

Pendragon
Membres-
Compteur de contenus
14 -
Inscription
-
Dernière visite
Type de contenu
Profils
Forums
Blogs
Tout ce qui a été posté par Pendragon
-
problème avec le Trojan Monderd
Pendragon a répondu à un(e) sujet de Pendragon dans Analyses et éradication malwares
merci pour l'aide A+ -
problème avec le Trojan Monderd
Pendragon a répondu à un(e) sujet de Pendragon dans Analyses et éradication malwares
j'ai nettoyé outlook des fichiers potentiellement dangereux, et refait un scan avec Kaspersky dans la foulée. Voici le rapport : -------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7 REPORT Wednesday, December 10, 2008 Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600) Kaspersky Online Scanner 7 version: 7.0.25.0 Program database last update: Wednesday, December 10, 2008 16:18:28 Records in database: 1450104 -------------------------------------------------------------------------------- Scan settings: Scan using the following database: extended Scan archives: yes Scan mail databases: yes Scan area - My Computer: C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ L:\ Scan statistics: Files scanned: 203022 Threat name: 1 Infected objects: 1 Suspicious objects: 0 Duration of the scan: 03:11:54 File name / Threat name / Threats count C:\Qoobox\Quarantine\C\ARK9D.tmp.vir Infected: Trojan.Win32.Monderd.gen 1 The selected area was scanned. -
problème avec le Trojan Monderd
Pendragon a répondu à un(e) sujet de Pendragon dans Analyses et éradication malwares
nouveau rapport de Kaspersky du 8 décembre : -------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7 REPORT Tuesday, December 9, 2008 Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600) Kaspersky Online Scanner 7 version: 7.0.25.0 Program database last update: Tuesday, December 09, 2008 12:41:29 Records in database: 1447097 -------------------------------------------------------------------------------- Scan settings: Scan using the following database: extended Scan archives: yes Scan mail databases: yes Scan area - My Computer: C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ L:\ Scan statistics: Files scanned: 203184 Threat name: 2 Infected objects: 1 Suspicious objects: 2 Duration of the scan: 03:17:49 File name / Threat name / Threats count C:\Qoobox\Quarantine\C\ARK9D.tmp.vir Infected: Trojan.Win32.Monderd.gen 1 D:\Documents and Settings\Famille\Local Settings\Application Data\Identities\{46CA5865-21A8-4647-AFDD-033033299677}\Microsoft\Outlook Express\Boîte de réception.dbx Suspicious: Trojan-Spy.HTML.Fraud.gen 1 D:\Documents and Settings\Famille\Local Settings\Application Data\Identities\{46CA5865-21A8-4647-AFDD-033033299677}\Microsoft\Outlook Express\Éléments supprimés.dbx Suspicious: Trojan-Spy.HTML.Fraud.gen 1 The selected area was scanned. -
problème avec le Trojan Monderd
Pendragon a répondu à un(e) sujet de Pendragon dans Analyses et éradication malwares
Voici le rapport combofix à la suite de la procédure enoncée ci dessus : ComboFix 08-12-07.01 - Famille 2008-12-08 21:13:14.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.520 [GMT 1:00] Lancé depuis: d:\documents and settings\Famille\Bureau\ComboFix.exe Commutateurs utilisés :: d:\documents and settings\Famille\Bureau\CFScript.txt * Un nouveau point de restauration a été créé FILE :: C:\ARK9D.tmp C:\oror.exe C:\ous.exe c:\windows\LPT$VPN.687 c:\windows\system32\hexkvh.dll c:\windows\system32\qihmxx.dll c:\windows\VPTNFILE.687 . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\ARK9D.tmp C:\oror.exe C:\ous.exe c:\windows\LPT$VPN.687 c:\windows\VPTNFILE.687 . ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-08 au 2008-12-08 )))))))))))))))))))))))))))))))))))) . 2008-12-05 17:54 . 2008-12-05 17:54 <REP> d-------- d:\documents and settings\Famille\Application Data\Malwarebytes 2008-12-05 17:54 . 2008-12-05 17:54 <REP> d-------- d:\documents and settings\All Users\Application Data\Malwarebytes 2008-12-05 17:54 . 2008-12-05 17:54 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware 2008-12-05 17:54 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-05 17:54 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-03 23:33 . 2008-12-03 23:33 <REP> d-------- c:\windows\report 2008-12-03 23:32 . 2008-12-03 23:32 <REP> d-------- c:\windows\AU_Backup 2008-12-03 23:32 . 2008-12-03 23:32 1,972,560 --a------ c:\windows\tsc.ptn 2008-12-03 23:32 . 2008-12-03 23:32 1,213,784 --a------ c:\windows\vsapi32.dll 2008-12-03 23:32 . 2008-12-03 23:32 345,157 --a------ c:\windows\tsc.exe 2008-12-03 23:32 . 2008-12-03 23:32 91,744 --a------ c:\windows\BPMNT.dll 2008-12-03 23:32 . 2008-12-03 23:32 71,749 --a------ c:\windows\hcextoutput.dll 2008-12-03 23:32 . 2008-12-04 17:37 823 --a------ c:\windows\tsc.ini 2008-12-03 23:27 . 2008-12-03 23:32 <REP> d-------- c:\windows\AU_Temp 2008-12-03 23:27 . 2008-12-03 23:27 <REP> d-------- c:\windows\AU_Log 2008-12-03 23:27 . 2008-12-03 23:27 507,904 --a------ c:\windows\TMUPDATE.DLL 2008-12-03 23:27 . 2008-12-03 23:27 286,720 --a------ c:\windows\PATCH.EXE 2008-12-03 23:27 . 2008-12-03 23:27 69,689 --a------ c:\windows\UNZIP.DLL 2008-12-03 23:27 . 2008-12-03 23:27 170 --a------ c:\windows\GetServer.ini 2008-12-01 21:37 . 2008-12-01 21:37 <REP> d-------- c:\program files\Lavasoft 2008-11-22 18:35 . 2008-11-22 18:35 <REP> d-------- d:\documents and settings\All Users\Application Data\Apple Computer 2008-11-22 18:35 . 2008-11-22 18:35 <REP> d-------- d:\documents and settings\All Users\Application Data\Apple 2008-11-22 18:35 . 2008-11-22 18:35 <REP> d-------- c:\program files\Apple Software Update 2008-11-22 18:27 . 2008-11-22 18:27 <REP> d-------- d:\documents and settings\Famille\Application Data\Mindscape 2008-11-22 13:38 . 2008-11-23 00:32 <REP> d-------- c:\program files\GeoplanGeospace 2008-11-12 12:08 . 2008-09-04 18:16 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll 2008-11-12 12:08 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-08 16:57 --------- d-----w d:\documents and settings\All Users\Application Data\Google Updater 2008-12-07 19:44 --------- d-----w c:\program files\Jewel Quest 2 2008-12-05 16:58 --------- d-----w d:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2008-12-01 21:56 --------- d-----w c:\program files\Spybot - Search & Destroy 2008-12-01 20:36 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard 2008-12-01 18:08 --------- d-----w d:\documents and settings\All Users\Application Data\Lavasoft 2008-11-28 15:29 --------- d-----w c:\program files\Dofus 2008-11-26 21:14 --------- d-----w c:\program files\eMule 2008-11-22 17:36 --------- d-----w c:\program files\QuickTime 2008-11-22 16:20 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-22 16:20 --------- d-----w c:\program files\MindScape 2008-11-15 09:22 --------- d-----w c:\program files\Fichiers communs\Adobe 2008-11-12 21:13 --------- d-----w d:\documents and settings\All Users\Application Data\Microsoft Help 2008-11-03 22:24 --------- d-----w d:\documents and settings\STFY\Application Data\OpenOffice.org2 2008-11-03 16:58 --------- d-----w d:\documents and settings\Famille\Application Data\OpenOffice.org2 2008-11-01 22:05 --------- d-----w c:\program files\Warcraft III 2008-10-31 15:29 --------- d-----w c:\program files\PhotoFiltre 2008-10-31 10:25 --------- d-----w d:\documents and settings\Geoffrey\Application Data\OpenOffice.org2 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-08-22 14:24 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082220080823\index.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{486E390A-7713-433F-A882-8B52263E595A}"= "c:\program files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll" [2007-10-15 2265088] "{E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4}"= "c:\program files\PandoBar\bar\1.bin\PANDOBAR.DLL" [2008-06-08 266240] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{486E390A-7713-433F-A882-8B52263E595A}"= "c:\program files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll" [2007-10-15 2265088] "{E3EA4FD9-CADE-4AE5-84F7-086EEE888BE4}"= "c:\program files\PandoBar\bar\1.bin\PANDOBAR.DLL" [2008-06-08 266240] [HKEY_CLASSES_ROOT\clsid\{486e390a-7713-433f-a882-8b52263e595a}] [HKEY_CLASSES_ROOT\geneanetx.geneanetx.3] [HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}] [HKEY_CLASSES_ROOT\geneanetx.geneanetx] [HKEY_CLASSES_ROOT\clsid\{e3ea4fd9-cade-4ae5-84f7-086eee888be4}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SmpcSys"="c:\apps\SMP\SmpSys.exe" [2005-11-17 975360] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-13 68856] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176] "Creative Live! Cam Manager"="c:\program files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2006-05-31 143360] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-27 7573504] "DetectorApp"="c:\program files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe" [2005-10-20 102400] "ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-08-11 81920] "OmniPass"="c:\apps\Softex\OmniPass\scureapp.exe" [2006-01-30 1978368] "PCMService"="c:\apps\Powercinema\PCMService.exe" [2006-02-23 147456] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-06-29 286720] "RealTray"="c:\program files\Real\RealPlayer\RealPlay.exe" [2006-08-03 26112] "!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312] "AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVD.exe" [2007-08-24 454144] "SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-30 155648] "PDF4 Registry Controller"="c:\program files\ScanSoft\PDF Professional 4.0\\RegistryController.exe" [2006-08-22 40960] "ISUSPM Startup"="c:\program files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497] "V0220Mon.exe"="c:\windows\V0220Mon.exe" [2006-06-28 32768] "AVFX Engine"="c:\program files\Creative\Creative Live! Cam\VideoFX\StartFX.exe" [2006-10-19 20480] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "nwiz"="nwiz.exe" [2006-04-27 c:\windows\system32\nwiz.exe] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-12-09 c:\windows\RTHDCPL.exe] "atwtusb"="atwtusb.exe" [2002-03-11 c:\windows\system32\Atwtusb.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] d:\documents and settings\STFY\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 2.1.lnk - d:\openoffice.org 2.1\program\quickstart.exe [2006-11-27 393216] d:\documents and settings\Famille\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-09-01 110592] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina] 2006-01-30 07:53 49152 c:\apps\Softex\OmniPass\OPXPGina.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.dvacm"= c:\progra~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm "msacm.mpegacm"= c:\progra~1\FICHIE~1\ULEADS~1\MPEG\mpegacm.acm "msacm.ulmp3acm"= c:\progra~1\FICHIE~1\ULEADS~1\MPEG\ulmp3acm.acm "vidc.xvid"= xvid.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Alcmtr"=ALCMTR.EXE "BOOT"=c:\program files\ISSENDIS\ISSENDIS WebUpdate v6\issendiswebupdatev6.exe /BOOT [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\APPS\\skype\\phone\\Skype.exe"= "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\WINDOWS\\system32\\dpnsvr.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "c:\\Program Files\\AOL 9.0\\aol.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Program Files\\SightSpeed\\SightSpeed.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\WINWORD.EXE"= "c:\\Program Files\\Warcraft III\\Warcraft III.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "58201:TCP"= 58201:TCP:*:Disabled:Pando P2P TCP Listening Port "58201:UDP"= 58201:UDP:*:Disabled:Pando P2P UDP Listening Port R3 V0220Dev;Live! Cam Video IM;c:\windows\system32\DRIVERS\V0220Dev.sys [2008-08-20 146112] R3 V0220Vfx;V0220VFX;c:\windows\system32\DRIVERS\V0220Vfx.sys [2008-08-20 6272] S3 utblfilt;utblfilt;c:\windows\system32\drivers\utblfilt.sys [2007-01-11 12084] . Contenu du dossier 'Tâches planifiées' 2008-12-06 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 13:42] 2008-12-06 c:\windows\Tasks\rpc.job - c:\program files\Winferno\RegistryPowerCleaner\RegPowerClean.exe [] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.tele2.fr/internet/portail/go/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Connection Wizard,ShellNext = iexplore IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Open with ScanSoft PDF Converter 4.0 - c:\program files\ScanSoft\PDF Professional 4.0\cnvres_eng.dll /100 IE: {486E390A-7713-433F-A882-8B52263E595A} - {486E390A-7713-433F-A882-8B52263E595A} - c:\program files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll c:\windows\Downloaded Program Files\oscan81.ocx_x - c:\windows\bdoscandellang.ini c:\windows\bdoscandel.exe c:\windows\Downloaded Program Files\live.ini c:\windows\Downloaded Program Files\scanoptions.tsi c:\windows\Downloaded Program Files\lang.ini c:\windows\Downloaded Program Files\ipsupd.dll c:\windows\Downloaded Program Files\bdupd.dll c:\windows\Downloaded Program Files\libfn.dll c:\windows\Downloaded Program Files\bdcore.dll c:\windows\Downloaded Program Files\oscan8.ocx O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://www.zebulon.fr/scan8/oscan8.cab c:\windows\Downloaded Program Files\oscan8.inf O16 -: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - hxxps://www.vm-wl.com/DownloadManager/Release/Prod/DownMan.cab c:\windows\Downloaded Program Files\setup.inf . ************************************************************************** Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(624) c:\apps\Softex\OmniPass\opxpgina.dll . ------------------------ Autres processus actifs ------------------------ . c:\program files\Lavasoft\Ad-Aware\aawservice.exe c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe c:\program files\Fichiers communs\AOL\ACS\AOLacsd.exe c:\program files\Grisoft\AVG Anti-Spyware 7.5\guard.exe c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe c:\apps\Powercinema\Kernel\CLML_NTService\CLMLServer.exe c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe c:\windows\system32\nvsvc32.exe c:\apps\Softex\OmniPass\OmniServ.exe c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe c:\program files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe c:\apps\Powercinema\Kernel\TV\CLSched.exe c:\apps\Softex\OmniPass\OPXPApp.exe c:\windows\system32\wscntfy.exe c:\progra~1\MICROS~3\rapimgr.exe c:\program files\Windows Live\Messenger\usnsvc.exe . ************************************************************************** . Heure de fin: 2008-12-08 21:25:49 - La machine a redémarré [Famille] ComboFix-quarantined-files.txt 2008-12-08 20:25:45 ComboFix2.txt 2008-12-07 10:16:03 Avant-CF: 1 824 927 744 octets libres Après-CF: 1,809,981,440 octets libres 236 --- E O F --- 2008-11-12 21:13:49 Toutefois, je pense qu'il y a eu un probléme en cours de route. En effet, à un moment de la procédure, un redémarrage de windows s'est produit. Cela a eu entre autre pour effet de réactiver mon antivirus (Antivir ..). Ce dernier a alors bloqué certaine chose qui émanait de Combofix. Voici les messages qu'il m'affichait : C:\windows\NIRCMD.exe contains recognition pattern of the APPL/NIRCMD.E.2.B application C:\ComboFix\hidec.exe contains recognition pattern of the SPR/tool.Hide.A programm C:\ComboFix\NIRCMD.cfexe contains recognition pattern of the APPL/NIRCMD.E.2.B application J'ai fait alors ce qu'Antivir me proposait, à savoir refuser l'accès. J'espère que cela n'a pas eu trop d'incidence sur la procédure de désinfection que vous prenez le temps de mettre en place. Merci du temps que vous prenez pour mon problème A bientôt -
problème avec le Trojan Monderd
Pendragon a répondu à un(e) sujet de Pendragon dans Analyses et éradication malwares
voici le rapport de combofix de ce matin : ComboFix 08-12-06.06 - Famille 2008-12-07 11:11:34.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.525 [GMT 1:00] Lancé depuis: d:\documents and settings\Famille\Bureau\ComboFix.exe * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\Downloaded Program Files\setup.inf c:\windows\system32\csi64.dll c:\windows\Tasks\ecwzdakh.job . ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-07 au 2008-12-07 )))))))))))))))))))))))))))))))))))) . 2008-12-05 17:54 . 2008-12-05 17:54 <REP> d-------- d:\documents and settings\Famille\Application Data\Malwarebytes 2008-12-05 17:54 . 2008-12-05 17:54 <REP> d-------- d:\documents and settings\All Users\Application Data\Malwarebytes 2008-12-05 17:54 . 2008-12-05 17:54 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware 2008-12-05 17:54 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-05 17:54 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-03 23:33 . 2008-12-03 23:33 <REP> d-------- c:\windows\report 2008-12-03 23:33 . 2008-12-03 23:32 21,230,229 --a------ c:\windows\LPT$VPN.687 2008-12-03 23:32 . 2008-12-03 23:32 <REP> d-------- c:\windows\AU_Backup 2008-12-03 23:32 . 2008-12-03 23:32 21,230,229 --a------ c:\windows\VPTNFILE.687 2008-12-03 23:32 . 2008-12-03 23:32 1,972,560 --a------ c:\windows\tsc.ptn 2008-12-03 23:32 . 2008-12-03 23:32 1,213,784 --a------ c:\windows\vsapi32.dll 2008-12-03 23:32 . 2008-12-03 23:32 345,157 --a------ c:\windows\tsc.exe 2008-12-03 23:32 . 2008-12-03 23:32 91,744 --a------ c:\windows\BPMNT.dll 2008-12-03 23:32 . 2008-12-03 23:32 71,749 --a------ c:\windows\hcextoutput.dll 2008-12-03 23:32 . 2008-12-04 17:37 823 --a------ c:\windows\tsc.ini 2008-12-03 23:27 . 2008-12-03 23:32 <REP> d-------- c:\windows\AU_Temp 2008-12-03 23:27 . 2008-12-03 23:27 <REP> d-------- c:\windows\AU_Log 2008-12-03 23:27 . 2008-12-03 23:27 507,904 --a------ c:\windows\TMUPDATE.DLL 2008-12-03 23:27 . 2008-12-03 23:27 286,720 --a------ c:\windows\PATCH.EXE 2008-12-03 23:27 . 2008-12-03 23:27 69,689 --a------ c:\windows\UNZIP.DLL 2008-12-03 23:27 . 2008-12-03 23:27 170 --a------ c:\windows\GetServer.ini 2008-12-01 21:37 . 2008-12-01 21:37 <REP> d-------- c:\program files\Lavasoft 2008-12-01 18:19 . 2008-12-01 18:19 39,936 --a------ C:\ARK9D.tmp 2008-11-30 23:32 . 2008-11-30 23:33 5,465 --a------ C:\oror.exe 2008-11-30 18:23 . 2008-11-30 18:23 1,025 --a------ C:\ous.exe 2008-11-22 18:35 . 2008-11-22 18:35 <REP> d-------- d:\documents and settings\All Users\Application Data\Apple Computer 2008-11-22 18:35 . 2008-11-22 18:35 <REP> d-------- d:\documents and settings\All Users\Application Data\Apple 2008-11-22 18:35 . 2008-11-22 18:35 <REP> d-------- c:\program files\Apple Software Update 2008-11-22 18:27 . 2008-11-22 18:27 <REP> d-------- d:\documents and settings\Famille\Application Data\Mindscape 2008-11-22 13:38 . 2008-11-23 00:32 <REP> d-------- c:\program files\GeoplanGeospace 2008-11-12 12:08 . 2008-09-04 18:16 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll 2008-11-12 12:08 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-06 06:54 --------- d-----w d:\documents and settings\All Users\Application Data\Google Updater 2008-12-05 21:35 --------- d-----w c:\program files\Jewel Quest 2 2008-12-05 16:58 --------- d-----w d:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2008-12-01 21:56 --------- d-----w c:\program files\Spybot - Search & Destroy 2008-12-01 20:36 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard 2008-12-01 18:08 --------- d-----w d:\documents and settings\All Users\Application Data\Lavasoft 2008-11-28 15:29 --------- d-----w c:\program files\Dofus 2008-11-26 21:14 --------- d-----w c:\program files\eMule 2008-11-22 17:36 --------- d-----w c:\program files\QuickTime 2008-11-22 16:20 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-22 16:20 --------- d-----w c:\program files\MindScape 2008-11-15 09:22 --------- d-----w c:\program files\Fichiers communs\Adobe 2008-11-12 21:13 --------- d-----w d:\documents and settings\All Users\Application Data\Microsoft Help 2008-11-03 22:24 --------- d-----w d:\documents and settings\STFY\Application Data\OpenOffice.org2 2008-11-03 16:58 --------- d-----w d:\documents and settings\Famille\Application Data\OpenOffice.org2 2008-11-01 22:05 --------- d-----w c:\program files\Warcraft III 2008-10-31 20:33 2,829 ----a-w c:\windows\War3Unin.pif 2008-10-31 20:33 126,976 ----a-w c:\windows\War3Unin.exe 2008-10-31 15:29 --------- d-----w c:\program files\PhotoFiltre 2008-10-31 10:25 --------- d-----w d:\documents and settings\Geoffrey\Application Data\OpenOffice.org2 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll 2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll 2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll 2008-10-15 16:35 337,408 ------w c:\windows\system32\dllcache\netapi32.dll 2008-10-03 17:12 6,066,176 ------w c:\windows\system32\dllcache\ieframe.dll 2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll 2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys 2008-09-15 15:26 1,846,528 ------w c:\windows\system32\dllcache\win32k.sys 2008-09-10 01:15 1,307,648 ------w c:\windows\system32\msxml6.dll 2008-09-10 01:15 1,307,648 ------w c:\windows\system32\dllcache\msxml6.dll 2008-09-08 10:41 333,824 ------w c:\windows\system32\dllcache\srv.sys 2008-08-22 14:24 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082220080823\index.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{486E390A-7713-433F-A882-8B52263E595A}"= "c:\program files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll" [2007-10-15 2265088] "{E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4}"= "c:\program files\PandoBar\bar\1.bin\PANDOBAR.DLL" [2008-06-08 266240] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{486E390A-7713-433F-A882-8B52263E595A}"= "c:\program files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll" [2007-10-15 2265088] "{E3EA4FD9-CADE-4AE5-84F7-086EEE888BE4}"= "c:\program files\PandoBar\bar\1.bin\PANDOBAR.DLL" [2008-06-08 266240] [HKEY_CLASSES_ROOT\clsid\{486e390a-7713-433f-a882-8b52263e595a}] [HKEY_CLASSES_ROOT\geneanetx.geneanetx.3] [HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}] [HKEY_CLASSES_ROOT\geneanetx.geneanetx] [HKEY_CLASSES_ROOT\clsid\{e3ea4fd9-cade-4ae5-84f7-086eee888be4}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SmpcSys"="c:\apps\SMP\SmpSys.exe" [2005-11-17 975360] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-13 68856] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176] "Creative Live! Cam Manager"="c:\program files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2006-05-31 143360] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-27 7573504] "DetectorApp"="c:\program files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe" [2005-10-20 102400] "ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-08-11 81920] "OmniPass"="c:\apps\Softex\OmniPass\scureapp.exe" [2006-01-30 1978368] "PCMService"="c:\apps\Powercinema\PCMService.exe" [2006-02-23 147456] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-06-29 286720] "RealTray"="c:\program files\Real\RealPlayer\RealPlay.exe" [2006-08-03 26112] "!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312] "AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVD.exe" [2007-08-24 454144] "SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-30 155648] "PDF4 Registry Controller"="c:\program files\ScanSoft\PDF Professional 4.0\\RegistryController.exe" [2006-08-22 40960] "ISUSPM Startup"="c:\program files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497] "V0220Mon.exe"="c:\windows\V0220Mon.exe" [2006-06-28 32768] "AVFX Engine"="c:\program files\Creative\Creative Live! Cam\VideoFX\StartFX.exe" [2006-10-19 20480] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "nwiz"="nwiz.exe" [2006-04-27 c:\windows\system32\nwiz.exe] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-12-09 c:\windows\RTHDCPL.exe] "atwtusb"="atwtusb.exe" [2002-03-11 c:\windows\system32\Atwtusb.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] d:\documents and settings\STFY\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 2.1.lnk - d:\openoffice.org 2.1\program\quickstart.exe [2006-11-27 393216] d:\documents and settings\Famille\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-09-01 110592] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina] 2006-01-30 07:53 49152 c:\apps\Softex\OmniPass\OPXPGina.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=hexkvh.dll qihmxx.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.dvacm"= c:\progra~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm "msacm.mpegacm"= c:\progra~1\FICHIE~1\ULEADS~1\MPEG\mpegacm.acm "msacm.ulmp3acm"= c:\progra~1\FICHIE~1\ULEADS~1\MPEG\ulmp3acm.acm "vidc.xvid"= xvid.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Alcmtr"=ALCMTR.EXE "BOOT"=c:\program files\ISSENDIS\ISSENDIS WebUpdate v6\issendiswebupdatev6.exe /BOOT [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\APPS\\skype\\phone\\Skype.exe"= "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\WINDOWS\\system32\\dpnsvr.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "c:\\Program Files\\AOL 9.0\\aol.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Program Files\\SightSpeed\\SightSpeed.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\WINWORD.EXE"= "c:\\Program Files\\Warcraft III\\Warcraft III.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "58201:TCP"= 58201:TCP:*:Disabled:Pando P2P TCP Listening Port "58201:UDP"= 58201:UDP:*:Disabled:Pando P2P UDP Listening Port R3 V0220Dev;Live! Cam Video IM;c:\windows\system32\DRIVERS\V0220Dev.sys [2008-08-20 146112] R3 V0220Vfx;V0220VFX;c:\windows\system32\DRIVERS\V0220Vfx.sys [2008-08-20 6272] S3 utblfilt;utblfilt;c:\windows\system32\drivers\utblfilt.sys [2007-01-11 12084] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Contenu du dossier 'Tâches planifiées' 2008-12-06 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 13:42] 2008-12-06 c:\windows\Tasks\rpc.job - c:\program files\Winferno\RegistryPowerCleaner\RegPowerClean.exe [] . - - - - ORPHELINS SUPPRIMES - - - - BHO-{78cc9229-170a-4ea1-bd59-de9b5421b241} - (no file) BHO-{B9681B98-5AAC-4EA5-BF92-F381914BE841} - (no file) . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.tele2.fr/internet/portail/go/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Connection Wizard,ShellNext = iexplore IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Open with ScanSoft PDF Converter 4.0 - c:\program files\ScanSoft\PDF Professional 4.0\cnvres_eng.dll /100 IE: {486E390A-7713-433F-A882-8B52263E595A} - {486E390A-7713-433F-A882-8B52263E595A} - c:\program files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll c:\windows\Downloaded Program Files\oscan81.ocx_x - c:\windows\bdoscandellang.ini c:\windows\bdoscandel.exe c:\windows\Downloaded Program Files\live.ini c:\windows\Downloaded Program Files\scanoptions.tsi c:\windows\Downloaded Program Files\lang.ini c:\windows\Downloaded Program Files\ipsupd.dll c:\windows\Downloaded Program Files\bdupd.dll c:\windows\Downloaded Program Files\libfn.dll c:\windows\Downloaded Program Files\bdcore.dll c:\windows\Downloaded Program Files\oscan8.ocx O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://www.zebulon.fr/scan8/oscan8.cab c:\windows\Downloaded Program Files\oscan8.inf O16 -: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - hxxps://www.vm-wl.com/DownloadManager/Release/Prod/DownMan.cab c:\windows\Downloaded Program Files\setup.inf . . ------- Associations de fichier ------- . JSEFile=NOTEPAD.EXE %1 VBEFile=NOTEPAD.EXE %1 VBSFile=NOTEPAD.EXE %1 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-07 11:14:59 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(620) c:\apps\Softex\OmniPass\opxpgina.dll . Heure de fin: 2008-12-07 11:16:02 ComboFix-quarantined-files.txt 2008-12-07 10:16:00 Avant-CF: 1 914 331 136 octets libres Après-CF: 1,895,784,448 octets libres 250 --- E O F --- 2008-11-12 21:13:49 -
problème avec le Trojan Monderd
Pendragon a répondu à un(e) sujet de Pendragon dans Analyses et éradication malwares
voici le rapport de Kaspersky : -------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7 REPORT Saturday, December 6, 2008 Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600) Kaspersky Online Scanner 7 version: 7.0.25.0 Program database last update: Saturday, December 06, 2008 14:27:54 Records in database: 1440355 -------------------------------------------------------------------------------- Scan settings: Scan using the following database: extended Scan archives: yes Scan mail databases: yes Scan area - My Computer: C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ L:\ Scan statistics: Files scanned: 211782 Threat name: 1 Infected objects: 1 Suspicious objects: 0 Duration of the scan: 03:07:53 File name / Threat name / Threats count C:\ARK9D.tmp Infected: Trojan.Win32.Monderd.gen 1 The selected area was scanned. -
problème avec le Trojan Monderd
Pendragon a répondu à un(e) sujet de Pendragon dans Analyses et éradication malwares
voici le rapport MBAM : Malwarebytes' Anti-Malware 1.31 Version de la base de données: 1463 Windows 5.1.2600 Service Pack 3 05/12/2008 20:40:49 mbam-log-2008-12-05 (20-40-49).txt Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|L:\|) Eléments examinés: 265514 Temps écoulé: 1 hour(s), 29 minute(s), 54 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 1 Clé(s) du Registre infectée(s): 23 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 4 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 11 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): C:\WINDOWS\system32\khfGyyyy.dll (Trojan.Vundo.H) -> Delete on reboot. Clé(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iifcaqhw (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bc17edb3-59f1-4668-a6bf-ff9871822a40} (Trojan.Vundo.H) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{bc17edb3-59f1-4668-a6bf-ff9871822a40} (Trojan.Vundo.H) -> Delete on reboot. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bc17edb3-59f1-4668-a6bf-ff9871822a40} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5dde5591-a8ab-4897-93ef-1e4e943f85a7} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{cc18ae76-7e65-4258-a193-9ea0c52da6b8} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.Shopping.Report) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-0000-0000-0000-100005000004} (Rogue.Installer) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot. Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\khfgyyyy -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\khfgyyyy -> Delete on reboot. Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\system32\iifcAQHW.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\khfGyyyy.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\yyyyGfhk.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\yyyyGfhk.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully. D:\Documents and Settings\Famille\Local Settings\Application Data\pbbdnwfzdm_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully. D:\Documents and Settings\Famille\Local Settings\Application Data\pbbdnwfzdm_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully. D:\Documents and Settings\Famille\Local Settings\Application Data\pbbdnwfzdm.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully. C:\Program Files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\tbhelper.dll (Trojan.BHO) -> Quarantined and deleted successfully. C:\ARK92.tmp (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\kqhbiwkri_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\kqhbiwkri_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully. -
problème avec le Trojan Monderd
Pendragon a répondu à un(e) sujet de Pendragon dans Analyses et éradication malwares
Merci de votre réponse Voici le dernier rapport Antivir en date : Avira AntiVir Personal Report file date: vendredi 5 décembre 2008 06:56 Scanning for 1074021 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 3) [5.1.2600] Boot mode: Normally booted Username: SYSTEM Computer name: SN117652040312 Version information: BUILD.DAT : 8.2.0.337 16934 Bytes 18/11/2008 13:05:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25/11/2008 17:27:05 AVSCAN.DLL : 8.1.4.0 40705 Bytes 18/07/2008 08:55:42 LUKE.DLL : 8.1.4.5 164097 Bytes 18/07/2008 08:55:42 LUKERES.DLL : 8.1.4.0 12033 Bytes 18/07/2008 08:55:42 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 05:44:49 ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09/11/2008 16:36:40 ANTIVIR2.VDF : 7.1.0.160 571392 Bytes 30/11/2008 17:27:03 ANTIVIR3.VDF : 7.1.0.189 200192 Bytes 04/12/2008 19:07:53 Engineversion : 8.2.0.41 AEVDF.DLL : 8.1.0.6 102772 Bytes 15/10/2008 19:02:07 AESCRIPT.DLL : 8.1.1.17 336251 Bytes 04/12/2008 19:08:10 AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 21:36:05 AERDL.DLL : 8.1.1.3 438645 Bytes 05/11/2008 20:16:52 AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 16:35:57 AEOFFICE.DLL : 8.1.0.31 196987 Bytes 04/12/2008 19:08:07 AEHEUR.DLL : 8.1.0.74 1519990 Bytes 04/12/2008 19:08:04 AEHELP.DLL : 8.1.2.0 119159 Bytes 18/11/2008 17:26:23 AEGEN.DLL : 8.1.1.6 323955 Bytes 28/11/2008 17:26:23 AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 19:01:52 AECORE.DLL : 8.1.5.2 172405 Bytes 28/11/2008 17:26:20 AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 19:01:47 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18/07/2008 08:55:42 AVPREF.DLL : 8.0.2.0 38657 Bytes 18/07/2008 08:55:42 AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 15:38:32 AVREG.DLL : 8.0.0.1 33537 Bytes 18/07/2008 08:55:42 AVARKT.DLL : 1.0.0.23 307457 Bytes 19/04/2008 19:02:25 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18/07/2008 08:55:42 SQLITE3.DLL : 3.3.17.1 339968 Bytes 19/04/2008 19:02:26 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18/07/2008 08:55:42 NETNT.DLL : 8.0.0.1 7937 Bytes 19/04/2008 19:02:26 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18/07/2008 08:55:39 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18/07/2008 08:55:39 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: C:, D:, Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: All files Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Macro heuristic..................: on File heuristic...................: high Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR, Start of the scan: vendredi 5 décembre 2008 06:56 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'iexplore.exe' - '1' Module(s) have been scanned Scan process 'rundll32.exe' - '1' Module(s) have been scanned Scan process 'WLLoginProxy.exe' - '1' Module(s) have been scanned Scan process 'iexplore.exe' - '1' Module(s) have been scanned Scan process 'usnsvc.exe' - '1' Module(s) have been scanned Scan process 'rapimgr.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'CTLCMgr.exe' - '1' Module(s) have been scanned Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned Scan process 'wcescomm.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned Scan process 'SMPSYS.EXE' - '1' Module(s) have been scanned Scan process 'StartFX.exe' - '1' Module(s) have been scanned Scan process 'V0220Mon.exe' - '1' Module(s) have been scanned Scan process 'Atwtusb.exe' - '1' Module(s) have been scanned Scan process 'AnyDVD.exe' - '1' Module(s) have been scanned Scan process 'avgas.exe' - '1' Module(s) have been scanned Scan process 'realplay.exe' - '1' Module(s) have been scanned Scan process 'QTTask.exe' - '1' Module(s) have been scanned Scan process 'PCMService.exe' - '1' Module(s) have been scanned Scan process 'scureapp.exe' - '1' Module(s) have been scanned Scan process 'issch.exe' - '1' Module(s) have been scanned Scan process 'DetectorApp.exe' - '1' Module(s) have been scanned Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'wscntfy.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'OPXPApp.exe' - '1' Module(s) have been scanned Scan process 'CLSched.exe' - '1' Module(s) have been scanned Scan process 'USBDeviceService.exe' - '1' Module(s) have been scanned Scan process 'ULCDRSvr.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'StarWindService.exe' - '1' Module(s) have been scanned Scan process 'OmniServ.exe' - '1' Module(s) have been scanned Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned Scan process 'GoogleUpdaterService.exe' - '1' Module(s) have been scanned Scan process 'CLMLServer.exe' - '1' Module(s) have been scanned Scan process 'CLCapSvc.exe' - '1' Module(s) have been scanned Scan process 'guard.exe' - '1' Module(s) have been scanned Scan process 'AOLacsd.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'aawservice.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 58 processes with 58 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [iNFO] No virus was found! Boot sector 'D:\' [iNFO] No virus was found! Starting to scan the registry. The registry was scanned ( '71' files ). Starting the file scan: Begin scan in 'C:\' <HDD> C:\ARK7F.tmp [DETECTION] Is the TR/Monderd.106496.1 Trojan [WARNING] An error has occurred and the file was not deleted. ErrorID: 26003 [WARNING] The file could not be deleted! [NOTE] Attempting to perform action using the ARK lib. [NOTE] The file was moved to '4bcd528c.qua'! C:\pagefile.sys [WARNING] The file could not be opened! C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP805\A0131833.dll [DETECTION] Is the TR/Monderd.70656 Trojan [NOTE] The file was moved to '4969ca1e.qua'! C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP805\A0131834.dll [DETECTION] Is the TR/Monderd.106496.1 Trojan [NOTE] The file was moved to '48ef680f.qua'! C:\WINDOWS\system32\iifcAQHW.VIR [DETECTION] Is the TR/Monderd.39936.1 Trojan [WARNING] An error has occurred and the file was not deleted. ErrorID: 26003 [WARNING] The file could not be deleted! [NOTE] Attempting to perform action using the ARK lib. [NOTE] The file was moved to '4bc9cce1.qua'! C:\WINDOWS\system32\drivers\sptd.sys [WARNING] The file could not be opened! Begin scan in 'D:\' <DATA> End of the scan: vendredi 5 décembre 2008 08:22 Used time: 1:26:58 Hour(s) The scan has been done completely. 14763 Scanning directories 549734 Files were scanned 4 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 4 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 549728 Files not concerned 12506 Archives were scanned 4 Warnings 4 Notes -
Bonjour à tous, J'ai actuellement un problème avec le Trojan "Monderd". J'ai Antivir qui me bloque ce trojan au bas mot une quarantaine de fois par jour (et je ne suis pas connecté en permanence ...) Cette désagréable surprise est survenue suite à un tchatte de mon fils sur MSN (soyons indulgent, il n'a que 11 ans, ... privé d'MSN quand même ...) J'ai appliqué vos premiers pas pour les premières analyses. Antivir a viré quelques saloperies, de même que Bitdefender en online. J'ai passé Spybot qui a trouvé quelques spy, par contre, durant que Spybot tourné, ce trojan Monderd est devenu fou et Antivir devait lui interdire l'accés toutes les 3 secondes ... A terme de ces premières analyses, CWShredder n'a rien trouvé pour sa partie. Je me permets donc de poster un rapport HiJackThis afin que vous m'aidiez à éradiquer ce squatter encombrant ... Merci d'avance du temps que vous prendrez ... Rapport HijackThis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:25:51, on 05/12/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Apps\Softex\OmniPass\Omniserv.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe c:\APPS\Powercinema\Kernel\TV\CLSched.exe C:\Apps\Softex\OmniPass\OPXPApp.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe C:\Apps\Softex\OmniPass\scureapp.exe C:\APPS\Powercinema\PCMService.exe C:\Program Files\QuickTime\QTTask.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe C:\WINDOWS\system32\atwtusb.exe C:\WINDOWS\V0220Mon.exe C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe C:\APPS\SMP\SmpSys.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Microsoft ActiveSync\wcescomm.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Internet Explorer\iexplore.exe D:\Documents and Settings\Famille\Bureau\nettoyeurs et optimiseurs\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/internet/portail/go/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O3 - Toolbar: GeneaBarre, la barre d'outils de GeneaNet - {486E390A-7713-433F-A882-8B52263E595A} - C:\Program Files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [DetectorApp] C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe" O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PDF4 Registry Controller] "C:\Program Files\ScanSoft\PDF Professional 4.0\\RegistryController.exe" O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [V0220Mon.exe] C:\WINDOWS\V0220Mon.exe O4 - HKLM\..\Run: [AVFX Engine] C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [smpcSys] C:\APPS\SMP\SmpSys.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Creative Live! Cam Manager] C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Open with ScanSoft PDF Converter 4.0 - res://C:\Program Files\ScanSoft\PDF Professional 4.0\cnvres_eng.dll /100 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: GeneaBarre, la barre d'outils de GeneaNet - {486E390A-7713-433F-A882-8B52263E595A} - C:\Program Files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll O9 - Extra 'Tools' menuitem: GeneaBarre, la barre d'outils de GeneaNet - {486E390A-7713-433F-A882-8B52263E595A} - C:\Program Files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - https://www.vm-wl.com/DownloadManager/Relea...rod/DownMan.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2...15105/CTPID.cab O20 - AppInit_DLLs: hexkvh.dll qihmxx.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe -- End of file - 12435 bytes
-
Résolu : spyware "virusprotect pro" à éradiquer
Pendragon a répondu à un(e) sujet de Pendragon dans Analyses et éradication malwares
Bonjour Bruce Lee, La réponse est non, je n'ai plus de problème à signaler. Merci, surtout pour l'aide rapide et limpide. Ca a pris 3 jours là où j'aurai mis de longues semaines à me dépatouiller seul, et sans résultat intégralement positif comme cela semble être maintenant. Encore merci pour le site et son équipe sécurité. Par contre, en mesure préventive, peux-tu me conseiller une suite de sécurité comme je te l'avais demandé précédemment (quelques logiciels ou une cure préventive tout les mois par exemple, ...) Merci Bruce, et peut-être à bientôt (mais pas trop vite, c'est que je n'aurai pas de nouveaux problèmes à vous soumettre ...) Pour Jok, Mon nom fait plutôt référence au mythe arthurien (tu sais, Uther, Lancelot, Perceval et les autres ...), mais je suis heureux d'apprendre qu'un groupe de bonne musique peux avoir de bonnes références ... A bientôt à tous et encore merci ... -
Résolu : spyware "virusprotect pro" à éradiquer
Pendragon a répondu à un(e) sujet de Pendragon dans Analyses et éradication malwares
Bonjour Bruce Lee, Plus de virus détectés par Kapersky. Est-ce que je suis guéri ???? Voici le rapport d'analyse : KASPERSKY ON-LINE SCANNER REPORT Friday, August 24, 2007 10:38:10 AM Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version : 5.0.83.0 Dernière mise à jour de la base antivirus Kaspersky : 23/08/2007 Enregistrements dans la base antivirus Kaspersky : 364308 Paramètres d'analyse Analyser avec la base antivirus suivante standard Analyser les archives vrai Analyser les bases de messagerie vrai Cible de l'analyse Poste de travail C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ K:\ L:\ Statistiques de l'analyse Total d'objets analysés 177844 Nombre de virus trouvés 0 Nombre d'objets infectés 0 / 0 Nombre d'objets suspects 0 Durée de l'analyse 01:47:33 Nom de l'objet infecté Nom du virus Dernière action C:\APPS\Powercinema\Kernel\CLML_NTService\CLML_MAIN\CLML.db L'objet est verrouillé ignoré C:\APPS\Softex\OmniPass\btype0.dat L'objet est verrouillé ignoré C:\APPS\Softex\OmniPass\btype256.dat L'objet est verrouillé ignoré C:\APPS\Softex\OmniPass\btype259.dat L'objet est verrouillé ignoré C:\APPS\Softex\OmniPass\btype3.dat L'objet est verrouillé ignoré C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2007-08-23.10-55-34.log L'objet est verrouillé ignoré C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP366\change.log L'objet est verrouillé ignoré C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré C:\WINDOWS\SoftwareDistribution\EventCache\{D2D08F33-059E-4FC7-9E74-4D762C9E5F43}.bin L'objet est verrouillé ignoré C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat L'objet est verrouillé ignoré C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt L'objet est verrouillé ignoré C:\WINDOWS\Temp\sqlite_a8mDvXUKH4eVaWa L'objet est verrouillé ignoré C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré D:\Documents and Settings\All Users\Application Data\avg7\Log\emc.log L'objet est verrouillé ignoré D:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log L'objet est verrouillé ignoré D:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log.lck L'objet est verrouillé ignoré D:\Documents and Settings\Famille\Application Data\$_hpcst$.hpc L'objet est verrouillé ignoré D:\Documents and Settings\Famille\Cookies\index.dat L'objet est verrouillé ignoré D:\Documents and Settings\Famille\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré D:\Documents and Settings\Famille\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré D:\Documents and Settings\Famille\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré D:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré D:\Documents and Settings\Famille\ntuser.dat L'objet est verrouillé ignoré D:\Documents and Settings\Famille\ntuser.dat.LOG L'objet est verrouillé ignoré D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré D:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré D:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré D:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat L'objet est verrouillé ignoré D:\Documents and Settings\LocalService\ntuser.dat L'objet est verrouillé ignoré D:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré D:\Documents and Settings\NetworkService\ntuser.dat L'objet est verrouillé ignoré D:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP366\change.log L'objet est verrouillé ignoré Analyse terminée. Merci et à bientôt -
Résolu : spyware "virusprotect pro" à éradiquer
Pendragon a répondu à un(e) sujet de Pendragon dans Analyses et éradication malwares
Bonjour Bruce, J'ai effectivement réussi à remettre sans problème ma page de démarrage initiale. Je te poste à la suite le rapport de Kaspersky. C'est dingue, il trouve encore des virus et des fichiers infectés après tout ces nettoyages. J'espère bien nettoyer tout mon système avec ton aide mais après ce nettoyage, pourras tu s'il te plait, m'indiquer une suite de logiciel (le plus gratuit possible SVP) qui empéchera une nouvelle prolifération de ces infections. J'ai actuellement AVG free edition et AVG AntiSpy. Trèves de blabla, voici le rapport. KASPERSKY ON-LINE SCANNER REPORT Thursday, August 23, 2007 12:54:55 PM Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version : 5.0.83.0 Dernière mise à jour de la base antivirus Kaspersky : 23/08/2007 Enregistrements dans la base antivirus Kaspersky : 363495 Paramètres d'analyse Analyser avec la base antivirus suivante standard Analyser les archives vrai Analyser les bases de messagerie vrai Cible de l'analyse Poste de travail C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ K:\ L:\ Statistiques de l'analyse Total d'objets analysés 182283 Nombre de virus trouvés 3 Nombre d'objets infectés 17 / 0 Nombre d'objets suspects 0 Durée de l'analyse 01:40:56 Nom de l'objet infecté Nom du virus Dernière action C:\APPS\OFFICE_1\All\oonepdf\SETUP.EXE/300.exe Infecté : Trojan-Spy.Win32.Delf.wh ignoré C:\APPS\OFFICE_1\All\oonepdf\SETUP.EXE SetupSpecialist: infecté - 1 ignoré C:\APPS\Powercinema\Kernel\CLML_NTService\CLML_MAIN\CLML.db L'objet est verrouillé ignoré C:\APPS\Softex\OmniPass\btype0.dat L'objet est verrouillé ignoré C:\APPS\Softex\OmniPass\btype256.dat L'objet est verrouillé ignoré C:\APPS\Softex\OmniPass\btype259.dat L'objet est verrouillé ignoré C:\APPS\Softex\OmniPass\btype3.dat L'objet est verrouillé ignoré C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2007-08-23.10-55-34.log L'objet est verrouillé ignoré C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP352\A0055266.dll Infecté : Trojan-Downloader.Win32.Agent.bkd ignoré C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP355\A0055930.dll Infecté : Trojan-Downloader.Win32.Agent.bkd ignoré C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP362\A0056871.dll Infecté : Trojan-Downloader.Win32.Agent.bkd ignoré C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP364\change.log L'objet est verrouillé ignoré C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré C:\WINDOWS\SoftwareDistribution\EventCache\{D2D08F33-059E-4FC7-9E74-4D762C9E5F43}.bin L'objet est verrouillé ignoré C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat L'objet est verrouillé ignoré C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt L'objet est verrouillé ignoré C:\WINDOWS\Temp\sqlite_a8mDvXUKH4eVaWa L'objet est verrouillé ignoré C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré D:\Documents and Settings\Famille\Cookies\index.dat L'objet est verrouillé ignoré D:\Documents and Settings\Famille\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré D:\Documents and Settings\Famille\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré D:\Documents and Settings\Famille\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré D:\Documents and Settings\Famille\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré D:\Documents and Settings\Famille\Local Settings\Historique\History.IE5\MSHist012007082320070824\index.dat L'objet est verrouillé ignoré D:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré D:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré D:\Documents and Settings\Famille\ntuser.dat L'objet est verrouillé ignoré D:\Documents and Settings\Famille\ntuser.dat.LOG L'objet est verrouillé ignoré D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré D:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré D:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré D:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat L'objet est verrouillé ignoré D:\Documents and Settings\LocalService\ntuser.dat L'objet est verrouillé ignoré D:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré D:\Documents and Settings\NetworkService\ntuser.dat L'objet est verrouillé ignoré D:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP352\A0055278.exe/stream/data0006 Infecté : Trojan-Downloader.Win32.Zlob.bzm ignoré D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP352\A0055278.exe/stream Infecté : Trojan-Downloader.Win32.Zlob.bzm ignoré D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP352\A0055278.exe NSIS: infecté - 2 ignoré D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP353\A0055371.exe/stream/data0006 Infecté : Trojan-Downloader.Win32.Zlob.bzm ignoré D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP353\A0055371.exe/stream Infecté : Trojan-Downloader.Win32.Zlob.bzm ignoré D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP353\A0055371.exe NSIS: infecté - 2 ignoré D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP355\A0056021.exe/stream/data0006 Infecté : Trojan-Downloader.Win32.Zlob.bzm ignoré D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP355\A0056021.exe/stream Infecté : Trojan-Downloader.Win32.Zlob.bzm ignoré D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP355\A0056021.exe NSIS: infecté - 2 ignoré D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP356\A0056232.exe/stream/data0006 Infecté : Trojan-Downloader.Win32.Zlob.bzm ignoré D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP356\A0056232.exe/stream Infecté : Trojan-Downloader.Win32.Zlob.bzm ignoré D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP356\A0056232.exe NSIS: infecté - 2 ignoré D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP364\change.log L'objet est verrouillé ignoré Analyse terminée. Juste pour finir, je voulais te dire que je n'ai pas nettoyer mon système suite à ce rapport. C'est peut-être basique comme réaction, mais j'ai mis mon système entre tes mains et, au terme de ton précédent message, tu ne disais pas de nettoyer ; Donc je n'ai pas fait. Encore merci pour ton aide, et à très bientôt. -
Résolu : spyware "virusprotect pro" à éradiquer
Pendragon a répondu à un(e) sujet de Pendragon dans Analyses et éradication malwares
Bonsoir, et merci pour l'aide précise et rapide. Voici les résultats de mon petit travail suite à vos explications. Tout d'abord, je n'ai trouvé qu'une des quatre lignes que vous demandiez de cocher dans le rapport HiJackThis. Il s'agit de la seconde ligne précédée de 02. Le reste avez peut-être déja été supprimé lors du nettoyage par SmiFraudFix. Par ailleurs, la petite icone clignotante en bas à droite près de l'horloge a disparu. BRAVO Par contre, deux petites choses à signaler. Tout d'abord, j'ai perdu mon fond d'écran, mais il semble que j'ai lu quelque part que c'était normal et qu'il s'agit d'un des effets du nettoyage par SmitFraudFix. Par contre, j'ai également perdu ma page de démarrage Internet (Tele2 internet, mon FAI, par défaut) et me retrouve avec le site MSN au démarrage. Ce n'est pas bien grave en soi, mais est-ce normal ? Par ailleurs, voici les trois rapports que vous aviez demandé : rapport AVG AS --------------------------------------------------------- AVG Anti-Spyware - Rapport d'analyse --------------------------------------------------------- + Créé à: 23:10:22 22/08/2007 + Résultat de l'analyse: D:\Documents and Settings\Famille\Cookies\famille@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Nettoyé. D:\Documents and Settings\Famille\Cookies\famille@searchportal.information[2].txt -> TrackingCookie.Information : Nettoyé. D:\Documents and Settings\Famille\Cookies\famille@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé. D:\Documents and Settings\Famille\Cookies\famille@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé. D:\Documents and Settings\Famille\Cookies\famille@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé. Fin du rapport rapport HiJackThis : Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 23:23:11, on 22/08/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Lavasoft\Ad-Aware 2007\aawservice.exe C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe C:\WINDOWS\system32\nvsvc32.exe C:\Apps\Softex\OmniPass\Omniserv.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe c:\APPS\Powercinema\Kernel\TV\CLSched.exe C:\Apps\Softex\OmniPass\OPXPApp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe C:\Apps\Softex\OmniPass\scureapp.exe C:\APPS\Powercinema\PCMService.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\APPS\SMP\SmpSys.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\DAEMON Tools\daemon.exe D:\Mio Technology\MioSync\mioSync.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\Program Files\Grisoft\AVG Free\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Messenger\msmsgs.exe D:\Documents and Settings\Famille\Bureau\nettoyeurs et optimiseurs\HiJackThis_v2.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [DetectorApp] C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe" O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [smpcSys] C:\APPS\SMP\SmpSys.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: MioSync.lnk = D:\Mio Technology\MioSync\mioSync.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F3952234-D327-45A4-A139-BB8470537031}: NameServer = 212.151.136.246 212.151.137.166 O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe -- End of file - 11521 bytes rapport SmitFraudFix : SmitFraudFix v2.214 Rapport fait à 13:14:41,81, 22/08/2007 Executé à partir de D:\Documents and Settings\Famille\Bureau\nettoyeurs et optimiseurs\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode sans echec »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{d1e5ca97-235e-4ff0-9b92-7543c9d61ff4}"="bosken" [HKEY_CLASSES_ROOT\CLSID\{d1e5ca97-235e-4ff0-9b92-7543c9d61ff4}\InProcServer32] @="C:\WINDOWS\system32\zkpssqa.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{d1e5ca97-235e-4ff0-9b92-7543c9d61ff4}\InProcServer32] @="C:\WINDOWS\system32\zkpssqa.dll" »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri C:\WINDOWS\system32\zkpssqa.dll -> Hoax.Win32.Renos.gen.o C:\WINDOWS\system32\zkpssqa.dll -> Deleted »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés D:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url supprimé D:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url supprimé »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Fin Voila, je crois que tout y est. Il me semble ne plus être vérolé, mais si toutefois vous voyez autre chose, surtout n'hésitait pas à me le faire supprimer. A très bientôt, et encore merci -
Résolu : spyware "virusprotect pro" à éradiquer
Pendragon a posté un sujet dans Analyses et éradication malwares
Bonjour, Depuis quelques jours, une icone est apparu à droite de la barre de tache, à coté de l'horloge. Il s'agit d'un bouclier clignotant qui alterne une croix blanche sur fond rouge et un point d'interrogation blanc sur fond bleu. Cette icone emet réguliérement un message en anglais signalant l'activité de nombreux spyware et invitant à cliquer dessus. Si je clique, je suis dirigé vers une page internet qui m'invite à télécharger le logiciel "VirusProtect Pro". Je n'ai pas installé ce logiciel ayant bien compris qu'il s'agissait d'un spyware. Toutefois, je n'arrive pas à me débarasser de cette icone malgré de nombreux nettoyages avec divers logiciels (CCleaner, AVG antispyware et antivirus free edition, Spybot Search and Destroy, CWShredder, et une analyse par BitDefender online). Comme conseillé dans plusieurs de vos tutoriaux, je vous poste à la suite de ce message un rapport emit par SmitFraudFix ainsi qu'un rapport de HiJackThis. Ces deux analyses ont été effectuées en mode normal. Merci de votre aide pour nettoyer mon ordi avant que les choses ne s'aggravent A Bientôt Uther rapport SmitFraudFix SmitFraudFix v2.214 Rapport fait à 21:32:11,89, 21/08/2007 Executé à partir de D:\Documents and Settings\Famille\Bureau\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode normal »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Lavasoft\Ad-Aware 2007\aawservice.exe C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe C:\WINDOWS\system32\nvsvc32.exe C:\Apps\Softex\OmniPass\Omniserv.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe c:\APPS\Powercinema\Kernel\TV\CLSched.exe C:\Apps\Softex\OmniPass\OPXPApp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe C:\Apps\Softex\OmniPass\scureapp.exe C:\APPS\Powercinema\PCMService.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\APPS\SMP\SmpSys.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\DAEMON Tools\daemon.exe D:\Mio Technology\MioSync\mioSync.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» D:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\zkpssqa.dll PRESENT ! »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Famille »»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Famille\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer D:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url PRESENT ! D:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url PRESENT ! »»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\Famille\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{d1e5ca97-235e-4ff0-9b92-7543c9d61ff4}"="bosken" [HKEY_CLASSES_ROOT\CLSID\{d1e5ca97-235e-4ff0-9b92-7543c9d61ff4}\InProcServer32] @="C:\WINDOWS\system32\zkpssqa.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{d1e5ca97-235e-4ff0-9b92-7543c9d61ff4}\InProcServer32] @="C:\WINDOWS\system32\zkpssqa.dll" »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: WAN (PPP/SLIP) Interface DNS Server Search Order: 212.151.136.242 DNS Server Search Order: 212.151.137.170 HKLM\SYSTEM\CCS\Services\Tcpip\..\{F3952234-D327-45A4-A139-BB8470537031}: NameServer=212.151.136.242 212.151.137.170 HKLM\SYSTEM\CS1\Services\Tcpip\..\{F3952234-D327-45A4-A139-BB8470537031}: NameServer=212.151.136.242 212.151.137.170 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin rapport HiJackThis Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 21:34:15, on 21/08/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Lavasoft\Ad-Aware 2007\aawservice.exe C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe C:\WINDOWS\system32\nvsvc32.exe C:\Apps\Softex\OmniPass\Omniserv.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe c:\APPS\Powercinema\Kernel\TV\CLSched.exe C:\Apps\Softex\OmniPass\OPXPApp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe C:\Apps\Softex\OmniPass\scureapp.exe C:\APPS\Powercinema\PCMService.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\APPS\SMP\SmpSys.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\DAEMON Tools\daemon.exe D:\Mio Technology\MioSync\mioSync.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Internet Explorer\iexplore.exe D:\Documents and Settings\Famille\Bureau\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2internet.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5DDE5591-A8AB-4897-93EF-1E4E943F85A7} - C:\Program Files\Video ActiveX Access\iesplg.dll (file missing) O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file) O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O3 - Toolbar: (no name) - {CC18AE76-7E65-4258-A193-9EA0C52DA6B8} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [DetectorApp] C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe" O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [smpcSys] C:\APPS\SMP\SmpSys.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Program Files\Video ActiveX Access\iesmn.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: MioSync.lnk = D:\Mio Technology\MioSync\mioSync.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F3952234-D327-45A4-A139-BB8470537031}: NameServer = 212.151.136.242 212.151.137.170 O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: bosken - {d1e5ca97-235e-4ff0-9b92-7543c9d61ff4} - C:\WINDOWS\system32\zkpssqa.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe -- End of file - 12187 bytes