Rapport Hijackthis

Vels6 · le 16 août 2006

Bonjour , je subi des attaques depuis maintenant 2 semaines et g pleins de fenetres de type spydoctor ou winantiviruspro2006 que je n'arrive pas a eradiquer malgré spybot et surtout il ne s'ecoule plus une seule journée sans que kaspersky me trouve ou me bloque des trojans ! alors svp aidez moi ! Voici mon rapport Hijackthis que jai fais tout en restant connecté à internet...Merci d'avance à tous ceux qui pourront m'aider !

Logfile of HijackThis v1.99.1

Scan saved at 23:41:59, on 16/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Fichiers communs\{54DE9AC5-078B-1036-0721-040119050021}\Update.exe

C:\WINDOWS\system32\PPPATC~1\svchost.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0F60FE1E-E974-481E-A45A-4C81E19EAB00} - C:\WINDOWS\system32\pmnnk.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\Safety Bar.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [OPSE reminder] "C:\Program Files\ScanSoft\OmniPageSE2.0\EregFre\Ereg.exe" -r "C:\Program Files\ScanSoft\OmniPageSE2.0\EregFre\ereg.ini"

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [Oiaa] "C:\WINDOWS\system32\PPPATC~1\svchost.exe" -vt ndrv

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...29YYFR_ZZzer000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by101fd.bay101.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{9F81408E-E240-4A89-BC63-3B65FF2DF572}: NameServer = 80.118.192.100 80.118.196.36

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: pmnnk - C:\WINDOWS\system32\pmnnk.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: winpdc32 - winpdc32.dll (file missing)

O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Merci !

Thanos · le 16 août 2006

salut et bienvenue sur le forum

Le pc est infecté par Vundo entre autres !

Etape 1

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

Double-clique VundoFix.exe afin de le lancer.
Coche Run VundoFix as a task.
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
Redémarre le pc et Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

Etape 2

Télécharge SmitfraudFix de S!Ri ici:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd

Dans le menu, sélectionne 1

Poste le rapport ici.

@+

Modifié le 16 août 2006 par charles ingals

Vels6 · le 17 août 2006

Avant toutes choses merci pour ta réponse rapide et tes explications claires

Voici donc le rapport vudofix :

VundoFix V6.0.0

Checking Java version...

Java version is 1.5.0.6

Scan started at 01:54:56 17/08/2006

Listing files found while scanning....

C:\windows\system32\urqnomk.dll

Beginning removal...

Attempting to delete C:\windows\system32\urqnomk.dll

C:\windows\system32\urqnomk.dll Has been deleted!

Performing Repairs to the registry.

Done!

Puis le rapport Smitfraud :

SmitFraudFix v2.81

Rapport fait à 2:30:12,21, 17/08/2006

Executé à partir de C:\PROGRA~1\Wanadoo\Utilisateur1\smit\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Alexandre\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ALEXAN~1\Favoris

C:\DOCUME~1\ALEXAN~1\Favoris\Antivirus Test Online.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="http://sbx.pagesjaunes.fr/RealMedia/ads/Creatives/20041200478061BMN0001/20041200478061BMN0001_C3.gif"'>http://sbx.pagesjaunes.fr/RealMedia/ads/Creatives/20041200478061BMN0001/20041200478061BMN0001_C3.gif"

"SubscribedURL"="http://sbx.pagesjaunes.fr/RealMedia/ads/Creatives/20041200478061BMN0001/20041200478061BMN0001_C3.gif"

"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

En sachant qu'au redemarrage apres vundo j'ai eu le droit à un checkdisk avec quelques reparations faite par l'ordi tout seul !

Merci encore et à plus tard

Thanos · le 17 août 2006

ok ! vundo semble eradiqué, continue comme ceci =>

1) Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/en/download/

Installe la et mets à jour.

Démarre Ewido avec l'icône qui se trouve sur ton Bureau.

Clique sur Update Now,

attend la fin de cette mise à jour,

puis ferme le programme.

Télécharge ATF Cleaner by Atribune sur ton bureau.

http://www.atribune.org/ccount/click.php?id=1

2) Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

3) Relance SmitfraudFix.cmd

Dans le menu, sélectionne 2

4) Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

5) Relance Ewido et clique sur Scanner

Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

6) Poste le nouveau rapport smitfraudfix (option 2) puis un nouveau log HijackThis ainsi que le rapport d'Ewido stp.

A ceci, stp ajoute un rapport fait comme ceci =>

- Télécharge chercher.zip sur ton bureau

Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
Un nouveau dossier chercher va être créé
Ouvre le et double-clic sur chercher.cmd
Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande
Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
A nouveau menu Edition / copier
Dans un nouveau message ici, faire un clic droit / coller

après ca on attaque la suite

Modifié le 17 août 2006 par charles ingals

Vels6 · le 18 août 2006

Bonsoir ! j'espère que tu vas bien !

alors voilà j'ai respecté les procédures et voci donc les rapports

chercher.cmd en mode normal

C:\WINDOWS\System32\wpa.dbl -->18/08/2006 02:32:39

C:\WINDOWS\System32\jupdate-1.5.0_06-b05.log -->16/08/2006 23:27:25

C:\WINDOWS\System32\mapisvc.inf -->15/08/2006 23:44:27

C:\WINDOWS\System32\perfh00C.dat -->15/08/2006 23:44:20

C:\WINDOWS\System32\perfh009.dat -->15/08/2006 23:44:20

C:\WINDOWS\System32\perfc00C.dat -->15/08/2006 23:44:20

C:\WINDOWS\System32\perfc009.dat -->15/08/2006 23:44:20

C:\WINDOWS\System32\PerfStringBackup.INI -->15/08/2006 23:44:19

C:\WINDOWS\System32\knnmp.ini2 -->04/08/2006 20:53:55

C:\WINDOWS\System32\knnmp.bak2 -->04/08/2006 19:26:11

C:\WINDOWS\System32\mcrh.tmp -->03/08/2006 21:31:28

C:\WINDOWS\System32\knnmp.ini -->03/08/2006 19:53:19

C:\WINDOWS\System32\knnmp.tmp -->03/08/2006 15:40:50

C:\WINDOWS\System32\knnmp.bak1 -->03/08/2006 15:33:15

C:\WINDOWS\System32\MRT.exe -->03/08/2006 03:22:50

C:\WINDOWS\System32\mshtml.dll -->28/07/2006 13:28:08

C:\WINDOWS\System32\xactengine2_3.dll -->28/07/2006 09:30:32

C:\WINDOWS\System32\xinput1_2.dll -->28/07/2006 09:30:14

C:\WINDOWS\System32\inetcomm.dll -->27/07/2006 15:26:19

C:\WINDOWS\System32\wrap_oal.dll -->26/07/2006 15:31:13

C:\WINDOWS\System32\OpenAL32.dll -->26/07/2006 15:31:13

C:\WINDOWS\System32\urlmon.dll -->25/07/2006 22:41:01

C:\WINDOWS\System32\d3d9caps.dat -->24/07/2006 20:52:32

C:\WINDOWS\System32\hlink.dll -->21/07/2006 10:27:28

C:\WINDOWS\System32\netapi32.dll -->14/07/2006 17:41:05

C:\WINDOWS\0.log -->18/08/2006 02:31:48

C:\WINDOWS\ModemLog_Smart Link 56K Voice Modem.txt -->18/08/2006 02:31:44

C:\WINDOWS\WindowsUpdate.log -->18/08/2006 02:31:31

C:\WINDOWS\wiadebug.log -->18/08/2006 02:31:31

C:\WINDOWS\wiaservc.log -->18/08/2006 02:31:24

C:\WINDOWS\bootstat.dat -->18/08/2006 02:29:54

C:\WINDOWS\win.ini -->18/08/2006 02:28:55

C:\WINDOWS\system.ini -->18/08/2006 02:28:55

C:\WINDOWS\setupact.log -->18/08/2006 02:21:52

C:\WINDOWS\SchedLgU.Txt -->17/08/2006 23:40:06

C:\WINDOWS\setupapi.log -->17/08/2006 01:45:15

C:\WINDOWS\ATIWDM.LOG -->17/08/2006 01:38:21

C:\WINDOWS\WININIT.INI -->17/08/2006 01:00:44

C:\WINDOWS\DirectX.log -->17/08/2006 00:54:07

C:\WINDOWS\FaxSetup.log -->15/08/2006 23:44:27

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 54DE-9AC5

Répertoire de C:\WINDOWS\system

17/02/2004 11:51 1 458 176 SmWizard.exe

1 fichier(s) 1 458 176 octets

0 Rép(s) 36 603 654 144 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 54DE-9AC5

Répertoire de C:\WINDOWS\system32

20/08/2004 01:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 36 603 654 144 octets libres

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 54DE-9AC5

Répertoire de C:\WINDOWS\Downloaded Program Files

17/08/2006 23:46 <REP> .

17/08/2006 23:46 <REP> ..

21/09/2005 00:32 180 560 AxisCamControl.ocx

13/07/2004 12:30 65 desktop.ini

14/10/1997 18:52 697 DirectAnimation Java Classes.osd

08/08/2006 15:53 226 driveragent.inf

08/08/2006 15:46 421 376 driveragent.ocx

14/07/2005 18:28 365 f3initialsetup1.0.0.15.inf

16/08/2006 23:10 113 408 HMAtchmt.ocx

02/08/2005 16:48 495 LegitCheckControl.inf

20/01/2000 15:25 1 162 Microsoft XML Parser for Java.osd

31/05/2002 10:20 117 328 purfr-fr.dll

15/10/2004 07:59 110 592 PURfr-xx.dll

24/07/2006 23:55 23 600 tvichw32.sys

12 fichier(s) 969 874 octets

Total des fichiers listés :

12 fichier(s) 969 874 octets

2 Rép(s) 36 603 654 144 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 54DE-9AC5

Répertoire de C:\Program Files

18/08/2006 02:32 <REP> .

18/08/2006 02:32 <REP> ..

07/08/2005 00:41 <REP> a2

19/02/2006 16:14 <REP> Adobe

07/08/2005 00:29 <REP> AIDA32 - Enterprise System Information

23/11/2005 12:27 <REP> Alcohol Soft

14/08/2005 13:55 443 alexandre_bedeau-flt1utraffic1.key

27/07/2006 20:06 <REP> ArcSoft

22/09/2005 23:48 <REP> ATC Radar Screen v5

17/08/2006 01:10 <REP> ATI Technologies

08/09/2005 01:16 <REP> Bevelstone Production

26/11/2005 11:24 <REP> BoontyGames

18/07/2004 18:22 <REP> C-Media

27/07/2006 20:11 <REP> Canon

24/07/2006 23:10 <REP> CCleaner

28/05/2006 13:16 <REP> CDDC-ECalc

22/07/2005 13:55 <REP> CleanUp!

16/08/2006 23:18 <REP> Common Files

13/07/2004 12:29 <REP> ComPlus Applications

01/08/2006 12:41 <REP> CyberLink

31/01/2005 16:47 <REP> DFX

13/12/2005 16:03 <REP> DivX

24/07/2006 20:33 <REP> Driver Cleaner

11/06/2006 15:42 <REP> Drivers Headquarters

31/12/2004 16:22 <REP> Electronic Arts

22/03/2006 19:11 <REP> eMule

17/08/2006 23:49 <REP> ewido anti-spyware 4.0

25/03/2005 22:34 <REP> fdjeux

16/08/2006 23:25 <REP> Fichiers communs

25/03/2006 16:39 <REP> FileZilla

09/09/2005 01:49 4 774 918 FileZilla.zip

08/10/2005 02:49 <REP> FSFDT

24/09/2003 07:45 364 544 FSHostSpy11.exe

26/07/2006 15:29 <REP> Futuremark

14/08/2006 11:22 <REP> Google

28/05/2006 13:02 <REP> HardwareDetection

13/07/2004 14:49 <REP> HighMAT CD Writing Wizard

16/08/2006 23:39 <REP> Hijackthis Version Française

08/08/2004 18:56 <REP> Icons

14/03/2005 10:43 <REP> ICQLite

26/11/2005 11:23 <REP> IKEA Home Planner Kitchen

09/08/2006 22:55 <REP> Internet Explorer

29/05/2006 20:51 <REP> iPod

17/07/2005 13:21 <REP> IrfanView

29/05/2006 20:51 <REP> iTunes

16/08/2006 23:27 <REP> Java

17/07/2006 11:56 <REP> Kaspersky Lab

24/07/2006 23:57 <REP> Lavalys

23/12/2005 00:40 <REP> Lead Pursuit

28/08/2004 10:09 <REP> LotusSAP

20/09/2005 23:32 <REP> Manuel Database Creator v1.0

23/08/2004 23:16 <REP> Maxis

07/08/2006 22:05 <REP> Microsoft Baseline Security Analyzer 2

13/07/2004 12:31 <REP> microsoft frontpage

20/08/2005 03:08 <REP> Microsoft Games

23/08/2004 18:16 <REP> Microsoft Hardware

22/04/2005 04:18 <REP> Movie Maker

13/07/2004 12:28 <REP> MSN

20/04/2005 23:25 <REP> MSN Apps

26/11/2005 11:23 <REP> MSN Gaming Zone

17/07/2006 17:00 <REP> MSN Messenger

14/02/2005 21:20 <REP> MultiRes

01/08/2006 12:42 <REP> MUSICMATCH

21/05/2005 20:46 <REP> Namtuk

27/11/2004 12:00 <REP> NetMeeting

02/09/2005 13:09 <REP> Now3D

08/12/2004 10:46 13 104 312 nvcforwindows.exe

16/04/2006 00:31 <REP> Outlook Express

08/06/2006 14:10 <REP> ppl

14/04/2006 09:59 <REP> Project AI

29/05/2006 20:53 <REP> QuickTime

05/11/2004 22:34 <REP> QuickZip

28/05/2006 13:23 <REP> Radeon Omega Drivers

02/11/2004 23:15 <REP> Real

27/07/2006 20:08 <REP> ScanSoft

13/07/2004 12:30 <REP> Services en ligne

04/08/2006 21:31 <REP> Spybot - Search & Destroy

05/01/2006 23:43 <REP> Teamspeak2_RC2

23/08/2005 12:10 <REP> TomTom Go-AK8SQ AAETN

26/11/2005 11:23 <REP> TuneUp Utilities 2004

11/10/2004 22:29 <REP> Ubisoft

14/08/2005 13:40 223 095 825 UltimateTraffic.exe

23/07/2005 16:42 <REP> VIA

03/11/2004 14:02 <REP> Viewpoint

11/08/2005 01:08 <REP> Wanadoo

25/07/2006 00:27 <REP> WaterMelon

13/07/2004 14:53 <REP> Windows Journal Viewer

27/04/2006 11:10 <REP> Windows Media Connect

27/04/2006 11:10 <REP> Windows Media Connect 2

19/02/2006 01:27 <REP> Windows Media Player

27/11/2004 12:00 <REP> Windows NT

23/12/2005 00:33 <REP> WinRAR

13/07/2004 12:31 <REP> xerox

31/05/2005 14:45 <REP> YAFSScreen

5 fichier(s) 241 340 042 octets

89 Rép(s) 36 603 641 856 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 54DE-9AC5

Répertoire de C:\Program Files\fichiers communs

16/08/2006 23:25 <REP> .

16/08/2006 23:25 <REP> ..

02/12/2005 10:35 <REP> Adobe

03/11/2004 14:02 <REP> aolshare

06/09/2005 21:48 <REP> InstallShield

16/08/2006 23:25 <REP> Java

13/07/2004 14:53 <REP> Microsoft Shared

13/07/2004 12:29 <REP> MSSoap

06/04/2005 00:17 <REP> NSV

13/07/2004 13:25 <REP> ODBC

08/05/2006 22:28 <REP> Real

27/07/2006 21:28 <REP> ScanSoft Shared

13/07/2004 12:29 <REP> Services

17/07/2005 13:37 <REP> Softwin

13/07/2004 13:25 <REP> SpeechEngines

16/04/2006 00:31 <REP> System

24/07/2006 23:31 <REP> Teleca Shared

18/11/2005 21:41 <REP> Wise Installation Wizard

08/05/2006 22:28 <REP> xing shared

03/08/2006 14:59 <REP> {54DE9AC5-078B-1036-0721-040119050021}

0 fichier(s) 0 octets

20 Rép(s) 36 603 645 952 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 54DE-9AC5

Répertoire de C:\Program Files\common files

16/08/2006 23:18 <REP> .

16/08/2006 23:18 <REP> ..

06/04/2005 00:17 <REP> Nullsoft

16/08/2006 23:18 <REP> SKS~1

04/08/2004 17:51 <REP> System

0 fichier(s) 0 octets

5 Rép(s) 36 603 645 952 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 54DE-9AC5

Répertoire de C:\

27/12/2005 20:02 1 716 617 Ramp Start Trainer.exe

1 fichier(s) 1 716 617 octets

0 Rép(s) 36 603 645 952 octets libres

c:\Documents and Settings\Alexandre\Application Data\Microsoft\Installer\{1EC65D1D-3911-4F7D-8B6A-63C69EDBFC6E}\_20e36a9a.exe

c:\Documents and Settings\Alexandre\Application Data\Microsoft\Installer\{1EC65D1D-3911-4F7D-8B6A-63C69EDBFC6E}\_5a9f4086.exe

c:\Documents and Settings\Alexandre\Bureau\AFCAD.exe

c:\Documents and Settings\Alexandre\Bureau\TrafficLook.exe

c:\Documents and Settings\Estel\Local Settings\Temporary Internet Files\Content.IE5\U574143M\eco_dora1[1].exe

c:\Documents and Settings\Estel\Local Settings\Temporary Internet Files\Content.IE5\U574143M\eco_dora2[1].exe

c:\Documents and Settings\Alexandre\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases\avcmhk4.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\USMT\iconlib.dll

Vérifications de quelques clefs

Recherche de clefs EGDACCESS

HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler

nouveau rapport smitfraudix option en mode sans echec

SmitFraudFix v2.81

Rapport fait à 2:21:42,96, 18/08/2006

Executé à partir de C:\PROGRA~1\Wanadoo\Utilisateur1\smit\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

le rapport ewido en mode sans echec

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

+ Created at: 02:17:50 18/08/2006

+ Scan result:

HKU\S-1-5-21-1740806130-3832907039-3117313221-1007\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{052B12F7-86FA-4921-8482-26C42316B522} -> Adware.Generic : Cleaned with backup (quarantined).

C:\VundoFix Backups\urqnomk.dll -> Adware.Virtumonde : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@247realmedia[1].txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@redcats.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@sfr.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

C:\Documents and Settings\Hugo\Cookies\hugo@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

C:\Documents and Settings\Olivia\Cookies\olivia@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@adtech[2].txt -> TrackingCookie.Adtech : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@advertising[1].txt -> TrackingCookie.Advertising : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@atdmt[1].txt -> TrackingCookie.Atdmt : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@bluestreak[2].txt -> TrackingCookie.Bluestreak : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@casalemedia[1].txt -> TrackingCookie.Casalemedia : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@estat[1].txt -> TrackingCookie.Estat : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@as1.falkag[1].txt -> TrackingCookie.Falkag : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@fastclick[2].txt -> TrackingCookie.Fastclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@media.fastclick[1].txt -> TrackingCookie.Fastclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@ehg-hasbro.hitbox[2].txt -> TrackingCookie.Hitbox : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@ehg-warnerbrothers.hitbox[1].txt -> TrackingCookie.Hitbox : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@serving-sys[2].txt -> TrackingCookie.Serving-sys : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@adopt.specificclick[2].txt -> TrackingCookie.Specificclick : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@starware[2].txt -> TrackingCookie.Starware : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@weborama[1].txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Cleaned with backup (quarantined).

C:\Documents and Settings\Estel\Cookies\estel@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Cleaned with backup (quarantined).

::Report end

nouveau rapport Hijack this en mode normal

Logfile of HijackThis v1.99.1

Scan saved at 02:49:09, on 18/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\Program Files\Fichiers communs\{54DE9AC5-078B-1036-0721-040119050021}\Update.exe

C:\WINDOWS\system32\PPPATC~1\svchost.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Internet Explorer\iexplore.exe