Infection Worm_agent.KCX

[Cezboy]

Scanner Malware name

AntiVir BDS/Cakl.D backdoor

ArcaVir X

Avast Win32:Delf-BQR

AVG Antivirus X

BitDefender MemScan:Backdoor.Cakl.B

ClamAV X

Dr.Web X

F-Prot Antivirus X

F-Secure Anti-Virus Backdoor.Win32.Cakl.b

Fortinet X

Kaspersky Anti-Virus Backdoor.Win32.Cakl.b

NOD32 a variant of Win32/HideProc

Norman Virus Control X

Panda Antivirus X

VirusBuster Packed/MoleBox

VBA32 Embedded.Backdoor.Win32.Cakl.a

 

Status:

POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)

[bruce lee]

re,

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

Je te conseille d'enregistrer la page web compléte sous Internet Explorer comme ceci :

 

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau,comme cela tu retrouvera la mise en forme ou imprime cette réponse. Une partie de la désinfection se déroulera en mode sans échec.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.

 

 

2/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

3/

Démarrer/panneau de configuration/ajout et suppression de programmes et vérifie la présence de:

 

SoftToolbar

 

Si ce programme est présent désinstalle-le.

 

 

4/fais:

demarer executer services.msc repere 1FA013DE

 

Double clic dessus :dans le champs Statut du service met le sur arrêté

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

 

 

5/lance hijackthis en cliquant sur do a scan system only et coche ces lignes:

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao123.union123.com/index.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao123.union123.com/index.htm

O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Fichiers communs\CPUSH\cpush.dll

O2 - BHO: (no name) - {74D5B78A-88D3-53B3-4F98-F4A57934BA9F} - C:\WINDOWS\inf\mshtmll.dll

O2 - BHO: XTTBPos00 - {BBBE1C1A-89F7-4AF6-ABD1-2B2EF2D7A73B} - C:\PROGRA~1\SOFTTO~1\soft.dll

O3 - Toolbar: sofa - {B7D3E479-CC68-42B5-A338-C6B1F168274C} - C:\Program Files\SoftToolbar\soft.dll

O4 - HKLM\..\Run: [sdafdsafds] D;]XJOEPXT]ufnq]273/fyf

O4 - HKCU\..\Run: [mssys32] C:\WINDOWS\inf\mssys.exe

O4 - HKCU\..\Run: [mshtmll] regsvr32 /s C:\WINDOWS\inf\mshtmll.dll

O4 - HKCU\..\Run: [mssys] C:\WINDOWS\inf\mssys.exe

Toutes les lignes 018 sauf les drois dernieres

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

6/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

 

Décocher la case : Masquer les extensions des fichiers dont le type est connu

 

Décocher la case : Masquer les fichiers protégés du système d'exploitation

 

cliquer sur "Appliquer"

 

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

7/Supprime ce qui est en gras:

 

C:\Program Files\Fichiers communs\ CPUSH<== tout le dossier

C:\Program Files\ SoftToolbar<== tout le dossier

C:\WINDOWS\inf\ mshtmll.dll<== le fichier

C:\WINDOWS\inf\ mssys.exe<== le fichier

 

 

8/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

9/Déroule la liste des instructions ci-dessous :

• En mode sans échec, fais un clic droit sur le fichier SDFix.zip et choisis extraire tout,
  
• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le script.
  
• Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
  

N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

 

10/Poste le rapport d'AVG Anti spyware 7.5

 

Bon courage, et si tu as la moindre question n'hésite surtout pas

 

@+

[Cezboy]

Bonjour,

Voici les rapports

*************************************************

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 20:31:22 06/03/2007

 

+ Résultat de l'analyse:

 

 

 

C:\Documents and Settings\Ordi Famille\Bureau\backups\backup-20070306-074145-253.dll -> Adware.BHO : Aucune action entreprise.

C:\Documents and Settings\Ordi Famille\Bureau\backups\backup-20070306-135617-757.dll -> Adware.BHO : Aucune action entreprise.

C:\Documents and Settings\Ordi Famille\Bureau\backups\backup-20070306-190128-486.dll -> Adware.BHO : Aucune action entreprise.

C:\WINDOWS\system32\setup111.exe -> Adware.Cdnup : Aucune action entreprise.

C:\WINDOWS\system32\drivers\acpidisk.sys -> Adware.Cinmus : Aucune action entreprise.

C:\Documents and Settings\Ordi Famille\Bureau\backups\backup-20070306-074121-901.dll -> Adware.Softomate : Aucune action entreprise.

C:\Documents and Settings\Ordi Famille\Bureau\backups\backup-20070306-135617-156.dll -> Adware.Softomate : Aucune action entreprise.

C:\WINDOWS\system32\1FA013DE.DLL -> Backdoor.Agent.ahj : Aucune action entreprise.

C:\WINDOWS\system32\1FA013DE.EXE -> Backdoor.Agent.ahj : Aucune action entreprise.

C:\WINDOWS\system32\1FA013DET.EXE -> Backdoor.Agent.ahj : Aucune action entreprise.

C:\WINDOWS\system32\zy0002.exe -> Downloader.Agent.bid : Aucune action entreprise.

D:\EDpbw.exe -> Worm.Agent.t : Aucune action entreprise.

E:\EDpbw.exe -> Worm.Agent.t : Aucune action entreprise.

 

 

Fin du rapport

 

***************************************************************************************

 

SDFix: Version 1.69

 

Run by Ordi Famille - 06/03/2007 - 18:42:48,59

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\Documents and Settings\Ordi Famille\Bureau\SDFix

 

Safe Mode:

Checking Services:

 

 

 

 

 

Restoring Windows Registry Entries

Restoring Default Hosts File

 

 

Rebooting...

 

Normal Mode:

Checking Files:

 

Below files will be copied to Backups folder then removed:

 

C:\WINDOWS\Temp\1.exe - Deleted

 

 

 

ADS Check:

 

C:\WINDOWS\system32

No streams found.

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Disabled:Logitech Desktop Messenger"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

"C:\\WINDOWS\\temp\\162.exe"="C:\\WINDOWS\\temp\\162.exe:*:Enabled:162.exe"

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

 

Remaining Files:

---------------

 

Backups Folder: - C:\DOCUME~1\ORDIFA~1\Bureau\SDFix\backups\backups.zip

 

Checking For Files with Hidden Attributes :

 

C:\WINDOWS\f0vd12yigmug2.dll

C:\WINDOWS\EDpbw.exe

C:\WINDOWS\100.exe

C:\Program Files\Messenger\msmsgs.exe

 

Add/Remove Programs List:

 

Ad-Aware SE Professional

ATI - Software Uninstall Utility

ATI Display Driver

avast! Antivirus

AVG Anti-Spyware 7.5

CCleaner (remove only)

AdPush Software

Creative Mass Storage Drivers

EPSON Logiciel imprimante

EPSON Logiciel imprimante

Hewlett-Packard Extended Keyboard

HijackThis 1.99.1

NEC-Mitsubishi NaViSet

K!TV

Kaspersky On-line Scanner

Kaspersky Online Scanner

Mozilla Firefox (2.0.0.2)

Mozilla Thunderbird (1.5.0.10)

Creative Mass Storage Drivers

NVIDIA Drivers

Panda ActiveScan

Programme de gestion Camera de Logitech©

Rainlendar (remove only)

Shockwave

Adobe Flash Player 9 ActiveX

Spybot - Search & Destroy 1.4

Creative System Information

Themexp.org File

VideoLAN VLC media player 0.8.4a

Winamp (remove only)

Archiveur WinRAR

Ziepod 0.99.8

Zion++ Vert 2.16

ATI HYDRAVISION

Livebox

Creative MediaSource

J2SE Runtime Environment 5.0 Update 11

Nero 7 Ultra Edition

HP Precisionscan Pro 3.1

NEC-Mitsubishi NaViSet

Logitech Desktop Messenger

Adobe Reader 8 - Fran‡ais

Creative Zen Nano Plus

Logitech Audio Echo Cancellation Component

Microsoft .NET Framework 1.1

ATI Catalyst Control Center

OpenOffice.org 2.1

Logitech Video Enumerator

Logitech QuickCam

Windows Live Messenger

Realtek AC'97 Audio

ÒæàÇÓ¥ÓöûÏóáÞä

 

Finished

********************************************************************************************

Logfile of HijackThis v1.99.1

Scan saved at 20:33:58, on 06/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Ordi Famille\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [sdafdsafds] D;]XJOEPXT]ufnq]273/fyf

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\RunOnce: [zodbuz54] %systemroot%\system32\Rundll32.exe %systemroot%\system32\zodbuz54.dll,DllUnregisterServer

O4 - HKLM\..\RunOnce: [xbjjor04] %systemroot%\system32\Rundll32.exe %systemroot%\system32\xbjjor04.dll,DllUnregisterServer

O4 - HKLM\..\RunOnce: [wvmizx55] %systemroot%\system32\Rundll32.exe %systemroot%\system32\wvmizx55.dll,DllUnregisterServer

O4 - HKLM\..\RunOnce: [epdotu77] %systemroot%\system32\Rundll32.exe %systemroot%\system32\epdotu77.dll,DllUnregisterServer

O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E638575D-BAE0-4F04-8E99-B8A05836CA3C}: NameServer = 192.168.1.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: offline-8876480 - {7EB594B5-7A72-4CAB-AFBD-ECB7A63B1AA2} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: jsefusf - Unknown owner - C:\WINDOWS\system32\jsefusf.exe (file missing)

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe

[bruce lee]

Re,

 

Réexecute AVG Anti Spyware en mode sans echec en suivant bien les indications et en particulier ceci:

 

Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Redemarre en mode normal puis poste le rapport.

 

lances hijackthis et tu vas dans:

 

Open Misc Tools Section

 

Assure toi que les deux cases de droite sont bien cochées:

 

* List all minor sections(Full)

* List Empty Sections(Complete)

 

Clique sur Generate StartupList Log

 

Click sur "oui" lorsque l'on te le demande.

 

Cela va générer un rapport, tu me le copies dans son integralité.

[Cezboy]

StartupList report, 06/03/2007, 21:30:00

StartupList version: 1.52.2

Started from : C:\Documents and Settings\Ordi Famille\Bureau\HijackThis.EXE

Detected: Windows XP SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)

* Using default options

* Including empty and uninteresting sections

* Showing rarely important sections

==================================================

 

Running processes:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Program Files\Rainlendar\Rainlendar.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Ordi Famille\Bureau\HijackThis.exe

 

--------------------------------------------------

 

Listing of startup folders:

 

Shell folders Startup:

[C:\Documents and Settings\Ordi Famille\Menu Démarrer\Programmes\Démarrage]

Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe

 

Shell folders AltStartup:

*Folder not found*

 

User shell folders Startup:

*Folder not found*

 

User shell folders AltStartup:

*Folder not found*

 

Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]

EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

 

Shell folders Common AltStartup:

*Folder not found*

 

User shell folders Common Startup:

*Folder not found*

 

User shell folders Alternate Common Startup:

*Folder not found*

 

--------------------------------------------------

 

Checking Windows NT UserInit:

 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

 

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

*Registry value not found*

 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 

SoundMan = SOUNDMAN.EXE

avast! = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe

SunJavaUpdateSched = "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

sdafdsafds = D;]XJOEPXT]ufnq]273/fyf

!AVG Anti-Spyware = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

 

*No values found*

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

 

*No values found*

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

 

*No values found*

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

 

*No values found*

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

 

Creative Detector = C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R

LDM = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} = "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

 

*No values found*

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

 

*No values found*

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

 

*No values found*

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

 

*No values found*

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

 

*Registry key not found*

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

 

*Registry key not found*

 

--------------------------------------------------

 

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

*No subkeys found*

 

--------------------------------------------------

 

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*

 

--------------------------------------------------

 

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No subkeys found*

 

--------------------------------------------------

 

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*No subkeys found*

 

--------------------------------------------------

 

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*No subkeys found*

 

--------------------------------------------------

 

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

*No subkeys found*

 

--------------------------------------------------

 

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*

 

--------------------------------------------------

 

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No subkeys found*

 

--------------------------------------------------

 

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*No subkeys found*

 

--------------------------------------------------

 

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*No subkeys found*

 

--------------------------------------------------

 

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

 

--------------------------------------------------

 

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

 

--------------------------------------------------

 

File association entry for .EXE:

HKEY_CLASSES_ROOT\exefile\shell\open\command

 

(Default) = "%1" %*

 

--------------------------------------------------

 

File association entry for .COM:

HKEY_CLASSES_ROOT\comfile\shell\open\command

 

(Default) = "%1" %*

 

--------------------------------------------------

 

File association entry for .BAT:

HKEY_CLASSES_ROOT\batfile\shell\open\command

 

(Default) = "%1" %*

 

--------------------------------------------------

 

File association entry for .PIF:

HKEY_CLASSES_ROOT\piffile\shell\open\command

 

(Default) = "%1" %*

 

--------------------------------------------------

 

File association entry for .SCR:

HKEY_CLASSES_ROOT\scrfile\shell\open\command

 

(Default) = "%1" /S

 

--------------------------------------------------

 

File association entry for .HTA:

HKEY_CLASSES_ROOT\htafile\shell\open\command

 

(Default) = C:\WINDOWS\system32\mshta.exe "%1" %*

 

--------------------------------------------------

 

File association entry for .TXT:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

 

(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1

 

--------------------------------------------------

 

Enumerating Active Setup stub paths:

HKLM\Software\Microsoft\Active Setup\Installed Components

(* = disabled by HKCU twin)

 

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]

StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

 

[>{26923b43-4d38-484f-9b9e-de460746276c}] *

StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

 

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *

StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

 

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *

StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

 

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *

StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

 

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *

StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

 

[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *

StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

 

[{5945c046-1e7d-11d1-bc44-00c04fd912be}] *

StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

 

[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *

StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub

 

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *

StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

 

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *

StubPath = regsvr32.exe /s /n /i:U shell32.dll

 

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *

StubPath = %SystemRoot%\system32\ie4uinit.exe

 

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *

StubPath = C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

 

--------------------------------------------------

 

Enumerating ICQ Agent Autostart apps:

HKCU\Software\Mirabilis\ICQ\Agent\Apps

 

*Registry key not found*

 

--------------------------------------------------

 

Load/Run keys from C:\WINDOWS\WIN.INI:

 

load=*INI section not found*

run=*INI section not found*

 

Load/Run keys from Registry:

 

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\Windows: load=

HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

 

--------------------------------------------------

 

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

 

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

 

Shell & screensaver key from Registry:

 

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

 

Policies Shell key:

 

HKCU\..\Policies: Shell=*Registry value not found*

HKLM\..\Policies: Shell=*Registry value not found*

 

--------------------------------------------------

 

Checking for EXPLORER.EXE instances:

 

C:\WINDOWS\Explorer.exe: PRESENT!

 

C:\Explorer.exe: not present

C:\WINDOWS\Explorer\Explorer.exe: not present

C:\WINDOWS\System\Explorer.exe: not present

C:\WINDOWS\System32\Explorer.exe: not present

C:\WINDOWS\Command\Explorer.exe: not present

C:\WINDOWS\Fonts\Explorer.exe: not present

 

--------------------------------------------------

 

Checking for superhidden extensions:

 

.lnk: HIDDEN! (arrow overlay: yes)

.pif: HIDDEN! (arrow overlay: yes)

.exe: not hidden

.com: not hidden

.bat: not hidden

.hta: not hidden

.scr: not hidden

.shs: HIDDEN!

.shb: HIDDEN!

.vbs: not hidden

.vbe: not hidden

.wsh: not hidden

.scf: HIDDEN! (arrow overlay: NO!)

.url: HIDDEN! (arrow overlay: yes)

.js: not hidden

.jse: not hidden

 

--------------------------------------------------

 

Verifying REGEDIT.EXE integrity:

 

- Regedit.exe found in C:\WINDOWS

- .reg open command is normal (regedit.exe %1)

- Regedit.exe has no CompanyName property! It is either missing or named something else.

- Regedit.exe has no OriginalFilename property! It is either missing or named something else.

- Regedit.exe has no FileDescription property! It is either missing or named something else.

 

Registry check failed!

 

--------------------------------------------------

 

Enumerating Browser Helper Objects:

 

(no name) - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

(no name) - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

 

--------------------------------------------------

 

Enumerating Task Scheduler jobs:

 

*No jobs found*

 

--------------------------------------------------

 

Enumerating Download Program Files:

 

[CKAVWebScan Object]

InProcServer32 = C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll

CODEBASE = http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

 

[bDSCANONLINE Control]

InProcServer32 = C:\WINDOWS\DOWNLO~1\oscan8.ocx

CODEBASE = http://download.bitdefender.com/resources/scan8/oscan8.cab

 

[Java Plug-in 1.5.0_11]

InProcServer32 = C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

CODEBASE = http://java.sun.com/update/1.5.0/jinstall-...indows-i586.cab

 

[ActiveScan Installer Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\asinst.dll

CODEBASE = http://acs.pandasoftware.com/activescan/as5free/asinst.cab

 

[Java Plug-in 1.5.0_11]

InProcServer32 = C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

CODEBASE = http://java.sun.com/update/1.5.0/jinstall-...indows-i586.cab

 

[Java Plug-in 1.5.0_11]

InProcServer32 = C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

CODEBASE = http://java.sun.com/update/1.5.0/jinstall-...indows-i586.cab

 

[shockwave Flash Object]

InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx

CODEBASE = http://fpdownload.macromedia.com/get/flash...ent/swflash.cab

 

--------------------------------------------------

 

Enumerating Winsock LSP files:

 

NameSpace #1: C:\WINDOWS\System32\mswsock.dll

NameSpace #2: C:\WINDOWS\System32\winrnr.dll

NameSpace #3: C:\WINDOWS\System32\mswsock.dll

Protocol #1: C:\WINDOWS\system32\mswsock.dll

Protocol #2: C:\WINDOWS\system32\mswsock.dll

Protocol #3: C:\WINDOWS\system32\mswsock.dll

Protocol #4: C:\WINDOWS\system32\rsvpsp.dll

Protocol #5: C:\WINDOWS\system32\rsvpsp.dll

Protocol #6: C:\WINDOWS\system32\mswsock.dll

Protocol #7: C:\WINDOWS\system32\mswsock.dll

Protocol #8: C:\WINDOWS\system32\mswsock.dll

Protocol #9: C:\WINDOWS\system32\mswsock.dll

Protocol #10: C:\WINDOWS\system32\mswsock.dll

Protocol #11: C:\WINDOWS\system32\mswsock.dll

Protocol #12: C:\WINDOWS\system32\mswsock.dll

Protocol #13: C:\WINDOWS\system32\mswsock.dll

Protocol #14: C:\WINDOWS\system32\mswsock.dll

Protocol #15: C:\WINDOWS\system32\mswsock.dll

 

--------------------------------------------------

 

Enumerating Windows NT/2000/XP services

 

1FA013DE: C:\WINDOWS\system32\1FA013DE.EXE -service (disabled)

Pilote ACPI Microsoft: system32\DRIVERS\ACPI.sys (system)

acpidisk: \??\C:\WINDOWS\system32\drivers\acpidisk.sys (autostart)

Suppresseur d'écho acoustique (Noyau Microsoft): system32\drivers\aec.sys (manual start)

AFD: \SystemRoot\System32\drivers\afd.sys (system)

Service for WDM 3D Audio Driver: system32\drivers\ALCXSENS.SYS (manual start)

Service for Realtek AC97 Audio (WDM): system32\drivers\ALCXWDM.SYS (manual start)

Avertissement: %SystemRoot%\system32\svchost.exe -k LocalService (disabled)

Service de la passerelle de la couche Application: %SystemRoot%\System32\alg.exe (manual start)

Pilote de processeur AMD K7: system32\DRIVERS\amdk7.sys (system)

Gestion d'applications: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Protocole client ARP 1394: system32\DRIVERS\arp1394.sys (manual start)

ASP.NET State Service: %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (manual start)

avast! iAVS4 Control Service: "C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe" (autostart)

Pilote de média asynchrone RAS: system32\DRIVERS\asyncmac.sys (manual start)

Contrôleur de disque dur IDE/ESDI standard: system32\DRIVERS\atapi.sys (system)

Ati HotKey Poller: %SystemRoot%\system32\Ati2evxx.exe (autostart)

ATI Smart: C:\WINDOWS\system32\ati2sgag.exe (autostart)

ati2mtag: system32\DRIVERS\ati2mtag.sys (manual start)

Protocole client ATM ARP: system32\DRIVERS\atmarpc.sys (manual start)

Audio Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Pilote audio Stub: system32\DRIVERS\audstub.sys (manual start)

avast! Antivirus: "C:\Program Files\Alwil Software\Avast4\ashServ.exe" (autostart)

avast! Mail Scanner: "C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (manual start)

avast! Web Scanner: "C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (manual start)

AVG Anti-Spyware Driver: \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys (system)

AVG Anti-Spyware Guard: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (autostart)

AVG Anti-Spyware Clean Driver: System32\DRIVERS\AvgAsCln.sys (system)

Service de transfert intelligent en arrière-plan: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Explorateur d'ordinateur: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Décodeur sous-titre fermé: system32\DRIVERS\CCDECODE.sys (manual start)

Pilote de CD-ROM: system32\DRIVERS\cdrom.sys (system)

Service d'indexation: %SystemRoot%\system32\cisvc.exe (manual start)

Gestionnaire de l'Album: %SystemRoot%\system32\clipsrv.exe (disabled)

Application système COM+: C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)

Creative Service for CDROM Access: C:\WINDOWS\system32\CTsvcCDA.EXE (autostart)

Services de cryptographie: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Lanceur de processus serveur DCOM: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)

Client DHCP: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Pilote de disque: system32\DRIVERS\disk.sys (system)

Service d'administration du Gestionnaire de disque logique: %SystemRoot%\System32\dmadmin.exe /com (manual start)

dmboot: System32\drivers\dmboot.sys (disabled)

Pilote de Gestionnaire de disque logique: System32\drivers\dmio.sys (system)

dmload: System32\drivers\dmload.sys (system)

Gestionnaire de disque logique: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Synthétiseur DLS du noyau Microsoft: system32\drivers\DMusic.sys (manual start)

Client DNS: %SystemRoot%\system32\svchost.exe -k NetworkService (autostart)

Filtre de décodeur DRM (Noyau Microsoft): system32\drivers\drmkaud.sys (manual start)

DSDrv4: \??\C:\PROGRA~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys (manual start)

dtscsi: \SystemRoot\System32\Drivers\dtscsi.sys (manual start)

epdotu77: System32\DRIVERS\epdotu77.sys (system)

EPSON Printer Status Agent2: C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe (autostart)

Journal des événements: %SystemRoot%\system32\services.exe (autostart)

Système d'événements de COM+: C:\WINDOWS\system32\svchost.exe -k netsvcs (manual start)

Compatibilité avec le Changement rapide d'utilisateur: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Pilote de contrôleur de lecteur de disquettes: system32\DRIVERS\fdc.sys (manual start)

fkwld: system32\drivers\fkwld.sys (system)

Pilote de lecteur de disquettes: system32\DRIVERS\flpydisk.sys (manual start)

FltMgr: system32\DRIVERS\fltMgr.sys (system)

Pilote du Gestionnaire de volume: system32\DRIVERS\ftdisk.sys (system)

GMSIPCI: \??\G:\INSTALL\GMSIPCI.SYS (manual start)

Classificateur de paquets générique: system32\DRIVERS\msgpc.sys (manual start)

Hauppauge WinTV 848/9 WDM Video Driver: system32\DRIVERS\HCWBT8XX.sys (autostart)

Aide et support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Accès du périphérique d'interface utilisateur: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)

HP Extended Keyboard: system32\DRIVERS\hpmmkbd.sys (manual start)

HTTP: System32\Drivers\HTTP.sys (manual start)

HTTP SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start)

Pilote pour clavier i8042 et souris sur port PS/2: system32\DRIVERS\i8042prt.sys (system)

Pilote de filtre de gravure CD: system32\DRIVERS\imapi.sys (system)

Service COM de gravage de CD IMAPI: C:\WINDOWS\system32\imapi.exe (manual start)

InCD File System: system32\drivers\InCDFs.sys (disabled)

InCDPass: system32\drivers\InCDPass.sys (system)

InCD Reader: system32\drivers\InCDRm.sys (system)

Pilote du pare-feu Windows IPv6: system32\DRIVERS\Ip6Fw.sys (manual start)

Pilote de filtre de trafic IP: system32\DRIVERS\ipfltdrv.sys (manual start)

Pilote de tunnelage IP dans IP: system32\DRIVERS\ipinip.sys (manual start)

Traducteur d'adresses réseau IP: system32\DRIVERS\ipnat.sys (manual start)

Pilote IPSEC: system32\DRIVERS\ipsec.sys (system)

Service énumérateur IR: system32\DRIVERS\irenum.sys (manual start)

Pilote de bus Plug-and-Play ISA/EISA: system32\DRIVERS\isapnp.sys (system)

jsefusf: C:\WINDOWS\system32\jsefusf.exe -service (autostart)

Pilote de la classe Clavier: system32\DRIVERS\kbdclass.sys (system)

Mélangeur audio Wave de noyau Microsoft: system32\drivers\kmixer.sys (manual start)

Serveur: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Station de travail: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Assistance TCP/IP NetBIOS: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)

Logitech AEC Driver: system32\DRIVERS\LVcKap.sys (manual start)

Logitech Machine Vision Engine Loader: system32\DRIVERS\LVMVDrv.sys (manual start)

Logitech LVPr2Mon Driver: system32\drivers\LVPr2Mon.sys (manual start)

Logitech Process Monitor: c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe (autostart)

LVSrvLauncher: C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe (autostart)

Logitech USB Monitor Filter: system32\drivers\lvusbsta.sys (manual start)

Affichage des messages: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Partage de Bureau à distance NetMeeting: C:\WINDOWS\system32\mnmsrvc.exe (manual start)

Pilote de la classe Souris: system32\DRIVERS\mouclass.sys (system)

Redirecteur client WebDav: system32\DRIVERS\mrxdav.sys (manual start)

MRXSMB: system32\DRIVERS\mrxsmb.sys (system)

Distributed Transaction Coordinator: C:\WINDOWS\system32\msdtc.exe (manual start)

Windows Installer: C:\WINDOWS\system32\msiexec.exe /V (manual start)

Proxy de service de répartition Microsoft: system32\drivers\MSKSSRV.sys (manual start)

Proxy d'horloge de répartition Microsoft: system32\drivers\MSPCLOCK.sys (manual start)

Proxy de gestion de qualité de répartition Microsoft: system32\drivers\MSPQM.sys (manual start)

Pilote BIOS de gestion de systèmes Microsoft: system32\DRIVERS\mssmbios.sys (manual start)

Convertisseur en T/site-à-site de répartition Microsoft: system32\drivers\MSTEE.sys (manual start)

Codec NABTS/FEC VBI: system32\DRIVERS\NABTSFEC.sys (manual start)

Connection TV/vidéo Microsoft: system32\DRIVERS\NdisIP.sys (manual start)

Pilote TAPI NDIS d'accès distant: system32\DRIVERS\ndistapi.sys (manual start)

NDIS mode utilisateur E/S Protocole: system32\DRIVERS\ndisuio.sys (manual start)

Pilote réseau étendu NDIS d'accès distant: system32\DRIVERS\ndiswan.sys (manual start)

Interface NetBIOS: system32\DRIVERS\netbios.sys (system)

NetBIOS sur TCP/IP: system32\DRIVERS\netbt.sys (system)

DDE réseau: %SystemRoot%\system32\netdde.exe (disabled)

DSDM DDE réseau: %SystemRoot%\system32\netdde.exe (disabled)

Ouverture de session réseau: %SystemRoot%\system32\lsass.exe (manual start)

Connexions réseau: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Pilote réseau 1394: system32\DRIVERS\nic1394.sys (manual start)

NLA (Network Location Awareness): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Fournisseur de la prise en charge de sécurité LM NT: %SystemRoot%\system32\lsass.exe (manual start)

Stockage amovible: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

nvatabus: system32\DRIVERS\nvatabus.sys (system)

NVIDIA nForce Networking Controller Driver: system32\DRIVERS\NVENETFD.sys (manual start)

NVIDIA Network Bus Enumerator: system32\DRIVERS\nvnetbus.sys (manual start)

NVIDIA nForce AGP Bus Filter: system32\DRIVERS\nv_agp.sys (system)

Pilote de filtre de trafic IPX: system32\DRIVERS\nwlnkflt.sys (manual start)

Pilote de transfert de trafic IPX: system32\DRIVERS\nwlnkfwd.sys (manual start)

Contrôleur hôte compatible IEE 1394 VIA OHCI: system32\DRIVERS\ohci1394.sys (system)

Pilote de port parallèle: system32\DRIVERS\parport.sys (manual start)

PCI Bus Driver: system32\DRIVERS\pci.sys (system)

PCIIde: system32\DRIVERS\pciide.sys (system)

Volume Adapter: system32\DRIVERS\lv302af.sys (manual start)

Logitech QuickCam IM(PID_08A0): system32\DRIVERS\LV302AV.SYS (manual start)

Plug-and-Play: %SystemRoot%\system32\services.exe (autostart)

Services IPSEC: %SystemRoot%\system32\lsass.exe (autostart)

Miniport réseau étendu (PPTP): system32\DRIVERS\raspptp.sys (manual start)

Emplacement protégé: %SystemRoot%\system32\lsass.exe (autostart)

Planificateur de paquets QoS: system32\DRIVERS\psched.sys (manual start)

Pilote de liaison parallèle directe: system32\DRIVERS\ptilink.sys (manual start)

PxHelp20: System32\Drivers\PxHelp20.sys (system)

Pilote de connexion automatique d'accès distant: system32\DRIVERS\rasacd.sys (system)

Gestionnaire de connexion automatique d'accès distant: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Miniport réseau étendu (L2TP): system32\DRIVERS\rasl2tp.sys (manual start)

Gestionnaire de connexions d'accès distant: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Pilote PPPOE d'accès à distance: system32\DRIVERS\raspppoe.sys (manual start)

Parallèle direct: system32\DRIVERS\raspti.sys (manual start)

Rdbss: system32\DRIVERS\rdbss.sys (system)

RDPCDD: System32\DRIVERS\RDPCDD.sys (system)

Pilote de redirecteur de périphérique Terminal Server: system32\DRIVERS\rdpdr.sys (manual start)

Gestionnaire de session d'aide sur le Bureau à distance: C:\WINDOWS\system32\sessmgr.exe (manual start)

Pilote de filtre de lecture digitale de CD audio: system32\DRIVERS\redbook.sys (system)

Routage et accès distant: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled)

Accès à distance au Registre: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)

Localisateur d'appels de procédure distante (RPC): %SystemRoot%\system32\locator.exe (manual start)

Appel de procédure distante (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)

QoS RSVP: %SystemRoot%\system32\rsvp.exe (manual start)

Gestionnaire de comptes de sécurité: %SystemRoot%\system32\lsass.exe (autostart)

Carte à puce: %SystemRoot%\System32\SCardSvr.exe (manual start)

Planificateur de tâches: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Secdrv: system32\DRIVERS\secdrv.sys (manual start)

Connexion secondaire: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Notification d'événement système: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Pilote de filtre Serenum: system32\DRIVERS\serenum.sys (manual start)

Pilote de port série: system32\DRIVERS\serial.sys (system)

Pare-feu Windows / Partage de connexion Internet: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Détection matériel noyau: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Détrameur décalage BDA: system32\DRIVERS\SLIP.sys (manual start)

Pilote de filtrage Sony USB (SONYPVU1): system32\DRIVERS\SONYPVU1.SYS (manual start)

Splitter audio du noyau Microsoft: system32\drivers\splitter.sys (manual start)

Spouleur d'impression: %SystemRoot%\system32\spoolsv.exe (autostart)

sptd: System32\Drivers\sptd.sys (system)

Pilote de filtre de restauration système: \SystemRoot\system32\DRIVERS\sr.sys (disabled)

Service de restauration système: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Srv: system32\DRIVERS\srv.sys (manual start)

Service de découvertes SSDP: %SystemRoot%\system32\svchost.exe -k LocalService (manual start)

Acquisition d'image Windows (WIA): %SystemRoot%\system32\svchost.exe -k imgsvc (autostart)

BDA IPSink: system32\DRIVERS\StreamIP.sys (manual start)

Pilote de bus logiciel: system32\DRIVERS\swenum.sys (manual start)

Synthétiseur de table de sons GC noyau Microsoft: system32\drivers\swmidi.sys (manual start)

MS Software Shadow Copy Provider: C:\WINDOWS\system32\dllhost.exe /Processid:{A15273DD-67D1-4E36-89D1-A903E62FAC22} (manual start)

Périphérique audio système du noyau Microsoft: system32\drivers\sysaudio.sys (manual start)

Journaux et alertes de performance: %SystemRoot%\system32\smlogsvc.exe (manual start)

Téléphonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Pilote du protocole TCP/IP: system32\DRIVERS\tcpip.sys (system)

Pilote de périphérique terminal: system32\DRIVERS\termdd.sys (system)

Services Terminal Server: %SystemRoot%\System32\svchost -k DComLaunch (manual start)

Thèmes: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Telnet: C:\WINDOWS\system32\tlntsvr.exe (manual start)

Client de suivi de lien distribué: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Windows User Mode Driver Framework: C:\WINDOWS\system32\wdfmgr.exe (autostart)

Pilote de mise à jour microcode: system32\DRIVERS\update.sys (manual start)

Hôte de périphérique universel Plug-and-Play: %SystemRoot%\system32\svchost.exe -k LocalService (manual start)

Onduleur: %SystemRoot%\System32\ups.exe (manual start)

Pilote USB audio (WDM): system32\drivers\usbaudio.sys (manual start)

Pilote parent générique USB Microsoft: system32\DRIVERS\usbccgp.sys (manual start)

Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0: system32\DRIVERS\usbehci.sys (manual start)

Pilote de concentrateur standard USB Microsoft: system32\DRIVERS\usbhub.sys (manual start)

Pilote miniport de contrôleur hôte ouvert USB Microsoft: system32\DRIVERS\usbohci.sys (manual start)

Classe d'imprimantes USB Microsoft: system32\DRIVERS\usbprint.sys (manual start)

Pilote de scanneur USB: system32\DRIVERS\usbscan.sys (manual start)

Pilote de stockage de masse USB: system32\DRIVERS\USBSTOR.SYS (manual start)

Service Messenger Sharing Folders USN Journal Reader: "C:\Program Files\MSN Messenger\usnsvc.exe" (manual start)

VgaSave: \SystemRoot\System32\drivers\vga.sys (system)

Cliché instantané de volume: %SystemRoot%\System32\vssvc.exe (manual start)

Horloge Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Pilote ARP IP d'accès distant: system32\DRIVERS\wanarp.sys (manual start)

Pilote WINMM de compatibilité audio WDM Microsoft: system32\drivers\wdmaud.sys (manual start)

WebClient: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)

Infrastructure de gestion Windows: %systemroot%\system32\svchost.exe -k netsvcs (autostart)

Service de numéro de série du lecteur multimédia portable: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Extensions du pilote WMI: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Carte de performance WMI: C:\WINDOWS\system32\wbem\wmiapsrv.exe (manual start)

Centre de sécurité: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Codec Teletext standard: system32\DRIVERS\WSTCODEC.SYS (manual start)

Mises à jour automatiques: %systemroot%\system32\svchost.exe -k netsvcs (autostart)

wvmizx55: System32\DRIVERS\wvmizx55.sys (system)

Configuration automatique sans fil: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

xbjjor04: System32\DRIVERS\xbjjor04.sys (system)

Service d'approvisionnement réseau: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

zodbuz54: System32\DRIVERS\zodbuz54.sys (system)

 

 

--------------------------------------------------

 

Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

 

Windows NT checkdisk command:

BootExecute = autocheck autochk *

 

Windows NT 'Wininit.ini':

PendingFileRenameOperations: *Registry value not found*

 

--------------------------------------------------

 

Enumerating ShellServiceObjectDelayLoad items:

 

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\system32\webcheck.dll

SysTray: C:\WINDOWS\system32\stobject.dll

 

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

 

*Registry key not found*

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

 

*Registry key not found*

 

--------------------------------------------------

 

End of report, 36 112 bytes

Report generated in 0,125 seconds

 

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

***********************************************************************************

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 21:23:36 06/03/2007

 

+ Résultat de l'analyse:

 

 

 

:mozilla.17:C:\Documents and Settings\Ordi Famille\Application Data\Mozilla\Firefox\Profiles\hhg50j8d.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.

:mozilla.19:C:\Documents and Settings\Ordi Famille\Application Data\Mozilla\Firefox\Profiles\hhg50j8d.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.

 

 

Fin du rapport

[bruce lee]

Bonjour,

 

Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip

Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.

Cela va créer un dossier clean.

Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.

Double-clic sur clean. Cela va ouvrir une fenêtre noire.

Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.

Clean va travailler.

Un rapport Va etre généré, colle le contenu entier ici.

[Cezboy]

Bonjour a toi,

Rapport clean par Malekal_morte - http://www.malekal.com

Option 1, executee le 07/03/2007 a 18:00:47,42

 

*** Recherche de fichiers sur C:

 

*** Recherche des fichiers dans C:\WINDOWS\

 

*** Recherche des fichiers dans C:\WINDOWS\system32

 

*** Fin du rapport !

[bruce lee]

Re,

 

Il me faut un dernier rapport avant de supprimer les bestioles.

 

1. Télécharge http://download.bleepingcomputer.com/sUBs/ComboFix.exe" target="_blank">combofix.exe (par sUBs) sur ton Bureau

2. Double clique combofix.exe et suis les invites.

3. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

[Cezboy]

Bonjour Bruce Lee,

J'ai un crash lors du premier lancement ComboFix Normal ou pas ??????

 

"Ordi Famille" - 07-03-08 6:23:41 Service Pack 2

ComboFix 07-03-08 - Running from: "C:\Documents and Settings\Ordi Famille\Bureau"

 

((((((((((((((((((((((((((((((( Files Created from 2007-02-08 to 2007-03-08 ))))))))))))))))))))))))))))))))))

 

 

2007-03-08 06:19 <REP> d-------- C:\WINDOWS\ERDNT

2007-03-06 19:17 1 --a------ C:\WINDOWS\system32\index.dat

2007-03-06 17:59 0 --a------ C:\WINDOWS\ntters.dll

2007-03-06 13:54 158,358 --a------ C:\WINDOWS\bd9.exe

2007-03-06 13:53 254,889 --a------ C:\WINDOWS\bd7.exe

2007-03-06 13:53 189,440 --a------ C:\WINDOWS\system32\safobj32.dll

2007-03-06 13:52 9,216 --a------ C:\WINDOWS\system32\msvcledf.dll

2007-03-06 13:52 449,536 --a------ C:\WINDOWS\bd2.exe

2007-03-06 13:52 272 --a------ C:\WINDOWS\system32\1FA013DE.dat

2007-03-06 13:52 257,272 --a------ C:\WINDOWS\bd5.exe

2007-03-06 13:52 206,797 --a------ C:\WINDOWS\bd3.exe

2007-03-06 13:52 179,135 --a------ C:\WINDOWS\bd4.exe

2007-03-06 13:52 11,931 --a------ C:\WINDOWS\system32\wintemp.exe

2007-03-06 06:55 <REP> d-------- C:\DOCUME~1\ORDIFA~1\.housecall6.6

2007-03-05 23:35 <REP> d-------- C:\WINDOWS\system32\VirtualExpander

2007-03-05 22:42 103,424 --a------ C:\grep.exe

2007-03-05 20:34 938 --a------ C:\WINDOWS\system32\tmp.reg

2007-03-05 20:33 79,360 --a------ C:\WINDOWS\system32\swxcacls.exe

2007-03-05 20:33 53,248 --a------ C:\WINDOWS\system32\Process.exe

2007-03-05 20:33 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2007-03-05 20:33 40,960 --a------ C:\WINDOWS\system32\swsc.exe

2007-03-05 20:33 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2007-03-05 20:33 135,168 --a------ C:\WINDOWS\system32\swreg.exe

2007-03-05 19:24 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy

2007-03-05 19:18 43,400 --a------ C:\WINDOWS\system32\sdftj.dat

2007-03-05 19:18 108,106 --a------ C:\WINDOWS\system32\jjgfst1.exe

2007-03-05 18:59 <REP> d-------- C:\WINDOWS\pss

2007-03-05 17:53 24,576 --a------ C:\WINDOWS\system32\poptang.exe

2007-03-02 17:50 <REP> d-------- C:\WINDOWS\system32\appmgmt

2007-03-02 17:42 <REP> d--h----- C:\WINDOWS\msdownld.tmp

2007-03-01 18:07 <REP> d-------- C:\WINDOWS\AU_Temp

2007-02-28 13:14 <REP> d-------- C:\WINDOWS\Sun

2007-02-28 13:14 <REP> d-------- C:\DOCUME~1\ORDIFA~1\APPLIC~1\Sun

2007-02-28 13:11 <REP> d-------- C:\Program Files\Java

2007-02-28 13:11 <REP> d-------- C:\Program Files\Fichiers communs\Java

2007-02-28 07:33 <REP> d-------- C:\WINDOWS\system32\ActiveScan

2007-02-27 18:26 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2007-02-27 13:04 <REP> d-------- C:\temp

2007-02-27 08:11 <REP> d-------- C:\WINDOWS\system32\system

2007-02-26 21:51 86,094 --a------ C:\WINDOWS\BPMNT.dll

2007-02-26 21:51 71,749 --a------ C:\WINDOWS\hcextoutput.dll

2007-02-26 21:51 229,957 --a------ C:\WINDOWS\tsc.exe

2007-02-26 21:51 1,101,904 --a------ C:\WINDOWS\vsapi32.dll

2007-02-26 21:51 <REP> d-------- C:\WINDOWS\report

2007-02-26 21:51 <REP> d-------- C:\WINDOWS\AU_Backup

2007-02-26 21:49 69,689 --a------ C:\WINDOWS\UNZIP.DLL

2007-02-26 21:49 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL

2007-02-26 21:49 286,720 --a------ C:\WINDOWS\PATCH.EXE

2007-02-26 21:49 <REP> d-------- C:\WINDOWS\AU_Log

2007-02-26 20:32 4,766 --a------ C:\WINDOWS\system32\drivers\QVBGLRWBG.DAT

2007-02-26 18:42 <REP> d-------- C:\WINDOWS\BDOSCAN8

2007-02-26 18:40 38,528 -r------- C:\WINDOWS\system32\drivers\fkwld.sys

2007-02-26 18:40 <REP> d-------- C:\Program Files\Fichiers communs\WANSO

2007-02-26 13:36 42,086 --a------ C:\WINDOWS\system32\431172493361.dat

2007-02-26 13:31 42,086 --a------ C:\WINDOWS\system32\431172493085.dat

2007-02-16 18:39 <REP> d-------- C:\DOCUME~1\ORDIFA~1\APPLIC~1\Help

2007-02-11 10:49 90,112 --a------ C:\WINDOWS\unvise32.exe

2007-02-11 10:47 54,784 --a------ C:\WINDOWS\system32\MSVCI70.DLL

2007-02-11 10:47 487,424 --a------ C:\WINDOWS\system32\MSVCP70.DLL

2007-02-11 10:46 974,848 --a------ C:\WINDOWS\system32\MFC70.DLL

2007-02-11 10:46 964,608 --a------ C:\WINDOWS\system32\MFC70U.DLL

2007-02-11 10:46 84,992 --a------ C:\WINDOWS\system32\ATL70.DLL

2007-02-11 10:46 106,496 --a------ C:\WINDOWS\system32\atl71.dll

2007-02-11 10:39 14,165 --------- C:\WINDOWS\system32\drivers\Pclepci.sys

2007-02-11 10:39 <REP> d-------- C:\Program Files\Pinnacle

2007-02-11 10:39 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Pinnacle

2007-02-11 10:38 <REP> d-------- C:\Program Files\DAEMON Tools

2007-02-10 09:32 <REP> d-------- C:\DOCUME~1\ORDIFA~1\Contacts

2007-02-10 09:29 <REP> d-------- C:\WINDOWS\system32\DRVSTORE

2007-02-08 07:49 <REP> d-------- C:\Program Files\regseek

 

 

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

2007-02-28 13:13 4221 --a------ C:\WINDOWS\mozver.dat

2007-02-22 07:47 639224 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2007-02-11 10:38 223128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys

2007-01-31 12:54 -------- d-------- C:\DOCUME~1\ORDIFA~1\APPLIC~1\dossier de t‚l‚chargement share-to-web

2007-01-31 12:54 -------- d-------- C:\DOCUME~1\ORDIFA~1\APPLIC~1\dossier de t‚l‚chargement share-to-web

2007-01-31 12:53 -------- d-------- C:\Program Files\hewlett-packard

2007-01-31 12:53 -------- d-------- C:\Program Files\Fichiers communs\hewlett-packard

2007-01-30 08:05 -------- d-------- C:\DOCUME~1\ORDIFA~1\APPLIC~1\ahead

2007-01-30 08:03 -------- d-------- C:\Program Files\nero

2007-01-30 08:03 -------- d-------- C:\Program Files\Fichiers communs\ahead

2007-01-28 21:16 -------- d-------- C:\Program Files\my downloaded games

2007-01-28 21:15 -------- d-------- C:\Program Files\boonty

2007-01-28 20:44 -------- d-------- C:\Program Files\systran

2007-01-28 08:40 -------- d-------- C:\Program Files\zion++

2007-01-24 18:48 -------- d-------- C:\DOCUME~1\ORDIFA~1\APPLIC~1\rainlendar

2007-01-24 18:48 -------- d-------- C:\DOCUME~1\ORDIFA~1\APPLIC~1\dvdcss

2007-01-24 18:48 -------- d-------- C:\DOCUME~1\ORDIFA~1\APPLIC~1\binarysense

2007-01-22 20:32 -------- d-------- C:\DOCUME~1\ORDIFA~1\APPLIC~1\google

2007-01-21 21:34 -------- d-------- C:\DOCUME~1\ORDIFA~1\APPLIC~1\magic match

2007-01-21 13:20 118784 -r------- C:\WINDOWS\bwunin-7.2.0.137-8876480sl.exe

2007-01-21 09:25 -------- d-------- C:\Program Files\rainlendar

2007-01-19 12:53 51056 --a------ C:\WINDOWS\system32\sirenacm.dll

2007-01-18 18:12 -------- d-------- C:\Program Files\themexp

2007-01-16 19:05 68 --a------ C:\WINDOWS\gplrlanc.dat

2007-01-15 18:32 689280 --a------ C:\WINDOWS\system32\aswboot.exe

2007-01-15 18:26 23352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2007-01-15 18:25 43176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2007-01-15 13:40 63910 --a------ C:\WINDOWS\system32\perfc00c.dat

2007-01-15 13:40 445772 --a------ C:\WINDOWS\system32\perfh00c.dat

2007-01-14 21:03 -------- d-------- C:\DOCUME~1\ORDIFA~1\APPLIC~1\adobe

2007-01-14 17:46 -------- d-------- C:\DOCUME~1\ORDIFA~1\APPLIC~1\openoffice.org2

2007-01-14 17:45 -------- d-------- C:\Program Files\openoffice.org 2.1

2007-01-12 12:18 90112 --a------ C:\WINDOWS\system32\avastss.scr

 

 

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"Creative Detector"="C:\\Program Files\\Creative\\MediaSource\\Detector\\CTDetect.exe /R"

"LDM"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Program Files\\Fichiers communs\\Ahead\\lib\\NMBgMonitor.exe\""

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"SoundMan"="SOUNDMAN.EXE"

"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"

"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_11\\bin\\jusched.exe\""

 

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]

HTTPFilter REG_MULTI_SZ HTTPFilter\

LocalService REG_MULTI_SZ AlerterWebClientLmHostsRemoteRegistryupnphostSSDPSRV\

NetworkService REG_MULTI_SZ DnsCache\

DcomLaunch REG_MULTI_SZ DcomLaunchTermService\

rpcss REG_MULTI_SZ RpcSs\

imgsvc REG_MULTI_SZ StiSvc\

termsvcs REG_MULTI_SZ TermService\

 

 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D]

Shell\Auto\command D:\EDpbw.exe

Shell\AutoRun\command C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL EDpbw.exe

 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E]

Shell\Auto\command E:\EDpbw.exe

Shell\AutoRun\command C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL EDpbw.exe

 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9441a766-b02f-11db-a802-0011098f8409}]

Shell\AutoRun\command H:\Setupx.exe

 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{945469ea-b9b3-11db-a82c-0011098f8409}]

Shell\AutoRun\command H:\welcome.exe

 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d58d0edc-1d29-11d7-a631-806d6172696f}]

Shell\Auto\command EDpbw.exe

Shell\AutoRun\command C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL EDpbw.exe

 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d58d0edd-1d29-11d7-a631-806d6172696f}]

Shell\Auto\command EDpbw.exe

Shell\AutoRun\command C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL EDpbw.exe

 

 

********************************************************************

 

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006

http://www.gmer.net

 

scanning hidden processes ...

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

********************************************************************

 

Completion time: 07-03-08 6:25:00

[bruce lee]

1/affiche tout les fichiers:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

 

2/rend toi ensuite sur ce site http://virusscan.jotti.org/ et fait analyser grep.exe qui se trouve ici:

 

C:\grep.exe

 

 

et post le resultat.

 

fais aussi analyser: bwunin-7.2.0.137-8876480sl.exe

 

qui se trouve ici:

 

C:\WINDOWS\bwunin-7.2.0.137-8876480sl.exe

 

Poste aussi le résultat.

 

Étape $: AboutBuster (de RubbeR DuckY)

Télécharger AboutBuster.zip depuis http://www.malwarebytes.org/AboutBuster.zip

ou http://www.besttechie.net/tools/AboutBuster.zip

Décompresser l'archive dans un dossier spécifique, par exemple C:\Program Files\aboutbuster

 

 

demarre en mode sans echec.

 

 

Étape $: AboutBuster

Faire un double clic sur AboutBuster.exe (dans le dossier C:\Program Files\aboutbuster) pour lancer le programme.

Cliquer sur le bouton "Begin removal"

Un message ("Shut down Internet Explorer") annonce que toutes les fenêtres d'Internet Explorer vont être fermées. Clic sur "Yes".

Un scan est exécuté (attendre quelques instants).

Un message ("Scan completed") annonce que le balayage est terminé. Clic sur "OK".

Clic sur le bouton "Exit".

Un message ("Logfile created") annonce qu'un fichier journal a été créé dans le dossier d'AboutBuster (C:\Program Files\aboutbuster). Clic sur "OK".

 

Redemarre le PC en mode normal:

 

rend toi ici:

 

C:\Program Files\aboutbuster

 

Ouvre le dossier aboutbuster puis ouvre le fichier texte et copie/colle tout son contenu.

 

Note:

Si l'utilitaire ne fonctionne pas et indique que le fichier COMCTL32.OCX est manquant,

*- Le télécharger ici (clic droit sur le lien ci-dessous):

http://www.malwarebytes.org/libraries/COMCTL32.OCX</a>

*- Placer le fichier ainsi téléchargé dans le dossier système:

XP---->C:\Windows\System32

2k---->C:\Winnt\System32

9x et ME---->C:\Windows\System

*- Enregistrer le fichier:

Démarrer---->Exécuter, taper

XP---->regsvr32 \windows\system32\comctl32.ocx

2k---->regsvr32 \winnt\system32\comctl32.ocx

Modifié le 8 mars 2007 par bruce lee