Fichier ZOTTEL

La section des versions NT, 2000, et XP de windows : informations, problèmes, questions, avis ou dépannages y trouveront leur place.

Modérateur: Modérateurs

Fichier ZOTTEL

Messagepar ECHECS » 02 Avr 2008 23:31

Bonsoir,je suis sous XP Home SP2 et j'ai constaté que dans le dossier system32 se trouvaient des fichiers de type ZOTTEL ! Connaissez-vous ce type de fichier et les avez-vous également? J'ai effectué une analyse antivirus avec KIS installé récemment et une autre avec SPY SWEEPER mais rien n'a été touvé .Merci.

Configuration: Windows XP
Firefox 2.0.0.13
ECHECS
Libellulien
Libellulien
 
Messages: 90
Inscription: 30 Mai 2007 15:33

Re: Fichier ZOTTEL

Messagepar Falkra » 02 Avr 2008 23:46

Bonsoir, je me demande ce que ça va donner ici :
http://www.commentcamarche.net/forum/affich-5750672-fichier-zottel

Comment sont ces fichiers ? Zottel est leur extension, ou le début de leur nom ? Le type, qui s'affiche quand on demande les propriétés ?

Pour voir ce qui tourne sur ta machine et pouvoir nettoyer les infections éventuellement présentes, il nous faut faire quelques tests.

Voici comment démarrer.
:arrow: Poste un rapport Hijackthis (v2.0.2) dans ta prochaine réponse stp :
Voici un tuto avec les liens nécessaires :
http://www.libellules.ch/poster_log_hijackthis.php
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Fichier ZOTTEL

Messagepar ECHECS » 03 Avr 2008 00:30

Re,sur CCM j'ai fait une recherche avant de venir sur LibellulesLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:25:48, on 03/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Wistron\AVManager\AVManager.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\BillP Studios\WinPatrol\WinPatrol.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
C:\Program Files\Intel\Wireless\Bin\iFrmewrk.exe
C:\Documents and Settings\Didier\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - (no file)
O2 - BHO: SearchGT - {684B7DF7-51DE-4852-ACF8-7BA3934D9BD1} - C:\Program Files\SearchGT\SearchGTShell.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: (no name) - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [AVManager] "C:\Program Files\Wistron\AVManager\AVManager.exe"
O4 - HKLM\..\Run: [SynTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
O4 - HKLM\..\Run: [SynTPLpr] "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\WButton.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [Change Ecran]
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microso ... 8272433256
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 8272378477
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Program Files\Advanced Registry Doctor\RegManServ.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 1: (no name) - http://www.gratilog.net/

--
End of file - 8632 bytes
ECHECS
Libellulien
Libellulien
 
Messages: 90
Inscription: 30 Mai 2007 15:33

Re: Fichier ZOTTEL

Messagepar ECHECS » 03 Avr 2008 00:46

Nom 5 Taille Type Date de modification
btprn2k.dll 84 Ko Extension de l'application 29/11/2004 20:44

btrez.dll 3 056 Ko Extension de l'application 29/11/2004 20:33
btrez.dll.zottel 3 056 Ko Fichier ZOTTEL 29/11/2004 20:33
btrezxp.dll 88 Ko Extension de l'application 29/11/2004 20:31
btsec.dll 196 Ko Extension de l'application 29/11/2004 20:50

btsendto.dll 128 Ko Extension de l'application 29/11/2004 20:45
btsendto.dll.zottel 128 Ko Fichier ZOTTEL 29/11/2004 20:45
btsendto_ie.dll 72 Ko Extension de l'application 29/11/2004 20:49

btsendto_lnagent.nsf 320 Ko Fichier NSF 30/08/2002 15:51
btsendto_notes.dll 48 Ko Extension de l'application 29/11/2004 20:45
btsendto_office.dll 164 Ko Extension de l'application 29/11/2004 20:48

btsendto_wab.dll 64 Ko Extension de l'application 29/11/2004 20:48
btw_ci.dll 76 Ko Extension de l'application 29/11/2004 20:46
btw_ci.dll.zottel 76 Ko Fichier ZOTTEL 29/11/2004 20:46

btwhidcs.dll 216 Ko Extension de l'application 29/11/2004 20:54
BtWiaExt.dll 88 Ko Extension de l'application 29/11/2004 20:58
BtWizard.dll 800 Ko Extension de l'application 29/11/2004 20:53
ECHECS
Libellulien
Libellulien
 
Messages: 90
Inscription: 30 Mai 2007 15:33

Re: Fichier ZOTTEL

Messagepar Falkra » 03 Avr 2008 10:17

Re, il n'y a rien d'anormal dans ton rapport.
As-tu du matériel bluetooth sur la machine ? Ces fichiers sont certainement liés à des périphériques bluetooth (ne pas effacer).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Fichier ZOTTEL

Messagepar ECHECS » 03 Avr 2008 11:30

Bonjour,cela m'aurait étonné d'être infecté mais j'ai préféré vérifier(on ne sait jamais).Effectivement j'ai le bluetooth et d'ailleurs à ce sujet je ne sais pas si vous vous rappelez il y a déjà quelques temps une fenêtre du fichier system32 s'ouvrait au démarrage.En utilisant winpatrol j'avais déterminé que c'était justement lui le responsable et je l'avais désactivé dans les services et justement cette fenêtre apparait de nouveau.
ECHECS
Libellulien
Libellulien
 
Messages: 90
Inscription: 30 Mai 2007 15:33

Re: Fichier ZOTTEL

Messagepar Falkra » 03 Avr 2008 19:30

Ok, qu'indique cette fenêtre de winpatrol ? :-D
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Fichier ZOTTEL

Messagepar ECHECS » 03 Avr 2008 22:42

Bonsoir,à vrai dire la fenêtre qui s'ouvre c'est le dossier system32 de C:Windows ,Winpatrol indique les programmes que l'onveut activé ou désactivés au démarrage ajoutés ou supprimés ensuite il ya les onglets tâches actives, bho, lancement différé ,services etc
ECHECS
Libellulien
Libellulien
 
Messages: 90
Inscription: 30 Mai 2007 15:33

Re: Fichier ZOTTEL

Messagepar Falkra » 03 Avr 2008 23:01

Si c'est bien winpatrol qui est responsable, il faut déterminer pourquoi il ouvre cette fenêtre, qu'indique-t-il lorsque cela se produit ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Fichier ZOTTEL

Messagepar ECHECS » 03 Avr 2008 23:19

Non ce n'est pas Winpatrol le responsable .A l'époque c'est lui qui m'avait permis en désactivant deux par deux les programmes et de déterminer que bluetooth en étant désactivé, la fenêtre du dossier system32 n'apparaissait plus (vous m'aviez proposé SSM pour cacher cette fenêtre,effectivement cela avait fonctionné mais je l'ai enlevé et comme je ne me servais pas du bluetooth je l'ai laissé désactivé) hors depuis ma question sur le nom du dossier Zottel la fenêtre du dossier réapparait mais bluetooth est désactivé
ECHECS
Libellulien
Libellulien
 
Messages: 90
Inscription: 30 Mai 2007 15:33

Re: Fichier ZOTTEL

Messagepar Falkra » 03 Avr 2008 23:28

Curieux, ça se produit au démarrage de la machine, à des moments précis (après telle ou telle actino) ou n'importe quand ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Fichier ZOTTEL

Messagepar ECHECS » 03 Avr 2008 23:37

C'est vrai que c'est curieux en tout cas cette fenêtre s'affiche juste après l'affichage du bureau et des icones
ECHECS
Libellulien
Libellulien
 
Messages: 90
Inscription: 30 Mai 2007 15:33

Re: Fichier ZOTTEL

Messagepar Falkra » 04 Avr 2008 19:41

La seule ligne bizarre dans le rapport est celle-ci, il manque le fichier :
O4 - HKCU\..\Run: [Change Ecran]


Est-ce familier ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Fichier ZOTTEL

Messagepar ECHECS » 04 Avr 2008 21:13

Bonsoir,c'est un logiciel qui a été installé cette semaine et qui permet de changer le fond d'écran à différents intervalles de temps au choix de l'utilisateur.Je peut le désinstaller pour voir si c'est lui ,aucun problème
ECHECS
Libellulien
Libellulien
 
Messages: 90
Inscription: 30 Mai 2007 15:33

Re: Fichier ZOTTEL

Messagepar Falkra » 04 Avr 2008 21:16

Ce n'est pas habituel de ne rien avoir dans la ligne après le nom, mais a priori il n'est pas en cause.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1


Retourner vers Windows NT, 2000, XP

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités