Trojan "Agent eew" - maindll.dll infecté

Welaczek · le 15 avril 2007

Bonjour à tous,

J'ai été infecté par un cheval de Troie, voire plusieurs. La co-habitation de Norton et d'avast! a, d'après ce que j'ai compris, exposé mon système à l'infection. Norton a depuis été désinstallé, et seul avast! demeure.

Celui-ci ne cesse de m'avertir de l'infection du fichier maindll.dll par un "Agent EEW" à chaque fois que je me connecte sur Internet. Juste après, l'ordinateur plante et redémarre après avoir affiché le célèbre écran bleu. En plus de cela, le système semble s'être globalement ralenti.

Je vous donne ici mon log HiJackThis et je vous remercie d'avance pour votre aide.

Pascal

Logfile of HijackThis v1.99.1

Scan saved at 15:17:01, on 15/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Pascal\Mes documents\Import\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/info/frhomepage-o

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL

O1 - Hosts: ounter10.sextracker.com

O1 - Hosts: response.symantec.com

O1 - Hosts: .teenygirlshome.com

O1 - Hosts: ounter10.sextracker.com

O1 - Hosts: shooter.com #[AtlCtrl Class]

O1 - Hosts: response.symantec.com

O1 - Hosts: .teenygirlshome.com

O1 - Hosts: ounter10.sextracker.com

O1 - Hosts: shooter.com #[AtlCtrl Class]

O1 - Hosts: response.symantec.com

O1 - Hosts: .teenygirlshome.com

O1 - Hosts: ounter10.sextracker.com

O1 - Hosts: shooter.com #[AtlCtrl Class]

O1 - Hosts: response.symantec.com

O1 - Hosts: .teenygirlshome.com

O1 - Hosts: ounter10.sextracker.com

O1 - Hosts: 0.0.1 www.xpays.com

O1 - Hosts: com]

O1 - Hosts: shooter.com #[AtlCtrl Class]

O1 - Hosts: response.symantec.com

O1 - Hosts: .teenygirlshome.com

O1 - Hosts: ounter10.sextracker.com

O1 - Hosts: racker.com

O1 - Hosts: 0.1 stx12.sextracker.com

O1 - Hosts: 0.0.1 www.xpays.com

O1 - Hosts: com]

O1 - Hosts: shooter.com #[AtlCtrl Class]

O1 - Hosts: response.symantec.com

O1 - Hosts: .teenygirlshome.com

O1 - Hosts: 12elchIND]

O1 - Hosts: 12

O1 - Hosts: ounter10.sextracker.com

O1 - Hosts: racker.com

O1 - Hosts: 0.1 stx12.sextracker.com

O1 - Hosts: 0.0.1 www.xpays.com

O1 - Hosts: com]

O1 - Hosts: shooter.com #[AtlCtrl Class]

O1 - Hosts: response.symantec.com

O1 - Hosts: .teenygirlshome.com

O1 - Hosts: 12elchIND]

O1 - Hosts: 12

O1 - Hosts: ounter10.sextracker.com

O1 - Hosts: racker.com

O1 - Hosts: 0.1 stx12.sextracker.com

O1 - Hosts: 0.0.1 www.xpays.com

O1 - Hosts: com]

O1 - Hosts: shooter.com #[AtlCtrl Class]

O1 - Hosts: response.symantec.com

O1 - Hosts: .teenygirlshome.com

O1 - Hosts: 12elchIND]

O1 - Hosts: 12

O1 - Hosts: ounter10.sextracker.com

O1 - Hosts: racker.com

O1 - Hosts: 0.1 stx12.sextracker.com

O1 - Hosts: 0.0.1 www.xpays.com

O1 - Hosts: com]

O1 - Hosts: shooter.com #[AtlCtrl Class]

O1 - Hosts: response.symantec.com

O1 - Hosts: .teenygirlshome.com

O1 - Hosts: 12elchIND]

O1 - Hosts: 12

O1 - Hosts: ounter10.sextracker.com

O1 - Hosts: racker.com

O1 - Hosts: 0.1 stx12.sextracker.com

O1 - Hosts: 0.0.1 www.xpays.com

O1 - Hosts: com]

O1 - Hosts: shooter.com #[AtlCtrl Class]

O1 - Hosts: 127.

O1 - Hosts: 127.27.0.0.1 1001night.biz #[MHTMLRedir.Exploit]

O1 - Hosts: response.symantec.com

O1 - Hosts: .teenygirlshome.com

O1 - Hosts: 12elchIND]

O1 - Hosts: 12

O1 - Hosts: ounter10.sextracker.com

O1 - Hosts: racker.com

O1 - Hosts: 0.1 stx12.sextracker.com

O1 - Hosts: 0.0.1 www.xpays.com

O1 - Hosts: com]

O1 - Hosts: 127.0.0127.0.0.1 www.adrevservice.com #[TROJ_STARTPAG.X]

O1 - Hosts: 127.0.0vice.com

O1 - Hosts: shooter.com #[AtlCtrl Class]

O1 - Hosts: 127.

O1 - Hosts: 127.27.0.0.1 1001night.biz #[MHTMLRedir.Exploit]

O1 - Hosts: response.symantec.com

O1 - Hosts: .teenygirlshome.com

O1 - Hosts: 12elchIND]

O1 - Hosts: 12

O1 - Hosts: ounter10.sextracker.com

O1 - Hosts: racker.com

O1 - Hosts: 0.1 stx12.sextracker.com

O1 - Hosts: 127.0

O1 - Hosts: 2.xxxcounter.com

O1 - Hosts: 127.0

O1 - Hosts: 0.0.1 www.xpays.com

O1 - Hosts: com]

O1 - Hosts: 127.0.0127.0.0.1 www.adrevservice.com #[TROJ_STARTPAG.X]

O1 - Hosts: 127.0.0vice.com

O1 - Hosts: shooter.com #[AtlCtrl Class]

O1 - Hosts: 127.

O1 - Hosts: 127.27.0.0.1 1001night.biz #[MHTMLRedir.Exploit]

O1 - Hosts: response.symantecymantec.com

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.02.0002.1001\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.2001.0001\fr-ch\msntb.dll

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL

O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.2001.0001\fr-ch\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe

O4 - HKLM\..\Run: [s3TRAY2] S3tray2.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater1.02.0002.1001\fr-ch\msnappau.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [HP TV Now] C:\Program Files\Hewlett-Packard\HP TV Now\HpTvNow.exe /RK

O4 - HKLM\..\Run: [CP4HPOT] C:\PROGRA~1\HEWLET~1\ONE-TO~1\OneTouch.EXE

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\updater.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A

O4 - HKLM\..\Run: [svcs: Dnscache] C:\DOCUME~2\Pascal\LOCALS~1\Temp\6475\explorer.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ipWins] C:\Program Files\Ipwindows\ipwins.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Quick Help.lnk = C:\Program Files\Bluewin\Quick Help\bin\matcli.exe

O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'abcdefgh.dll' missing

O11 - Options group: [iNTERNATIONAL] International*

O12 - Plugin for .wma: C:\Program Files\Netscape\Communicator\Program\PLUGINS\npdsplay.dll

O12 - Plugin for .wmv: C:\Program Files\Netscape\Communicator\Program\PLUGINS\npdsplay.dll

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\system32\bexdd.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe

O23 - Service: HP RF Device Service (HpRfDev) - Hewlett-Packard - C:\WINDOWS\system32\HpRfDev.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: RadioSvr - Hewlett-Packard - C:\WINDOWS\system32\RadioSvr.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe

Malekal_morte · le 15 avril 2007

Voici la manipulation à effectuer en entier

Merci de bien vouloir :

- Lire attentivement les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.

- Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

- A l'issu de la procédure, merci de bien copier/coller TOUS les rapports demandés.

- N'hésitez pas à consulter les liens d'aides, ils sont là pour vous guider !

Sur HiJackThis, refais un scan et coches les lignes suivantes :

O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\updater.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A

O4 - HKLM\..\Run: [svcs: Dnscache] C:\DOCUME~2\Pascal\LOCALS~1\Temp\6475\explorer.exe

O4 - HKCU\..\Run: [ipWins] C:\Program Files\Ipwindows\ipwins.exe

O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll (file missing)

O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\system32\bexdd.dll

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HiJackThis

- Télécharge et installe AVG Anti-Spyware - Tutorial : http://www.malekal.com/tutorial_AVG_AntiSpyware.html

- Mets le à jour à partir du menu Mise à jour en haut

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

-- Ouvre le poste de travail

-- Clic sur le menu outils en haut à droite puis options des dossiers

-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-- Coche dans la liste "Afficher les fichiers cachés"

-- Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"

-- Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.

Supprime :

C:\WINDOWS\system32\bexdd.dll

C:\WINDOWS\updater.exe

C:\DOCUMENTS AND SETTINGS\Pascal\LOCALSETTINS\Temp\6475\

Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.

Double-clic sur clean. Cela va ouvrir une fenêtre noire.

Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.

Clean va travailler.

Un rapport Va etre généré, colle le contenu entier ici.

- Ouvre AVG Anti-Spyware et clic sur l'onglet Analyse, puis le sous-onglet Paramètres

- Sélectionne dans Comment Réagir ? Quarantine. (voir l'aide l'aide AVG Anti-Spyware)

- Reviens au sous-onglet Analyser puis clique sur Analyse complète du système.

---> Le scan démarre.

A la fin clique sur Appliquer toutes les actions, les éléments doivent alors être déplacés en quarantaine.

Puis clique sur Enregistrer le rapport d'analyse et enregistre le rapport sur le Bureau.

Aide : N'hésite pas à consulter l'Aide AVG Anti-Spyware pour tout problème.

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- AVG Anti-Spyware

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HiJackThis

Welaczek · le 15 avril 2007

Bonsoir Malekal morte et merci pour ton aide.

Voici déjà les rapports de AVG et Clean. Je vais lancer le scan Kaspersky.

J'ai tout fait comme indiqué à une exception près: le dossier C:\DOCUMENTS AND SETTINGS\Pascal\LOCALSETTINS\Temp\6475\ n'existait pas et je n'ai donc pas pu le supprimer. J'ai vu en passant que le fichier qu'avast! donnait pour infecté (maindll.dll) se trouvait dans le dossier C:\DOCUMENTS AND SETTINGS\Pascal\LOCALSETTINS\Temp. Je n'y ai bien sûr pas touché.

Rapport AVG:

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

+ Créé à: 21:14:43 15/04/2007

+ Résultat de l'analyse:

HKU\S-1-5-21-3825283475-4168273537-3479383672-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBugTransporter.dll -> Adware.Minibug : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EA82601F-861B-4096-B532-25256622197D}\RP772\A0433904.exe -> Downloader.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EA82601F-861B-4096-B532-25256622197D}\RP772\A0433914.exe -> Downloader.Small.cib : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\Pascal\Local Settings\Temp\maindll.dll -> Proxy.Small : Nettoyé et sauvegardé (mise en quarantaine).

:mozilla.104:C:\Documents and Settings\Pascal\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.

HKLM\SOFTWARE\Classes\CLSID\{8E13DDE1-E013-47ec-9C4C-27C2F78BDD26} -> Trojan.Conhook.c : Nettoyé et sauvegardé (mise en quarantaine).

HKU\S-1-5-21-3825283475-4168273537-3479383672-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8E13DDE1-E013-47EC-9C4C-27C2F78BDD26} -> Trojan.Conhook.c : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{EA82601F-861B-4096-B532-25256622197D}\RP772\A0433908.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).

HKU\S-1-5-21-3825283475-4168273537-3479383672-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} -> Trojan.Small.anm : Nettoyé et sauvegardé (mise en quarantaine).

Fin du rapport

Rapport clean:

Script execute en mode sans echec

Rapport clean par Malekal_morte - http://www.malekal.com

Script execute en mode sans echec 15/04/2007 a 19:16:47,09

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

tentative de suppression de C:\StubInstaller.exe

*** Suppression des fichiers dans C:\WINDOWS\

tentative de suppression de C:\WINDOWS\smdat32m.sys

*** Suppression des fichiers dans C:\WINDOWS\system32

tentative de suppression de C:\WINDOWS\system32\dlh9jkd?q?.exe

tentative de suppression de C:\WINDOWS\system32\SpoonUninstall.exe

tentative de suppression de C:\WINDOWS\system32\winsub.xml

tentative de suppression de C:\WINDOWS\system32\vx.tll

*** Suppression des fichiers dans C:\Program Files

tentative de suppression de "C:\Program Files\InetGet2\"

tentative de suppression de "C:\Program Files\Ipwindows\"

tentative de suppression de "C:\Program Files\Viewpoint\"

*** Suppression des clefs du registre effectuee..

*** Fin du rapport !

Welaczek · le 15 avril 2007

Petit problème: le site de scan en ligne kaspersky ne fonctionne pas...

Avast! a cessé de hurler la présence de l'agent eew. Par contre j'ai encore droit au plantage à l'allumage quand l'ADSL se connecte, et une fenêtre publicitaire qui s'ouvre toute seule toutes les dix minutes avec IE. Aurais-tu la gentillesse de me diriger vers un autre site de scan en ligne ? Merci !

Welaczek · le 15 avril 2007

En fait le lien vers le scan Kaspersky était erroné. Je suis allé sur ta page d'aide pour les scans en ligne et j'ai trouvé Kaspersky en passant par le lien que tu donnais. Je reviens après cela avec un log HijackThis.

Welaczek · le 15 avril 2007

C'est ennuyeux, Internet Explorer ne fonctionne pas, il refuse d'accéder à quel que site que ce soit.

Voici au cas où un log de HiJackThis:

Logfile of HijackThis v1.99.1

Scan saved at 22:13:44, on 15/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\HPConfig.exe

C:\WINDOWS\system32\RadioSvr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\essspk.exe

C:\WINDOWS\system32\S3tray2.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\PROGRA~1\HEWLET~1\ONE-TO~1\OneTouch.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Mozilla Firefox\firefox.exe