNameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{525CA4D7-3CCF-40A3-B616-4FF241681580}: NameServer=208.67.220.220,208.67.222.222

HKLM\SYSTEM\CS2\Services\Tcpip\..\{E07D3E08-C26A-449D-8496-E04C7AE1E845}: NameServer=212.27.32.5,212.27.32.6

 

Analyse kaspersky en cours 1%...

 

je m'occupe de la suite...

sunshine33 Junior Member

sunshine33

Posté(e)
  • Auteur
Posté(e)
[*] Le résultat apparaitra dans le cadre Results. Copie le résultat.

 

File/Folder C:\windows\system32\atgiuhjcoi.exe not found.

 

Created on 09/03/2007 21:13:11

 

 

[*] Clique sur Exit pour fermer.

[*] Colle le résultat dans ta prochain réponse.

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas acceptes par Yes. Et poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom [nombres_nombres].log

 

résultat du log

File/Folder C:\windows\system32\atgiuhjcoi.exe not found.

 

Created on 09/03/2007 21:13:11

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...