épidémie de chevaux de Troie, help

jefdef · le 28 avril 2007

Bonsoir,

je suis nouveau sur ce forum qui m'a eu l'air particulièrement pointu, généreux;

Voici mon problème et je vous serai infiniment reconnaissant si je trouvais de l'aide de votre part.

Merci d'avance de me donner un peu de votre temps et de votre compétence.

voici

Bonjour

je suis empétré depuis plusieurs jours (et nuits) avec, apparemment, des troyens dont je n'arrivent pas à me défaire.

Mon antivirus, Nod 32, en a détecté queques uns puis plus rien alors que l'infection continue:

j'ai essayé tous les antivirus gratuits

a2 square

spybot

adaware

etc

j'ai appliqué fixperle.exe

et rien n'y fait:

chaque fois que j'ouvre une connection internet,

50 fois par heures le firewall me demande si

43exgmi.7.exe

ou un cousin du même genre

peut faire une intrusion.

Je passe mon temps à les éliminer.

Nod 32 repèrent et mets en quarantaine des menaces du genre

http://ads.opernuz.com/up/setup.exe

Win32/Medbot.HZ

C:/WINDOWS/system32/svchost.exe

souvent en concluant:

une evenement s'est produit sur un nouveau fichier créé par

c:system32\svchost.exe

le fichier a été mis en quatrantaine.

Plus d'alertes récentes même si l'invasion contienue.

Voici le rapport

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 00:37:51, on 29/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Safe mode

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\RegCleaner\RegCleanr.exe

D:\programmes_a_installer\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\ANTIVIRUS\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [tcactive] C:\Program Files\ANTIVIRUS\The Cleaner\tca.exe

O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\ANTIVIRUS\The Cleaner\tcm.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Startup: UltimateZip Quick Start.lnk = C:\Program Files\UltimateZip\uzqkst.exe

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\Intervideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 7738 bytes

Merci pour tous vos conseils.

Cordialement

Jefdef

Thanos · le 28 avril 2007

salut et bienvenue sur le forum

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

Déroule la liste des instructions ci-dessous :

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

Colle stp le rapport de SDFix + fais un scan avec DiagHelp + un nouveau rapport hijackthis comme indiqué, et poste les rapports.

jefdef · le 29 avril 2007

Bonjour

:P

Merci beaucoup

c'étati parfait, me semble-t-il;

Les tentatives d'intrusions n'apparaissent plus.

J'ai réussi les différentes opérations.

Merci, merci,merci

Voici les trois rapports demandés.

Très bonne journée.

Je ne peux que remercier infiniment, une fois de plus.

C'est une manière discrète, non tapageuse, de créer un autre système de valeurs, une économie d'échanges non commmerciaux, qui ne détruit pas l'ancien mais s'y intégre et donne du liant à la société.

Je fais ça avec mon petit s_ite sur les constructions d'instruments de musique.

Bonne continuation.

Amicalement

JF de Fays

SDFix: Version 1.81

Run by user - 29/04/2007 - 10:37:45,48

Microsoft Windows XP [version 5.1.2600]

Service Pack 2

Running From: C:\DOCUME~1\user\Bureau\SDFix

Safe Mode:

Checking Services:

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

Below files will be copied to Backups folder then removed:

C:\DOCUME~1\user\LOCALS~1\Temp\autorun.inf - Deleted

C:\DOCUME~1\user\LOCALS~1\Temp\setup.exe - Deleted

C:\WINDOWS\odbc.INI - Deleted

C:\WINDOWS\system\smss.exe - Deleted

Removing Temp Files

ADS Check:

Checking if ADS is attached to system32 Folder

C:\WINDOWS\system32

No streams found.

Checking if ADS is attached to svchost.exe

C:\WINDOWS\system32\svchost.exe

No streams found.

Final Check:

Remaining Services:

------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\eMule\\eMule.exe"="C:\\Program Files\\eMule\\eMule.exe:*:Enabled:eMule Plus"

"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"="C:\\WINDOWS\\system32\\usmt\\migwiz.exe:*:Enabled:Assistant Transfert de fichiers et de paramètres"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"

"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Mozilla Firefox"

"C:\\Program Files\\ESET\\nod32.exe"="C:\\Program Files\\ESET\\nod32.exe:*:Enabled:NOD32"

"C:\\Program Files\\Mozilla Thunderbird\\thunderbird.exe"="C:\\Program Files\\Mozilla Thunderbird\\thunderbird.exe:*:Enabled:Mozilla Thunderbird"

"C:\\Program Files\\ESET\\nod32kui.exe"="C:\\Program Files\\ESET\\nod32kui.exe:*:Enabled:NOD32 Control Center"

"C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe"="C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe:*:Enabled:Zone Labs Security"

"C:\\Program Files\\ADSL Autoconnect\\ADSL Autoconnect.exe"="C:\\Program Files\\ADSL Autoconnect\\ADSL Autoconnect.exe:*:Enabled:ADSL Autoconnect"

"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

"C:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe:*:Disabled:TrueVector Service"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\27exinjs.a6.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\27exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\3exinjs.a6.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\3exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\70exinjs.a6.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\70exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\29exinjs.a6.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\29exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\30exinjs.a6.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\30exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\74exinjs.a6.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\74exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\60exinjs.a6.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\60exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\91exinjs.a6.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\91exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\58exinjs.a6.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\58exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\54exinjs.a6.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\54exinjs.a6.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\89exinjs.a7.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\89exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\60exinjs.a7.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\60exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\23exinjs.a7.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\23exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\88exinjs.a7.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\88exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\22exinjs.a7.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\22exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\66exinjs.a7.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\66exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\14exinjs.a7.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\14exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\94exinjs.a7.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\94exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\5exinjs.a7.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\5exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\exinjs.a7.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\92exinjs.a7.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\92exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\84exinjs.a7.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\84exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\46exinjs.a7.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\46exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\79exinjs.a7.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\79exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\52exinjs.a7.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\52exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\30exinjs.a7.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\30exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\25exinjs.a7.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\25exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\37exinjs.a7.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\37exinjs.a7.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\56exinjs.a8.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\56exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\84exinjs.a8.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\84exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\88exinjs.a8.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\88exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\91exinjs.a8.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\91exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\49exinjs.a8.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\49exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\89exinjs.a8.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\89exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\81exinjs.a8.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\81exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\69exinjs.a8.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\69exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\60exinjs.a8.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\60exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\56exinjs.a8.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\56exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\12exinjs.a8.exe"="C:\\DOCUME~1\\Nubia\\LOCALS~1\\Temp\\12exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\93exinjs.a8.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\93exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\27exinjs.a8.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\27exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\67exinjs.a8.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\67exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\exinjs.a8.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\66exinjs.a8.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\66exinjs.a8.exe:*:Enabled:Microsoft Update"

"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\7exinjs.a8.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\7exinjs.a8.exe:*:Enabled:Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files:

---------------

Backups Folder: - C:\DOCUME~1\user\Bureau\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes:

C:\Documents and Settings\user\Mes documents\Drh\Cek\pict_point\content.beautyisdivine.com_hosted_071\Thumbs.db

C:\WINDOWS\system32\39FEC32FC6.sys

C:\WINDOWS\system32\KGyGaAvL.sys

C:\Documents and Settings\user\Application Data\Microsoft\Word\~WRL0002.tmp

C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Outlook\~Outlook.pst.tmp

C:\Documents and Settings\user\Mes documents\MUSIQUE\~WRL0274.tmp

C:\Documents and Settings\user\Mes documents\MUSIQUE\~WRL3300.tmp

C:\Documents and Settings\user\Mes documents\Outlook\~Outlook.pst.tmp

Finished

apport HijackThis

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 10:58:36, on 29/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\ANTIVIRUS\The Cleaner\tca.exe

C:\Program Files\ANTIVIRUS\The Cleaner\tcm.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Intervideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\UltimateZip\uzqkst.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\PROGRA~1\Webshots\Webshots.scr

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

D:\programmes_a_installer\Antivirus\HiJackThis_v2.exe