Infection smitfraud-C.toolbar888 [Résolu]

Monsieur Furtif · le 23 juin 2007

Bonjour,

j'ai quelques petits soucis avec un malware coriace.

La source : Smitfraud-C.toolbar888 (selon Spybot S&D)

Les symptômes : lancement de fenêtres IE (alors que je n'utilise que Firefox), quelques ouvertures d'onglets intempestifs dans Firefox pour des malwares.

J'ai recherché ma solution dans des sujets sur le forum mais les noms de fichiers concernant étant aléatoire, je me suis posé bcp de questions.

Comme les autres, Spybot me détecte une entrée de registre mais qui revient à chaque démarrage. J'ai bien lancé une analyse antivirus au démarrage mais ça n'a pas suffit.

Voilà le HijackThis (j'ai mis en rouge ce qui me semble bizarre) :

Logfile of HijackThis v1.99.1
Scan saved at 17:12:50, on 23/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\WLTRAY.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Launch Manager\LaunchAp.exe

C:\Program Files\Launch Manager\PowerKey.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Launch Manager\Wbutton.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Spybot\TeaTimer.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"

O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"

O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"

O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"

O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [setDefaultMIDI] MIDIDef.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot\TeaTimer.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -

O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} (Java Plug-in 1.5.0_08) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{2A004979-2E78-464A-8261-AD9E8E789757}: NameServer = 192.168.1.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\wtygjsko.exe (file missing)

O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

J'ai lancé dans la foulée un VundoFix où j'ai effacé trois autres fichiers, puis relancé, voilà le rapport :

VundoFix V6.5.1

Checking Java version...

Java version is 1.5.0.10

Scan started at 17:50:37 23/06/2007

Listing files found while scanning....

No infected files were found.

J'ai réalisé également un scan avec DiagHelp, qui donne :

DiagHelp version v1.1.2 - http://www.malekal.com
excute le 23/06/2007 à 17:58:00,03

Liste des derniers fichies modifies/crees dans windir\system32

C:\WINDOWS\System32/drivers\aswmon.sys -->30/04/2007 17:41:56

C:\WINDOWS\System32/drivers\aswmon2.sys -->30/04/2007 17:41:42

C:\WINDOWS\System32/drivers\aswRdr.sys -->30/04/2007 17:39:42

C:\WINDOWS\System32/drivers\aswTdi.sys -->30/04/2007 17:38:52

C:\WINDOWS\System32/drivers\aavmker4.sys -->30/04/2007 17:37:24

C:\WINDOWS\System32/drivers\PxHelp20.sys -->08/03/2007 01:51:00

C:\WINDOWS\System32/drivers\cdr4_xp.sys -->08/03/2007 01:51:00

C:\WINDOWS\System32\eRLog.ini -->23/06/2007 17:23:28

C:\WINDOWS\System32\asfiles.txt -->23/06/2007 15:34:46

C:\WINDOWS\System32\Uninstall.ico -->23/06/2007 15:28:34

C:\WINDOWS\System32\Help.ico -->23/06/2007 15:28:34

C:\WINDOWS\System32\pavas.ico -->23/06/2007 15:28:34

C:\WINDOWS\System32\awtqoli.dll -->20/06/2007 13:33:20

C:\WINDOWS\System32\wpa.dbl -->17/06/2007 17:31:08

C:\WINDOWS\System32\MRT.exe -->05/06/2007 23:38:42

C:\WINDOWS\System32\FNTCACHE.DAT -->18/05/2007 12:03:08

C:\WINDOWS\System32\BASSMOD.dll -->18/05/2007 00:21:28

C:\WINDOWS\System32\CONFIG.NT -->05/05/2007 03:43:06

C:\WINDOWS\System32\aswBoot.exe -->30/04/2007 17:46:10

C:\WINDOWS\System32\AVASTSS.scr -->30/04/2007 17:35:28

C:\WINDOWS\System32\schannel.dll -->25/04/2007 16:22:36

C:\WINDOWS\System32\jupdate-1.6.0_01-b06.log -->23/04/2007 01:32:14

C:\WINDOWS\System32\msi.dll -->18/04/2007 18:14:18

C:\WINDOWS\System32\wups.dll -->16/04/2007 22:47:36

C:\WINDOWS\System32\wuaucpl.cpl.mui -->16/04/2007 22:47:26

C:\WINDOWS\System32\wuapi.dll.mui -->16/04/2007 22:46:54

C:\WINDOWS\System32\wuaueng.dll -->16/04/2007 22:45:54

C:\WINDOWS\System32\wuapi.dll -->16/04/2007 22:45:48

C:\WINDOWS\System32\wuaueng.dll.mui -->16/04/2007 22:45:42

C:\WINDOWS\System32\wucltui.dll -->16/04/2007 22:45:42

C:\WINDOWS\System32\wuaucpl.cpl -->16/04/2007 22:45:40

C:\WINDOWS\System32\wuweb.dll -->16/04/2007 22:45:36

C:\WINDOWS\wiadebug.log -->23/06/2007 17:23:36

C:\WINDOWS\ComponentList.xml -->23/06/2007 17:23:12

C:\WINDOWS\ModemLog_SoftV90 Data Fax Modem with SmartCP.txt -->23/06/2007 17:23:08

C:\WINDOWS.log -->23/06/2007 17:22:50

C:\WINDOWS\bootstat.dat -->23/06/2007 17:22:48

C:\WINDOWS\WindowsUpdate.log -->23/06/2007 16:35:54

C:\WINDOWS\SchedLgU.Txt -->23/06/2007 16:35:50

C:\WINDOWS\wiaservc.log -->23/06/2007 16:35:44

C:\WINDOWS\win.ini -->23/06/2007 15:34:36

C:\WINDOWS\setupapi.log -->23/06/2007 15:29:10

C:\WINDOWS\ntbtlog.txt -->22/06/2007 15:36:22

C:\WINDOWS\NeroDigital.ini -->21/06/2007 00:36:26

C:\WINDOWS\DPINST.LOG -->20/06/2007 22:38:16

C:\WINDOWS\mozver.dat -->19/06/2007 13:02:56

C:\WINDOWS\system.ini -->19/06/2007 10:40:04

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 1B71-12F5

Répertoire de C:\WINDOWS\system32

05/08/2004 05:00 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 15 541 862 400 octets libres

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 1B71-12F5

Répertoire de C:\WINDOWS\Downloaded Program Files

15/10/2004 11:59 <REP> .

15/10/2004 11:59 <REP> ..

15/10/2004 11:59 65 desktop.ini

09/11/2006 14:36 5 019 swflash.inf

24/08/2006 08:28 141 424 asinst.dll

22/08/2006 09:06 537 asinst.inf

4 fichier(s) 147 045 octets

Total des fichiers listés :

4 fichier(s) 147 045 octets

2 Rép(s) 15 541 862 400 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"

"C:\\Program Files\\Soulseek\\slsk.exe"="C:\\Program Files\\Soulseek\\slsk.exe:*:Enabled:SoulSeek"

"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"="C:\\Program Files\\Google\\Google Talk\\googletalk.exe:*:Enabled:Google Talk"

"C:\\Program Files\\FileZilla\\FileZilla.exe"="C:\\Program Files\\FileZilla\\FileZilla.exe:*:Enabled:FileZilla"

"C:\\Program Files\\BitComet\\BitComet.exe"="C:\\Program Files\\BitComet\\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"

"D:\\Temp\\Nexuiz\\nexuiz.exe"="D:\\Temp\\Nexuiz\\nexuiz.exe:*:Enabled:Nexuiz"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\K-Lite\\Media Player Classic\\mplayerc.exe"="C:\\Program Files\\K-Lite\\Media Player Classic\\mplayerc.exe:*:Enabled:Media Player Classic"

"C:\\Program Files\\TS Webeditor\\tswebeditor.exe"="C:\\Program Files\\TS Webeditor\\tswebeditor.exe:*:Enabled:tsWebEditor"

"C:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE"="C:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE:*:Enabled:Firefox"

"C:\\Program Files\\OpenOffice.org 2.0\\program\\SOFFICE.BIN"="C:\\Program Files\\OpenOffice.org 2.0\\program\\SOFFICE.BIN:*:Enabled:OpenOffice.org 2.0"

"C:\\Program Files\\Heroes of the Pacific\\Heroes.exe"="C:\\Program Files\\Heroes of the Pacific\\Heroes.exe:*:Enabled:Heroes Of The Pacific"

"F:\\Informatique\\Portable\\MirandaPortable\\App\\miranda\\miranda32.exe"="F:\\Informatique\\Portable\\MirandaPortable\\App\\miranda\\miranda32.exe:*:Enabled:Miranda IM"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\WINDOWS\\system32\\wtygjsko.exe"="C:\\WINDOWS\\system32\\wtyg"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Export de la clef SharedTaskScheduler

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-06-23 17:58:55

Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden files ...

scan completed successfully

hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System

256 - EXPLORER.EXE

368 - BCMWLTRY.EXE

512 - ASHSERV.EXE

792 - SPOOLSV.EXE

944 - ANBMSERV.EXE

988 - CSRSS.EXE

1012 - WINLOGON.EXE

1060 - SERVICES.EXE

1072 - LSASS.EXE

1104 - WMIPRVSE.EXE

1220 - ATI2EVXX.EXE

1232 - SVCHOST.EXE

1256 - ASHMAISV.EXE

1332 - SVCHOST.EXE

1392 - SVCHOST.EXE

1400 - ASHWEBSV.EXE

1516 - SVCHOST.EXE

1668 - SVCHOST.EXE

1944 - cmd.exe

2008 - ATI2EVXX.EXE

2160 - ALG.EXE

2264 - SYNTPLPR.EXE

2288 - SYNTPENH.EXE

2316 - WLTRAY.EXE

2336 - ATIPTAXX.EXE

2352 - LAUNCHAP.EXE

2360 - POWERKEY.EXE

2376 - HOTKEYAPP.EXE

2412 - WBUTTON.EXE

2452 - ASHDISP.EXE

2600 - HPWUSCHD.EXE

2788 - CTFMON.EXE

2812 - TEATIMER.EXE

2860 - NKBMONITOR.EXE

2980 - OBJECTDOCK.EXE

3196 - MONITOR.EXE

3380 - SVCHOST.EXE

3520 - FIREFOX.EXE

Total number of processes = 39

NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe

806CE000 - \WINDOWS\system32\hal.dll

F8B67000 - \WINDOWS\system32\KDCOM.DLL

F8A77000 - \WINDOWS\system32\BOOTVID.dll

F853E000 - a347bus.sys

F8476000 - sptd.sys

F8B69000 - \WINDOWS\System32\Drivers\WMILIB.SYS

F845E000 - \WINDOWS\System32\Drivers\SPTDDRV1.SYS

F842F000 - ACPI.sys

F841E000 - pci.sys

F8667000 - ohci1394.sys

F8677000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS

F8687000 - isapnp.sys

F8A7B000 - compbatt.sys

F8A7F000 - \WINDOWS\system32\DRIVERS\BATTC.SYS

F8C2F000 - pciide.sys

F88E7000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

F8B6B000 - aliide.sys

F8B6D000 - intelide.sys

F8B6F000 - toside.sys

F8A83000 - UBHelper.sys

F8B71000 - viaide.sys

F8B73000 - cmdide.sys

F8400000 - pcmcia.sys

F8697000 - MountMgr.sys

F83E1000 - ftdisk.sys

F8A87000 - ACPIEC.sys

F8C30000 - \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS

F88EF000 - PartMgr.sys

F86A7000 - VolSnap.sys

F8A8B000 - cpqarray.sys

F83C9000 - \WINDOWS\system32\DRIVERS\SCSIPORT.SYS

F83B1000 -

F8A8F000 - aha154x.sys

F88F7000 - sparrow.sys

F8A93000 - symc810.sys

F86B7000 - aic78xx.sys

F8A97000 - dac960nt.sys

F86C7000 - ql10wnt.sys

F8A9B000 - amsint.sys

F88FF000 - asc.sys

F8A9F000 - asc3550.sys

F8907000 - mraid35x.sys

F890F000 - i2omp.sys

F8AA3000 - ini910u.sys

F86D7000 - ql1240.sys

F86E7000 - aic78u2.sys

F8917000 - symc8xx.sys

F891F000 - sym_hi.sys

F8927000 - sym_u3.sys

F892F000 - ABP480N5.SYS

F8937000 - asc3350p.sys

F8B75000 - cd20xrnt.sys

F86F7000 - ultra.sys

F8398000 - adpu160m.sys

F893F000 - dpti2o.sys

F8707000 - ql1080.sys

F8717000 - ql1280.sys

F8727000 - ql12160.sys

F8947000 - perc2.sys

F8B77000 - perc2hib.sys

F894F000 - hpn.sys

F8AA7000 - cbidf2k.sys

F836C000 - dac2w2k.sys

F8B79000 - a347scsi.sys

F8737000 - disk.sys

F8747000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F834C000 - fltMgr.sys

F8757000 - PxHelp20.sys

F8329000 - Fastfat.sys

F8312000 - KSecDD.sys

F82E5000 - NDIS.sys

F8767000 - sisagp.sys

F8777000 - viaagp.sys

F82CA000 - Mup.sys

F8787000 - gagp30kx.sys

F8797000 - alim1541.sys

F87A7000 - amdagp.sys

F87B7000 - agp440.sys

F87C7000 - agpCPQ.sys

F87E7000 - \SystemRoot\system32\DRIVERS\AmdK8.sys

F81FE000 - \SystemRoot\system32\DRIVERS\wmiacpi.sys

F7F1D000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys

F7F09000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F89B7000 - \SystemRoot\system32\DRIVERS\usbohci.sys

F7EE6000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F89BF000 - \SystemRoot\system32\DRIVERS\usbehci.sys

F87F7000 - \SystemRoot\system32\DRIVERS\imapi.sys

F8807000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F8817000 - \SystemRoot\system32\DRIVERS\redbook.sys

F7EC3000 - \SystemRoot\system32\DRIVERS\ks.sys

F8B7B000 - \SystemRoot\system32\DRIVERS\NTIDrvr.sys

F8827000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

F89C7000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F7E95000 - \SystemRoot\system32\DRIVERS\SynTP.sys

F8B7D000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F89CF000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F81F6000 - \SystemRoot\system32\DRIVERS\CmBatt.sys

F89D7000 - \SystemRoot\system32\DRIVERS\nscirda.sys

F81F2000 - \SystemRoot\system32\DRIVERS\irenum.sys

F7E3A000 - \SystemRoot\system32\DRIVERS\bcmwl5.sys

F8837000 - \SystemRoot\system32\DRIVERS\nic1394.sys

F7E16000 - \SystemRoot\system32\drivers\tifm21.sys

F7E05000 - \SystemRoot\system32\DRIVERS\sdbus.sys

F7DF3000 - \SystemRoot\system32\DRIVERS\Rtlnicxp.sys

F7A79000 - \SystemRoot\system32\drivers\ALCXWDM.SYS

F7A55000 - \SystemRoot\system32\drivers\portcls.sys

F8847000 - \SystemRoot\system32\drivers\drmk.sys

F7984000 - \SystemRoot\system32\DRIVERS\HSFHWATI.sys

F7886000 - \SystemRoot\system32\DRIVERS\HSF_DP.sys

F77DA000 - \SystemRoot\system32\DRIVERS\HSF_CNXT.sys

F89DF000 - \SystemRoot\System32\Drivers\Modem.SYS

F8065000 - \SystemRoot\system32\DRIVERS\audstub.sys

F89E7000 - \SystemRoot\system32\DRIVERS\rasirda.sys

F89EF000 - \SystemRoot\system32\DRIVERS\TDI.SYS

F8857000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

F81E6000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

F77C3000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F8867000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F8877000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F778A000 - \SystemRoot\system32\DRIVERS\psched.sys

F8887000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F89F7000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F89FF000 - \SystemRoot\system32\DRIVERS\raspti.sys

F8897000 - \SystemRoot\system32\DRIVERS\termdd.sys

F8B7F000 - \SystemRoot\system32\DRIVERS\swenum.sys

F7756000 - \SystemRoot\system32\DRIVERS\update.sys

F81C5000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F88A7000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F88D7000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F8B87000 - \SystemRoot\System32\Drivers\i2omgmt.SYS

F8B89000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F802E000 - \SystemRoot\System32\Drivers\Null.SYS

F8B8B000 - \SystemRoot\System32\Drivers\Beep.SYS

F8A27000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

F8A2F000 - \SystemRoot\System32\drivers\vga.sys

F8B8F000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F8B91000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F8A37000 - \SystemRoot\System32\Drivers\Msfs.SYS

F8A3F000 - \SystemRoot\System32\Drivers\Npfs.SYS

F8185000 - \SystemRoot\system32\DRIVERS\rasacd.sys

EF5EB000 - \SystemRoot\system32\DRIVERS\ipsec.sys

EF593000 - \SystemRoot\system32\DRIVERS\tcpip.sys

F82AA000 - \SystemRoot\System32\Drivers\aswTdi.SYS

EF56B000 - \SystemRoot\system32\DRIVERS\netbt.sys

EF549000 - \SystemRoot\System32\drivers\afd.sys

F829A000 - \SystemRoot\system32\DRIVERS\netbios.sys

EF51E000 - \SystemRoot\system32\DRIVERS\rdbss.sys

EF4AF000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

F8179000 - \SystemRoot\System32\Drivers\Hotkey.SYS

F826A000 - \SystemRoot\System32\Drivers\Fips.SYS

EF48E000 - \SystemRoot\system32\DRIVERS\ipnat.sys

F825A000 - \SystemRoot\system32\DRIVERS\wanarp.sys

F824A000 - \SystemRoot\system32\DRIVERS\arp1394.sys

F8A47000 - \SystemRoot\System32\Drivers\Aavmker4.SYS

F8A4F000 - \SystemRoot\system32\DRIVERS\usbccgp.sys

F822A000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F815D000 - \SystemRoot\system32\DRIVERS\hidusb.sys

F7A45000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

F8159000 - \SystemRoot\system32\DRIVERS\kbdhid.sys

F77BF000 - \SystemRoot\system32\DRIVERS\mouhid.sys

EF44E000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F8B95000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F77AB000 - \SystemRoot\System32\drivers\Dxapi.sys

F8A5F000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

F8D29000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D5000 - \SystemRoot\System32\ati2dvag.dll

BFA11000 - \SystemRoot\System32\ati2cqag.dll

BFA43000 - \SystemRoot\System32\atikvmag.dll

BFA75000 - \SystemRoot\System32\ati3duag.dll

BFCA6000 - \SystemRoot\System32\ativvaxx.dll

BFFA0000 - \SystemRoot\System32\ATMFD.DLL

ED326000 - \SystemRoot\system32\DRIVERS\AegisP.sys

ED140000 - \SystemRoot\system32\DRIVERS\irda.sys

ED322000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

ECFC2000 - \SystemRoot\System32\Drivers\aswMon2.SYS

ECE2D000 * --[Hidden]--

ECD50000 - \SystemRoot\system32\drivers\wdmaud.sys

ED2C6000 - \SystemRoot\system32\drivers\sysaudio.sys

ECE82000 - \SystemRoot\system32\DRIVERS\mdmxsdk.sys

F8A67000 - \SystemRoot\system32\drivers\osaio.sys

F8D69000 - \SystemRoot\system32\drivers\osanbm.sys

ECCA0000 - \??\C:\WINDOWS\system32\drivers\PfModNT.sys

ECBAE000 - \SystemRoot\system32\DRIVERS\srv.sys

ECE76000 - \SystemRoot\system32\DRIVERS\secdrv.sys

ECA6A000 - \SystemRoot\System32\Drivers\aswRdr.SYS

EC875000 - \SystemRoot\System32\Drivers\HTTP.sys

F8052000 - \??\C:\Program Files\Launch Manager\POWERKEY.sys

EC5E4000 - \??\C:\Program Files\acer\eRecovery\int15.sys

F89A7000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS

EBF6B000 - \SystemRoot\system32\drivers\kmixer.sys

F802C000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 194

Liste des programmes installes

7-Zip 4.32

Acer eManager for Notebook

Acer eManager for Notebook

Acer GridVista

Ad-Aware SE Personal

Adobe Common File Installer

Adobe Flash Player 9 ActiveX

Adobe Reader 8.1.0 - Français

Adobe Stock Photos 1.0

Archiveur WinRAR

Athlon 64 Processor Driver

ATI - Utilitaire de désinstallation du logiciel

ATI Control Panel

ATI Display Driver

avast! Antivirus

Azureus

Broadcom 802.11 Network Adapter

CDex extraction audio

Commande ECHO désactivée.

ConTEXT

Cool Edit Pro 2.0

Correctif Windows XP - KB873339

Correctif Windows XP - KB885250

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB885855

Correctif Windows XP - KB886185

Correctif Windows XP - KB887472

Correctif Windows XP - KB887742

Correctif Windows XP - KB888113

Correctif Windows XP - KB888302

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

Creative System Information

DVD Shrink 3.2

EasyPHP 1.8

FileZilla (remove only)

FLAC Installer 1.1.2a (remove only)

Free Download Manager 2.1

Google Earth

Google Talk (remove only)

Heroes of the Pacific

HijackThis 1.99.1

hp deskjet 3600

J2SE Runtime Environment 5.0 Update 10

Java SE Runtime Environment 6 Update 1

Juice 2.2

K-Lite Mega Codec Pack 1.59

Launch Manager V1.0.8.3

Microsoft Works

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896422)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896424)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB905915)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB908531)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB912812)

Mise à jour de sécurité pour Windows XP (KB912919)

Mise à jour de sécurité pour Windows XP (KB913446)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB917159)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918118)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920213)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB921398)

Mise à jour de sécurité pour Windows XP (KB921883)

Mise à jour de sécurité pour Windows XP (KB922616)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB923689)

Mise à jour de sécurité pour Windows XP (KB923980)

Mise à jour de sécurité pour Windows XP (KB924191)

Mise à jour de sécurité pour Windows XP (KB924270)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour de sécurité pour Windows XP (KB924667)

Mise à jour de sécurité pour Windows XP (KB925486)

Mise à jour de sécurité pour Windows XP (KB925902)

Mise à jour de sécurité pour Windows XP (KB926255)

Mise à jour de sécurité pour Windows XP (KB926436)

Mise à jour de sécurité pour Windows XP (KB927779)

Mise à jour de sécurité pour Windows XP (KB927802)

Mise à jour de sécurité pour Windows XP (KB928255)

Mise à jour de sécurité pour Windows XP (KB928843)

Mise à jour de sécurité pour Windows XP (KB929969)

Mise à jour de sécurité pour Windows XP (KB930178)

Mise à jour de sécurité pour Windows XP (KB931261)

Mise à jour de sécurité pour Windows XP (KB931784)

Mise à jour de sécurité pour Windows XP (KB932168)

Mise à jour de sécurité pour Windows XP (KB935839)

Mise à jour de sécurité pour Windows XP (KB935840)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB916595)

Mise à jour pour Windows XP (KB920872)

Mise à jour pour Windows XP (KB922582)

Mise à jour pour Windows XP (KB927891)

Mise à jour pour Windows XP (KB929338)

Mise à jour pour Windows XP (KB930916)

Mise à jour pour Windows XP (KB931836)

Mozilla Firefox (2.0.0.4)

Mozilla Thunderbird (2.0.0.4)

MSXML 4.0 SP2 (KB927978)

Nero 6 Ultra Edition

Nikon Message Center

NTI Backup NOW! 4

NTI Backup NOW! 4

NTI CD & DVD-Maker

NTI CD & DVD-Maker Gold

Nvu 1.0

ObjectDock

OpenOffice.org 2.2

Panda ActiveScan

PC Inspector File Recovery

PictureProject

PowerProducer

QuickTime

Realtek AC'97 Audio

REALTEK Gigabit and Fast Ethernet NIC Driver

Skype 3.0

SnadBoy's Revelation v2

SoftV90 Data Fax Modem with SmartCP

Songbird 'not-yet-ready-to-be-called 0.2' 0.2 (Win32)

SoulSeek Client 156c

Sound Blaster Live! 24-Bit External

Spybot - Search & Destroy 1.4

Synaptics Pointing Device Driver

Texas Instruments PCIxx21/x515 drivers.

TIxx21/x515

tsWebEditor 20060218

Virtual DJ - Atomix Productions

WebFldrs XP

Winamp (remove only)

Windows Genuine Advantage Validation Tool (KB892130)

Windows Installer 3.1 (KB893803)

Windows Live Messenger

Windows Media Format Runtime

XnView 1.80.3

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 1B71-12F5

Répertoire de C:\Program Files

15/10/2004 11:52 <REP> .

15/10/2004 11:52 <REP> ..

18/02/2006 15:00 <REP> 7-Zip

16/02/2006 00:34 <REP> acer

07/04/2005 14:19 <REP> Acer Inc

03/07/2006 15:43 <REP> Ad-Aware

07/04/2005 14:22 <REP> Adobe

12/10/2006 17:12 <REP> Alcohol Soft

07/04/2005 14:16 <REP> AMD

16/02/2006 00:30 <REP> ATI Technologies

27/01/2007 18:47 <REP> AtomixMP3

16/02/2006 01:21 <REP> Avast4

09/04/2006 21:47 <REP> Azureus

19/06/2006 00:01 <REP> BitComet

26/02/2006 21:49 <REP> Bullfrog

01/05/2006 23:03 <REP> CDex

15/10/2004 11:58 <REP> ComPlus Applications

16/02/2006 00:24 <REP> CONEXANT

24/07/2006 17:31 <REP> ConTEXT

13/05/2006 10:57 <REP> Cool Edit Pro

13/05/2006 02:04 <REP> Creative

16/02/2006 00:33 <REP> CyberLink

23/02/2006 13:17 <REP> DVD Shrink

05/03/2006 22:03 <REP> EasyPHP

31/07/2006 20:51 <REP> eMule

15/10/2004 11:52 <REP> Fichiers communs

16/02/2006 15:30 <REP> FileZilla

01/06/2006 13:38 <REP> FLAC

18/02/2006 16:47 <REP> Free Download Manager

17/05/2006 16:59 <REP> Google

24/04/2006 22:36 <REP> Google Earth

12/10/2006 17:18 <REP> Heroes of the Pacific

10/07/2006 00:44 <REP> Hewlett-Packard

23/06/2007 17:06 <REP> HijackThis

10/07/2006 00:44 <REP> HP

15/10/2004 11:58 <REP> Internet Explorer

09/04/2006 21:59 <REP> Java

02/10/2006 18:09 <REP> Juice

26/09/2006 19:55 <REP> K-Lite Codec Pack

16/02/2006 00:32 <REP> Launch Manager

15/10/2004 11:57 <REP> Messenger

15/10/2004 12:01 <REP> microsoft frontpage

16/02/2006 00:42 <REP> Microsoft Office

16/02/2006 00:42 <REP> Microsoft Works

15/10/2004 11:58 <REP> Movie Maker

26/10/2006 00:31 <REP> Mozilla Firefox

15/10/2004 11:57 <REP> MSN

15/10/2004 11:57 <REP> MSN Gaming Zone

17/02/2006 12:49 <REP> MSN Messenger

18/11/2006 02:42 <REP> MSXML 4.0

17/06/2006 12:39 <REP> Nec Manager

18/02/2006 10:46 <REP> Nero

15/10/2004 11:58 <REP> NetMeeting

07/04/2005 14:23 <REP> NewTech Infosystems

26/04/2006 13:40 <REP> Nikon

01/06/2006 15:55 <REP> Nvu

15/10/2004 11:57 <REP> Online Services

16/02/2006 20:14 <REP> OpenOffice.org 2.0

28/04/2007 13:56 <REP> OpenOffice.org 2.2

15/10/2004 11:58 <REP> Outlook Express

10/07/2006 22:25 <REP> PC Inspector File Recovery

21/03/2006 21:06 <REP> PP Racer

03/08/2006 12:38 <REP> Rapget

16/02/2006 00:34 <REP> Realtek AC97

15/10/2004 11:59 <REP> Services en ligne

15/01/2007 21:26 <REP> Skype

10/04/2007 17:04 <REP> SnadBoy's Revelation v2

14/06/2006 12:43 <REP> Songbird

09/04/2006 23:18 <REP> Soulseek

03/07/2006 16:14 <REP> Spybot

26/02/2006 17:54 <REP> Stardock

07/04/2005 14:17 <REP> Synaptics

15/08/2006 23:12 <REP> TS Webeditor

28/01/2007 14:12 <REP> VirtualDJ

17/02/2006 02:47 <REP> Winamp

15/10/2004 11:57 <REP> Windows Media Player

15/10/2004 11:57 <REP> Windows NT

19/03/2006 21:02 <REP> WinRAR

26/02/2006 17:47 <REP> worms

15/10/2004 12:01 <REP> xerox

16/02/2006 01:30 <REP> XnView

0 fichier(s) 0 octets

81 Rép(s) 15 542 747 136 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 1B71-12F5

Répertoire de C:\Program Files\fichiers communs

15/10/2004 11:52 <REP> .

15/10/2004 11:52 <REP> ..

15/10/2004 11:52 <REP> Microsoft Shared

15/10/2004 11:52 <REP> SpeechEngines

15/10/2004 11:52 <REP> ODBC

15/10/2004 11:58 <REP> System

15/10/2004 11:58 <REP> MSSoap

15/10/2004 11:58 <REP> Services

07/04/2005 14:16 <REP> InstallShield

07/04/2005 14:23 <REP> NewTech Infosystems

07/04/2005 14:23 <REP> muvee Technologies

16/02/2006 20:16 <REP> Adobe

18/02/2006 10:46 <REP> Ahead

26/02/2006 17:54 <REP> Stardock

17/03/2006 22:17 <REP> Vbox

09/04/2006 21:57 <REP> Java

26/04/2006 13:40 <REP> Nikon

10/10/2006 11:15 <REP> Adobe Systems Shared

0 fichier(s) 0 octets

18 Rép(s) 15 542 747 136 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 1B71-12F5

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

15/10/2004 12:05 <REP> .

15/10/2004 12:05 <REP> ..

18/05/2001 15:57 561 209 MSONSEXT.DLL

07/03/2001 07:00 127 033 MSOWS40c.DLL

03/06/1999 12:09 122 937 MSOWS409.DLL

3 fichier(s) 811 179 octets

2 Rép(s) 15 542 747 136 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 1B71-12F5

Répertoire de C:\

12/05/2007 18:22 68 096 diff.exe

12/05/2007 18:22 103 424 grep.exe

2 fichier(s) 171 520 octets

0 Rép(s) 15 542 747 136 octets libres

c:\Documents and Settings\Benoit\Local Settings\Temp\Install_Messenger.exe

c:\Documents and Settings\Benoit\Local Settings\Temp\p9jqs1lu.exe

c:\Documents and Settings\Benoit\Local Settings\Temp\PxCpyA64.exe

c:\Documents and Settings\Benoit\Local Settings\Temp\PxCpyI64.exe

c:\Documents and Settings\Benoit\Local Settings\Temp\pxhpinst.exe

c:\Documents and Settings\Benoit\Local Settings\Temp\PxInsA64.exe

c:\Documents and Settings\Benoit\Local Settings\Temp\PxInsI64.exe

c:\Documents and Settings\Benoit\Local Settings\Temp\pxsetup.exe

c:\Documents and Settings\Benoit\Local Settings\Temp\Adobe Reader 8\Setup.exe

c:\Documents and Settings\Benoit\Mes documents\PortableThunderbird.exe

c:\Documents and Settings\Benoit\Bureau\avg75amwt_476a1043.exe

c:\Documents and Settings\Benoit\Bureau\VundoFix.exe

c:\Documents and Settings\Benoit\Bureau\Contrebartool\DiagHelp\catchme.exe

c:\Documents and Settings\Benoit\Bureau\Contrebartool\DiagHelp\diff.exe

c:\Documents and Settings\Benoit\Bureau\Contrebartool\DiagHelp\dumphive.exe

c:\Documents and Settings\Benoit\Bureau\Contrebartool\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Benoit\Bureau\Contrebartool\DiagHelp\find2.exe

c:\Documents and Settings\Benoit\Bureau\Contrebartool\DiagHelp\Fport.exe

c:\Documents and Settings\Benoit\Bureau\Contrebartool\DiagHelp\grep.exe

c:\Documents and Settings\Benoit\Bureau\Contrebartool\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Benoit\Bureau\Contrebartool\DiagHelp\LFiles.exe

c:\Documents and Settings\Benoit\Bureau\Contrebartool\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Benoit\Bureau\Contrebartool\DiagHelp\pslist.exe

c:\Documents and Settings\Benoit\Bureau\Contrebartool\DiagHelp\streams.exe

c:\Documents and Settings\Benoit\Bureau\Contrebartool\DiagHelp\swreg.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\Benoit\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\Benoit\Application Data\Mozilla\Firefox\Profiles\d14glf7k.default\extensions\allpeers@allpeers.com\components\allpeers.dll

c:\Documents and Settings\Benoit\Application Data\Mozilla\Firefox\Profiles\d14glf7k.default\extensions\allpeers@allpeers.com\components\apPeerOutlook.dll

****** Fin du rapport DiagHelp

Si vous pouvez m'aider d'une quelconque façon, merci.

Cordialement.

Modifié le 26 juin 2007 par Monsieur Furtif

bibi26 · le 23 juin 2007

Bonjour et bienvenue sur Zebulon,

Désactive le TeaTimer de Spybot.

Télécharge Smitfraudfix (de S!Ri).

Mets-le sur ton Bureau.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Ouvre Smitfraudfix.

Choisis l'option 1. Un rapport va être fait, sauvegarde-le et poste-le.

Monsieur Furtif · le 24 juin 2007

Merci de ta réponse.

Le rapport de Smitfraudfix donne cela :

SmitFraudFix v2.195

Rapport fait à 13:17:46,31, 24/06/2007

Executé à partir de C:\Documents and Settings\Benoit\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est FAT32

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\WLTRAY.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Launch Manager\LaunchAp.exe

C:\Program Files\Launch Manager\PowerKey.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Launch Manager\Wbutton.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\rundll32.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Benoit

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Benoit\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BENOIT\FAVORIS

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Broadcom 802.11g - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2A004979-2E78-464A-8261-AD9E8E789757}: NameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{2A004979-2E78-464A-8261-AD9E8E789757}: NameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{2A004979-2E78-464A-8261-AD9E8E789757}: NameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Tiens, et entretemps, j'ai repassé un petit coup de Vundofix qui m'a retrouvé ça :

VundoFix V6.5.1

Checking Java version...

Java version is 1.5.0.10

Scan started at 13:01:57 24/06/2007

Listing files found while scanning....

C:\WINDOWS\system32\awtqq.dll

C:\WINDOWS\system32\mrfykvbj.dll

C:\windows\system32\pfboxsfx.ini

C:\WINDOWS\system32\qqtwa.bak1

C:\WINDOWS\system32\qqtwa.bak2

C:\WINDOWS\system32\qqtwa.ini

C:\windows\system32\xfsxobfp.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtqq.dll

C:\WINDOWS\system32\awtqq.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\mrfykvbj.dll

C:\WINDOWS\system32\mrfykvbj.dll Has been deleted!

Attempting to delete C:\windows\system32\pfboxsfx.ini

C:\windows\system32\pfboxsfx.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\qqtwa.bak1

C:\WINDOWS\system32\qqtwa.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\qqtwa.bak2

C:\WINDOWS\system32\qqtwa.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\qqtwa.ini

C:\WINDOWS\system32\qqtwa.ini Has been deleted!

Attempting to delete C:\windows\system32\xfsxobfp.dll

C:\windows\system32\xfsxobfp.dll Could not be deleted.

Performing Repairs to the registry.

Done!

VundoFix V6.5.1

Checking Java version...

Java version is 1.5.0.10

Scan started at 13:07:57 24/06/2007

Listing files found while scanning....

C:\windows\system32\xfsxobfp.dll

Beginning removal...

Attempting to delete C:\windows\system32\xfsxobfp.dll

C:\windows\system32\xfsxobfp.dll Has been deleted!

Performing Repairs to the registry.

Done!

Je pense que Smitfraud n'est qu'un symptôme d'un trojan qui revient régulièrement au démarrage (Win32 Agent HZS)

bibi26 · le 24 juin 2007

- Ton TeaTimer est-il bien désactivé ?

- As-tu un firewall ?

- Avant de continuer, tu ferais mieux d'enlever eMule et tes logiciels de P2P :

Beaucoup de logiciels de P2P sont infectés (ainsi que les fichiers sur le réseau)
Les logiciels de P2P entraînent des pertes financières aux artistes. Si tu aimes un artiste, achète son CD, va voir un de ces concerts etc.
Le P2P ralentit la connexion Internet
Le P2P entraîne de nombreux trous de sécurité (tout le monde peut voir ton adresse IP)
Pour voir le reste des conséquences, lis cet article de tesgaz : http://forum.zebulon.fr/index.php?showtopic=85544

- Poste un nouveau rapport HijackThis et ne fais rien d'autre.

Modifié le 24 juin 2007 par bibi26

Monsieur Furtif · le 24 juin 2007

Le Tea Timer est désactivé.

Je n'ai pas de pare-feu ( )

J'ai effectivement virer ce qui me restait de P2P (où je me suis rendu compte que j'avais encore Emule sur le C:, croyant l'avoir viré depuis longtemps).

Logfile of HijackThis v1.99.1
Scan saved at 15:51:31, on 24/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\WLTRAY.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Launch Manager\LaunchAp.exe

C:\Program Files\Launch Manager\PowerKey.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Launch Manager\Wbutton.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {066A2CDC-319E-4460-BA45-C24562CD51AA} - C:\WINDOWS\system32\awtqoli.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll

O2 - BHO: (no name) - {5F06B2D2-24EB-4EDB-988F-056126E771D1} - C:\WINDOWS\system32\awtqq.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {B07F5F1E-0443-4E0F-A3C8-02568CACB1C3} - C:\WINDOWS\system32\ddabc.dll (file missing)

O2 - BHO: (no name) - {B88EA286-CC7A-4116-915C-4208C0AADC76} - C:\WINDOWS\system32\jkhhg.dll (file missing)

O2 - BHO: (no name) - {C9952A62-3E1A-48C1-92BB-5FB0F6DB5946} - C:\WINDOWS\system32\awvvv.dll (file missing)

O2 - BHO: (no name) - {CA5F9788-0B7B-4108-9B44-A03DF66A29D9} - C:\WINDOWS\system32\awtqn.dll (file missing)

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll

O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"

O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"

O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"

O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"

O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [setDefaultMIDI] MIDIDef.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -

O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} (Java Plug-in 1.5.0_08) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{2A004979-2E78-464A-8261-AD9E8E789757}: NameServer = 192.168.1.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: awtqoli - C:\WINDOWS\SYSTEM32\awtqoli.dll

O20 - Winlogon Notify: awtqq - C:\WINDOWS\

O20 - Winlogon Notify: jkhhg - C:\WINDOWS\

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\wtygjsko.exe (file missing)

O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

J'ai mis en rouge ce qui me paraît très bizarre. Parce qu'au fond, j'aimerais aussi apprendre et comprendre comment repérer les fichiers malware sur un rapport comme celui-ci.

bibi26 · le 24 juin 2007

Bravo, ce qui est en rouge est Vundo (mais il manque des lignes)

Pourquoi revient-il ? Je vois deux raisons :

- Tu n'as pas de firewall

- Tu as une nouvelle variante de Vundo qui n'est pas encore pris en charge par VundoFix

Commençons par le firewall :

Il te faut aussi t'équiper d'un firewall, ce petit logiciel très pratique te permettra de te rendre beaucoup moins vulnérable. Imagine ton ordinateur qui possède plusieurs portes, sans firewall, toutes ces portes sont ouvertes, les pirates peuvent rentrer dans ces portes et infecter ton ordinateur sans problème. Le but du firewall sera de fermer ces portes pour que les pirates ne puissent pas rentrer dans ton ordinateur. C'est indispensable !

Si tu as pris Avast! comme antivirus, prend Kerio. Si tu as pris Antivir, prend ZoneAlarm. Si tu as un antivirus autre que les deux mentionnés et que tu ne possèdes pas de firewall, alors tu peux choisir celui que tu veux. Pour qu'un firewall soit efficace, il est nécessaire qu'il soit bien configuré, alors n'hésite surtout pas à lire les tutoriaux proposés !

Kerio

Tu peux t'aider de ce tuto pour le configurer
ZoneAlarm

Tu peux t'aider de ce tutorial

Et le paramétrer selon cet autre tuto

Il est normal que ton firewall te demande ton autorisation pour qu'un programme accède à Internet. Tu dois lui dire quel programme a le droit d'accéder à Internet et quel programme n'a pas le droit. De ce fait, tu ne dois pas cliquer machinalement sur Oui.

Quand c'est fait, dis-le moi pour qu'on continue la désinfection.

Modifié le 24 juin 2007 par bibi26

Monsieur Furtif · le 24 juin 2007

J'ai réinstallé Kerio, c'est fait.

Héhéhé, je me doutais bien que je n'avais pas tout trouvé sur le rapport HijackThis. J'apprends, j'apprends.

bibi26 · le 24 juin 2007

Il te faudra copier les instructions car tu n'auras pas accès à Internet pendant le nettoyage !

Pour copier les instructions tout en gardant la mise en forme, crée un dossier sur ton Bureau du nom de Instructions. Dans ton navigateur, clique sur Fichier, Enregistrer sous..., ouvre le dossier Instructions que tu as fait et clique sur Enregistrer.

1) VundoFix

Télécharge AVG Anti-Spyware.

Installe le logiciel en te laissant guider par l'assistant.

Si non fait, ouvre AVG Anti-Spyware. Clique sur Mise à jour, décoche la case Télécharger et installer les mises à jour automatiquement et clique sur Commencer la mise à jour.

Ne pas faire d'analyse !

Télécharge EasyCleaner (par ToniArts).

Installe le logiciel en te laissant guider par l'assistant.

Télécharge VundoFix (par Atribune) sur ton Bureau.

Ouvre VundoFix. Clique sur le bouton Scan for Vundo.

Lorsque le scan est complété, clique sur le bouton Remove Vundo.

Une invite te demandera si tu veux supprimer les fichiers, clique sur YES.

Le Bureau va disparaître un moment lors de la suppression des fichiers.

Tu verras une invite qui t'annonce que ton PC va redémarrer, clique sur OK.

Dès que ton ordinateur redémarre, appuie plusieurs fois sur le bouton F8 jusqu'à ce qu'un menu à choix multiples apparaisse.

Choisis Mode sans échec.

Voir ce lien pour plus d'informations.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

2) HijackThis

Démarre HijackThis.

Clique sur Do a system scan only.

Coche les lignes suivantes (Il se peut que certaines lignes aient disparu ou qu'un (file missing) ait été rajouté) :

O2 - BHO: (no name) - {066A2CDC-319E-4460-BA45-C24562CD51AA} - C:\WINDOWS\system32\awtqoli.dll

O2 - BHO: (no name) - {5F06B2D2-24EB-4EDB-988F-056126E771D1} - C:\WINDOWS\system32\awtqq.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {B07F5F1E-0443-4E0F-A3C8-02568CACB1C3} - C:\WINDOWS\system32\ddabc.dll (file missing)

O2 - BHO: (no name) - {B88EA286-CC7A-4116-915C-4208C0AADC76} - C:\WINDOWS\system32\jkhhg.dll (file missing)

O2 - BHO: (no name) - {C9952A62-3E1A-48C1-92BB-5FB0F6DB5946} - C:\WINDOWS\system32\awvvv.dll (file missing)

O2 - BHO: (no name) - {CA5F9788-0B7B-4108-9B44-A03DF66A29D9} - C:\WINDOWS\system32\awtqn.dll (file missing)

O20 - Winlogon Notify: awtqoli - C:\WINDOWS\SYSTEM32\awtqoli.dll

O20 - Winlogon Notify: awtqq - C:\WINDOWS\

O20 - Winlogon Notify: jkhhg - C:\WINDOWS\

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\wtygjsko.exe (file missing)

Ferme toutes les fenêtres de tes programmes.

Clique sur Fix Checked.

Clique sur Config..., sur Misc Tools et sur Delete an NT service....

Copie-colle (pour éviter les fautes de frappe) : DomainService

Clique sur OK. Une confirmation te sera demandée, clique sur Oui.

Un autre message va apparaître et te demander si tu veux redémarrer ton ordinateur, réponds Non.

3) Analyse

Ouvre AVG Anti-Spyware.

Clique sur Analyse et sur Analyse complète du système.

Une fois l'analyse terminée, clique sur Action recommandée et sur Quarantaine.

Clique sur Appliquer toutes les actions, sur Enregistrer le rapport et sur Enregistrer le rapport sous, sauvegarde le rapport.

Ouvre EasyCleaner.

Clique sur le bouton Inutile(s) et sur le bouton Trouver. Ensuite, clique sur le bouton Supprimer tout.

Clique sur Fermer.

Fais de même avec la fonction Registre.

Vide la corbeille qui est sur ton Bureau.

N'utilise pas la fonction doublons car tu peux aisément détruire des documents importants.

4) Retour en mode normal

Redémarre ton ordinateur normalement (pas en mode sans échec).

Fais un nouveau rapport HijackThis et poste-le avec le rapport AVG Anti-Spyware et VundoFix.

Modifié le 25 juin 2007 par bibi26

Monsieur Furtif · le 25 juin 2007

Le rapport Vundofix :

VundoFix V6.5.1

Checking Java version...

Java version is 1.5.0.10

Scan started at 01:12:59 25/06/2007

Listing files found while scanning....

C:\WINDOWS\system32\rqtss.bak1

C:\WINDOWS\system32\rqtss.ini

C:\WINDOWS\system32\sstqr.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\rqtss.bak1

C:\WINDOWS\system32\rqtss.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\rqtss.ini

C:\WINDOWS\system32\rqtss.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\sstqr.dll

C:\WINDOWS\system32\sstqr.dll Has been deleted!

Performing Repairs to the registry.

Done!

Puis l'analyse AVG. Seul problème, AVG ne m'a pas donné la possibilité d'enregistrer un rapport. Voilà ce qu'il a trouvé et ce que j'ai mis en quarantaine :

- C:/WINDOWS/system32/awtqoli.dll
- C:/WINDOWS/system32/elshokgd.exe

(et une entrée dans les Temporary Internet Files de IE, avec le même type de trojan (Trojan.Agent.aoy))

- Les backups de Hijackthis

Et le dernier Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 11:13:45, on 25/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\AVG Anti-Spyware\guard.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Launch Manager\LaunchAp.exe

C:\Program Files\Launch Manager\PowerKey.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Launch Manager\Wbutton.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\AVG Anti-Spyware\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {066A2CDC-319E-4460-BA45-C24562CD51AA} - C:\WINDOWS\system32\awtqoli.dll (file missing)

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"

O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"

O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"

O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"

O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [setDefaultMIDI] MIDIDef.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -

O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} (Java Plug-in 1.5.0_08) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{2A004979-2E78-464A-8261-AD9E8E789757}: NameServer = 192.168.1.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: awtqoli - awtqoli.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware\guard.exe

O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

Pfiuuuu, je vois encore deux entrées défaillantes mais on dirait que le fichier est manquant. Un dernier "fix checked" et ce serait serait réglé ? (je n'ose pas y croire)

bibi26 · le 25 juin 2007

Démarre HijackThis.

Clique sur Do a system scan only.

Coche les lignes suivantes (Il se peut que certaines lignes aient disparu ou qu'un (file missing) ait été rajouté) :

O2 - BHO: (no name) - {066A2CDC-319E-4460-BA45-C24562CD51AA} - C:\WINDOWS\system32\awtqoli.dll (file missing)

O20 - Winlogon Notify: awtqoli - awtqoli.dll (file missing)

Ferme toutes les fenêtres de tes programmes.

Clique sur Fix Checked.

As-tu encore des problèmes avec ton ordinateur ?

Connexion

Pas encore inscrit ?

Infection smitfraud-C.toolbar888 [Résolu]

Messages recommandés

Monsieur Furtif

bibi26

Monsieur Furtif

bibi26

Monsieur Furtif

bibi26

Monsieur Furtif

bibi26

Monsieur Furtif

bibi26

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer