Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rapport Hijachkthis

Dokiato

Par Dokiato
dans Analyses et éradication malwares

 Partager

Messages recommandés

Dokiato Member

Dokiato

Posté(e)
  • Auteur
Posté(e)

Re Bonjours ! Bon je viens d'arriver il n'y a pas de fichier .txt mais je refais le scan au azard...

Dokiato Member

Dokiato

Posté(e)
  • Auteur
Posté(e)

"Scan" - 2007-05-12 16:15:38 Service Pack 2

ComboFix 07-05.09.V - Running from: "F:\User\Gab\"

 

 

((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-12 ))))))))))))))))))))))))))))))))))

 

 

2007-05-11 21:24 96 --a------ C:\avexport.bat

2007-05-11 21:24 60,416 --a------ C:\WINDOWS\system32\drivers\ybqgbavg.sys

2007-05-11 21:24 336 --a------ C:\reboot.bat

2007-05-11 21:24 19,814 --a------ C:\reboot.exe

2007-05-11 21:24 126,976 --a------ C:\zip.exe

2007-05-11 21:24 1,080 --a------ C:\yuhijrhc.bat

2007-05-11 21:24 <DIR> d-------- C:\Avenger

2007-05-11 20:11 <DIR> d-------- C:\VundoFix Backups

2007-04-28 17:49 <DIR> d-------- C:\DOCUME~1\Scan\Contacts

2007-04-28 17:48 <DIR> d-------- C:\WINDOWS\system32\DRVSTORE

2007-04-21 10:48 <DIR> d--hs---- C:\FOUND.035

2007-04-18 17:13 <DIR> d--hs---- C:\FOUND.034

2007-04-12 21:00 1,633,289 ---hs---- C:\WINDOWS\system32\ntflotau.ini2

 

 

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

2007-05-12 20:11:02 163,328 ----a-w C:\WINDOWS\system32\wsock32.sys

2007-05-12 02:21:18 24 ----a-w C:\WINDOWS\system32\DVCStateBkp-{00000000-00000000-0000000F-00001102-00000004-005A1102}.dat

2007-05-12 02:21:18 24 ----a-w C:\WINDOWS\system32\DVCState-{00000000-00000000-0000000F-00001102-00000004-005A1102}.dat

2007-05-08 23:02:28 3,939 ----a-w C:\WINDOWS\mozver.dat

2007-04-14 20:08:22 184,521 --sh--r C:\WINDOWS\system32\camacttiv.exe

2007-03-18 01:15:30 -------- d-----w C:\DOCUME~1\Scan\APPLIC~1\Ventrilo

2007-03-13 15:46:52 1,536,041 ----a-w C:\WINDOWS\system32\ckl009.dat

2007-02-07 22:13:54 122 ----a-w C:\WINDOWS\system32\del32.bat

2007-02-07 21:12:52 2,560 ----a-w C:\WINDOWS\system32\BitCometRes.dll

 

 

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

"{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}"="C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx"

"{248AEE7B-BA53-47C1-BC59-4520A9D7C9F3}"="C:\WINDOWS\Web\ahrdajva.dll" [x]

"{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}"="F:\Programe\BitComet\tools\BitCometBHO.dll"

"{669F1F99-1244-4872-B690-DFC5CB4ADECb}"="C:\WINDOWS\system32\hpwrrvuv.dll" [x]

"{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}"="C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll"

"{9394EDE7-C8B5-483E-8773-474BF36AF6E4}"="C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll"

"{ADA2AEC6-C2A3-4C1E-833F-0BB49DDDBA85}"="C:\WINDOWS\system32\hpwrrvuv.dll" [x]

"{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}"="C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"UpdReg"="C:\\WINDOWS\\UpdReg.EXE"

"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"

"REGSHAVE"="C:\\Program Files\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"

"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"

"WINDVDPatch"="CTHELPER.EXE"

"Jet Detection"="\"C:\\Program Files\\Creative\\SBAudigy\\PROGRAM\\ADGJDet.exe\""

"CTStartup"="C:\\Program Files\\Creative\\Splash Screen\\CTEaxSpl.EXE /run"

"Disc Detector"="C:\\Program Files\\Creative\\ShareDLL\\CtNotify.exe"

"RealTray"="C:\\Program Files\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"

"Uaafn"="C:\\Program Files\\Jhigk\\Agyuq.exe"

"Opgbqy"="C:\\Program Files\\Yrheswr\\Pzln.exe"

"Puibx"="C:\\Program Files\\Fdfnh\\Oabl.exe"

"Btqoq"="C:\\Program Files\\Iletgu\\Cbokkfy.exe"

"Fvujhs"="C:\\Program Files\\Klwzyp\\Esrjerg.exe"

"Ftlamr"="C:\\Program Files\\Lvbfft\\Wxcgel.exe"

"Exovhigi"="C:\\Program Files\\Ndsleo\\Yxffhw.exe"

"Ylvssvrk"="C:\\Program Files\\Zyapzod\\Wxqq.exe"

"Hocyfdn"="C:\\Program Files\\Ejiijb\\Eeqefzy.exe"

"Prifpf"="C:\\Program Files\\Qlmzjo\\Isbvfnu.exe"

"Cgtulag"="C:\\Program Files\\Stmeijs\\Reti.exe"

"Ykvtxfn"="C:\\Program Files\\Ygmnvft\\Ogyn.exe"

"Iwqarbfu"="C:\\Program Files\\Ksus\\Goyn.exe"

"Bmatvzs"="C:\\Program Files\\Hwdbrlv\\Oqrjo.exe"

"Leosofks"="C:\\Program Files\\Awhq\\Bnnqu.exe"

"Qimjhgtf"="C:\\Program Files\\Mrpcq\\Agpuyu.exe"

"Vuvvn"="C:\\Program Files\\Rtltq\\Wccfoun.exe"

"Zisury"="C:\\Program Files\\Tgtu\\Qhhkjgu.exe"

"Uyvva"="C:\\Program Files\\Yixl\\Ddcxu.exe"

"Jqiil"="C:\\Program Files\\Cjcj\\Qzglfnb.exe"

"Lyngyk"="C:\\Program Files\\Uierojs\\Lqcsb.exe"

"Xudmbyb"="C:\\Program Files\\Gbbxki\\Aainsw.exe"

"Kcpsirdb"="C:\\Program Files\\Kdfvcv\\Dnteas.exe"

"Bnvuwgvx"="C:\\Program Files\\Bnmdh\\Szqnd.exe"

"Biciu"="C:\\Program Files\\Fprbh\\Oudgup.exe"

"Zybwdgdo"="C:\\Program Files\\Pptncg\\Ngqm.exe"

"Lxptn"="C:\\Program Files\\Arwlddx\\Lrbt.exe"

"Bosvr"="C:\\Program Files\\Crvruyi\\Kuzw.exe"

"Pjahxv"="C:\\Program Files\\Gtaiule\\Xfqw.exe"

"Dvrubhab"="C:\\Program Files\\Lqwlmp\\Yslqn.exe"

"Qxkxggf"="c:\\Program Files\\Kdilgsr\\Ysauw.exe"

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

"nwiz"="nwiz.exe /install"

"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"

"AVG7_CC"="F:\\Programe\\avgcc.exe /STARTUP"

"avast!"="F:\\Programe\\Avast\\ashDisp.exe"

"Generic Host Process"="C:\\WINDOWS\\system32\\camacttiv.exe"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

"Steam"=""

"AWMON"="\"F:\\Programe\\Ad-Aware SE Professional\\Ad-Watch.exe\""

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce\CTStartup]

"CTStartup"="\"C:\\Program Files\\Creative\\Splash Screen\\CTEaxSpl.EXE\" /play"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]

"desktop"="C:\\WINDOWS\\system32\\desktop.exe"

"Generic Host Process"="C:\\WINDOWS\\system32\\camacttiv.exe"

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"AVG7_Run"="F:\\Programe\\avgw.exe /RUNONCE"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]

"Generic Host Process"="C:\\WINDOWS\\system32\\camacttiv.exe"

 

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccyy

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa

Authentication Packages msv1_0nwprovau\

Security Packages kerberosmsv1_0schannelwdigest\

Notification Packages scecli\

 

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]

LocalService AlerterWebClientLmHostsRemoteRegistryupnphostSSDPSRV\

NetworkService DnsCache\

rpcss RpcSs\

imgsvc StiSvc\

termsvcs TermService\

HTTPFilter HTTPFilter\

DcomLaunch DcomLaunchTermService\

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost

 

 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\L]

Shell\AutoRun\command L:\autorun.exe

Shell\directx\command L:\DirectX9\dxsetup.exe

Shell\setup\command L:\setup.exe

 

 

Contents of the 'Scheduled Tasks' folder

C:\WINDOWS\tasks\AF62DA2791F94F9F.job

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

 

********************************************************************

 

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-05-12 16:19:13

Windows 5.1.2600 Service Pack 2 FAT

 

scanning hidden processes ...

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

CTStartup = C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run???h??????s?????\?w? ?w???????w???w4???????.??w4???????4???TA?s4????????=?????w???w????????\???\???????????U??w???w\???\?????????`??????C@?\???\??????s????\??????s\????=??A??s?=???C@?x???`|?w\?????@

Disc Detector = C:\Program Files\Creative\ShareDLL\CtNotify.exe?X???????????????????E?@?D?tecteur de disque? ?A???????B?e!@???@???@?? C?????E?@?????????@?B???A????? ?A?p?????B???@?????P?????@? ??????????w??????????@???????????????????B?????|???????????????????????????r?B

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

********************************************************************

 

Completion time: 2007-05-12 16:19:27

C:\ComboFix-quarantined-files.txt ... 2007-05-12 16"Scan" - 2007-05-12 16:15:38 Service Pack 2

ComboFix 07-05.09.V - Running from: "F:\User\Gab\"

 

 

((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-12 ))))))))))))))))))))))))))))))))))

 

 

2007-05-11 21:24 96 --a------ C:\avexport.bat

2007-05-11 21:24 60,416 --a------ C:\WINDOWS\system32\drivers\ybqgbavg.sys

2007-05-11 21:24 336 --a------ C:\reboot.bat

2007-05-11 21:24 19,814 --a------ C:\reboot.exe

2007-05-11 21:24 126,976 --a------ C:\zip.exe

2007-05-11 21:24 1,080 --a------ C:\yuhijrhc.bat

2007-05-11 21:24 <DIR> d-------- C:\Avenger

2007-05-11 20:11 <DIR> d-------- C:\VundoFix Backups

2007-04-28 17:49 <DIR> d-------- C:\DOCUME~1\Scan\Contacts

2007-04-28 17:48 <DIR> d-------- C:\WINDOWS\system32\DRVSTORE

2007-04-21 10:48 <DIR> d--hs---- C:\FOUND.035

2007-04-18 17:13 <DIR> d--hs---- C:\FOUND.034

2007-04-12 21:00 1,633,289 ---hs---- C:\WINDOWS\system32\ntflotau.ini2

 

 

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

2007-05-12 20:11:02 163,328 ----a-w C:\WINDOWS\system32\wsock32.sys

2007-05-12 02:21:18 24 ----a-w C:\WINDOWS\system32\DVCStateBkp-{00000000-00000000-0000000F-00001102-00000004-005A1102}.dat

2007-05-12 02:21:18 24 ----a-w C:\WINDOWS\system32\DVCState-{00000000-00000000-0000000F-00001102-00000004-005A1102}.dat

2007-05-08 23:02:28 3,939 ----a-w C:\WINDOWS\mozver.dat

2007-04-14 20:08:22 184,521 --sh--r C:\WINDOWS\system32\camacttiv.exe

2007-03-18 01:15:30 -------- d-----w C:\DOCUME~1\Scan\APPLIC~1\Ventrilo

2007-03-13 15:46:52 1,536,041 ----a-w C:\WINDOWS\system32\ckl009.dat

2007-02-07 22:13:54 122 ----a-w C:\WINDOWS\system32\del32.bat

2007-02-07 21:12:52 2,560 ----a-w C:\WINDOWS\system32\BitCometRes.dll

 

 

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

"{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}"="C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx"

"{248AEE7B-BA53-47C1-BC59-4520A9D7C9F3}"="C:\WINDOWS\Web\ahrdajva.dll" [x]

"{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}"="F:\Programe\BitComet\tools\BitCometBHO.dll"

"{669F1F99-1244-4872-B690-DFC5CB4ADECb}"="C:\WINDOWS\system32\hpwrrvuv.dll" [x]

"{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}"="C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll"

"{9394EDE7-C8B5-483E-8773-474BF36AF6E4}"="C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll"

"{ADA2AEC6-C2A3-4C1E-833F-0BB49DDDBA85}"="C:\WINDOWS\system32\hpwrrvuv.dll" [x]

"{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}"="C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"UpdReg"="C:\\WINDOWS\\UpdReg.EXE"

"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"

"REGSHAVE"="C:\\Program Files\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"

"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"

"WINDVDPatch"="CTHELPER.EXE"

"Jet Detection"="\"C:\\Program Files\\Creative\\SBAudigy\\PROGRAM\\ADGJDet.exe\""

"CTStartup"="C:\\Program Files\\Creative\\Splash Screen\\CTEaxSpl.EXE /run"

"Disc Detector"="C:\\Program Files\\Creative\\ShareDLL\\CtNotify.exe"

"RealTray"="C:\\Program Files\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"

"Uaafn"="C:\\Program Files\\Jhigk\\Agyuq.exe"

"Opgbqy"="C:\\Program Files\\Yrheswr\\Pzln.exe"

"Puibx"="C:\\Program Files\\Fdfnh\\Oabl.exe"

"Btqoq"="C:\\Program Files\\Iletgu\\Cbokkfy.exe"

"Fvujhs"="C:\\Program Files\\Klwzyp\\Esrjerg.exe"

"Ftlamr"="C:\\Program Files\\Lvbfft\\Wxcgel.exe"

"Exovhigi"="C:\\Program Files\\Ndsleo\\Yxffhw.exe"

"Ylvssvrk"="C:\\Program Files\\Zyapzod\\Wxqq.exe"

"Hocyfdn"="C:\\Program Files\\Ejiijb\\Eeqefzy.exe"

"Prifpf"="C:\\Program Files\\Qlmzjo\\Isbvfnu.exe"

"Cgtulag"="C:\\Program Files\\Stmeijs\\Reti.exe"

"Ykvtxfn"="C:\\Program Files\\Ygmnvft\\Ogyn.exe"

"Iwqarbfu"="C:\\Program Files\\Ksus\\Goyn.exe"

"Bmatvzs"="C:\\Program Files\\Hwdbrlv\\Oqrjo.exe"

"Leosofks"="C:\\Program Files\\Awhq\\Bnnqu.exe"

"Qimjhgtf"="C:\\Program Files\\Mrpcq\\Agpuyu.exe"

"Vuvvn"="C:\\Program Files\\Rtltq\\Wccfoun.exe"

"Zisury"="C:\\Program Files\\Tgtu\\Qhhkjgu.exe"

"Uyvva"="C:\\Program Files\\Yixl\\Ddcxu.exe"

"Jqiil"="C:\\Program Files\\Cjcj\\Qzglfnb.exe"

"Lyngyk"="C:\\Program Files\\Uierojs\\Lqcsb.exe"

"Xudmbyb"="C:\\Program Files\\Gbbxki\\Aainsw.exe"

"Kcpsirdb"="C:\\Program Files\\Kdfvcv\\Dnteas.exe"

"Bnvuwgvx"="C:\\Program Files\\Bnmdh\\Szqnd.exe"

"Biciu"="C:\\Program Files\\Fprbh\\Oudgup.exe"

"Zybwdgdo"="C:\\Program Files\\Pptncg\\Ngqm.exe"

"Lxptn"="C:\\Program Files\\Arwlddx\\Lrbt.exe"

"Bosvr"="C:\\Program Files\\Crvruyi\\Kuzw.exe"

"Pjahxv"="C:\\Program Files\\Gtaiule\\Xfqw.exe"

"Dvrubhab"="C:\\Program Files\\Lqwlmp\\Yslqn.exe"

"Qxkxggf"="c:\\Program Files\\Kdilgsr\\Ysauw.exe"

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

"nwiz"="nwiz.exe /install"

"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"

"AVG7_CC"="F:\\Programe\\avgcc.exe /STARTUP"

"avast!"="F:\\Programe\\Avast\\ashDisp.exe"

"Generic Host Process"="C:\\WINDOWS\\system32\\camacttiv.exe"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

"Steam"=""

"AWMON"="\"F:\\Programe\\Ad-Aware SE Professional\\Ad-Watch.exe\""

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce\CTStartup]

"CTStartup"="\"C:\\Program Files\\Creative\\Splash Screen\\CTEaxSpl.EXE\" /play"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]

"desktop"="C:\\WINDOWS\\system32\\desktop.exe"

"Generic Host Process"="C:\\WINDOWS\\system32\\camacttiv.exe"

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"AVG7_Run"="F:\\Programe\\avgw.exe /RUNONCE"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]

"Generic Host Process"="C:\\WINDOWS\\system32\\camacttiv.exe"

 

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccyy

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa

Authentication Packages msv1_0nwprovau\

Security Packages kerberosmsv1_0schannelwdigest\

Notification Packages scecli\

 

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]

LocalService AlerterWebClientLmHostsRemoteRegistryupnphostSSDPSRV\

NetworkService DnsCache\

rpcss RpcSs\

imgsvc StiSvc\

termsvcs TermService\

HTTPFilter HTTPFilter\

DcomLaunch DcomLaunchTermService\

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost

 

 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\L]

Shell\AutoRun\command L:\autorun.exe

Shell\directx\command L:\DirectX9\dxsetup.exe

Shell\setup\command L:\setup.exe

 

 

Contents of the 'Scheduled Tasks' folder

C:\WINDOWS\tasks\AF62DA2791F94F9F.job

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

 

********************************************************************

 

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-05-12 16:19:13

Windows 5.1.2600 Service Pack 2 FAT

 

scanning hidden processes ...

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

CTStartup = C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run???h??????s?????\?w? ?w???????w???w4???????.??w4???????4???TA?s4????????=?????w???w????????\???\???????????U??w???w\???\?????????`??????C@?\???\??????s????\??????s\????=??A??s?=???C@?x???`|?w\?????@

Disc Detector = C:\Program Files\Creative\ShareDLL\CtNotify.exe?X???????????????????E?@?D?tecteur de disque? ?A???????B?e!@???@???@?? C?????E?@?????????@?B???A????? ?A?p?????B???@?????P?????@? ??????????w??????????@???????????????????B?????|???????????????????????????r?B

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

********************************************************************

 

Completion time: 2007-05-12 16:19:27

C:\ComboFix-quarantined-files.txt ... 2007-05-12

Dokiato Member

Dokiato

Posté(e)
  • Auteur
Posté(e) (modifié)

En passant esque quelqun peux me dire quesque des fichiers [.bat] :P

Modifié par Dokiato
Dokiato Member

Dokiato

Posté(e)
  • Auteur
Posté(e)

Bon ... Je vais revenir plus tard , je ne peux pas dire d'heures précris désoler :S mais j'ai penser que tu aimerais peut-être avoir un autre raport hijackthis en même temps

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:15:18, on 2007-05-12

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program Files\Diskeeper\DkService.exe

C:\WINDOWS\system32\msasvc.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\Creative\ShareDLL\CtNotify.exe

C:\Program Files\Creative\ShareDLL\MediaDet.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\internet explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

F:\Programe\Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

F:\Programe\Hijackthis\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {248AEE7B-BA53-47C1-BC59-4520A9D7C9F3} - C:\WINDOWS\Web\ahrdajva.dll (file missing)

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\Programe\BitComet\tools\BitCometBHO.dll

O2 - BHO: (no name) - {669F1F99-1244-4872-B690-DFC5CB4ADECb} - C:\WINDOWS\system32\hpwrrvuv.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: (no name) - {ADA2AEC6-C2A3-4C1E-833F-0BB49DDDBA85} - C:\WINDOWS\system32\hpwrrvuv.dll (file missing)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [uaafn] C:\Program Files\Jhigk\Agyuq.exe

O4 - HKLM\..\Run: [Opgbqy] C:\Program Files\Yrheswr\Pzln.exe

O4 - HKLM\..\Run: [Puibx] C:\Program Files\Fdfnh\Oabl.exe

O4 - HKLM\..\Run: [btqoq] C:\Program Files\Iletgu\Cbokkfy.exe

O4 - HKLM\..\Run: [Fvujhs] C:\Program Files\Klwzyp\Esrjerg.exe

O4 - HKLM\..\Run: [Ftlamr] C:\Program Files\Lvbfft\Wxcgel.exe

O4 - HKLM\..\Run: [Exovhigi] C:\Program Files\Ndsleo\Yxffhw.exe

O4 - HKLM\..\Run: [Ylvssvrk] C:\Program Files\Zyapzod\Wxqq.exe

O4 - HKLM\..\Run: [Hocyfdn] C:\Program Files\Ejiijb\Eeqefzy.exe

O4 - HKLM\..\Run: [Prifpf] C:\Program Files\Qlmzjo\Isbvfnu.exe

O4 - HKLM\..\Run: [Cgtulag] C:\Program Files\Stmeijs\Reti.exe

O4 - HKLM\..\Run: [Ykvtxfn] C:\Program Files\Ygmnvft\Ogyn.exe

O4 - HKLM\..\Run: [iwqarbfu] C:\Program Files\Ksus\Goyn.exe

O4 - HKLM\..\Run: [bmatvzs] C:\Program Files\Hwdbrlv\Oqrjo.exe

O4 - HKLM\..\Run: [Leosofks] C:\Program Files\Awhq\Bnnqu.exe

O4 - HKLM\..\Run: [Qimjhgtf] C:\Program Files\Mrpcq\Agpuyu.exe

O4 - HKLM\..\Run: [Vuvvn] C:\Program Files\Rtltq\Wccfoun.exe

O4 - HKLM\..\Run: [Zisury] C:\Program Files\Tgtu\Qhhkjgu.exe

O4 - HKLM\..\Run: [uyvva] C:\Program Files\Yixl\Ddcxu.exe

O4 - HKLM\..\Run: [Jqiil] C:\Program Files\Cjcj\Qzglfnb.exe

O4 - HKLM\..\Run: [Lyngyk] C:\Program Files\Uierojs\Lqcsb.exe

O4 - HKLM\..\Run: [Xudmbyb] C:\Program Files\Gbbxki\Aainsw.exe

O4 - HKLM\..\Run: [Kcpsirdb] C:\Program Files\Kdfvcv\Dnteas.exe

O4 - HKLM\..\Run: [bnvuwgvx] C:\Program Files\Bnmdh\Szqnd.exe

O4 - HKLM\..\Run: [biciu] C:\Program Files\Fprbh\Oudgup.exe

O4 - HKLM\..\Run: [Zybwdgdo] C:\Program Files\Pptncg\Ngqm.exe

O4 - HKLM\..\Run: [Lxptn] C:\Program Files\Arwlddx\Lrbt.exe

O4 - HKLM\..\Run: [bosvr] C:\Program Files\Crvruyi\Kuzw.exe

O4 - HKLM\..\Run: [Pjahxv] C:\Program Files\Gtaiule\Xfqw.exe

O4 - HKLM\..\Run: [Dvrubhab] C:\Program Files\Lqwlmp\Yslqn.exe

O4 - HKLM\..\Run: [Qxkxggf] c:\Program Files\Kdilgsr\Ysauw.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] F:\Programe\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [avast!] F:\Programe\Avast\ashDisp.exe

O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\camacttiv.exe

O4 - HKLM\..\RunServices: [desktop] C:\WINDOWS\system32\desktop.exe

O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\camacttiv.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AWMON] "F:\Programe\Ad-Aware SE Professional\Ad-Watch.exe"

O8 - Extra context menu item: Download all links using BitComet - res://F:\Programe\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://F:\Programe\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://F:\Programe\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {750A64D8-DFAA-485B-A335-F7093333FBB7} - (no file) (HKCU)

O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: fccyy - fccyy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - F:\Programe\avgamsvr.exe (file missing)

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - F:\Programe\avgupsvc.exe (file missing)

O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - F:\Programe\avgemc.exe (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Diskeeper\DkService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: SC Test Branding Service 1 - SC Test Branding 1 - C:\Program Files\Common Files\SC Test Branding 1 Shared\Service\SCTestService1.exe

Dokiato Member

Dokiato

Posté(e)
  • Auteur
Posté(e)

-PS- je vien de reboot mon pc et ca a pris 30 min et ad-aware a trouver plein de tracking

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Désolé pour l'attente!

 

Allons y pour la suite : suis bien les étapes dans l'ordre surtout! : si tu as peur de ne pas te souvenir, tu peux copier/coller cette procédure dans un fichier texte afin de pouvoir la consulter en mode sans échec (pas d'accès à internet)

 

1) Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

O2 - BHO: (no name) - {248AEE7B-BA53-47C1-BC59-4520A9D7C9F3} - C:\WINDOWS\Web\ahrdajva.dll (file missing)

O2 - BHO: (no name) - {669F1F99-1244-4872-B690-DFC5CB4ADECb} - C:\WINDOWS\system32\hpwrrvuv.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {ADA2AEC6-C2A3-4C1E-833F-0BB49DDDBA85} - C:\WINDOWS\system32\hpwrrvuv.dll (file missing)

 

O4 - HKLM\..\Run: [uaafn] C:\Program Files\Jhigk\Agyuq.exe

O4 - HKLM\..\Run: [Opgbqy] C:\Program Files\Yrheswr\Pzln.exe

O4 - HKLM\..\Run: [Puibx] C:\Program Files\Fdfnh\Oabl.exe

O4 - HKLM\..\Run: [btqoq] C:\Program Files\Iletgu\Cbokkfy.exe

O4 - HKLM\..\Run: [Fvujhs] C:\Program Files\Klwzyp\Esrjerg.exe

O4 - HKLM\..\Run: [Ftlamr] C:\Program Files\Lvbfft\Wxcgel.exe

O4 - HKLM\..\Run: [Exovhigi] C:\Program Files\Ndsleo\Yxffhw.exe

O4 - HKLM\..\Run: [Ylvssvrk] C:\Program Files\Zyapzod\Wxqq.exe

O4 - HKLM\..\Run: [Hocyfdn] C:\Program Files\Ejiijb\Eeqefzy.exe

O4 - HKLM\..\Run: [Prifpf] C:\Program Files\Qlmzjo\Isbvfnu.exe

O4 - HKLM\..\Run: [Cgtulag] C:\Program Files\Stmeijs\Reti.exe

O4 - HKLM\..\Run: [Ykvtxfn] C:\Program Files\Ygmnvft\Ogyn.exe

O4 - HKLM\..\Run: [iwqarbfu] C:\Program Files\Ksus\Goyn.exe

O4 - HKLM\..\Run: [bmatvzs] C:\Program Files\Hwdbrlv\Oqrjo.exe

O4 - HKLM\..\Run: [Leosofks] C:\Program Files\Awhq\Bnnqu.exe

O4 - HKLM\..\Run: [Qimjhgtf] C:\Program Files\Mrpcq\Agpuyu.exe

O4 - HKLM\..\Run: [Vuvvn] C:\Program Files\Rtltq\Wccfoun.exe

O4 - HKLM\..\Run: [Zisury] C:\Program Files\Tgtu\Qhhkjgu.exe

O4 - HKLM\..\Run: [uyvva] C:\Program Files\Yixl\Ddcxu.exe

O4 - HKLM\..\Run: [Jqiil] C:\Program Files\Cjcj\Qzglfnb.exe

O4 - HKLM\..\Run: [Lyngyk] C:\Program Files\Uierojs\Lqcsb.exe

O4 - HKLM\..\Run: [Xudmbyb] C:\Program Files\Gbbxki\Aainsw.exe

O4 - HKLM\..\Run: [Kcpsirdb] C:\Program Files\Kdfvcv\Dnteas.exe

O4 - HKLM\..\Run: [bnvuwgvx] C:\Program Files\Bnmdh\Szqnd.exe

O4 - HKLM\..\Run: [biciu] C:\Program Files\Fprbh\Oudgup.exe

O4 - HKLM\..\Run: [Zybwdgdo] C:\Program Files\Pptncg\Ngqm.exe

O4 - HKLM\..\Run: [Lxptn] C:\Program Files\Arwlddx\Lrbt.exe

O4 - HKLM\..\Run: [bosvr] C:\Program Files\Crvruyi\Kuzw.exe

O4 - HKLM\..\Run: [Pjahxv] C:\Program Files\Gtaiule\Xfqw.exe

O4 - HKLM\..\Run: [Dvrubhab] C:\Program Files\Lqwlmp\Yslqn.exe

O4 - HKLM\..\Run: [Qxkxggf] c:\Program Files\Kdilgsr\Ysauw.exe

O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\camacttiv.exe

O4 - HKLM\..\RunServices: [desktop] C:\WINDOWS\system32\desktop.exe

O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\camacttiv.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

 

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

 

O9 - Extra button: (no name) - {750A64D8-DFAA-485B-A335-F7093333FBB7} - (no file) (HKCU)

 

O20 - Winlogon Notify: fccyy - fccyy.dll (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

 

2) Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

 

3) Télécharge LSPFix de Cexx.org sur ton bureau.

 

Démarre LSPFix

Coche I know what I'm doing

Clique sur Finish

 

4) Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

5) Poste le rapport de SDFix ainsi qu'un nouveau rapport hijackthis mais fait comme ceci >

 

Lance hijackthis.

  • Ouvre la section outils
  • A droite du bouton "Génerer liste de départ" coche les deux cases "Liste Mineure également" et"Section de liste vide"
  • Au message qui s'ffiche clique sur le bouton "Oui"
  • Clique sur le bouton "Génerer liste de départ"
  • Copie /colle le rapport qui va se créer.

Allez courage :P

Dokiato Member

Dokiato

Posté(e)
  • Auteur
Posté(e)

SDFix: Version 1.83

 

Run by Scan - 2007-05-12 - 22:53:36,95

 

Microsoft Windows XP [Version 5.1.2600]

 

Running From: C:\DOCUME~1\Scan\Desktop\sdfix\SDFix

 

Safe Mode:

Checking Services:

 

Name:

MsaSvc

 

ImagePath:

C:\WINDOWS\system32\msasvc.exe

 

MsaSvc - Deleted

 

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

Normal Mode:

Checking Files:

 

Below files will be copied to Backups folder then removed:

 

C:\WINDOWS\SYSTEM32\7FE0BM~1.HTM - Deleted

C:\WINDOWS\system32\ckl009.dat - Deleted

C:\WINDOWS\system32\msasvc.exe - Deleted

C:\WINDOWS\system32\wsock32.sys - Deleted

 

 

 

Removing Temp Files

 

ADS Check:

 

Checking if ADS is attached to system32 Folder

C:\WINDOWS\system32

No streams found.

 

Checking if ADS is attached to svchost.exe

C:\WINDOWS\system32\svchost.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

 

 

Remaining Files:

---------------

 

Backups Folder: - C:\DOCUME~1\Scan\Desktop\sdfix\SDFix\backups\backups.zip

SdFix raport:

 

Checking For Files with Hidden Attributes:

 

C:\WINDOWS\system32\camacttiv.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Outlook Express\msimn.exe

C:\WINDOWS\system32\tstss.tmp

C:\WINDOWS\system32\ntflotau.tmp

C:\WINDOWS\system32\config\SECURITY.tmp.LOG

C:\WINDOWS\system32\config\SOFTWARE.tmp.LOG

C:\WINDOWS\system32\config\SYSTEM.tmp.LOG

C:\WINDOWS\system32\config\DEFAULT.tmp.LOG

C:\WINDOWS\system32\config\SAM.tmp.LOG

C:\WINDOWS\Web\avjadrha.tmp

C:\WINDOWS\Registration\vsrddv.tmp

 

Finished

 

 

 

HijackThis raport:

 

Logfile of HijackThis v1.99.1

Scan saved at 22:59:49, on 2007-05-12

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program Files\Diskeeper\DkService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\Creative\ShareDLL\CtNotify.exe

F:\Programe\Ad-Aware SE Professional\Ad-Watch.exe

C:\Program Files\Creative\ShareDLL\MediaDet.exe

C:\WINDOWS\System32\svchost.exe

F:\Programe\Hijackthis\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.hotmail.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F3 - REG:win.ini: load=C:\WINDOWS\system32\camacttiv.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\Programe\BitComet\tools\BitCometBHO.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] F:\Programe\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [avast!] F:\Programe\Avast\ashDisp.exe

O4 - HKLM\..\Run: [desktop] C:\WINDOWS\system32\desktop.exe

O4 - HKLM\..\Run: [uaafn] C:\Program Files\Jhigk\Agyuq.exe

O4 - HKLM\..\Run: [Opgbqy] C:\Program Files\Yrheswr\Pzln.exe

O4 - HKLM\..\Run: [Puibx] C:\Program Files\Fdfnh\Oabl.exe

O4 - HKLM\..\Run: [btqoq] C:\Program Files\Iletgu\Cbokkfy.exe

O4 - HKLM\..\Run: [Fvujhs] C:\Program Files\Klwzyp\Esrjerg.exe

O4 - HKLM\..\Run: [Ftlamr] C:\Program Files\Lvbfft\Wxcgel.exe

O4 - HKLM\..\Run: [Exovhigi] C:\Program Files\Ndsleo\Yxffhw.exe

O4 - HKLM\..\Run: [Ylvssvrk] C:\Program Files\Zyapzod\Wxqq.exe

O4 - HKLM\..\Run: [Hocyfdn] C:\Program Files\Ejiijb\Eeqefzy.exe

O4 - HKLM\..\Run: [Prifpf] C:\Program Files\Qlmzjo\Isbvfnu.exe

O4 - HKLM\..\Run: [Cgtulag] C:\Program Files\Stmeijs\Reti.exe

O4 - HKLM\..\Run: [Ykvtxfn] C:\Program Files\Ygmnvft\Ogyn.exe

O4 - HKLM\..\Run: [iwqarbfu] C:\Program Files\Ksus\Goyn.exe

O4 - HKLM\..\Run: [bmatvzs] C:\Program Files\Hwdbrlv\Oqrjo.exe

O4 - HKLM\..\Run: [Leosofks] C:\Program Files\Awhq\Bnnqu.exe

O4 - HKLM\..\Run: [Qimjhgtf] C:\Program Files\Mrpcq\Agpuyu.exe

O4 - HKLM\..\Run: [Vuvvn] C:\Program Files\Rtltq\Wccfoun.exe

O4 - HKLM\..\Run: [Zisury] C:\Program Files\Tgtu\Qhhkjgu.exe

O4 - HKLM\..\Run: [uyvva] C:\Program Files\Yixl\Ddcxu.exe

O4 - HKLM\..\Run: [Jqiil] C:\Program Files\Cjcj\Qzglfnb.exe

O4 - HKLM\..\Run: [Lyngyk] C:\Program Files\Uierojs\Lqcsb.exe

O4 - HKLM\..\Run: [Xudmbyb] C:\Program Files\Gbbxki\Aainsw.exe

O4 - HKLM\..\Run: [Kcpsirdb] C:\Program Files\Kdfvcv\Dnteas.exe

O4 - HKLM\..\Run: [bnvuwgvx] C:\Program Files\Bnmdh\Szqnd.exe

O4 - HKLM\..\Run: [biciu] C:\Program Files\Fprbh\Oudgup.exe

O4 - HKLM\..\Run: [Zybwdgdo] C:\Program Files\Pptncg\Ngqm.exe

O4 - HKLM\..\Run: [Lxptn] C:\Program Files\Arwlddx\Lrbt.exe

O4 - HKLM\..\Run: [bosvr] C:\Program Files\Crvruyi\Kuzw.exe

O4 - HKLM\..\Run: [Pjahxv] C:\Program Files\Gtaiule\Xfqw.exe

O4 - HKLM\..\Run: [Dvrubhab] C:\Program Files\Lqwlmp\Yslqn.exe

O4 - HKLM\..\Run: [Qxkxggf] c:\Program Files\Kdilgsr\Ysauw.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\camacttiv.exe

O4 - HKLM\..\RunServices: [desktop] C:\WINDOWS\system32\desktop.exe

O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\camacttiv.exe

O4 - HKCU\..\Run: [AWMON] "F:\Programe\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Download all links using BitComet - res://F:\Programe\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://F:\Programe\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://F:\Programe\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: fccyy - fccyy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - F:\Programe\avgamsvr.exe (file missing)

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - F:\Programe\avgupsvc.exe (file missing)

O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - F:\Programe\avgemc.exe (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Diskeeper\DkService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: SC Test Branding Service 1 - SC Test Branding 1 - C:\Program Files\Common Files\SC Test Branding 1 Shared\Service\SCTestService1.exe

 

 

En passant mon Ad-Aware a trouver 40 events qui n'avaient jamais été la avant tk lol :P

Dokiato Member

Dokiato

Posté(e)
  • Auteur
Posté(e)

StartupList report, 2007-05-12, 23:05:13

StartupList version: 1.52.2

Started from : F:\Programe\Hijackthis\VERSION TRADUITE ORIGINALE.EXE

Detected: Windows XP SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)

* Using default options

==================================================

 

Running processes:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program Files\Diskeeper\DkService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\Creative\ShareDLL\CtNotify.exe

F:\Programe\Ad-Aware SE Professional\Ad-Watch.exe

C:\Program Files\Creative\ShareDLL\MediaDet.exe

C:\WINDOWS\System32\svchost.exe

F:\Programe\Firefox\firefox.exe

F:\Programe\Hijackthis\VERSION TRADUITE ORIGINALE.EXE

 

--------------------------------------------------

 

Checking Windows NT UserInit:

 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 

UpdReg = C:\WINDOWS\UpdReg.EXE

ATIPTA = C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

REGSHAVE = C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd

WINDVDPatch = CTHELPER.EXE

Jet Detection = "C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe"

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

 

desktop = C:\WINDOWS\system32\desktop.exe

Generic Host Process = C:\WINDOWS\system32\camacttiv.exe

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

 

Steam =

AWMON = "F:\Programe\Ad-Aware SE Professional\Ad-Watch.exe"

ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

 

--------------------------------------------------

 

Load/Run keys from C:\WINDOWS\WIN.INI:

 

load=*INI section not found*

run=*INI section not found*

 

Load/Run keys from Registry:

 

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\Windows: load=C:\WINDOWS\system32\camacttiv.exe

HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

 

--------------------------------------------------

 

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

 

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

 

Shell & screensaver key from Registry:

 

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

 

Policies Shell key:

 

HKCU\..\Policies: Shell=*Registry value not found*

HKLM\..\Policies: Shell=*Registry value not found*

 

--------------------------------------------------

 

 

Enumerating Browser Helper Objects:

 

(no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

BitComet ClickCapture - F:\Programe\BitComet\tools\BitCometBHO.dll - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}

(no name) - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

(no name) - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll - {9394EDE7-C8B5-483E-8773-474BF36AF6E4}

(no name) - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}

 

--------------------------------------------------

 

Enumerating Task Scheduler jobs:

 

AF62DA2791F94F9F.job

AppleSoftwareUpdate.job

 

--------------------------------------------------

 

Enumerating Download Program Files:

 

[MSN Photo Upload Tool]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll

CODEBASE = http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0

 

[shockwave Flash Object]

InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9c.ocx

CODEBASE = http://download.macromedia.com/pub/shockwa...ash/swflash.cab

 

--------------------------------------------------

 

Enumerating ShellServiceObjectDelayLoad items:

 

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

 

--------------------------------------------------

End of report, 6 209 bytes

Report generated in 0,030 seconds

 

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

 

 

ca c'est la cinquième étape :P

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

On continue comme ca stp >

 

Elimine le fichier C:\avenger.txt

 

1.Ouvre le dossier C:\Rustbfix.

Copier tout le texte de la boîte ci-dessous(sans le mot "code") : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\PerfNetk
HKLM\SYSTEM\CurrentControlSet\Services\PerfOSt
HKLM\SYSTEM\CurrentControlSet\Services\pfcfProc
HKLM\SYSTEM\CurrentControlSet\Services\poofcyAgent
HKLM\SYSTEM\CurrentControlSet\Services\Processorort
HKLM\SYSTEM\CurrentControlSet\Services\PSchedtedStorage
HKLM\SYSTEM\CurrentControlSet\Services\ql108020
HKLM\SYSTEM\CurrentControlSet\Services\ql12400
HKLM\SYSTEM\CurrentControlSet\Services\RasManp
HKLM\SYSTEM\CurrentControlSet\Services\Rasptioe
HKLM\SYSTEM\CurrentControlSet\Services\Rdbssi
HKLM\SYSTEM\CurrentControlSet\Services\RDPDDD
HKLM\SYSTEM\CurrentControlSet\Services\redbookgr
HKLM\SYSTEM\CurrentControlSet\Services\RpcLocatorstry
HKLM\SYSTEM\CurrentControlSet\Services\RpcSscator
HKLM\SYSTEM\CurrentControlSet\Services\RSVPs
HKLM\SYSTEM\CurrentControlSet\Services\SCDEmuvr
HKLM\SYSTEM\CurrentControlSet\Services\sdcplhrt
HKLM\SYSTEM\CurrentControlSet\Services\SENSogon
HKLM\SYSTEM\CurrentControlSet\Services\Serialm
HKLM\SYSTEM\CurrentControlSet\Services\SimbadWDetection
HKLM\SYSTEM\CurrentControlSet\Services\sisagp2
HKLM\SYSTEM\CurrentControlSet\Services\Spoolerr
HKLM\SYSTEM\CurrentControlSet\Services\sptdler
HKLM\SYSTEM\CurrentControlSet\Services\srtd
HKLM\SYSTEM\CurrentControlSet\Services\Srvervice
HKLM\SYSTEM\CurrentControlSet\Services\stisvcV
HKLM\SYSTEM\CurrentControlSet\Services\SwPrvi
HKLM\SYSTEM\CurrentControlSet\Services\swwdv
HKLM\SYSTEM\CurrentControlSet\Services\sym_hix
HKLM\SYSTEM\CurrentControlSet\Services\TapiSrvog
HKLM\SYSTEM\CurrentControlSet\Services\Tcpiprv
HKLM\SYSTEM\CurrentControlSet\Services\TDTCPE
HKLM\SYSTEM\CurrentControlSet\Services\Themesrvice
HKLM\SYSTEM\CurrentControlSet\Services\TosIder
HKLM\SYSTEM\CurrentControlSet\Services\TSDDDs
HKLM\SYSTEM\CurrentControlSet\Services\UdfsD
HKLM\SYSTEM\CurrentControlSet\Services\UPSphost
HKLM\SYSTEM\CurrentControlSet\Services\USBSTORt
HKLM\SYSTEM\CurrentControlSet\Services\VgaSavev
HKLM\SYSTEM\CurrentControlSet\Services\ViaIdee
HKLM\SYSTEM\CurrentControlSet\Services\VSSSnap
HKLM\SYSTEM\CurrentControlSet\Services\W3SVCme
HKLM\SYSTEM\CurrentControlSet\Services\WDICAw
HKLM\SYSTEM\CurrentControlSet\Services\winmgmtnt
HKLM\SYSTEM\CurrentControlSet\Services\WmdmPmSNP Service
HKLM\SYSTEM\CurrentControlSet\Services\WmimPmSN
HKLM\SYSTEM\CurrentControlSet\Services\WpdUsbrv
HKLM\SYSTEM\CurrentControlSet\Services\wscsvcL
HKLM\SYSTEM\CurrentControlSet\Services\WZCSVCrv
HKLM\SYSTEM\CurrentControlSet\Services\ad1i93ck4-255F-4F3F-9FE5-2C6DDD5F8333}
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|desktop
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|Generic Host Process
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Generic Host Process

Files to Delete:
C:\WINDOWS\tasks\AF62DA2791F94F9F.job
C:\WINDOWS\system32\camacttiv.exe
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\system32\ntflotau.ini2
C:\yuhijrhc.bat
C:\FOUND.035
C:\FOUND.034
C:\WINDOWS\system32\drivers\ybqgbavg.sys
C:\WINDOWS\system32\tstss.tmp
C:\WINDOWS\system32\ntflotau.tmp
C:\WINDOWS\Web\avjadrha.tmp
C:\WINDOWS\Registration\vsrddv.tmp
C:\WINDOWS\system32\desktop.exe
C:\WINDOWS\Downloaded Program Files\USYP_0001_N76M2004NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\USYP_0001_N76M1005NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\UERSV_0001_N68M0602NetInstaller.exe
C:\WINDOWS\System32\docqqpoq.ini 
C:\WINDOWS\System32\feiumdcv.ini 
C:\WINDOWS\System32\xgcmndql.ini 
C:\WINDOWS\System32\mcrh.tmp
C:\WINDOWS\System32\spgnufsi.ini 
C:\WINDOWS\System32\yieblrdg.ini 
C:\WINDOWS\System32\kyvxraop.ini
C:\WINDOWS\System32\qifexufw.ini
C:\WINDOWS\System32\ilvulngr.ini
C:\WINDOWS\System32\5ZI4VzBqtz.ini 
C:\WINDOWS\System32\sokiuecw.ini 
C:\WINDOWS\CSC�000001
C:\WINDOWS\CSC�000002

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

2. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

  • Sous "Script file to execute" choisir "Input Script Manually".
  • Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
  • Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
  • Cliquer Done
  • ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
  • Répondre "Yes" deux fois quand demandé.

3. The Avenger va automatiquement faire ce qui suit:

  • Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
  • Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
  • Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
  • The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

Poste le rapport C:\avenger.txt ainsi qu'un nouveau rapport DiagHelp stp et un nouveau rapport hijackthis.

 

Télecharger et lancer ServiceFilter:

  • Télécharger ServiceFilter.
  • Dézipper ServiceFilter.zip dans un répertoire dédié comme C:\ServiceFilter.
  • par l'explorateur retrouver ce dossier, l'ouvrir et double-cliquer sur ServiceFilter.vbs.
  • Votre anti-virus risque de se manifester, autoriser le script à se dérouler.
  • Un fichier texte sera ouvert (POST_THIS.TXT) listant tous les services autres que Windows.
  • Selectionner tout le texte (Ctrl + A ).
  • Copier (CTRL + C) et coller le tout (CTRL + V) dans la prochaine réponse.
  • Une copie de POST_THIS.TXT est sauvegardée dans le répertoire de ServiceFilter.vbs, en cas d'erreur.

Dokiato Member

Dokiato

Posté(e)
  • Auteur
Posté(e) (modifié)

Désoler ,nvm le dossier cétais loger sur l'autre disk dure >.<

Modifié par Dokiato

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...