Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[RESOLU] infections multiples

Arthiesis
 Partager

Messages recommandés

Arthiesis Member

Arthiesis

Posté(e)
Posté(e) (modifié)

bonsoir à tous,

 

Mieux que des mots inutiles, voici par quoi je suis infecté sous forme derapport et en image.

Et oui.......... :P:P c'est ma grande faute je n'avais pas à cliquer sur un lien menant à un "keygen".

Mea Culpa, Mea Maxima Culpa

 

Vous trouvrez, si vous désirez m'aider à éradiquer ces Malware : Le rapport hijackthis, deux screen de spybot assez équivoques et un screen du journal avast.

depuis 2 jours, gros ralentissement et ouverture de pop up intempestifs :P

 

CCleaner et ewido (AVG) sont en ma possession mais je coince sur l'utilisation dans les règles.

 

Par avance je vous remercie car la première fois où celà m'est arrivé (en 2006) vous m'aviez sorti de la M... grâce à vos conseils et aux procédures d'éradiquation que vous m'aviez transmises.

 

Codialement,

 

Hh

 

Rapport hijackthis ( en mode normal, pa en sans echec) :

 

Logfile of HijackThis v1.99.1

Scan saved at 15:24:10, on 02/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\zHotkey.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\RunDll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Documents and Settings\All Users\Application Data\nebyzkdm.exe

C:\WINDOWS\system32\dtsrvcs7.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program Files\eMule\emule.exe

C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Microsoft Office\Office12\WINWORD.EXE

C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE

C:\Program Files\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O4 - HKLM\..\Run: [CHotkey] zHotkey.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nebyzkdm.exe] C:\Documents and Settings\All Users\Application Data\nebyzkdm.exe

O4 - HKLM\..\Run: [svcManager] dtsrvcs7.exe

O4 - HKLM\..\Run: [Genuine] rundll32.exe "C:\WINDOWS\system32\gvlwhpjt.dll",realset

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - HKCU\..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: VideoLink Tray.lnk = C:\Program Files\VideoLink Pro\SMTrayAp.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase9602.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} - file://C:\Program Files\AutoCAD 2002 Fra\AcDcToday.ocx

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://config.zebulon.fr/plugins/hardwaredetection.cab

O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} - http://www.parallelgraphics.com/bin/cortvrml.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

------------------------------------------------------

Screen SPybot :

 

spybot020620071bv1.th.jpg spybot020620072wt6.th.jpg

------------------------------------------------------------

Journal Avast :

 

journalavast02062007tg0.th.png

Modifié par Arthiesis

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir Arthiesis,

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

 

# Suis scrupuleusement cette procédure jusqu'au bout, quoiqu'il arrive ; si quelque chose te semble trop difficile, n'hésite pas à poser des questions, nous sommes là pour t'aider ! :P

# Si une étape s'est avérée impossible à passer, continue quand même et signale-le dans ta prochaine réponse...

 

 

Ta machine est effectivement bien infectée... et ce n'est pas étonnant :P :

lien menant à un "keygen".
C:\Program Files\eMule\emule.exe

--> Les logiciels de p2p (eMule) sont des nids potentiels à infections ; pour t'en convaincre, lis l'excellent article de tesgaz

 

 

1) Télécharge SmitFraudFix

 

 

---> Dézippe la totalité de l'archive sur ton bureau

---> Double-clique sur smitfraudfix.cmd

---> Sélectionne "1" dans le menu pour créer un rapport des fichiers responsables de l'infection.

---> Sauvegarde ce rapport et poste-le

 

 

2) Télécharge Combofix de sUBs

  • Ferme toutes les fenêtres
  • Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre)
  • Appuie sur Y pour lancer le scan
  • A la fin du scan (cela peut prendre du temps), un rapport sera créé
  • Poste ce rapport dans ton / tes prochain(s) message(s)

 

3) Rends-toi sur ce site-ci

  • Clique sur "Parcourir" (comme indiqué sur le dessin) jotti.gif
  • C:\Documents and Settings\All Users\Application Data\nebyzkdm.exe
  • Clique sur "Submit"
  • Copie-colle le rapport dans ta prochaine réponse...

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

 

 

4) Recommence la manipulation #3 avec les fichiers suivants :

  • C:\WINDOWS\system32\gvlwhpjt.dll
  • C:\WINDOWS\system32\dtsrvcs7.exe

 

En résumé, j'attends :

  1. Le rapport de SmitFraudFix
  2. Celui de ComboFix
  3. Les 3 rapports de Jotti

Arthiesis Member

Arthiesis

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour WanaSeb,

 

Tout d'abord merci pour ta réponse et pour ta disponibilité. Pour le P2P. Je sais celà mais quand on est bête voilà ce qui arrive !

 

EN lisant le post de tesgaz, on hallucine et vrai que ça fait fliper va falloir se responsabiliser dans la maisonnée :)

En effet, là j'aurai mieux fait de m'abstenir.

 

Tout ça pour un jeu de 1999 (F22 Lightning 3). J'explique, bien que ce soit inutile mais bon !!

Mon fils (8 ans) veut faire comme moi de la simulation de vol. Je joue avec LockOn, Falcon 4, Tout ce qui est serie IL2 etc.

vu mon install car je suis passionné et d'ailleurs je bosse dans l'aéro. Il veut faire pareil mais mes simulateur pour lui sont un peu chaud alors connaissant un peu F22, me suis dis laisse tomber ce jeu ne vaut plus rien alors j'ai chargé un .ISO mais vu qu'il me fallait une clé voilà mon erreur d'aller chercher un Keygen.

Comme je disais, vu qu'il ne vaut plus rien je ferai mieux de lui trouver sur le net mais en achat d'occase ça aurait été plus intelligent mais la facilité est attirante :P vu le résultat on va réfléchir la prochaine fois :P

 

Dire que j'ai voulu ne pas m'em....der......... M'ouai :P:P:P:P:P:P:P

Vu le temps passer à rédiger scanner etc ce post ben j'ai mon gain de temps qui passe à la trappe et mon début d'après midi du dimanche de mort.

Cet AM cause Fête des mères je dois partir je te lirai ce soir si toutefois tu peux passer ici cet AM.

 

:) Je profite pour souhaiter une bonne fête à toutes les mamandu forum et aux maman des membres du forum :)

 

 

Bon... !

 

SmitFraudFix v2.70

 

Rapport fait à 2:01:58,25, 03/06/2007

Executé à partir de C:\Program Files\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HERVE\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HERVE\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

------------------------------------------------------------

 

Les 3 rapports de Jotti

 

File: nebyzkdm.exe

Status: POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)

MD5 b873c412741b14452125ba3caf8ee7d2

Packers detected: UPX

 

Scan taken on 02 Jun 2007 23:59:28 (GMT)

 

AntiVir Found TR/Crypt.XPACK.Gen

tous les autres Found nothing

 

Last file scanned at least one scanner reported something about: Soft_send_wave.exe (MD5: ae4d3ef651e14124b4dc63e739355b8f, size: 396288 bytes), detected by:

 

Scanner Malware name

 

AVG Antivirus Downloader.Obfuskated

F-Secure Anti-Virus Trojan.Win32.Obfuscated.en

Kaspersky Anti-Virus Trojan.Win32.Obfuscated.en

Rising Antivirus Trojan.FatObfus.q

VirusBuster Adware.Lop.Gen

VBA32 MalwareScope.Trojan-Downloader.Obfuscated.2

----------------------------

File: gvlwhpjt.dll Status: INFECTED/MALWARE MD5 9ef6dc6bfcb57d68f7c1f74cb9dd23c1

Packers detected: VIRTUMONDE, PE_PATCH.UPX, UPX

 

AntiVir Found TR/Vundo.Gen

Dr.Web Found Trojan.Virtumod

Norman Virus Control Found Vundo.gen25

VirusBuster Found Adware.Vundo.Gen!Pac.14

tous les autres Found nothing

 

Last file scanned at least one scanner reported something about: 2.exe (MD5: dd4d907afb5e585450dca1cf3a347be8, size: 621056 bytes), detected by:

Packers detected: PE_PATCH.POLY, PE_PATCH

 

Scanner Malware name

 

F-Secure Anti-Virus Backdoor.Win32.Hupigon.cuw

Kaspersky Anti-Virus Backdoor.Win32.Hupigon.cuw

----------------------------

 

File : dtsrvcs7.exe"Status: INFECTED/MALWARE MD5 8f2d40dda21ab90bda430f8910b94638

 

AntiVir Found TR/FirePass.E

Dr.Web Found BackDoor.Prive

F-Prot Antivirus Found Possibly a new variant of W32/CodeCru-based!Maximus

Kaspersky Anti-Virus Found Backdoor.Win32.Agent.acx

 

Last file scanned at least one scanner reported something about: Logo1_.exe (MD5: 0b78118cb7e7e0bce2a84134b5dc1bea, size: 59120 bytes), detected by:

 

Scanner Malware name

 

A-Squared Worm.Win32.Viking.da

AntiVir TR/Crypt.NSPM.Gen

ArcaVir HLL.Viking.Da

AVG Antivirus Worm/Delf.AFK

BitDefender Trojan.PWS.Delf.DB

ClamAV W32.Philis-5

Dr.Web Win32.HLLW.Gavir.54

F-Prot Antivirus Possibly a new variant of W32/PWStealer1!Generic

F-Secure Anti-Virus Worm.Win32.Viking.da

Fortinet W32/Viking.DA!worm

Kaspersky Anti-Virus Worm.Win32.Viking.da

NOD32 Win32/Viking.CH

Norman Virus Control Viking.gen

Panda Antivirus W32/Viking.FS.drp

Rising Antivirus Worm.Viking.ih

VirusBuster Worm.Viking.FZ

VBA32 MalwareScope.Worm.Viking.5

 

 

J'ai un dtsrvcs7.exe~ sous le premier. Ai joint ce screen :

jotti03062007wg7.th.jpg

 

--------------------------------------------

 

Combofix

 

"HERVE" - 2007-06-03 13:17:12 Service Pack 2

ComboFix 07-05.27.BV - Running from: "C:\Medion\"

 

 

(((((((((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

C:\WINDOWS\system32\sstqp.dll

C:\WINDOWS\system32\dejpqybw.dll

C:\WINDOWS\system32\hhiqbrid.dll

C:\WINDOWS\system32\pmkhi.dll

C:\WINDOWS\system32\vtutr.dll

C:\WINDOWS\system32\fcccyxv.dll

C:\WINDOWS\system32\mljhedc.dll

C:\WINDOWS\system32\winzzc32.dll

C:\WINDOWS\system32\pqtss.ini

C:\WINDOWS\system32\tttss.bak1

C:\WINDOWS\system32\tttss.bak2

C:\WINDOWS\system32\tttss.ini

C:\WINDOWS\system32\ihkmp.ini

C:\WINDOWS\system32\rtutv.ini

C:\WINDOWS\system32\tttss.bak1

C:\WINDOWS\system32\tttss.bak2

C:\WINDOWS\system32\tttss.ini

C:\WINDOWS\system32\ssttt.dll

C:\WINDOWS\system32\khfdabb.dll

 

 

* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

 

 

 

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

"C:\Program Files\Fichiers communs\Yazzle1162OinUninstaller.exe"

"C:\WINDOWS\system32\packet.dll"

"C:\WINDOWS\system32\pthreadVC.dll"

"C:\WINDOWS\system32\wanpacket.dll"

"C:\WINDOWS\system32\wpcap.dll"

"C:\WINDOWS\system32\nvs2.inf"

"C:\WINDOWS\system32\drivers\npf.sys"

 

 

((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

-------\LEGACY_NM

-------\LEGACY_NPF

-------\nm

-------\NPF

 

 

((((((((((((((((((((((((((((((( Files Created from 2007-05-03 to 2007-06-03 ))))))))))))))))))))))))))))))))))

 

 

2007-06-03 01:32 2,580 --a------ C:\WINDOWS\system32\xmpgvuyd.exe

2007-06-02 13:12 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-06-02 13:10 <REP> d-------- C:\Program Files\CCleaner

2007-06-02 12:40 33,302 --a------ C:\WINDOWS\system32\fccaayw.dll

2007-06-02 01:11 131,124 --a------ C:\WINDOWS\system32\gvlwhpjt.dll

2007-06-02 01:08 2,580 --a------ C:\WINDOWS\system32\ipwihump.exe

2007-06-02 00:58 61,096 --a------ C:\WINDOWS\system32\xpdx.sys

2007-06-02 00:58 43,656 --a------ C:\WINDOWS\system32\dtsrvcs7.exe

2007-06-02 00:56 57,344 --a--c--- C:\DOCUME~1\ALLUSE~1\APPLIC~1\nebyzkdm.exe

2007-06-02 00:55 33,302 --a------ C:\WINDOWS\system32\nnnnolk.dll

2007-06-01 22:16 <REP> d-------- C:\Program Files\NovaLogic

2007-05-31 16:03 5,888 --------- C:\WINDOWS\system32\drivers\imagedrv.sys

2007-05-31 16:03 127,488 --------- C:\WINDOWS\system32\drivers\imagesrv.sys

2007-05-29 21:01 47,251 --a------ C:\WINDOWS\BricoPackUninst.cmd

2007-05-29 20:59 2,150 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd

2007-05-29 20:58 <REP> d-------- C:\WINDOWS\BricoPacks

2007-05-29 13:02 <REP> d-------- C:\Program Files\JPA

2007-05-24 23:57 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2007-05-24 23:57 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2007-05-24 23:57 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2007-05-24 23:57 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2007-05-24 23:57 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2007-05-24 23:56 95,872 --a------ C:\WINDOWS\system32\AVASTSS.scr

2007-05-24 23:56 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe

2007-05-24 13:37 13,266,944 --a------ C:\Documents and Settings\HERVE\ntuser.dat

2007-05-24 13:37 13,266,944 --a------ C:\DOCUME~1\HERVE\ntuser.dat

2007-05-17 21:39 <REP> d----c--- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Azureus

2007-05-17 21:39 <REP> d-------- C:\DOCUME~1\HERVE\APPLIC~1\Azureus

2007-05-09 22:38 <REP> d-------- C:\Program Files\eMule

2007-05-09 21:00 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe

2007-05-09 20:59 <REP> d-------- C:\Program Files\ATI Technologies

2007-05-09 12:57 <REP> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2

2007-05-05 18:55 <REP> d----c--- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater

2007-05-04 23:19 <REP> d-------- C:\WINDOWS\system32\GroupPolicy

 

 

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

 

2007-06-03 11:28:37 -------- d-----w C:\Program Files\Wanadoo

2007-06-03 00:02:00 -------- d-----w C:\Program Files\SmitfraudFix

2007-06-02 21:54:51 -------- d-----w C:\Program Files\HyperLobbyPro3

2007-06-02 12:59:31 -------- d-----w C:\Program Files\Yahoo!

2007-06-01 17:21:12 -------- d-----w C:\DOCUME~1\HERVE\APPLIC~1\Vso

2007-05-31 22:00:00 -------- d-----w C:\Program Files\SpeedFan

2007-05-31 14:13:08 -------- d-----w C:\DOCUME~1\HERVE\APPLIC~1\Ahead

2007-05-31 14:06:59 -------- d-----w C:\Program Files\Ahead

2007-05-29 11:02:50 -------- d--h--w C:\Program Files\InstallShield Installation Information

2007-05-29 09:11:55 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll

2007-05-24 13:58:32 -------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2007-05-24 13:58:31 -------- d-----w C:\DOCUME~1\HERVE\APPLIC~1\Symantec

2007-05-09 19:02:06 -------- d-----w C:\DOCUME~1\HERVE\APPLIC~1\ATI

2007-05-05 16:55:05 -------- d-----w C:\Program Files\Google

2007-05-04 21:50:20 28 ----a-w C:\AUTOEXEC.BAT

2007-05-01 16:09:17 -------- d-----w C:\Program Files\Ubisoft

2007-04-30 21:01:05 -------- d-----w C:\Program Files\Ubi Soft

2007-04-28 20:49:46 -------- d-----w C:\DOCUME~1\HERVE\APPLIC~1\teamspeak2

2007-04-25 19:09:08 -------- d-----w C:\DOCUME~1\HERVE\APPLIC~1\Skype

2007-04-21 17:10:20 90,214 ----a-w C:\WINDOWS\system32\perfh00C.dat

2007-04-21 17:10:20 34,356 ----a-w C:\WINDOWS\system32\perfc00C.dat

2007-04-21 14:15:46 -------- d-----w C:\Program Files\Microsoft Works

2007-04-21 14:15:28 -------- d-----w C:\Program Files\MSBuild

2007-04-21 14:14:08 -------- d-----w C:\Program Files\Microsoft.NET

2007-04-21 14:10:39 -------- d-----w C:\Program Files\Microsoft Visual Studio 8

2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll

2007-04-15 17:27:40 11,973 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2007-04-10 20:22:01 -------- d-----w C:\Program Files\CyberMUT

2007-04-08 13:02:00 -------- d-----w C:\Program Files\Dactylo

2007-03-25 21:14:52 127,034 ------r C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe

2007-03-17 13:44:47 431,616 ----a-w C:\WINDOWS\system32\winsrv.dll

2007-03-15 01:58:38 315,392 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll

2007-03-15 01:57:34 267,776 ----a-w C:\WINDOWS\system32\ati2dvag.dll

2007-03-15 01:55:38 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll

2007-03-15 01:50:39 122,880 ----a-w C:\WINDOWS\system32\atipdlxx.dll

2007-03-15 01:50:27 114,688 ----a-w C:\WINDOWS\system32\Oemdspif.dll

2007-03-15 01:50:19 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe

2007-03-15 01:50:12 42,496 ----a-w C:\WINDOWS\system32\ati2edxx.dll

2007-03-15 01:49:59 114,688 ----a-w C:\WINDOWS\system32\ati2evxx.dll

2007-03-15 01:48:39 450,560 ----a-w C:\WINDOWS\system32\ati2evxx.exe

2007-03-15 01:47:52 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL

2007-03-15 01:40:10 2,820,544 ----a-w C:\WINDOWS\system32\ati3duag.dll

2007-03-15 01:29:47 1,315,712 ----a-w C:\WINDOWS\system32\ativvaxx.dll

2007-03-15 01:29:32 3,107,788 ----a-w C:\WINDOWS\system32\ativvaxx.dat

2007-03-15 01:19:32 5,402,624 ----a-w C:\WINDOWS\system32\atioglxx.dll

2007-03-15 01:16:14 258,048 ----a-w C:\WINDOWS\system32\atikvmag.dll

2007-03-15 01:14:43 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll

2007-03-15 01:10:28 356,352 ----a-w C:\WINDOWS\system32\ati2cqag.dll

2007-03-08 15:37:50 578,560 ----a-w C:\WINDOWS\system32\user32.dll

2007-03-08 15:37:50 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll

2007-03-08 15:37:50 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll

2007-03-08 15:33:58 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys

2007-03-06 22:04:53 143,676 ----a-w C:\WINDOWS\system32\atiicdxx.dat

2005-11-08 19:23:22 56 --sha-r C:\WINDOWS\system321B1FCD008.sys

2004-12-06 12:32:46 8 --sha-r C:\WINDOWS\system32\AD312A130D.sys

 

 

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04]

{72853161-30C5-4D22-B7F9-0BBC1D38A37E}=C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL [2006-10-27 00:48]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]

{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\program files\google\googletoolbar4.dll [2007-01-20 00:56]

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll [2007-04-12 18:31]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CHotkey"="zHotkey.exe" []

"AGRSMMSG"="AGRSMMSG.exe" []

"Cmaudio"="cmicnfg.cpl" []

"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49]

"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]

"nebyzkdm.exe"="C:\Documents and Settings\All Users\Application Data\nebyzkdm.exe" [2007-06-02 00:56]

"SvcManager"="dtsrvcs7.exe" [2007-06-02 00:59 C:\WINDOWS\system32\dtsrvcs7.exe]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 14:50]

"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-03-26 06:40]

"@"="" []

"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35]

"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:59]

"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2006-09-15 13:27]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL" [2006-10-27 00:48]

"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2006-09-28 16:13]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Color Calibration.lnk]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hpoddt01.exe.lnk]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech Desktop Messenger.lnk]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech SetPoint.lnk]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Desktop Search.lnk]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^HERVE^Menu Démarrer^Programmes^Démarrage^BOINC Manager.lnk]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^HERVE^Menu Démarrer^Programmes^Démarrage^NetAnalyse.lnk]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^HERVE^Menu Démarrer^Programmes^Démarrage^OneNote 2007 - Capture d'écran et lancement.lnk]

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!ewido]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]

RunDll32 cmicnfg.cpl,CMICtrlWnd

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

C:\WINDOWS\system32\CTFMON.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]

Dit.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoComputer]

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eoEngine]

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoNet]

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eoWeather]

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]

"C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

"C:\Program Files\iTunes\iTunesHelper.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]

KHALMNPR.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

%systemroot%\system32\dumprep 0 -k

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Livecom]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]

"C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]

"C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

C:\WINDOWS\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

RunDLL32.exe NvMCTray.dll,NvTaskbarInit

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

nwiz.exe /install

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]

"C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Profiler]

C:\Program Files\Saitek\Software\Profiler.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

"C:\Program Files\QuickTime\qttask.exe" -atboottime

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SaiMfd]

C:\Program Files\Saitek\Software\SaiMfd.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SaiSmart]

C:\Program Files\Saitek\Software\SaiSmart.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmartPCXL]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]

"C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]

C:\Program Files\Windows Media Player\WMPNSCFG.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"Boonty Games"=3 (0x3)

"mi-raysat_3dsmax8"=2 (0x2)

"Macromedia Licensing Service"=3 (0x3)

"iPodService"=3 (0x3)

"Autodesk Licensing Service"=2 (0x2)

"EPSONStatusAgent2"=2 (0x2)

"BBDemon"=2 (0x2)

"NVSvc"=2 (0x2)

"BlueSoleil Hid Service"=2 (0x2)

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*

 

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

AutoRun\command- F:\autorun\autorun.exe

 

 

********************************************************************

 

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-06-03 13:28:10

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

 

********************************************************************

 

Completion time: 2007-06-03 13:30:15 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-06-03 13:30

 

--- E O F ---

Modifié par Arthiesis
WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour Arthiesis,

 

*** Ton PC est vraiment bien infecté ! Même si nous parvenons à tout nettoyer, il n'est pas certain que nous pourrons récupérer toutes les fonctionnalités de ta machine... Je te conseille donc de sauvegarder sur un autre support tes données importantes ***

 

1) Ta version de SmitFraudFix est dépassée (nous en sommes à la 2.190 !)

----> Retélécharge la dernière version, supprime l'ancienne et poste-moi un rapport avec la nouvelle...

 

 

2) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  1. Double-clique VundoFix.exe afin de le lancer
  2. Clique sur le bouton Scan for Vundo
  3. Lorsque le scan est complété, clique sur le bouton Remove Vundo
  4. Une invite te demandera si tu veux supprimer les fichiers, clique YES
  5. Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  6. Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  7. Copie/colle le contenu du rapport situé dans C:\vundofix.txt sur ce forum

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

 

3) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes :

  • Désinstalle (si présent) tout ce qui finit par "BY OIN"

----> C'est un nid à adware's, à éviter !!!

 

 

4) Télécharge OTMoveIt de OldTimer. Sauvegarde-le sur ton Bureau.

 

Copie le texte en citation ci-dessous (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

 

C:\WINDOWS\system32\gvlwhpjt.dll

C:\WINDOWS\system32\dtsrvcs7.exe

C:\Documents and Settings\All Users\Application Data\nebyzkdm.exe

  • Double-clique sur OTMoveIt.exe afin de lancer le programme
  • Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée
  • Fais un Clic-droit sur le cadre de gauche puis choisis Coller
  • Clique à présent sur le bouton "MoveIt!"
  • Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ (Le nom du rapport est la date de sa création)
  • Poste ce rapport stp...

 

5) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles !

 

- Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

  • Windows Temp
  • Current User Temp
  • All Users Temp
  • Cookies
  • Temporary Internet Files
  • Prefetch
  • Java Cache
  • Recycle Bin

- Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

 

6) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

Poste donc dans ta prochaine réponse les rapports suivants :

  1. SmitFraudFix généré avec la nouvelle version
  2. VundoFix
  3. MoveIt!
  4. Kaspersky

 

Bon travail à toi !! :P

Arthiesis Member

Arthiesis

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonsoir Wanaseb,

 

En cette heure tardive, je viens poster quelques rapports :P

 

- Le premier, j'avais oublié de le mettre ce midi, il s'agit de : "ComboFix-quarantined-files".

 

- Le second, il s'agit du rapport de : "AVG Anti-Spyware" . Je l'avais lancé avant de partir, il a travaillé 3h45 en mode sans échec. Bon il est vrai que les infections sont maintenant localisées mais vu que personne n'avait besoin du pc autant qu'il scanne :)

J'ai également programmer une tâche pour Avast dans la foulée et bien qu'il ai mis autant de temps il n'a rien trouvé mais celà m'étonne à moitié car lors des alertes je lui demandait de supprimer ce qu'il trouvait. De ce fait (je n'en suis pas sûr du tout) je pense qu'il ne fait plus ressortir ces infections. Je ne poste pas de rapport car il n'y a rien de spécial....!

 

- Le troisième est celui que je vient d'obtenir en passant "VundoFix.exe". Il n'a pas trouvé de fichier qu'il n'a su éradiquer.

 

- Le quatrième est le rapport effectué avec la dernière version de "SmitFraudFix 2.190 ". POur ce dernier, une fois mon rapport posté, je comptais passer au nettoyage, etc. Le tout en mode Sans échec. mais......:P je ne pense pas que ça puisse faire de mal mais bon ce que je pensais en cherchant mon Keygen me donne tellement de taf inutile (ainsi qu'à toi) que là je suis vacciné pour de longues années, on ne m'y reprendra plus !! :P

Je vais plutôt attendre que tu me dise de le faire :P

 

- Le cinquième est celui de "OTMoveIt" et je n'ai fait que copier le rapport, je n'ai rien supprimé (pas de clic sur "CleanUp".

 

- Sixièmement, un screen de "ATFCleaner" qui ne m'a pas proposé toutes les options que tu m'a citées. Certaines lignes étaient noircies.

 

- Pour ce qui est des By OIN, rien de tout ça dans AJout/Suppression de Pg.

 

Donc voilà pour ce soir, je continue à respecter tes indications dès demain. Je suis en congé mais bon là c'est de la punition :P:P au lieu d'aller pêcher un peu plus tôt ou autre moments de détente, me voilà à essayer la désinfection :)

Je crois que je vais en profiter pour faire un BIG nettoyage et désinstaller tout ce qui est inutile. Bien sûr après désinfection, le principal serait que je parvienne à éviter de formater :P Pas de HDD externe, du moins pas encore et pour sauvegarder tout ce que j'ai il me faut au moins ça !!!

Aller je me le promet,........., c'est mon prochain achat et là je ferai un reset TOTAL :P

 

Je ne pense pas que tu verras mon post ce soir mais je te souhaite une bonne nuit.

 

Cdt,

 

Hervé

 

PS : le 6° Je poste ça demain, le scan en ligne va durer au moins 3 heures comme les Antivirus classiques je lance demain matin.

Encore merci pour ton aide et ta disponibilité :P

 

***************************************************************************

 

-1- ComboFix-quarantined-files

2004-01-15 06:01	  53299	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\pthreadVC.dll.vir
2004-10-29 15:13	  61440	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\wanpacket.dll.vir
2004-10-29 15:13	  81920	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\packet.dll.vir
2004-10-29 15:14	  32000	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\npf.sys.vir
2004-10-29 15:29	  221184	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\wpcap.dll.vir
2006-06-25 19:43	  22	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\nvs2.inf.vir
2007-06-02 00:55	  18944	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\winzzc32.dll.vir
2007-06-02 00:55	  29206	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\khfdabb.dll.vir
2007-06-02 00:59	  29206	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\fcccyxv.dll.vir
2007-06-02 01:02	  29206	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\mljhedc.dll.vir
2007-06-02 01:07	  263220	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\pmkhi.dll.vir
2007-06-02 01:07	  263220	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\sstqp.dll.vir
2007-06-02 01:07	  263220	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\ssttt.dll.vir
2007-06-02 01:07	  263220	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\vtutr.dll.vir
2007-06-02 01:07	  353	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\ihkmp.ini.vir
2007-06-02 01:07	  353	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\pqtss.ini.vir
2007-06-02 01:07	  353	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\rtutv.ini.vir
2007-06-02 01:08	  668001	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\tttss.bak1.vir
2007-06-02 01:11	  50740	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\dejpqybw.dll.vir
2007-06-02 12:40	  40183	--a------	C:\Qoobox\Quarantine\C\Program Files\Fichiers communs\Yazzle1162OinUninstaller.exe.vir
2007-06-03 01:30	  680551	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\tttss.bak2.vir
2007-06-03 01:36	  125460	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\hhiqbrid.dll.vir
2007-06-03 13:24	  1308	--a--c---	C:\Qoobox\Quarantine\Registry_backups\LEGACY_NM.reg.cf
2007-06-03 13:24	  1326	--a--c---	C:\Qoobox\Quarantine\Registry_backups\LEGACY_NPF.reg.cf
2007-06-03 13:24	  13792	--a--c---	C:\Qoobox\Quarantine\Registry_backups\services_nm.reg.cf
2007-06-03 13:24	  2418	--a--c---	C:\Qoobox\Quarantine\Registry_backups\services_NPF.reg.cf
2007-06-03 13:25	  680733	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\tttss.ini.vir

Structure du dossier pour le volume BOOT
Le num‚ro de s‚rie du volume est B8A4-2C91
C:\QOOBOX
\---Quarantine
+---C
|   +---Program Files
|   |   \---Fichiers communs
|   |		   Yazzle1162OinUninstaller.exe.vir
|   |		   
|   \---WINDOWS
|	   \---system32
|		   |   dejpqybw.dll.vir
|		   |   fcccyxv.dll.vir
|		   |   hhiqbrid.dll.vir
|		   |   ihkmp.ini.vir
|		   |   khfdabb.dll.vir
|		   |   mljhedc.dll.vir
|		   |   nvs2.inf.vir
|		   |   packet.dll.vir
|		   |   pmkhi.dll.vir
|		   |   pqtss.ini.vir
|		   |   pthreadVC.dll.vir
|		   |   rtutv.ini.vir
|		   |   sstqp.dll.vir
|		   |   ssttt.dll.vir
|		   |   tttss.bak1.vir
|		   |   tttss.bak2.vir
|		   |   tttss.ini.vir
|		   |   vtutr.dll.vir
|		   |   wanpacket.dll.vir
|		   |   winzzc32.dll.vir
|		   |   wpcap.dll.vir
|		   |   
|		   \---drivers
|				   npf.sys.vir
|				   
\---Registry_backups
		LEGACY_NM.reg.cf
		LEGACY_NPF.reg.cf
		services_nm.reg.cf
		services_NPF.reg.cf

Sur C:\\ j'ai un dossier nommé "QooBox". Il a été généré par ComboFix, sa structure est celle décrite dans le rapport ci-dessus.

*****************************************************************************

 

---------------------------------------------------------

-2- AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 + Créé à:	23:08:34 03/06/2007

+ Résultat de l'analyse:	

HKU\S-1-5-21-2533185640-2501297013-1667897156-1006\Software\Microsoft\Windows\ShellNoRoam\BagMRU\17\52\\MRUListEx -> Adware.RogueSuspect : Ignoré.
C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057032.exe/crack.exe -> Adware.Virtumonde : Ignoré.
C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057026.exe -> Downloader.LoadAdv : Ignoré.
C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057032.exe/keygen.exe -> Downloader.LoadAdv : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@adtech[2].txt -> TrackingCookie.Adtech : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@advertising[2].txt -> TrackingCookie.Advertising : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@adviva[2].txt -> TrackingCookie.Adviva : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@atdmt[1].txt -> TrackingCookie.Atdmt : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@bluestreak[2].txt -> TrackingCookie.Bluestreak : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@doubleclick[1].txt -> TrackingCookie.Doubleclick : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@estat[1].txt -> TrackingCookie.Estat : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@fastclick[2].txt -> TrackingCookie.Fastclick : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@findwhat[1].txt -> TrackingCookie.Findwhat : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@banner.goldenpalace[2].txt -> TrackingCookie.Goldenpalace : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@goldenpalace[2].txt -> TrackingCookie.Goldenpalace : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@mediaplex[1].txt -> TrackingCookie.Mediaplex : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@overture[2].txt -> TrackingCookie.Overture : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@www.paypal[1].txt -> TrackingCookie.Paypal : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@serving-sys[2].txt -> TrackingCookie.Serving-sys : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\HERVE\Cookies\herve@zedo[1].txt -> TrackingCookie.Zedo : Ignoré.
C:\Documents and Settings\All Users\Documents\LOG\Macromedia\macromedia.fireworks.mx.2004.7.0.crack-rev.exe -> Trojan.Feutel.av : Ignoré.
C:\Program Files\Dassault Systemes\B14\intel_a\resources\msgcatalog\German\CATMMediaCaptureSizeDialog.CATNls -> Trojan.Runner.i : Ignoré.

Fin du rapport

******************************************************************************

 

-3- VundoFix V6.4.2

Checking Java version...

Java version is 1.4.2.5
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.2
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 23:23:40 03/06/2007

Listing files found while scanning....

C:\WINDOWS\system32\fccaayw.dll
C:\WINDOWS\system32\gvlwhpjt.dll
C:\WINDOWS\system32\nnnnolk.dll
C:\WINDOWS\system32\tjphwlvg.ini

Beginning removal...

Attempting to delete C:\WINDOWS\system32\fccaayw.dll
C:\WINDOWS\system32\fccaayw.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\gvlwhpjt.dll
C:\WINDOWS\system32\gvlwhpjt.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\nnnnolk.dll
C:\WINDOWS\system32\nnnnolk.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\tjphwlvg.ini
C:\WINDOWS\system32\tjphwlvg.ini Has been deleted!

Performing Repairs to the registry.
Done!

*******************************************************************************

 

-4- SmitFraudFix v2.191

Rapport fait à  0:20:42,01, 04/06/2007
Executé à partir de C:\Program Files\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\All Users\Application Data\nebyzkdm.exe
C:\WINDOWS\system32\dtsrvcs7.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HERVE
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HERVE\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HERVE\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32-xpdt

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA Rhine III Fast Ethernet Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D40FF76C-7DAD-480A-810F-2B22D3868A97}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D40FF76C-7DAD-480A-810F-2B22D3868A97}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D40FF76C-7DAD-480A-810F-2B22D3868A97}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

****************************************************************************

 

-5- OTMoveIt

File/Folder C:\WINDOWS\system32\gvlwhpjt.dll not found.
C:\WINDOWS\system32\dtsrvcs7.exe moved successfully.
C:\Documents and Settings\All Users\Application Data\nebyzkdm.exe moved successfully.

Created on 06/04/2007 00:39:40

****************************************************************************

 

-6- ATF Cleaner

 

atfcleaneryn0.th.jpg

Modifié par Arthiesis
WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir Arthiesis,

 

*** Tout se passe à merveille ! *** :P

 

 

"SmitFraudFix 2.190 ". POur ce dernier, une fois mon rapport posté, je comptais passer au nettoyage

--> Le passage de SmitFraudFix risque de supprimer ton fond d'écran, je ne pense pas que cela soit nécessaire !

 

 

Le cinquième est celui de "OTMoveIt" et je n'ai fait que copier le rapport, je n'ai rien supprimé (pas de clic sur "CleanUp".

--> Parfait, nous utiliserons l'option "CleanUp" en dernier lieu... Tu as fait ce qu'il fallait !

 

 

un screen de "ATFCleaner" qui ne m'a pas proposé toutes les options que tu m'a citées. Certaines lignes étaient noircies.

--> As-tu quand même fait ceci

Clique sur Empty Selected et au message "Done Cleaning" sur Ok
pour les autres options ? Au vu de tes rapports, je pense que oui...

 

 

Sur C:\\ j'ai un dossier nommé "QooBox".

--> Normal, tu étais infecté par une variante de Qoologic, nous supprimerons ce dossier en fin de désinfection...

 

 

 

# Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir...

  1. Télécharge la dernière version de Java Runtime Environment (JRE) 6.
  2. Descends sur la page jusqu'à "Java Runtime Environment (JRE) 6u1, The Java SE Runtime Environment (JRE) allows end-users to run Java applications".
  3. Clique sur "Download", à droite
  4. Coche la case et accepte la license
  5. La page se recharge
  6. Clique sur le lien pour télécharger l'installation hors ligne [Windows] et enregistre le fichier sur ton bureau
  7. Ferme tous tes programmes (surtout les navigateurs Internet)
  8. Clique sur "démarrer", "panneau de configuration", "ajout/suppression de programmes" et désinstalle toutes les anciennes versions de JAVA
  9. Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)".
  10. Clique sur le bouton "modifier / supprimer"
  11. Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA
  12. Redémarre ta machine
  13. Après le reboot, clique sur jre-6u1-windows-i586-p.exe pour installer la nouvelle version... suis les instructions à l'écran

 

J'attends donc maintenant :

 

- La confirmation que tu as bien mis à jour ta console JAVA

- Le rapport Kaspersky en ligne

- Un nouveau log HijackThis

 

Courage, nous sommes presque arrivés au bout ! :P

Arthiesis Member

Arthiesis

Posté(e)
  • Auteur
Posté(e)

Bonsoir Wanaseb,

 

MAJ console JAVA :

jdk-6u1-windows-i586-p.exe

 

Je la realise tout de suite après ce message.

Il est vrai que depuis un moment je suis relativement laxiste concernat les MAJ de certaines applications comme celle-ci. Tout ça me permets de me remettre à jour, on trouve au moins un point positif à ma bétise :P

 

CITATION

--> As-tu quand même fait ceci

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

Oui, j'ai suivi scrupuleusement toutes tes indications. Bon j'avoue que parfois je lis vite et que j'applique mal alors on mettra quand même une réserve bien que cette fois je relis 2 ou trois fois avant d'agir.

Je suis sûr de moi mais :

Peut-on réexécuter l'opération pour être certain que je lique sur empty, etc....... ??

 

Excuse moi de te faire attendre pour le rapport en ligne, je le lance et posterai le rapport dans la soirée. Je n'ai pas vraiment d'excuse mais mon PC tourne fort (histoire de ventilo à changer car bas de gamme) et j'avais du monde. Je ne voulais pas imposer mon aspirateur à mes invités.

 

Il a toujours fait ça, il tourne vite dès 60° d'après speedfan. A 4000/trs c'est infernal et lorsqu'une application il s'envole -lol-

 

Je te décrirai ma config quand on aura fini et tu verra qu'il est dommage d'avoir ce bruit de ventilo lors de jeux ou de visionnage de film via PowerCinema ou même WMP.

 

Bon le pc est de 2005 donc fait largement mieux actuellement mais je n'ai jamais eu à me plaindre mis à part l'acquisition d'une CG pour la gestion du shader 3.0. oh je m'écarte là !!

 

Donc je poste dès que le scan est terminé.

 

a+ et merci Wanaseb

 

Herrvé ou Véver (lol)

Arthiesis Member

Arthiesis

Posté(e)
  • Auteur
Posté(e) (modifié)

Voilà le rapport de Kapersky en ligne, aie aie il en reste. M'ouai suis bien malade :P:P

 

Monday, June 04, 2007 11:04:17 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 4/06/2007
Enregistrements dans la base antivirus Kaspersky : 339533


Paramètres d'analyse 
Analyser avec la base antivirus suivante étendue 
Analyser les archives vrai 
Analyser les bases de messagerie vrai 

Cible de l'analyse Poste de travail 
A:\
C:\
D:\
E:\
F:\
G:\
I:\
J:\
K:\  

Statistiques de l'analyse 
Total d'objets analysés 294603 
Nombre de virus trouvés 13 
Nombre d'objets infectés 42 / 0 
Nombre d'objets suspects 2 
Durée de l'analyse 02:47:48 



C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat  L'objet est verrouillé  ignoré  

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat  L'objet est verrouillé  ignoré  

C:\Documents and Settings\HERVE\Cookies\index.dat  L'objet est verrouillé  ignoré  

C:\Documents and Settings\HERVE\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat  L'objet est verrouillé  ignoré  

C:\Documents and Settings\HERVE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  

C:\Documents and Settings\HERVE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  

C:\Documents and Settings\HERVE\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  

C:\Documents and Settings\HERVE\Local Settings\Historique\History.IE5\MSHist012007060420070605\index.dat  L'objet est verrouillé  ignoré  

C:\Documents and Settings\HERVE\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  

C:\Documents and Settings\HERVE\ntuser.dat  L'objet est verrouillé  ignoré  

C:\Documents and Settings\HERVE\ntuser.dat.LOG  L'objet est verrouillé  ignoré  

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  

C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat  L'objet est verrouillé  ignoré  

C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat  L'objet est verrouillé  ignoré  

C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat  L'objet est verrouillé  ignoré  

C:\Documents and Settings\LocalService\NTUSER.DAT  L'objet est verrouillé  ignoré  

C:\Documents and Settings\LocalService\ntuser.dat.LOG  L'objet est verrouillé  ignoré  

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  

C:\Documents and Settings\NetworkService\NTUSER.DAT  L'objet est verrouillé  ignoré  

C:\Documents and Settings\NetworkService\ntuser.dat.LOG  L'objet est verrouillé  ignoré  

C:\Medion\nero\Nero-6.6.1.15a.exe/Toolbar.exe  Infecté : not-a-virus:AdTool.Win32.MyWebSearch  ignoré  

C:\Medion\nero\Nero-6.6.1.15a.exe  RAR: infecté - 1  ignoré  

C:\Medion\securité\pg_zip\SmitfraudFix.zip/SmitfraudFix/Reboot.exe  Infecté : not-a-virus:RiskTool.Win32.Reboot.f  ignoré  

C:\Medion\securité\pg_zip\SmitfraudFix.zip  ZIP: infecté - 1  ignoré  

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat  L'objet est verrouillé  ignoré  

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db  L'objet est verrouillé  ignoré  

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws  L'objet est verrouillé  ignoré  

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log  L'objet est verrouillé  ignoré  

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log  L'objet est verrouillé  ignoré  

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\chandir.dat  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\chandir.idx  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\chn.dat  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\chn.idx  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\D0000000.FCS  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\inuse.txt  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\L0000005.FCS  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\main.log  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\prs.dat  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\prs.idx  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\prs_die.dat  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\prs_die.idx  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\prs_dnd.dat  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\prs_dnd.idx  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\prs_ext.dat  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\prs_ext.idx  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\prs_rcv.dat  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\prs_rcv.idx  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\storydb.dat  L'objet est verrouillé  ignoré  

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\HERVE\Data\storydb.idx  L'objet est verrouillé  ignoré  

C:\Program Files\SmitfraudFix\Reboot.exe  Infecté : not-a-virus:RiskTool.Win32.Reboot.f  ignoré  

C:\QooBox\Quarantine\C\WINDOWS\system32\dejpqybw.dll.vir  Infecté : Trojan.Win32.BHO.bd  ignoré  

C:\QooBox\Quarantine\C\WINDOWS\system32\fcccyxv.dll.vir  Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp  ignoré  

C:\QooBox\Quarantine\C\WINDOWS\system32\hhiqbrid.dll.vir  Suspect : Packed.Win32.Morphine.a  ignoré  

C:\QooBox\Quarantine\C\WINDOWS\system32\khfdabb.dll.vir  Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp  ignoré  

C:\QooBox\Quarantine\C\WINDOWS\system32\mljhedc.dll.vir  Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp  ignoré  

C:\QooBox\Quarantine\C\WINDOWS\system32\pmkhi.dll.vir  Infecté : not-a-virus:AdWare.Win32.Virtumonde.fp  ignoré  

C:\QooBox\Quarantine\C\WINDOWS\system32\sstqp.dll.vir  Infecté : not-a-virus:AdWare.Win32.Virtumonde.fp  ignoré  

C:\QooBox\Quarantine\C\WINDOWS\system32\ssttt.dll.vir  Infecté : not-a-virus:AdWare.Win32.Virtumonde.fp  ignoré  

C:\QooBox\Quarantine\C\WINDOWS\system32\vtutr.dll.vir  Infecté : not-a-virus:AdWare.Win32.Virtumonde.fp  ignoré  

C:\QooBox\Quarantine\C\WINDOWS\system32\winzzc32.dll.vir  Infecté : Trojan.Win32.Dialer.qn  ignoré  

C:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057026.exe  Infecté : Trojan-Downloader.Win32.LoadAdv.gen  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057032.exe/data.rar/keygen.exe  Infecté : Trojan-Downloader.Win32.LoadAdv.gen  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057032.exe/data.rar/crack.exe  Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057032.exe/data.rar/serial.exe  Infecté : Trojan.Win32.Dialer.qn  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057032.exe/data.rar  Infecté : Trojan.Win32.Dialer.qn  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057032.exe  RarSFX: infecté - 4  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057044.exe  Infecté : Backdoor.Win32.Agent.acx  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057045.exe  Infecté : Trojan-Downloader.Win32.Tiny.he  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057547.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.fp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057548.dll  Infecté : Trojan.Win32.BHO.bd  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057549.dll  Suspect : Packed.Win32.Morphine.a  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057550.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.fp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057551.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.fp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057552.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057553.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057554.dll  Infecté : Trojan.Win32.Dialer.qn  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057563.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.fp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057564.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057653.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.bq  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057654.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.kg  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057655.dll  Infecté : not-a-virus:AdWare.Win32.Virtumonde.bq  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP132\A0057675.exe  Infecté : not-a-virus:RiskTool.Win32.Reboot.f  ignoré  

C:\System Volume Information\_restore{B9E2A72D-1A55-435B-94E6-503D13FAC150}\RP136\change.log  L'objet est verrouillé  ignoré  

C:\VundoFix Backups\fccaayw.dll.bad  Infecté : not-a-virus:AdWare.Win32.Virtumonde.bq  ignoré  

C:\VundoFix Backups\gvlwhpjt.dll.bad  Infecté : not-a-virus:AdWare.Win32.Virtumonde.kg  ignoré  

C:\VundoFix Backups\nnnnolk.dll.bad  Infecté : not-a-virus:AdWare.Win32.Virtumonde.bq  ignoré  

C:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouillé  ignoré  

C:\WINDOWS\SchedLgU.Txt  L'objet est verrouillé  ignoré  

C:\WINDOWS\SoftwareDistribution\EventCache\{F9DA01D5-644F-4813-AC58-E805161E78EC}.bin  L'objet est verrouillé  ignoré  

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  L'objet est verrouillé  ignoré  

C:\WINDOWS\Sti_Trace.log  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\ACEEvent.evt  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\Antivirus.Evt  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\default  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\default.LOG  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\Internet.evt  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\ODiag.evt  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\OSession.evt  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\SAM  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\SECURITY  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\software  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\software.LOG  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\system  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\config\system.LOG  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\dtsrvcs7.exe~  Infecté : Backdoor.Win32.Agent.acx  ignoré  

C:\WINDOWS\system32\h323log.txt  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\ipwihump.exe  Infecté : Trojan.Win32.Agent.anr  ignoré  

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  L'objet est verrouillé  ignoré  

C:\WINDOWS\system32\xmpgvuyd.exe  Infecté : Trojan.Win32.Agent.anr  ignoré  

C:\WINDOWS\system32\xpdx.sys  L'objet est verrouillé  ignoré  

C:\WINDOWS\Temp\Perflib_Perfdata_650.dat  L'objet est verrouillé  ignoré  

C:\WINDOWS\Temp\_avast4_\Webshlock.txt  L'objet est verrouillé  ignoré  

C:\WINDOWS\wiadebug.log  L'objet est verrouillé  ignoré  

C:\WINDOWS\wiaservc.log  L'objet est verrouillé  ignoré  

C:\WINDOWS\WindowsUpdate.log  L'objet est verrouillé  ignoré  

C:\_OTMoveIt\MovedFiles\WINDOWS\system32\dtsrvcs7.exe  Infecté : Backdoor.Win32.Agent.acx  ignoré  

D:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  

Analyse terminée.

 

**************************************************************

Java à jour : jre-6u1-windows-i586-p.exe

**************************************************************

 

Rapport Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 23:20:37, on 04/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} - file://C:\Program Files\AutoCAD 2002 Fra\AcDcToday.ocx
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://config.zebulon.fr/plugins/hardwaredetection.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

 

**************************************************************

Modifié par Arthiesis
WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour Arthiesis,

 

1) Supprime les dossiers / fichiers suivants (si présents) :

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

  • C:\Medion\nero\Nero-6.6.1.15a.exe
  • C:\Medion\securité\pg_zip\SmitfraudFix.zip
  • C:\Program Files\SmitfraudFix\
  • C:\QooBox\
  • C:\VundoFix Backups\
  • C:\WINDOWS\system32\dtsrvcs7.exe~
  • C:\WINDOWS\system32\ipwihump.exe
  • C:\WINDOWS\system32\xmpgvuyd.exe

 

2) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

 

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

 

 

3) Télécharge Blacklight (de F-Secure)

 

et sauvegarde-le sur ton Bureau.

 

Double-clique blfsbl.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie / colle le contenu de ce rapport dans ta prochaine réponse

 

 

# Recontres-tu encore des problèmes avec ton PC ?

 

@ bientôt pour les derniers conseils ! :P

Arthiesis Member

Arthiesis

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour Wanaseb,

 

Pour ça :

 

Supprimés

C:\Medion\nero\Nero-6.6.1.15a.exe

C:\Medion\securité\pg_zip\SmitfraudFix.zip

Lorsque je télécharge une Maj ou un Pg je l'enregistre dans ce dossier pour les garder au cas ou !!

 

C:\Program Files\SmitfraudFix\

C:\QooBox\

C:\VundoFix Backups\

C'est fait également.

 

C:\WINDOWS\system32\dtsrvcs7.exe~

C:\WINDOWS\system32\ipwihump.exe

C:\WINDOWS\system32\xmpgvuyd.exe

Ceux-ci sont réellement très très suspect. supprimés egalement.

*************************************************************

Je n'ai plus de problèmes de popup, etc. mais......!

 

Ce matin en allumant le pc il m'a fallu recommencer 3 fois. IL ouvrait une fenêtre disant que le systeme allait être arreté et un decompte se faisait.

 

De plus, deux fois il a ouvert une autre fenêtre disant qu'il n'y avait pas de driver pour la CG ??????

Pour cette erreur je n'ai pas de screen celà ne s'est pas reproduit.

Dommage j'aurai du ecrire ce qui etait dit a la main ou faire un shoot.

Pour mes drivers ATI, tout est ok pas de point d'exclamation jaune dans le gestionnaire de périphérique, etc.

Là il y a quelque chose qui m'échappe.

 

J'ai réussi à faire un screen et pour la fenetre qui décompte et fait redemarrer le pc j'ai fait une photo avec le mobile, j'espère que ce sera visionnable :P

 

Ces problème je ne les avais pas avant ces infections. Ah oui j'ai constaté que dans les exeptions de mon pare feu Windows tout etait remis à zéro, il me faut à nouveau débloquer certain programme mais celà n'est pas un mal si je pouvait nettoyer a fond même si celà me prend du temps pas de problème

 

Screen services.exe

sanstitre2yg9.th.jpg

*************************************************************

photo Arrêt Système

dsc00089yj0.th.jpg

*************************************************************

Je viens de passer Spybot pour voir et il trouve toujours quelque chose. screen ci-dessous.

 

- hier Passage spybot le 04/06/2007 :

spb04062007dk0.th.jpg

- aujourd'hui Passage spybot le 05/06/2007 :

spb05062007hh4.th.jpg

*************************************************************

Dans la foulée je passe le scan en ligne de bit defender pour le fun.

 

Je me répète mais merci pour ton aide et ta disponibilité

 

Hervé

*************************************************************

Logfile of HijackThis v1.99.1 après Fix :

 

La ligne : O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k n'était pas présente.

Par contre il y avait 2 fois celle-ci : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = j'ai fixé les deux.

 

Scan saved at 11:07:52, on 05/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} - file://C:\Program Files\AutoCAD 2002 Fra\AcDcToday.ocx
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://config.zebulon.fr/plugins/hardwaredetection.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

 

*************************************************************

 

rapport Blacklight

IL n'a rien trouvé et pour ça s'est bon signe.

 

06/05/07 11:13:09 [Info]: BlackLight Engine 1.0.61 initialized
06/05/07 11:13:09 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/05/07 11:13:09 [Note]: 7019 4
06/05/07 11:13:09 [Note]: 7005 0
06/05/07 11:13:12 [Note]: 7006 0
06/05/07 11:13:12 [Note]: 7011 1844
06/05/07 11:13:12 [Note]: 7026 0
06/05/07 11:13:12 [Note]: 7026 0
06/05/07 11:13:17 [Note]: FSRAW library version 1.7.1021
06/05/07 11:23:15 [Note]: 2000 1012
06/05/07 11:24:56 [Note]: 7007 0

*************************************************************

 

BitDefender Online Scanner - Rapport virus en temps réel

   
Généré à: Tue, Jun 05, 2007 - 14:50:02
--------------------------------------------------------------------------------
Info d'analyse

Fichiers scannés
938385

Infectés Fichiers 5

Virus Détectés  

GenPack:Trojan.Vundo.DLV 1

Trojan.Downloader.Small.BHH 2

Trojan.LowZones.SA 2
--------------------------------------------------------------------------------
Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

*************************************************************

Modifié par Arthiesis

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...