Analyse Log Hijack This - Infection par Trojan

[SéNéK]

Salut à Vous.

 

J'ai connu un soucis du à un Trojan (Cf. ci-dessous), J'ai essayer de Nettoyer mon PC avec divers logiciels qui semblent n'avoir rien trouvé.

Par contre je ne reçoit plus ou peu d'Alerte concernant ce Trojan, ... Pourtant mon PC me semble extrement ralentit, sans raisons apparentes.

 

Infos sur le Trojan:

 

Lorsque "j'explore" mon PC (quand j'ouvre un Dossier) le Trojan lance IE et le fait capoter ( > message d'erreur), autre synptome: impossible d'utiliser IE, les pages ne se chargent pas ! (Firefox marche très bien !).

 

AVG Free, mon anti-virus à l'epoque, repère le trojan, l'efface, mais le problème se repète 10s plus tard.

File name: hdb.dll

File path:c:\docume~1\admini~1\locals~1\temp

Discovery: Trojan Horse Backdoor.Generic4.HOC

Healable: No

 

Healable: No > Cela veut-il dire que je dois prendre mon mal en patiente ?

 

Kaspersky, nouvel AV que j'ai DL pour tenter de contrer le problème, m'indique une connection "illicite" de IE par la "proactive defense" (qui cherche à bloquer les nouveau virus avant leurs examinations):

Key name: HKEY_USERS\S-1-5-21-606747145-854245398-725345543-500\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

Scan Hijack This N° 1

 

Logfile of HijackThis v1.99.1

Scan saved at 17:29:54, on 17/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\Kaspersky Antivirus\avp.exe

C:\Program Files\Microsoft LifeCam\MSCamSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Graph\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Dell Photo AIO Printer 924\dlccmon.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\vVX1000.exe

C:\Program Files\Kaspersky Antivirus\avp.exe

C:\WINDOWS\system32\dlcccoms.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Graph\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Post-it\PsnLite.exe

C:\PROGRA~1\Post-It\PSNGive.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mdm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Hijack This\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Graph\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: MSNToolBandBHO - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\msntb.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll > Introuvable dans la liste ! Dois-je le supprimer ?

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll > Idem.

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Graph\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Graph\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Graph\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DLCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16 > Pas dans la liste !

O4 - HKLM\..\Run: [dlccmon.exe] "C:\Program Files\Dell Photo AIO Printer 924\dlccmon.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe" > Pas dans la liste ! Mais ce pourrais etre un Software de ma Webcam (marque microsoft) ???

O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe > Pas dans la liste !

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Antivirus\avp.exe"

O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\" > ??

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Graph\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\Post-it\PsnLite.exe

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Antivirus\scieplugin.dll

O16 - DPF: {7606693A-C18D-4567-AF85-6194FF70761E} (GomWeb Control) - http://app.ipop.co.kr/gom/GomWeb.cab

O16 - DPF: {80A85E58-C059-4B9B-8C9A-816B36AD8D4E} (PicopotX Control) - http://www.picopot.com/PicopotX/cab_1,0,1,5/PicopotX.cab

O16 - DPF: {92D0D610-A6FA-48D8-94CB-BD47FDF68655} (Launcher Class) - http://app.ipop.co.kr/ipop/ipopx.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1EFF8631-97ED-4552-993B-632406C313F9}: NameServer = 192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{1EFF8631-97ED-4552-993B-632406C313F9}: NameServer = 192.168.1.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{1EFF8631-97ED-4552-993B-632406C313F9}: NameServer = 192.168.1.1

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Graph\Adobe\Adobe Version Cue\service\VersionCue.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Antivirus\avp.exe" -r (file missing)

O23 - Service: dlcc_device - Unknown owner - C:\WINDOWS\system32\dlcccoms.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe > Comment connaitre la Salubritée des 2 Derniers ??

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Ci dessus en Rouge les "Lignes" dont je n'ai pas trouvé de renseignements dans les diverses Base de Données.

Que faut-il faire ?

 

 

Autres Analyses:

 

En regardant les réponses sur d'autre topic aux Problème similaires, j'ai effectué des Analyses avec ces derniers Logiciels:

 

SmitFraudFix v2.132

 

Rapport fait à 23:51:17,03, 17/01/2007

Executé à partir de C:\Program Files\Anti-Virus Divers !\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]- Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Voilà, J'éspère que quelqu'un pourrat me renseigner, Je vous en remercie d'avance !

Modifié le 19 janvier 2007 par SéNéK

[Malekal_morte]

Bonjour,

 

 

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml

- Clic en bas sur "I accept"

- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.

- Lance-le en double-cliquant sur le fichier blbeta.exe

- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.

- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe

- Ouvre fsbl-bxxxx.log et copie/colle le contenu ici, pour cela :

- Menu Edition / copier

- ici dans un nouveau message : clic droit / coller

Aide : Tu peux consulter le tutorial de F-Secure BlackLight

[SéNéK]

Salut Malekal Morte.

 

Merci pour la Réponse rapide !

 

Je n'avais pas vu les instructions pour la procédure préliminiaire (PréNettoyage d'un PC), Je suis en train de l'effectuer.

(Pourquoi lors du DL de Hijack This, ce dernier se trouve ici: C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\hijackthis-1.zip, au lieu d'être sur le Bureau comme mes autres Téléchargements ?)

 

 

En attendant, voici le rapport de F-Secure en Attendant:

01/19/07 17:14:32 [info]: BlackLight Engine 1.0.55 initialized

01/19/07 17:14:32 [info]: OS: 5.1 build 2600 (Service Pack 2)

01/19/07 17:14:33 [Note]: 7019 4

01/19/07 17:14:33 [Note]: 7005 0

01/19/07 17:14:36 [Note]: 7006 0

01/19/07 17:14:36 [Note]: 7011 1876

01/19/07 17:14:37 [Note]: 7026 0

01/19/07 17:14:37 [Note]: 7026 0

01/19/07 17:14:52 [Note]: FSRAW library version 1.7.1021

01/19/07 17:25:05 [Note]: 2000 1012

01/19/07 17:26:44 [Note]: 7007 0

 

Dois garder/supprimer F-Secure suite à ce Scan ?

Puis-je le Déplacer dans le dossier Program Files ?

Modifié le 19 janvier 2007 par SéNéK

[Malekal_morte]

Voici la manipulation à effectuer en entier

Merci de bien vouloir :

- Lire attentivement les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.

- Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

- A l'issu de la procédure, merci de bien copier/coller TOUS les rapports demandés.

- N'hésitez pas à consulter les liens d'aides, ils sont là pour vous guider !

 

 

Sur HiJackThis, refais un scan et coches les lignes suivantes :

 

O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\"

 

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HiJackThis

 

- Télécharge et installe AVG Anti-Spyware - Tutorial : http://www.malekal.com/tutorial_AVG_AntiSpyware.html

- Mets le à jour à partir du menu Mise à jour en haut

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

Télécharger AboutBuster.zip de RubbeR DuckY depuis http://www.malwarebytes.org/AboutBuster.zip

ou http://www.besttechie.net/tools/AboutBuster.zip

Décompresser l'archive dans un dossier spécifique, par exemple C:\Program Files\aboutbuster

 

Aide : Tutorial AboutBuster

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

 

 

Faire un double clic sur AboutBuster.exe (dans le dossier C:\Program Files\aboutbuster) pour lancer le programme.

Cliquer sur le bouton "Begin removal"

Un message ("Shut down Internet Explorer") annonce que toutes les fenêtres d'Internet Explorer vont être fermées. Clic sur "Yes".

Un scan est exécuté (attendre quelques instants).

Un message ("Scan completed") annonce que le balayage est terminé. Clic sur "OK".

Clic sur le bouton "Exit".

Un message ("Logfile created") annonce qu'un fichier journal a été créé dans le dossier d'AboutBuster (C:\Program Files\aboutbuster). Clic sur "OK".

 

Tu peux aller consulter le Tutorial AboutBuster pour toutes aides.

 

Note:

Si l'utilitaire ne fonctionne pas et indique que le fichier COMCTL32.OCX est manquant,

*- Le télécharger ici (clic droit sur le lien ci-dessous):

http://www.malwarebytes.org/libraries/COMCTL32.OCX

*- Placer le fichier ainsi téléchargé dans le dossier système:

XP---->C:\Windows\System32

2k---->C:\Winnt\System32

9x et ME---->C:\Windows\System

*- Enregistrer le fichier:

Démarrer---->Exécuter, taper

XP---->regsvr32 \windows\system32\comctl32.ocx

2k---->regsvr32 \winnt\system32\comctl32.ocx

9x et ME---->regsvr32 \windows\system\comctl32.ocx

 

Aide : Tutorial AboutBuster

 

 

Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.

Double-clic sur clean. Cela va ouvrir une fenêtre noire.

Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.

Clean va travailler.

Un rapport Va etre généré, colle le contenu entier ici.

 

- Ouvre AVG Anti-Spyware et clic sur l'onglet Analyse, puis le sous-onglet Paramètres

- Sélectionne dans Comment Réagir ? Quarantine. (voir l'aide l'aide AVG Anti-Spyware)

- Reviens au sous-onglet Analyser puis clique sur Analyse complète du système.

---> Le scan démarre.

 

A la fin clique sur Appliquer toutes les actions, les éléments doivent alors être déplacés en quarantaine.

Puis clique sur Enregistrer le rapport d'analyse et enregistre le rapport sur le Bureau.

 

 

Aide : N'hésite pas à consulter l'Aide AVG Anti-Spyware pour tout problème.

 

 

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

 

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- AVG Anti-Spyware

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HiJackThis

[SéNéK]

Sur HiJackThis, refais un scan et coches les lignes suivantes :

 

O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\"

 

---> puis clic sur le bouton "Fix Checked"

 

Ok, Effectué !

 

- Ouvre AVG Anti-Spyware et clic sur l'onglet Analyse, puis le sous-onglet Paramètres

- Sélectionne dans Comment Réagir ? Quarantine. (voir l'aide l'aide AVG Anti-Spyware)

- Reviens au sous-onglet Analyser puis clique sur Analyse complète du système.

---> Le scan démarre.

 

A la fin clique sur Appliquer toutes les actions, les éléments doivent alors être déplacés en quarantaine.

Puis clique sur Enregistrer le rapport d'analyse et enregistre le rapport sur le Bureau.

 

Note: Lors du premier Scan avec AVG Anti-Spyware, 120 Eléments ont était Detecté, mais la procédure n'a pas aboutit à cause d'un blocage de AVG Anti-Spyware, Il n'y a donc pas de Rapport concernant ce 1er Scan, vous trouverez ici le 2nd Scan, où il semble que les 120 Eléments précédent ont était supprimé.

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 13:14:06 21/01/2007

 

+ Résultat de l'analyse:

 

 

 

C:\System Volume Information\_restore{C9E6CC10-D34A-4FB4-B9E3-F4A2C33D75DA}\RP1\A0000465.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

 

Note: Impossible d'Utiliser IE, ce dernier semble déclencher le Trojan (Alertes de mon AV) et aucune page n'est chargée.

 

AboutBuster 6.05

Scan started on [20/01/2007]at [19:26:21]

-------------------------------------------------------------

Internet Explorer Instances Terminated!

HomeSearch Service stopped if present

-------------------------------------------------------------

No Ads Found!

-------------------------------------------------------------

No Files Found!

-------------------------------------------------------------

Scan was COMPLETED SUCCESSFULLY at 19:28:48

 

Script execute en mode sans echec

Rapport clean par Malekal_morte - http://www.malekal.com

Option 2, executee le 20/01/2007 a 19:29:48,09

 

Microsoft Windows XP [version 5.1.2600]*** Suppression de fichiers sur C:

 

*** Suppression des fichiers dans C:\WINDOWS\

 

*** Suppression des fichiers dans C:\WINDOWS\system32

 

 

*** Suppression des clefs du registre effectuee..

*** Fin du rapport !

 

Logfile of HijackThis v1.99.1

Scan saved at 13:53:06, on 21/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Graph\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Dell Photo AIO Printer 924\dlccmon.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\vVX1000.exe

C:\Program Files\Kaspersky Antivirus\avp.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Graph\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Kaspersky Antivirus\avp.exe

C:\Program Files\Post-it\PsnLite.exe

C:\Program Files\Microsoft LifeCam\MSCamSvc.exe

C:\PROGRA~1\Post-It\PSNGive.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\dlcccoms.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\Hijack This\HijackThis.exe

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Graph\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: MSNToolBandBHO - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\msntb.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Graph\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Graph\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [HotKeysCmds]C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Graph\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [dlccmon.exe] "C:\Program Files\Dell Photo AIO Printer 924\dlccmon.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"

O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Antivirus\avp.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Graph\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\Post-it\PsnLite.exe

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Antivirus\scieplugin.dll

O16 - DPF: {7606693A-C18D-4567-AF85-6194FF70761E} (GomWeb Control) - http://app.ipop.co.kr/gom/GomWeb.cab

O16 - DPF: {80A85E58-C059-4B9B-8C9A-816B36AD8D4E} (PicopotX Control) - http://www.picopot.com/PicopotX/cab_1,0,1,5/PicopotX.cab

O16 - DPF: {92D0D610-A6FA-48D8-94CB-BD47FDF68655} (Launcher Class) - http://app.ipop.co.kr/ipop/ipopx.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1EFF8631-97ED-4552-993B-632406C313F9}: NameServer = 192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{1EFF8631-97ED-4552-993B-632406C313F9}: NameServer = 192.168.1.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{1EFF8631-97ED-4552-993B-632406C313F9}: NameServer = 192.168.1.1

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Graph\Adobe\Adobe Version Cue\service\VersionCue.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Antivirus\avp.exe" -r (file missing)

O23 - Service: dlcc_device - Unknown owner - C:\WINDOWS\system32\dlcccoms.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Malekal_morte]

A mon avis ta machine est propre.

 

 

- Fais un scan avec panda en désactivant ton antivirus pendant le scan!

(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)

- Copie/colle le rapport panda ici