Analyse HiJackThis / AdultFriendFinder

[Monies]

Salut les amis Zebulons,

 

Petit appel à la Communauté SVP. Depuis qqes jours, j'ai des pages internet intempestives qui s'ouvrent toutes seules (AdultFriendFinder, etc).

J'ai lancéATF Cleaner, JV16, Ewido, CCleaner. Le tout en démarrage sans échec et ... sans succès (Argh, il est 4H20 du matin ...)

Voici mon dernier HiJackThis. Y aurait-il une ame charitable pour décrypter mon log ?

 

Logfile of HijackThis v1.99.1

Scan saved at 03:51:38, on 18/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\Program Files\Gmer\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Ontrack\Internet Cleanup\icserv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\System32\STDSB.exe

C:\WINDOWS\TPPALDR.EXE

C:\WINDOWS\system32\AVWLPSTA.EXE

C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Logitech\SetPoint\kem.exe

C:\Program Files\NETGEAR\MA521 Configuration Utility\wlancfg5.exe

C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program Files\Symantec\LiveUpdate\AUpdate.exe

C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

C:\Program Files\Gmer\HijackThis.exe

C:\Program Files\Symantec\LiveUpdate\LuCallbackProxy.exe

C:\Program Files\Symantec\LiveUpdate\LuCallbackProxy.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Gmer\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [sTDSB] C:\WINDOWS\System32\STDSB.exe

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe

O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE

O4 - HKLM\..\Run: [AVWLPSTA.EXE] AVWLPSTA.EXE

O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Explorateur Windows.lnk = C:\WINDOWS\explorer.exe

O4 - Global Startup: Logitech SetPoint.lnk = ?

O4 - Global Startup: MA521 Configuration Utility.lnk = ?

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab

O16 - DPF: {33331111-1111-1111-1111-611111193423} -

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{64E26920-275B-42C8-A04E-647FBE20B795}: NameServer = 84.103.237.144 86.64.145.144

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\Gmer\ewido anti-spyware 4.0\guard.exe

O23 - Service: icservice - ONTRACK Data International, Inc. - C:\Program Files\Ontrack\Internet Cleanup\icserv.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

 

Merci Beaucoup d'avance !

[bibi26]

Bonjour,

 

Je vais commencer l'analyse après que tu ais fait l'étape suivante :

 

Télécharge Smitfraudfix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip. Décompresse la totalité de l'archive smitfraudfix.zip

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

 

Ouvre Smitfraudfix, appuie sur le chiffre "1" et sur la touche "entrer" de ton clavier pour créer un rapport des fichiers responsables de l'infection. Poste ce rapport dans ton prochain message.

[Monies]

Merci beaucoup à toi , Voici mon rapport SmitfraudFix :

 

SmitFraudFix v2.122

 

Rapport fait à 10:28:06.11, 18/11/2006

Executé à partir de C:\Program Files\Gmer\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Florian

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Florian\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Florian\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"CallBack Ware"="{8e29f930-135a-4568-3338-24cbc8cbbfc1}"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[bibi26]

Tu n’auras pas accès à internet pendant une partie des instructions. Copie-les dans un fichier.

 

Pour copier les informations tout en gardant la mise en forme, clique sur "Démarrer", "Tous les programmes", "Accessoires" et "WordPad". Copie-colle les instructions et sauvegarde le fichier en cliquant sur "Fichier" et "Enregistrer". Il ne te reste qu’à donner un nom au fichier et de cliquer sur " Enregistrer".

 

1-Deux antivirus ont été trouvés sur ton système : Antivir et Norton, il te faut en enlever un. À toi de choisir, mais je te conseillerai d'enlever Norton à la fin de sa licence et de garder Antivir. Avant de faire la suite des étapes, enlève un des deux antivirus, si tu dois redémarrer l'ordinateur, fait-le. Aussi, désinstalle ewido car une version plus récente existe.

 

 

2-Télécharge AVG Anti-Spyware (version plus récente d'ewido) qui est un excellent anti-spywares/anti-trojans qui permettra d'éliminer une partie de l'infection : http://download.ewido.net/ewido-setup.exe. Installe le logiciel en double-cliquant dessus et laisse toi guider par l'assistant. Après l'installation, si AVG Anti-Spyware ne c'est pas ouvert automatiquement, ouvre-le et clique sur "Mise à jour", décoche la case "Télécharger et installer les mises à jour automatiquement" et clique sur "Commencer la mise à jour". Attends que la mise à jour soit terminée et ferme AVG Anti-Spyware.

 

Pour finir, il te faut télécharger EasyCleaner : http://personal.inet.fi/business/toniarts/files/EClea2_0.exe , tu n'as qu'à double-cliquer sur l'exécutable et te laisser guider par l'assistant.

 

 

3-Redémarre ton ordinateur, dès que ton ordinateur redémarre, appuie plusieurs fois sur le bouton "F8" jusqu'à ce qu'un menu apparaisse, sélectionne "Mode sans échec" et appuie sur le bouton "entrer" de ton clavier pour continuer le démarrage de Windows. Choisis normalement ton utilisateur, il se peut qu'un message te demande si tu veux vraiment aller en mode sans échec, accepte. N'oublie pas, tu n'as pas accès à internet dans ce mode !!! Copie les instructions dans un fichier.

 

Clique sur le bouton "Démarrer" et clique sur "Poste de travail", regarde un peu en haut, tu vas voir un menu qui s'appelle "Outils", clique dessus, sur "Options des dossiers" et sur l'onglet "Affichage" :

Sélectionne : Afficher les fichiers et dossiers cachés

Décoche : Masquer les extensions des fichiers dont le type est connu

Décoche : Masquer les fichiers protégés du système d'exploitation

Puis clique sur "Ok"

 

 

4-Démarre hijackthis et clique sur "do a system scan only", coche les lignes suivantes (Il se peut que certaines lignes aillent disparues ou qu'un "(file missing)" ait été rajouté à côté de certaines lignes) :

 

O16 - DPF: {33331111-1111-1111-1111-611111193423} -

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

 

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll

 

Assure-toi que toutes tes autres fenêtres sont fermés et clique sur "Fix Checked". Ferme hijackthis.

 

 

5-Clique sur "Démarrer" et sur "Exécuter". Une boîte va apparaître, copie-colle (pour éviter les fautes de frappes) :

 

regsvr32 /u /s C:\WINDOWS\system32\vbsys2.dll

 

Clique sur "OK".

 

Supprime le fichier suivant (si tu le trouve) :

-C:\WINDOWS\system32\vbsys2.dll

 

 

6-Ouvre Smitfraudfix, appuie sur le chiffre "2" et sur la touche "entrer" de ton clavier pour supprimer les fichiers responsables de l'infection. A la question "Voulez-vous nettoyer le registre ?" répond "O" (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Smitfraudfix déterminera si le fichier "wininet.dll" est infecté. A la question "Corriger le fichier infecté ? " répond "O" (oui) pour remplacer le fichier corrompu. Un rapport va être fait, sauvegarde-le.

 

 

7-Ouvre AVG Anti-Spyware, clique sur "Analyse" et sur "Analyse complète du système". Après que l'analyse est terminée, clique sur "Action recommandée" et sur "Quarantaine". Clique sur "Appliquer toutes les actions", sur "Enregistrer le rapport" et sur "Enregistrer le rapport sous", sauvegarde le rapport AVG Anti-Spyware. Après, ferme AVG Anti-Spyware.

 

 

8-Ouvre EasyCleaner, clique sur le bouton "inutiles" et sur le bouton "trouver" et après, quand l'analyse est terminée, clique sur le bouton "Supprimer tout". Après, clique sur "Fermer". Fait de même avec la fonction "registre". Après, retourne sur ton bureau, clique-droit sur la corbeille et sélectionne "Vider la corbeille".

 

 

9-Redémarre ton ordinateur normalement (pas en mode sans échec), fait un nouveau rapport hijackthis et poste-le avec le rapport AVG Anti-Spyware.

Modifié le 19 novembre 2006 par bibi26

[Monies]

Merci Beaucoup Bibi26, j'ai l'impression - pour l'instant - que les fenêtres web intempestives ont disparu (et mon fond d'écran aussi, mais c'est un détail ...). MERCI ! MERCI ! MERCI ! Vous faites un boulot fabuleux les gars ! ! !

 

Voici les 2 rapports demandés :

 

Logfile of HijackThis v1.99.1

Scan saved at 01:18:53, on 19/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Gmer\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\Program Files\Ontrack\Internet Cleanup\icserv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\STDSB.exe

C:\WINDOWS\TPPALDR.EXE

C:\WINDOWS\system32\AVWLPSTA.EXE

C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\Program Files\Gmer\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Logitech\SetPoint\kem.exe

C:\Program Files\NETGEAR\MA521 Configuration Utility\wlancfg5.exe

C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Gmer\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Gmer\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [sTDSB] C:\WINDOWS\System32\STDSB.exe

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe

O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE

O4 - HKLM\..\Run: [AVWLPSTA.EXE] AVWLPSTA.EXE

O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Gmer\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Explorateur Windows.lnk = C:\WINDOWS\explorer.exe

O4 - Global Startup: Logitech SetPoint.lnk = ?

O4 - Global Startup: MA521 Configuration Utility.lnk = ?

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{64E26920-275B-42C8-A04E-647FBE20B795}: NameServer = 84.103.237.146 86.64.145.146

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Gmer\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: icservice - ONTRACK Data International, Inc. - C:\Program Files\Ontrack\Internet Cleanup\icserv.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

 

====================================================================

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 01:01:06 19/11/2006

 

+ Résultat de l'analyse:

 

 

 

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP29\A0040597.exe -> Downloader.Small.crd : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\Downloaded Program Files\USDR6V_0001_D18M3107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.l : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\Florian\Cookies\florian@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.

C:\Documents and Settings\Florian\Cookies\florian@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.

C:\Documents and Settings\Florian\Cookies\florian@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.

C:\Documents and Settings\Florian\Cookies\florian@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.

C:\Documents and Settings\Florian\Cookies\florian@estat[1].txt -> TrackingCookie.Estat : Nettoyé.

C:\Documents and Settings\Florian\Cookies\florian@questionmarket[2].txt -> TrackingCookie.Questionmarket : Nettoyé.

C:\Documents and Settings\Florian\Cookies\[email protected][2].txt -> TrackingCookie.Smartadserver : Nettoyé.

C:\Documents and Settings\Florian\Cookies\florian@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyé.

C:\Documents and Settings\Florian\Cookies\florian@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.

C:\Documents and Settings\Florian\Cookies\florian@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP29\A0028275.exe -> Trojan.LipGame.bg : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP29\A0040517.exe -> Trojan.LipGame.bg : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

[bibi26]

Il manque le rapport SmitFraudFix option 2 J'ai oublié de l'indiquer, désolé

Modifié le 19 novembre 2006 par bibi26

[Monies]

J'aurais du y penser ... le voilà :

 

SmitFraudFix v2.122

 

Rapport fait à 23:14:48.28, 18/11/2006

Executé à partir de C:\Program Files\Gmer\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"CallBack Ware"="{8e29f930-135a-4568-3338-24cbc8cbbfc1}"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

[bibi26]

Bonjour,

 

Ouvre ton bloc-note, copie-colle :

REGEDIT4

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{8e29f930-135a-4568-3338-24cbc8cbbfc1}]

Il ne doit pas y avoir d'espace avant "REGEDIT4". Sauvegarde le fichier comme suit :

-Fichier -> Enregistrer

-Nom du fichier : "Call.reg" (avec les guillemets)

-Type : Tous les fichiers

Clique sur "Enregistrer", exécute le fichier que tu as fait et supprime-le. Fait un rapport avec l'option 1 de SmitfraudFix. Tout devrait être propre maintenant

[Monies]

A en juger par le dernier rapport, ça m'a l'air plutôt clean Bibi ! ! !

Un immense merci encore pour tes conseils avisés. C'est canon !

Bravo et merci à tous ceux qui apportent leur expertise à ce site, vous faites vraiment un super boulot.

 

 

 

SmitFraudFix v2.122

 

Rapport fait à 16:16:41.70, 20/11/2006

Executé à partir de C:\Program Files\Gmer\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Florian

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Florian\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

[bibi26]

Le rapport n'est pas complet