Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Problemes de malwares! [résolu]

Nevo

Par Nevo
dans Analyses et éradication malwares

 Partager

Messages recommandés

Nevo Member

Nevo

Posté(e)
Posté(e) (modifié)

Salut alors comme beaucoup de monde recement j'ai quelques soucie avec mon navigateur preferé!

 

1_j'ai un telchargement qui se lance toute les 15 min, quand FF est actif j'ai eu beau reinstaler et tout, ca revien toujours (ah voila justement ca c'est encore declenché pendant que chui entrain d'ecrire ce message)

 

ca se produit automatiquement quand une fenetre de firefox est active!

 

2_le probleme avec shockwave player (operation illegal) et la fermeture de FF soudaine avec la boite de dialogue "envoyer l'erreur a micros***"

 

 

j'ai deja spybot c'est plutot utile mais ca ne m'aide pas en ce moment!

 

grace a "a-squared Free" j'ai eliminé un bon nombre de saleté en sacan rapide!

 

MAIS SURPRISE:

 

apres le scan quelques instants plus tards hop! mon PC redemare tout seul comme un grand sans que je ne lui ai rien demandé , apres cela je rescan et il semble qu'un truc a haut risque soit revenu "paked.win32.klone.q" (tout seul comme un grand aussi...) la bien sur, reflexe logique je le supprime et puis je continu mon train-train habituelle firefox semble fonctioner a merveille et puis soudain encore une fois mon PC plante et redemare tout seul (comme un...^^) !

 

bon la je n'ai pas refai de scan et mon pc n'a pas planté mais et firefox a toujours le probleme de shokwave player et du telechagement qui se lance tout seul... (probleme 1 et 2) et puis j'attend et j'espere de l'aide de votre part...SVP!

Modifié par Nevo

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut nevo , bienvenue sur le forum :P

 

Je rencontre le même problème que toi pour shockwave ! je suis en train de voir ce que ca peutt être!

 

Pour ce qui est du reste , et afin d'y voir plus clair, fais ceci stp=>

  • Télécharger la dernière version d'HijackThis
     
  • Installation et utilisation d'HijackThis=>
  • Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
    Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
     
  • Arrêter tous les programmes en cours et fermer toutes les fenêtres
     
  • Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
  • Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.

 

- Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans ta prochaine réponse.

Nevo Member

Nevo

Posté(e)
  • Auteur
Posté(e)

voila (charles je ne pense pas qu'on puisse etre plus explicite :P

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 00:11:14, on 10/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

c:\Program Files\Norton Internet Security\ISSVC.exe

c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\alg.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\install_flash_player.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\local.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\IDMIECC.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SpoofBHO Class - {07A78AEA-4A54-4967-9A60-4B68592D30C7} - C:\WINDOWS\se_spoof.dll

O2 - BHO: ChangerBHO Class - {0D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\ATHPRXYva.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\inetloader.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [urlLSTCK.exe] c:\Program Files\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [iDMan] C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\KeyGen.exe /onboot

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Download All Links with IDM - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\IEExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{52152A08-CA56-4B54-AC77-15C7B4C1E21C}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{5F0EC06C-4056-495C-8216-1BC7136119F0}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB0EA2E-9526-44E3-94EF-CB1819C5E138}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{A9EBBBF0-A214-4723-9FBD-FF721AB16925}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: NameServer = 85.255.115.4,85.255.112.15

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: pushow23.dll

O20 - Winlogon Notify: wineak32 - C:\WINDOWS\SYSTEM32\wineak32.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - c:\Program Files\Norton Internet Security\ISSVC.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

 

 

merci d'avance!

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

Le pc est effectivement infecté!! par Wareout entre autres.

 

On va commencer comme ceci :

 

Télécharge SmitfraudFix de S!Ri ici:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

1)Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd

Dans le menu, sélectionne 1

Poste le rapport ici.

 

Stp , durant toute la durée de la désinfection (et un conseil , même après!) n'utilise plus Emule!! C'est un des pourvoyeurs d'infections . Pour t'en convaincre lis ceci stp =>

http://forum.zebulon.fr/index.php?showtopic=85544

Nevo Member

Nevo

Posté(e)
  • Auteur
Posté(e)

voila !

 

 

 

SmitFraudFix v2.81

 

Rapport fait à 1:43:05,60, 10/08/2006

Executé à partir de C:\Program Files\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

C:\WINDOWS\ads.js PRESENT !

C:\WINDOWS\country.exe PRESENT !

C:\WINDOWS\inetloader.dll PRESENT !

C:\WINDOWS\local.html PRESENT !

C:\WINDOWS\se_spoof.dll PRESENT !

C:\WINDOWS\secure32.html PRESENT !

C:\WINDOWS\toolbar.exe PRESENT !

C:\WINDOWS\tpopup.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\ATHPRXYva.dll PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propri‚taire\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_PRO~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

_ok! pour emule comme indiquer a la fin du topic designer , maintenant je sais, et je vais agir en consequence, en fait je ne l'utilise pas beaucoup juste pour des trucs qui ne sont disponible qu'en import genre des OST des animes etc ! mais c'est vrai que je le laisse actif tout le temps meme si je ne telecharge rien donc un homme avertit en vaut deux comme on dit !

 

Merci pour l'ecoute en tout cas!

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

De rien! bon , on continue comme ca =>

 

1) Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

 

2) Relance SmitfraudFix.cmd

Dans le menu, sélectionne 2

 

Redémarre normalement et :

 

- Télécharge chercher.zip sur ton bureau

  • Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
  • Un nouveau dossier chercher va être créé
  • Ouvre le et double-clic sur chercher.cmd
  • Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande
  • Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
  • Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
  • A nouveau menu Edition / copier
  • Dans un nouveau message ici, faire un clic droit / coller

Poste les rapports suivants=>

- un nouveau log HijackThis

- le rapport de smitfraudfix fait avec l'option 2.

- le rapport "resultat.txt".

Nevo Member

Nevo

Posté(e)
  • Auteur
Posté(e)

voici les rapports demandés en suivant les instructions tout s'est passé sans probleme :

 

 

_le nouveau log HijackThis:

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 15:39:00, on 10/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

c:\Program Files\Norton Internet Security\ISSVC.exe

c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\cmd.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 81.56.210.182:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\IDMIECC.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [urlLSTCK.exe] c:\Program Files\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [iDMan] C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\KeyGen.exe /onboot

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Download All Links with IDM - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\IEExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{52152A08-CA56-4B54-AC77-15C7B4C1E21C}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{5F0EC06C-4056-495C-8216-1BC7136119F0}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB0EA2E-9526-44E3-94EF-CB1819C5E138}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{A9EBBBF0-A214-4723-9FBD-FF721AB16925}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: NameServer = 85.255.115.4,85.255.112.15

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: pushow23.dll

O20 - Winlogon Notify: wineak32 - C:\WINDOWS\SYSTEM32\wineak32.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - c:\Program Files\Norton Internet Security\ISSVC.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

 

 

 

 

 

 

_le rapport de smitfraudfix fait avec l'option 2:

 

 

 

 

 

SmitFraudFix v2.81

 

Rapport fait à 15:16:58,18, 10/08/2006

Executé à partir de C:\Program Files\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\ads.js supprimé

C:\WINDOWS\country.exe supprimé

C:\WINDOWS\inetloader.dll supprimé

C:\WINDOWS\local.html supprimé

C:\WINDOWS\se_spoof.dll supprimé

C:\WINDOWS\secure32.html supprimé

C:\WINDOWS\toolbar.exe supprimé

C:\WINDOWS\tpopup.exe supprimé

C:\WINDOWS\trustinbar.exe supprimé

C:\WINDOWS\system32\browsewmb.dll supprimé

C:\Program Files\TrustIn Bar\ supprimé

C:\Program Files\TrustIn Contextual\ supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\_uninst35.exe supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

 

 

 

 

 

_le rapport "resultat.txt"avec chercher.cmd:

 

 

 

 

 

C:\WINDOWS\System32\x10prod.sys -->09/08/2006 16:39:02

C:\WINDOWS\System32\ATHPRXYva.dll -->09/08/2006 11:35:39

C:\WINDOWS\System32\FNTCACHE.DAT -->09/08/2006 11:25:05

C:\WINDOWS\System32\wpa.dbl -->08/08/2006 16:02:43

C:\WINDOWS\System32\ATHPRXYv.dll -->07/08/2006 18:40:29

C:\WINDOWS\System32\avifileb.dll -->06/08/2006 14:16:18

C:\WINDOWS\System32\avicap32a.dll -->05/08/2006 11:53:02

C:\WINDOWS\System32\PerfStringBackup.INI -->04/08/2006 14:35:49

C:\WINDOWS\System32\perfh00C.dat -->04/08/2006 14:35:49

C:\WINDOWS\System32\perfh009.dat -->04/08/2006 14:35:49

C:\WINDOWS\System32\perfc00C.dat -->04/08/2006 14:35:49

C:\WINDOWS\System32\perfc009.dat -->04/08/2006 14:35:49

C:\WINDOWS\System32\atioglx1v.dll -->04/08/2006 11:50:32

C:\WINDOWS\System32\amcompat.tlb -->03/08/2006 15:46:05

C:\WINDOWS\System32\nscompat.tlb -->03/08/2006 15:46:04

C:\WINDOWS\System32\MRT.exe -->03/08/2006 01:22:50

C:\WINDOWS\System32\admparseb.dll -->03/08/2006 00:51:09

C:\WINDOWS\System32\atl71a.dll -->01/08/2006 19:28:15

C:\WINDOWS\System32\browselca.dll -->31/07/2006 13:11:15

C:\WINDOWS\System32\mshtml.dll -->28/07/2006 11:28:08

C:\WINDOWS\System32\capesnpna.dll -->28/07/2006 11:27:33

C:\WINDOWS\System32\SpoonUninstall.exe -->27/07/2006 22:50:00

C:\WINDOWS\System32\inetcomm.dll -->27/07/2006 13:26:19

C:\WINDOWS\System32\asferrora.dll -->26/07/2006 23:27:23

C:\WINDOWS\System32\ati2dvagv.dll -->26/07/2006 23:26:23

 

C:\WINDOWS\WindowsUpdate.log -->10/08/2006 15:28:22

C:\WINDOWS\0.log -->10/08/2006 15:27:21

C:\WINDOWS\wiadebug.log -->10/08/2006 15:27:06

C:\WINDOWS\wiaservc.log -->10/08/2006 15:27:02

C:\WINDOWS\bootstat.dat -->10/08/2006 15:26:56

C:\WINDOWS\win.ini -->10/08/2006 15:25:31

C:\WINDOWS\system.ini -->10/08/2006 15:25:31

C:\WINDOWS\setupact.log -->10/08/2006 15:19:07

C:\WINDOWS\SchedLgU.Txt -->10/08/2006 15:05:44

C:\WINDOWS\KeyGen.INI -->10/08/2006 14:43:47

C:\WINDOWS\tsoc.log -->10/08/2006 02:01:40

C:\WINDOWS\setupapi.log -->10/08/2006 02:01:40

C:\WINDOWS\ocmsn.log -->10/08/2006 02:01:40

C:\WINDOWS\ocgen.log -->10/08/2006 02:01:40

C:\WINDOWS\ntdtcsetup.log -->10/08/2006 02:01:40

 

 

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est D091-B3B1

 

Répertoire de C:\WINDOWS\system

 

07/05/1998 16:04 52 736 hpsysdrv.exe

1 fichier(s) 52 736 octets

0 Rép(s) 39 953 350 656 octets libres

 

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est D091-B3B1

 

Répertoire de C:\Program Files

 

10/08/2006 15:17 <REP> .

10/08/2006 15:17 <REP> ..

09/08/2006 17:49 <REP> a-squared Free

20/01/2006 10:40 <REP> Adobe

08/07/2006 15:14 <REP> Alcohol Soft

03/01/2005 04:17 <REP> ATI Technologies

24/07/2006 18:38 <REP> CAPCOM

09/08/2006 14:48 <REP> Disco-WebTV

15/01/2006 23:46 <REP> Easy Internet signup

10/08/2006 15:28 <REP> eMule

14/04/2006 11:50 778 ffdsasetts.reg

14/04/2006 11:50 30 654 ffdssetts.reg

14/04/2006 11:50 30 040 ffdsvsetts.reg

26/07/2006 13:01 <REP> Fichiers communs

03/01/2005 04:33 <REP> Hewlett-Packard

10/08/2006 00:12 <REP> HijackThis

21/12/2005 21:52 <REP> HP

04/01/2006 23:09 <REP> Internet Download Manager

10/08/2006 02:01 <REP> Internet Explorer

13/07/2006 23:34 <REP> Interplay

03/01/2005 04:34 <REP> InterVideo

12/02/2006 00:16 <REP> Jasc Software Inc

03/01/2005 04:10 <REP> Java

06/08/2006 23:06 <REP> Mega Bloc Notes

03/01/2005 04:14 <REP> Messenger

07/01/2006 14:17 <REP> microsoft frontpage

06/01/2006 11:29 <REP> Microsoft Office

06/01/2006 11:29 <REP> Microsoft Visual Studio

11/03/2006 12:18 <REP> mIRC

25/11/2004 03:27 <REP> Movie Maker

10/08/2006 14:59 <REP> Mozilla Firefox

14/04/2006 11:50 824 mpc5.reg

22/05/2006 13:50 <REP> MSN

25/11/2004 03:27 <REP> MSN Gaming Zone

04/07/2006 14:58 <REP> MSN Messenger

01/02/2005 07:54 <REP> NetMeeting

03/01/2005 04:51 <REP> Norton Internet Security

10/08/2006 01:40 <REP> Nouveau dossier

25/11/2004 03:27 <REP> Online Services

19/04/2006 03:00 <REP> Outlook Express

03/01/2005 04:47 <REP> PC-Doctor 5 for Windows

20/12/2005 20:58 <REP> SAGEM

14/04/2006 10:56 4 482 satsukidecodersettings.ini

17/12/2005 00:02 <REP> SEGA

03/01/2005 04:45 <REP> Services en ligne

21/12/2005 12:37 <REP> Shareaza

10/08/2006 15:20 <REP> SmitfraudFix

03/01/2005 04:33 <REP> Sonic

13/07/2006 16:14 <REP> Spybot - Search & Destroy

09/08/2006 17:47 <REP> SpywareBlaster

03/01/2005 04:50 <REP> Symantec

27/07/2006 15:35 <REP> ToniArts

13/06/2006 23:16 <REP> TrackMania Nations ESWC

01/04/2006 15:12 <REP> Twin USB Vibration Gamepad

01/04/2006 15:12 <REP> USB Vibration Joystick

23/01/2006 19:22 <REP> VGA USB Camera

03/07/2006 14:38 <REP> Vso

03/08/2006 15:37 <REP> Windows Media Player

01/02/2005 07:54 <REP> Windows NT

04/01/2006 23:09 <REP> WinRAR

25/11/2004 03:28 <REP> xerox

03/08/2006 15:24 <REP> XP Codec Pack

5 fichier(s) 66 778 octets

57 Rép(s) 39 953 346 560 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est D091-B3B1

 

Répertoire de C:\Program Files\fichiers communs

 

26/07/2006 13:01 <REP> .

26/07/2006 13:01 <REP> ..

26/07/2006 13:03 <REP> Adobe

03/08/2006 15:40 <REP> Ahead

02/01/2006 10:26 <REP> AOL

06/01/2006 11:29 <REP> Designer

03/01/2005 04:28 <REP> Hewlett-Packard

03/01/2005 04:26 <REP> HP

03/01/2005 04:37 <REP> InstallShield

04/01/2006 21:33 <REP> Jasc Software Inc

03/01/2005 04:10 <REP> Java

21/06/2006 12:43 <REP> Microsoft Shared

25/11/2004 03:26 <REP> MSSoap

03/01/2005 04:38 <REP> muvee Technologies

25/11/2004 03:26 <REP> ODBC

26/07/2006 13:02 <REP> Real

01/02/2005 07:54 <REP> Services

03/01/2005 04:32 <REP> Sonic Shared

25/11/2004 03:26 <REP> SpeechEngines

03/01/2005 04:32 <REP> SureThing Shared

09/08/2006 17:48 <REP> Symantec Shared

19/04/2006 03:00 <REP> System

03/01/2005 04:33 <REP> TiVo Shared

19/01/2006 19:13 <REP> Vbox

0 fichier(s) 0 octets

24 Rép(s) 39 953 346 560 octets libres

c:\Documents and Settings\HP_Propriétaire\loaded.exe

c:\Documents and Settings\HP_Propriétaire\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe

c:\Documents and Settings\HP_Propriétaire\Bureau\chercher\LFiles.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\a6f5c64b.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Shareaza\Incomplete\PhotoShop CS 8.0 & ImageReady CS 8.0 Crack.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\DwnlData\HP_Propriétaire\Photoshop-20CS-20Serial-20Expi_126\Photoshop CS Serial Expiration Fix.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\NeroDemo9616\nero_y.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\NeroDemo9616\SetupX.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\NeroDemo9616\ycomp_setup_nero.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\NeroDemo9616\Redist\50comupd.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\NeroDemo9616\Redist\instmsia.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\NeroDemo9616\Redist\instmsiw.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\NeroDemo9616\Redist\ShFolder.Exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\NeroDemo9616\Setup\NeroDelTmp.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\NeroDemo9616\Setup\UninstallNero.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\nstmp\uninstall.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\nstmp1\uninstall.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\pft91~tmp\_ISDel.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\XPack\IvSetup.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\XPack\Setup.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\{1735ad57-fd6e-4eb5-a276-56c2574d6412}\atiicdxx.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\{1735ad57-fd6e-4eb5-a276-56c2574d6412}\atiiiexx.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\{1735ad57-fd6e-4eb5-a276-56c2574d6412}\Thunk.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\{1735ad57-fd6e-4eb5-a276-56c2574d6412}\UpdatPnP.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Tcpview.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\divers\divers\last\01tox extra pack[by prince418]\01tox extra pack.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\divers\divers\last\prnapp70\setup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Adobe Photoshop 7.0.1 Fr Crack.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Shareaza_2.1.0.0.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Shareaza_2.2.1.0.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Ulead.Gif.Animator.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Compressed\Crack for all Adobe Tryout apps Photoshop CS 8.0, Pagemaker, Illustrator, Framemaker etc\AdobeGlobalCrack.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Compressed\D3DX9_dll_update\D3DX9_dll_update\Installer\DXSETUP.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Compressed\internet download manager 4.07 + crack + keygen + serial list\internet download manager 4.07.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Compressed\internet download manager 4.07 + crack + keygen + serial list\Internet Download Manager v4.07 Trial to Full by Great Elmo!!\idman.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Compressed\jtk361en\jtk361en\JoyToKey.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Compressed\ssspsx_0.0.26_windows\SSSPSX\SSSPSX.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Compressed\XPCodecPack-1-3-4\XP Codec Pack 1.3.4.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\a2FreeSetup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Alcohol120_trial_1.9.5.4212.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\anonymity_4_proxy_anonymity_4_proxy_2.8_anglais_9904.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\ans305ev.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Authorware_Web_Player_Plugin.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\awmaw.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\blender-2.37a-windows.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\bobdown.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\ControlMKv0232.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\copytodvd3_setup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\daemon403-x86.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\directx_9c_redist.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\DiscoWebTV_20.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\DivXPlay.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\dMC-r11.5.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\dxwebsetup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\EClea2_0.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\eMule0.46c-Installer.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\fcp50setup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Firefox Setup 1.5.0.1.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\FRAPS274.EXE

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\GoogleEarthSetup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\GoogleEarthSetup_2.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\hauntedfree.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\hnecoufr.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\hnsofafr.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\install_flash_player.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Install_Messenger.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Install_MSN_Messenger.EXE

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Mame32b.106.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Mame32v.102_Binary.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\MediaInfo_0.7.1.2_GUI_Win32.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\MegaBlocNotes.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\mirc616.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\mp10setup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\MPSetup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\MWFREE.EXE

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\nospafr.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\nospafr_2.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\ps7_tryout_fra.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\psp900frtr.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\RealPlayer10-5GOLD_fr.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\regfreeze_fr.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Shareaza_2.2.1.0.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Shockwave_Installer_Slim.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Shockwave_Installer_Slim_2.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\spybotsd14.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\spywareblastersetup351.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\srvezm.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Ulead Gif Animator 5.0t.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Update.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Wav2MP3Wizard_3.1GE_R281.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\wavsetup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\WGAPluginInstall.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\WGAPluginInstall_2.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\winamp521_full.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\WINISO53.EXE

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\wrar351fr.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\ZCodec1009.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\ZCodec1009_2.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Mame32\Mame32.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\neorage\NeoRAGEx.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Psx\psx\ePSXe.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Psx\psx2\psxfin.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Psx\psx2\utils\cdztool.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\HP_Propriétaire\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

 

Vérifications de quelques clefs

Recherche de clefs EGDACCESS

 

HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler

 

 

 

 

 

 

 

_par contre j'ai tout toujours le probleme du dialer qui se lance tout seul bon ben voila!

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut Nevo :P

 

On va s'en occuper de ce dialer!!

 

Ca a l'air long et compliqué mais ca n'est pas du tout le cas!!c'est juste détaillé!

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire :-P

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure

-Dans le champs"Type" en bas de page ,choisis: Page web complète

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

Étape 1:

 

-Télécharge la dernière version de Killbox et met le sur ton bureau.

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/en/download/

Installe la et mets à jour=>

 

* Démarre Ewido avec l'icône qui se trouve sur ton Bureau.

Clique sur Update Now,

attend la fin de cette mise à jour,

puis ferme le programme.

 

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

 

Étape 2:

  • Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

    C:\WINDOWS\system32\pushow23.dll
    C:\WINDOWS\system32\wineak32.dll
    C:\WINDOWS\system32\capesnpna.dll
    C:\WINDOWS\system32\asferrora.dll
    C:\WINDOWS\system32\ati2dvagv.dll
    C:\WINDOWS\system32\atl71a.dll
    C:\WINDOWS\system32\admparseb.dll
    C:\WINDOWS\system32\atioglx1v.dll
    C:\WINDOWS\System32\ATHPRXYva.dll
    C:\WINDOWS\System32\ATHPRXYv.dll
    C:\WINDOWS\System32\avifileb.dll
    C:\WINDOWS\System32\avicap32a.dll

     
  • Ouvre Killbox:
     
  • Clique sur le menu "File" de KillBox (en haut à gauche) et choisis l'option => Paste from clipboard
     
  • Sous "Full Path Of File To Delete" les fichiers viennent de s'inscrire: il faut t'en assurer en cliquant sur la petite flèche à droite!
     
  • Coche les cases : "Delete on Reboot" & "Unregister Dll Before Deleting" .
     
  • Une fois le bouton radio "Delete on Reboot" coché, la case "Single File" va clignoter: clique sur la case "All Files"
     
  • Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher:

    « File will be Removed on Reboot, Do you want to reboot now ? »

  • Il faut répondre NO => Il ne faut pas redémarrer le pc à présent:c'est important!!

-Suis les instruction ci dessous .

-Si tu reçois le message suivant fais le moi savoir stp=>

"PendingFileRenameOperations Registry Data has been Removed by External Process!"

 

----------------------------------------------------------------------------------------------------------------------------

Étape 3:

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Note: Laisse ta connexion internet active.

  • Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
  • Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.
  • Quand ton système aura redémarré, suis les invites des messages. Ensuite HijackThis va se lancer: si ce n'est pas le cas, fais le manuellement.
  • Clique sur "Do a system scan only", et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 81.56.210.182:80

 

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{52152A08-CA56-4B54-AC77-15C7B4C1E21C}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{5F0EC06C-4056-495C-8216-1BC7136119F0}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB0EA2E-9526-44E3-94EF-CB1819C5E138}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{A9EBBBF0-A214-4723-9FBD-FF721AB16925}: NameServer = 85.255.115.4,85.255.112.15

O17 - HKLM\System\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: NameServer = 85.255.115.4,85.255.112.15

 

O20 - AppInit_DLLs: pushow23.dll

O20 - Winlogon Notify: wineak32 - C:\WINDOWS\SYSTEM32\wineak32.dll

-Ferme tous les programmes et clique sur "Fix Checked"

-Ferme HijackThis et clique sur OK pour continuer la procédure.

 

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

 

-----------------------------------------------------------------------------------------

Étape 4:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 5:

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Étape 6:

 

Relance Ewido et clique sur Scanner

Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

 

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

 

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

 

Étape 7:

 

Poste stp les rapports suivants =>

 

-le contenu du rapport de Fixwareout que tu trouveras ici => C:\fixwareout\report.txt

-le rapport d'Ewido

-un nouveau rapport hijackthis

-un nouveau rapport chercher.cmd

 

Voilà :P lis bien et suis exactement les instructions, tu verras que ce n'est pas compliqué. Courage :-(

Nevo Member

Nevo

Posté(e)
  • Auteur
Posté(e)

bon voila ca a été un peu long mais je crois que j'ai plutot bien suivi la procedure donc voila les les rapports demandés :

 

 

 

 

_rapport de Fixwareout :

 

 

 

 

 

Fixwareout ver 1.003

Last edited 07/1/2006

Post this report in the forums please

 

Reg Entries that were deleted

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\uuzmd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1trap

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\2trap

...

 

Microsoft ® Windows Script Host Version 5.6

Random Runs removed from HKLM

"dmzuu.exe"=-

...

 

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

Example ipsec6.exe is legitimate

 

»»»»» Search by size and names...

* csr.exe C:\WINDOWS\System32\CSOBR.EXE

 

»»»»» Misc files

 

»»»»» Checking for older varients covered by the Rem3 tool

 

»»»»»

Search five digit cs, dm and jb files

This WILL/CAN also list Legit Files, Submit them at Virustotal

C:\WINDOWS\SYSTEM32\CSOBR.EXE 51 260 2006-07-31

C:\WINDOWS\SYSTEM32\DMZUU.EXE 61 979 2004-08-05

Other suspects

Directory of C:\WINDOWS\system32

 

 

 

 

_rapport ewido:

 

 

 

 

 

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 11:41:59 11/08/2006

 

+ Scan result:

 

 

 

C:\Documents and Settings\HP_Propriétaire\Mes documents\divers\divers\fdgdf -> Adware.Azesearch : Cleaned with backup (quarantined).

HKU\S-1-5-21-1659578626-2248809771-3747080034-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0D4C7057-EAD2-44C6-AD18-9092905F28F1} -> Adware.Generic : Cleaned with backup (quarantined).

HKU\S-1-5-21-1659578626-2248809771-3747080034-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07A78AEA-4A54-4967-9A60-4B68592D30C7} -> Adware.TrustCleaner : Cleaned with backup (quarantined).

HKU\S-1-5-21-1659578626-2248809771-3747080034-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} -> Adware.TrustCleaner : Cleaned with backup (quarantined).

HKU\S-1-5-21-1659578626-2248809771-3747080034-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A19EF336-01D4-48E6-926A-FE7E1C747AED} -> Adware.TrustCleaner : Cleaned with backup (quarantined).

HKU\S-1-5-21-1659578626-2248809771-3747080034-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DA7FF3F8-08BE-4CAC-BC00-94D91C6AE7F4} -> Adware.TrustCleaner : Cleaned with backup (quarantined).

HKU\S-1-5-21-1659578626-2248809771-3747080034-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE6C16C4-16AD-47B6-B250-26AD1829E49A} -> Adware.TrustCleaner : Cleaned with backup (quarantined).

C:\WINDOWS\system32\csobr.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).

C:\WINDOWS\winres.dll -> Downloader.IstBar.ff : Cleaned with backup (quarantined).

C:\!KillBox\ATHPRXYv.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\!KillBox\ATHPRXYva.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\!KillBox\admparseb.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\!KillBox\asferrora.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\!KillBox\ati2dvagv.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\!KillBox\atioglx1v.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\!KillBox\atl71a.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\!KillBox\avicap32a.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\!KillBox\avifileb.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\!KillBox\capesnpna.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\Documents and Settings\HP_Propriétaire\Mes documents\divers\divers\trustincontext.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\WINDOWS\system32\atioglxxb.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\WINDOWS\system32\atl71s.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\WINDOWS\system32\atls.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\WINDOWS\system32\avifil32b.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\WINDOWS\system32\batmeterv.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\WINDOWS\system32\bfc42v.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\WINDOWS\system32\browselca.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\Documents and Settings\HP_Propriétaire\Mes documents\divers\divers\The joiner.rar/prjbinder.exe -> Dropper.VB.br : Cleaned with backup (quarantined).

C:\Documents and Settings\HP_Propriétaire\Mes documents\divers\divers\The joiner.rar/stub -> Dropper.VB.br : Cleaned with backup (quarantined).

:mozilla.257:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).

:mozilla.258:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).

:mozilla.159:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

:mozilla.160:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

:mozilla.161:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

:mozilla.162:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

:mozilla.163:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

:mozilla.164:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

:mozilla.165:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

:mozilla.166:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

:mozilla.285:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

:mozilla.149:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Adbrite : Cleaned with backup (quarantined).

:mozilla.150:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Adbrite : Cleaned with backup (quarantined).

:mozilla.8:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Adtech : Cleaned with backup (quarantined).

:mozilla.9:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Adtech : Cleaned with backup (quarantined).

:mozilla.86:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).

:mozilla.87:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).

:mozilla.88:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).

:mozilla.89:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).

:mozilla.11:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Bluestreak : Cleaned with backup (quarantined).

:mozilla.264:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Clickbank : Cleaned with backup (quarantined).

:mozilla.172:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Com : Cleaned with backup (quarantined).

:mozilla.171:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned with backup (quarantined).

:mozilla.229:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Estat : Cleaned with backup (quarantined).

:mozilla.185:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Falkag : Cleaned with backup (quarantined).

:mozilla.186:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Falkag : Cleaned with backup (quarantined).

:mozilla.187:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Falkag : Cleaned with backup (quarantined).

:mozilla.210:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Hitbox : Cleaned with backup (quarantined).

:mozilla.211:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Hitbox : Cleaned with backup (quarantined).

:mozilla.212:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Hitbox : Cleaned with backup (quarantined).

:mozilla.188:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Mediaplex : Cleaned with backup (quarantined).

:mozilla.147:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Overture : Cleaned with backup (quarantined).

:mozilla.290:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Overture : Cleaned with backup (quarantined).

:mozilla.247:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Paycounter : Cleaned with backup (quarantined).

:mozilla.135:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Valueclick : Cleaned with backup (quarantined).

:mozilla.106:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).

:mozilla.107:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).

:mozilla.108:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).

:mozilla.94:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\hxa5zolt.default\cookies.txt -> TrackingCookie.Webtrendslive : Cleaned with backup (quarantined).

C:\!KillBox\wineak32.dll -> Trojan.Small : Cleaned with backup (quarantined).

C:\WINDOWS\system32\dmzuu.exe -> Trojan.Small.fb : Cleaned with backup (quarantined).

 

 

::Report end

 

 

 

 

 

_rapport hijackthis :

 

 

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 12:38:59, on 11/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

c:\Program Files\Norton Internet Security\ISSVC.exe

c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\IDMIECC.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [urlLSTCK.exe] c:\Program Files\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [iDMan] C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\KeyGen.exe /onboot

O4 - HKCU\..\Run: [shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Download All Links with IDM - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\IEExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - c:\Program Files\Norton Internet Security\ISSVC.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

 

 

 

_rapport chercher :

 

 

 

 

C:\WINDOWS\System32\x10prod.sys -->09/08/2006 16:39:02

C:\WINDOWS\System32\FNTCACHE.DAT -->09/08/2006 11:25:05

C:\WINDOWS\System32\wpa.dbl -->08/08/2006 16:02:43

C:\WINDOWS\System32\PerfStringBackup.INI -->04/08/2006 14:35:49

C:\WINDOWS\System32\perfh00C.dat -->04/08/2006 14:35:49

C:\WINDOWS\System32\perfh009.dat -->04/08/2006 14:35:49

C:\WINDOWS\System32\perfc00C.dat -->04/08/2006 14:35:49

C:\WINDOWS\System32\perfc009.dat -->04/08/2006 14:35:49

C:\WINDOWS\System32\amcompat.tlb -->03/08/2006 15:46:05

C:\WINDOWS\System32\nscompat.tlb -->03/08/2006 15:46:04

C:\WINDOWS\System32\MRT.exe -->03/08/2006 01:22:50

C:\WINDOWS\System32\mshtml.dll -->28/07/2006 11:28:08

C:\WINDOWS\System32\SpoonUninstall.exe -->27/07/2006 22:50:00

C:\WINDOWS\System32\inetcomm.dll -->27/07/2006 13:26:19

C:\WINDOWS\System32\urlmon.dll -->25/07/2006 20:41:01

C:\WINDOWS\System32\CmdLineExt.dll -->24/07/2006 15:47:05

C:\WINDOWS\System32\hlink.dll -->21/07/2006 08:27:28

C:\WINDOWS\System32\a6f5c64b.exe -->18/07/2006 01:09:41

C:\WINDOWS\System32\netapi32.dll -->14/07/2006 15:41:05

C:\WINDOWS\System32\hhctrl.ocx -->14/07/2006 15:27:53

C:\WINDOWS\System32\shell32.dll -->13/07/2006 13:36:01

C:\WINDOWS\System32\kernel32.dll -->05/07/2006 10:56:38

C:\WINDOWS\System32\rasadhlp.dll -->26/06/2006 17:41:32

C:\WINDOWS\System32\dnsapi.dll -->26/06/2006 17:41:32

C:\WINDOWS\System32\wininet.dll -->23/06/2006 11:11:45

 

C:\WINDOWS\WindowsUpdate.log -->11/08/2006 12:33:19

C:\WINDOWS\0.log -->11/08/2006 12:27:40

C:\WINDOWS\wiadebug.log -->11/08/2006 12:26:52

C:\WINDOWS\wiaservc.log -->11/08/2006 12:26:42

C:\WINDOWS\bootstat.dat -->11/08/2006 12:26:28

C:\WINDOWS\win.ini -->11/08/2006 11:43:41

C:\WINDOWS\system.ini -->11/08/2006 11:43:41

C:\WINDOWS\SchedLgU.Txt -->11/08/2006 01:29:20

C:\WINDOWS\ModemLog_Agere Systems PCI Soft Modem.txt -->10/08/2006 16:05:24

C:\WINDOWS\setupact.log -->10/08/2006 15:19:07

C:\WINDOWS\KeyGen.INI -->10/08/2006 14:43:47

C:\WINDOWS\tsoc.log -->10/08/2006 02:01:40

C:\WINDOWS\setupapi.log -->10/08/2006 02:01:40

C:\WINDOWS\ocmsn.log -->10/08/2006 02:01:40

C:\WINDOWS\ocgen.log -->10/08/2006 02:01:40

 

 

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est D091-B3B1

 

Répertoire de C:\WINDOWS\system

 

07/05/1998 16:04 52 736 hpsysdrv.exe

1 fichier(s) 52 736 octets

0 Rép(s) 40 837 910 528 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est D091-B3B1

 

Répertoire de C:\WINDOWS\system32

 

05/08/2004 18:00 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 40 837 910 528 octets libres

 

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est D091-B3B1

 

Répertoire de C:\Program Files

 

10/08/2006 21:45 <REP> .

10/08/2006 21:45 <REP> ..

09/08/2006 17:49 <REP> a-squared Free

20/01/2006 10:40 <REP> Adobe

08/07/2006 15:14 <REP> Alcohol Soft

03/01/2005 04:17 <REP> ATI Technologies

24/07/2006 18:38 <REP> CAPCOM

09/08/2006 14:48 <REP> Disco-WebTV

15/01/2006 23:46 <REP> Easy Internet signup

11/08/2006 12:30 <REP> eMule

11/08/2006 01:37 <REP> ewido anti-spyware 4.0

14/04/2006 11:50 778 ffdsasetts.reg

14/04/2006 11:50 30 654 ffdssetts.reg

14/04/2006 11:50 30 040 ffdsvsetts.reg

26/07/2006 13:01 <REP> Fichiers communs

03/01/2005 04:33 <REP> Hewlett-Packard

11/08/2006 12:38 <REP> HijackThis

21/12/2005 21:52 <REP> HP

04/01/2006 23:09 <REP> Internet Download Manager

10/08/2006 02:01 <REP> Internet Explorer

13/07/2006 23:34 <REP> Interplay

03/01/2005 04:34 <REP> InterVideo

12/02/2006 00:16 <REP> Jasc Software Inc

03/01/2005 04:10 <REP> Java

06/08/2006 23:06 <REP> Mega Bloc Notes

03/01/2005 04:14 <REP> Messenger

07/01/2006 14:17 <REP> microsoft frontpage

06/01/2006 11:29 <REP> Microsoft Office

06/01/2006 11:29 <REP> Microsoft Visual Studio

11/03/2006 12:18 <REP> mIRC

25/11/2004 03:27 <REP> Movie Maker

11/08/2006 12:30 <REP> Mozilla Firefox

14/04/2006 11:50 824 mpc5.reg

22/05/2006 13:50 <REP> MSN

25/11/2004 03:27 <REP> MSN Gaming Zone

04/07/2006 14:58 <REP> MSN Messenger

01/02/2005 07:54 <REP> NetMeeting

03/01/2005 04:51 <REP> Norton Internet Security

10/08/2006 01:40 <REP> Nouveau dossier

25/11/2004 03:27 <REP> Online Services

19/04/2006 03:00 <REP> Outlook Express

03/01/2005 04:47 <REP> PC-Doctor 5 for Windows

20/12/2005 20:58 <REP> SAGEM

14/04/2006 10:56 4 482 satsukidecodersettings.ini

17/12/2005 00:02 <REP> SEGA

03/01/2005 04:45 <REP> Services en ligne

10/08/2006 18:31 <REP> Shareaza

10/08/2006 15:20 <REP> SmitfraudFix

03/01/2005 04:33 <REP> Sonic

13/07/2006 16:14 <REP> Spybot - Search & Destroy

09/08/2006 17:47 <REP> SpywareBlaster

03/01/2005 04:50 <REP> Symantec

27/07/2006 15:35 <REP> ToniArts

13/06/2006 23:16 <REP> TrackMania Nations ESWC

01/04/2006 15:12 <REP> Twin USB Vibration Gamepad

01/04/2006 15:12 <REP> USB Vibration Joystick

23/01/2006 19:22 <REP> VGA USB Camera

03/07/2006 14:38 <REP> Vso

03/08/2006 15:37 <REP> Windows Media Player

01/02/2005 07:54 <REP> Windows NT

04/01/2006 23:09 <REP> WinRAR

25/11/2004 03:28 <REP> xerox

03/08/2006 15:24 <REP> XP Codec Pack

5 fichier(s) 66 778 octets

58 Rép(s) 40 837 906 432 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est D091-B3B1

 

Répertoire de C:\Program Files\fichiers communs

 

26/07/2006 13:01 <REP> .

26/07/2006 13:01 <REP> ..

26/07/2006 13:03 <REP> Adobe

03/08/2006 15:40 <REP> Ahead

02/01/2006 10:26 <REP> AOL

06/01/2006 11:29 <REP> Designer

03/01/2005 04:28 <REP> Hewlett-Packard

03/01/2005 04:26 <REP> HP

03/01/2005 04:37 <REP> InstallShield

04/01/2006 21:33 <REP> Jasc Software Inc

03/01/2005 04:10 <REP> Java

21/06/2006 12:43 <REP> Microsoft Shared

25/11/2004 03:26 <REP> MSSoap

03/01/2005 04:38 <REP> muvee Technologies

25/11/2004 03:26 <REP> ODBC

26/07/2006 13:02 <REP> Real

01/02/2005 07:54 <REP> Services

03/01/2005 04:32 <REP> Sonic Shared

25/11/2004 03:26 <REP> SpeechEngines

03/01/2005 04:32 <REP> SureThing Shared

11/08/2006 01:04 <REP> Symantec Shared

19/04/2006 03:00 <REP> System

03/01/2005 04:33 <REP> TiVo Shared

19/01/2006 19:13 <REP> Vbox

0 fichier(s) 0 octets

24 Rép(s) 40 837 906 432 octets libres

c:\Documents and Settings\HP_Propriétaire\loaded.exe

c:\Documents and Settings\HP_Propriétaire\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe

c:\Documents and Settings\HP_Propriétaire\Bureau\ATF-Cleaner.exe

c:\Documents and Settings\HP_Propriétaire\Bureau\ewido-setup_4.0.0.172c.exe

c:\Documents and Settings\HP_Propriétaire\Bureau\Fixwareout.exe

c:\Documents and Settings\HP_Propriétaire\Bureau\KillBox.exe

c:\Documents and Settings\HP_Propriétaire\Bureau\chercher\LFiles.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\a6f5c64b.exe

c:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Shareaza\Incomplete\PhotoShop CS 8.0 & ImageReady CS 8.0 Crack.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Tcpview.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\divers\divers\last\01tox extra pack[by prince418]\01tox extra pack.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\divers\divers\last\prnapp70\setup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Adobe Photoshop 7.0.1 Fr Crack.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Shareaza_2.1.0.0.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Ulead.Gif.Animator.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Compressed\Crack for all Adobe Tryout apps Photoshop CS 8.0, Pagemaker, Illustrator, Framemaker etc\AdobeGlobalCrack.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Compressed\D3DX9_dll_update\D3DX9_dll_update\Installer\DXSETUP.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Compressed\jtk361en\jtk361en\JoyToKey.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Compressed\ssspsx_0.0.26_windows\SSSPSX\SSSPSX.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\a2FreeSetup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Alcohol120_trial_1.9.5.4212.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\anonymity_4_proxy_anonymity_4_proxy_2.8_anglais_9904.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\ans305ev.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Authorware_Web_Player_Plugin.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\awmaw.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\blender-2.37a-windows.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\bobdown.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\ControlMKv0232.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\copytodvd3_setup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\daemon403-x86.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\directx_9c_redist.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\DiscoWebTV_20.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\DivXPlay.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\dMC-r11.5.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\dxwebsetup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\EClea2_0.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\eMule0.46c-Installer.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\fcp50setup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Firefox Setup 1.5.0.1.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\FRAPS274.EXE

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\GoogleEarthSetup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\GoogleEarthSetup_2.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\hauntedfree.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\hnecoufr.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\hnsofafr.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\install_flash_player.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Install_Messenger.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Install_MSN_Messenger.EXE

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Mame32b.106.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Mame32v.102_Binary.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\MediaInfo_0.7.1.2_GUI_Win32.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\MegaBlocNotes.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\mirc616.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\mp10setup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\MPSetup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\MWFREE.EXE

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\nospafr.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\nospafr_2.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\ps7_tryout_fra.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\psp900frtr.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\RealPlayer10-5GOLD_fr.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\regfreeze_fr.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Shareaza_2.2.1.0.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Shockwave_Installer_Slim.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Shockwave_Installer_Slim_2.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\spybotsd14.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\spywareblastersetup351.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\srvezm.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Ulead Gif Animator 5.0t.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Update.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\Wav2MP3Wizard_3.1GE_R281.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\wavsetup.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\WGAPluginInstall.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\WGAPluginInstall_2.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\winamp521_full.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\WINISO53.EXE

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\wrar351fr.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\ZCodec1009.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\Programs\ZCodec1009_2.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Mame32\Mame32.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\neorage\NeoRAGEx.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Psx\psx\ePSXe.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Psx\psx2\psxfin.exe

c:\Documents and Settings\HP_Propriétaire\Mes documents\Psx\psx2\utils\cdztool.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\HP_Propriétaire\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

 

Vérifications de quelques clefs

Recherche de clefs EGDACCESS

 

HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler

 

 

 

 

 

je constate deja que la barre d'outil trustin ne se colle plus aux fenêtres de mes dossiers et le dialer qui se declenchait toutes les 15 minutes ne montre pas le bout de son nez pour l'instant!

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut Nevo :P

 

Bien bossé !Il reste encore quelques fichiers à virer cependant =>

 

Assure toi d'avoir accès à tous les fichiers au préalable ,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

1) Peux tu stp faire analyser ce fichier pour en savoir plus =>

 

C:\WINDOWS\System32\a6f5c64b.exe

ou là =>

 

c:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\a6f5c64b.exe

 

A faire analyser ici =>

 

http://www.virustotal.com/flash/index_en.html

 

Lorsque tu cliques sur cette adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier a6f5c64b.exe que tu trouveras en allant dans le dossier C:\WINDOWS\System32 (si tu ne le trouve pas dans ce dossier cherche l'autre).

 

Tu cliques une fois sur le fichier a6f5c64b.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .Fais pareil pour les autres.

 

2) J'aimerai voir le contenu de ces fichiers si possible =>

 

C:\Program Files\ffdssetts.reg

C:\Program Files\ffdsvsetts.reg

 

Ne double clique pas dessus!! fais un clic droit dessus et choisis "Modifier" => le fichier va s'ouvrir , copie/colle ici le contenu stp; puis ferme les fichiers.

 

3) Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

 

4) Remarque je t'avais demandé de ne pas utiliser Emule durant toute la désinfection..as tu coché la ligne 04 comme demandé?Je vois qu'il y en a 2 à présent :P =>

O4 - HKCU\..\Run: [shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

Le pc, est une vitrine à cracks et keygens en tout genre: dis toi bien qu'un crack s'accompagne très très souvent d'un malware!!(virus ou spyware!)

Donc =>

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O4 - HKCU\..\Run: [iDMan] C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\KeyGen.exe /onboot

O4 - HKCU\..\Run: [shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

-Ferme tous les programmes et clique sur "Fix Checked"

 

@+ tard pour désinfecter le reste : c'est déjà beaucoup mieux :-P

Modifié par charles ingals

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...