Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

gege30

[RESOLU] Analyse avec mails sortants intempestifs

Messages recommandés

Bonjour,

 

Sur les conseils d'angélique je mets le rapport Hijackthis de mon install.

 

La discussion a débuté ici : http://forum.zebulon.fr/index.php?showtopic=124669 mais pour résumer, j'ai été infecté avant-hier par SmitFraud et Virtumonde (que je pense avoir supprimés) et j'ai depuis tout un tas de mails qui partent de mon pc sans savoir comment détecter l'origine.

 

Voilà le log :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:07:54, on 26/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\netdde.exe

C:\WINDOWS\system32\oodag.exe

D:\Mes Programmes\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\tlntsvr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

D:\Mes Programmes\Sunbelt Software\Personal Firewall\kpf4gui.exe

D:\Mes Programmes\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\Mes Programmes\RegSeeker\RegSeeker.exe

C:\Mes Programmes\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winlsd.org/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [LClock] lclock.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O11 - Options group: [iNTERNATIONAL] International*

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - ATI Technologies Inc. - (no file)

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - D:\Mes Programmes\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: wampapache - Unknown owner - D:\Mes Programmes\wamp\apache2\bin\httpd.exe" -k runservice (file missing)

O23 - Service: wampmysqld - Unknown owner - D:\Mes Programmes\wamp\mysql\bin\mysqld-nt.exe" "--defaults-file=D:\Mes Programmes\wamp\mysql\my.ini" wampmysqld (file missing)

Modifié par gege30

Partager ce message


Lien à poster
Partager sur d’autres sites

salut :P

 

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

 

Je vois que tu as utilisé l'utilitaire de Configuration pour faire le ménage dans les éléments qui se lancent au démarrage...dommage! ces entrées nous donnent des indications sur l'état du pc!! Pas grave : poste le rapport DiagHelp en entier stp :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut Charles,

 

Voilà le rapport que je viens de faire.

Dans la matinée, j'ai retrouvé des traces de Virtumonde que j'ai effacées (Hijackthis, Spy Seeker, Process Exe, killBox). Il faut rajouter que j'avais en plus un défaut "Buffer overrun detected. c:/windows/explorer.exe..." Je ne l'ai plus depuis et je suppose que le problème venait de la saturation des dll que j'ai supprimées dans le process explorer.

 

Le temps que je rédige ce post, j'ai dû envoyé (à mon insu) une vingtaine de mails mais l'adresse de l'expéditeur à dhangée : xxx@snowphoto.co.uk.

 

DiagHelp version v1.1.2 - http://www.malekal.com

excute le 27/06/2007 à 14:50:55,69

 

 

Liste des derniers fichies modifies/crees dans windir\system32

C:\WINDOWS\System32/drivers\fwdrv.err -->27/06/2007 10:19:50

C:\WINDOWS\System32/drivers\aswmon.sys -->30/04/2007 17:41:55

C:\WINDOWS\System32/drivers\aswmon2.sys -->30/04/2007 17:41:42

C:\WINDOWS\System32/drivers\aswRdr.sys -->30/04/2007 17:39:41

C:\WINDOWS\System32/drivers\aswTdi.sys -->30/04/2007 17:38:51

C:\WINDOWS\System32/drivers\aavmker4.sys -->30/04/2007 17:37:23

C:\WINDOWS\System32/drivers\khips.sys -->26/04/2007 10:21:34

 

C:\WINDOWS\System32\OODBS.lor -->27/06/2007 14:13:20

C:\WINDOWS\System32\aybeg.ini -->27/06/2007 09:49:00

C:\WINDOWS\System32\aybeg.bak1 -->27/06/2007 09:27:56

C:\WINDOWS\System32\tmp.txt -->26/06/2007 17:00:03

C:\WINDOWS\System32\tmp.reg -->26/06/2007 17:00:03

C:\WINDOWS\System32\FNTCACHE.DAT -->26/06/2007 16:42:17

C:\WINDOWS\System32\xpdx.sys -->25/06/2007 21:46:56

C:\WINDOWS\System32\instcat.dll -->25/06/2007 21:46:47

C:\WINDOWS\System32\vtuussr.dll -->25/06/2007 21:45:44

C:\WINDOWS\System32\wpa.dbl -->20/06/2007 12:45:16

C:\WINDOWS\System32\nvs2.inf -->14/05/2007 20:02:41

C:\WINDOWS\System32\CONFIG.NT -->04/05/2007 22:25:10

C:\WINDOWS\System32\aswBoot.exe -->30/04/2007 17:46:10

C:\WINDOWS\System32\AVASTSS.scr -->30/04/2007 17:35:28

C:\WINDOWS\System32\TG_PVTR.LOG -->09/04/2007 16:18:55

C:\WINDOWS\System32\muzapp.exe -->07/04/2007 16:23:47

C:\WINDOWS\System32\muzapp.dll -->07/04/2007 16:23:47

C:\WINDOWS\System32\PerfStringBackup.INI -->25/03/2007 07:55:53

C:\WINDOWS\System32\perfh00C.dat -->25/03/2007 07:55:53

C:\WINDOWS\System32\perfh009.dat -->25/03/2007 07:55:53

C:\WINDOWS\System32\perfc00C.dat -->25/03/2007 07:55:53

C:\WINDOWS\System32\perfc009.dat -->25/03/2007 07:55:53

C:\WINDOWS\System32\msfDX.dll -->21/02/2007 12:47:16

C:\WINDOWS\System32\dtu_fr.qm -->12/12/2006 18:24:19

C:\WINDOWS\System32\Smab.dll -->12/12/2006 14:15:08

 

C:\WINDOWS\setupapi.log -->27/06/2007 14:33:37

C:\WINDOWS.log -->27/06/2007 14:14:30

C:\WINDOWS\wiadebug.log -->27/06/2007 14:14:14

C:\WINDOWS\wiaservc.log -->27/06/2007 14:13:58

C:\WINDOWS\bootstat.dat -->27/06/2007 14:13:30

C:\WINDOWS\WindowsUpdate.log -->27/06/2007 11:55:29

C:\WINDOWS\win.ini -->27/06/2007 10:31:46

C:\WINDOWS\system.ini -->27/06/2007 10:31:46

C:\WINDOWS\setupact.log -->26/06/2007 17:00:09

C:\WINDOWS\setuperr.log -->26/06/2007 16:53:45

C:\WINDOWS\ntbtlog.txt -->26/06/2007 16:42:49

C:\WINDOWS\WININIT.INI -->26/06/2007 10:12:46

C:\WINDOWS\Radio_Fr.ini -->25/06/2007 07:21:43

C:\WINDOWS\mozver.dat -->18/06/2007 21:24:16

C:\WINDOWS\pack.epk -->14/05/2007 20:02:15

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 2459-A113

 

Répertoire de C:\WINDOWS\system32

 

19/08/2004 20:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 71 572 271 104 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 2459-A113

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

27/10/2006 22:02 <REP> .

27/10/2006 22:02 <REP> ..

15/12/2005 22:11 65 desktop.ini

25/07/2002 19:13 24 576 dwusplay.dll

25/07/2002 19:13 196 608 dwusplay.exe

16/06/2004 07:02 323 584 isusweb.dll

4 fichier(s) 544 833 octets

 

Total des fichiers listés :

4 fichier(s) 544 833 octets

2 Rép(s) 71 572 271 104 octets libres

 

Recherche de rootkit! (Merci S!Ri)

xpdx présent Possible infection Rustock, l'utilisation d'un scanneur rootkit est recommandé

infection possible Magic.Control : un scan F-Secure BlackLight est recommandé

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

Rechercher adresses sensibles dans le fichier HOSTS...

127.0.0.1 www.bns1.net #[Kaspersky.Adware.Cydoor]

127.0.0.1 dl2.malwarewipe.com #[symantec.MalwareWipe]

127.0.0.1 download.scanandrepair.com #[symantec.ScanandRepair]

127.0.0.1 download.winfixer.com #[symantec.WinFixer]

127.0.0.1 download.winhound.com #[symantec.WinHound]

127.0.0.1 r.casalemedia.com #[symantec.SpywareStormer]

127.0.0.1 tafbar.com #[symantec.Spyware.TAFbar][sunBelt.Tafbar]

127.0.0.1 winantispyware.com #[symantec.WinAntiSpyware]

127.0.0.1 www.1stantivirus.com #[Rogue/Suspect][symantec.1stAntiVirus]

127.0.0.1 www.adwarespy.com #[symantec.AdwareSpy]

127.0.0.1 www.agentspyware.com #[symantec.AgentSpyware]

127.0.0.1 www.errorsafe.com #[symantec.ErrorSafe]

127.0.0.1 www.pchealthplan.com #[symantec.PCHealthPlan]

127.0.0.1 www.pcprivacysoftware.com #[symantec.AdsAlert]

127.0.0.1 www.psguard.com #[TROJ_DHIJACK.A][symantec.PSGuard]

127.0.0.1 www.safer-scan.com #[symantec.SaferScan]

127.0.0.1 www.spyblocs.com #[McAfee.Adware-SpyBlocs.dll][symantec.SpyBlocs]

127.0.0.1 www.spyfighter.com #[symantec.SpyFighter]

127.0.0.1 www.spyviper.com #[symantec.Spyviper]

127.0.0.1 www.spywarehound.com #[symantec.SpywareHound]

127.0.0.1 www.spywarestormer.com #[symantec.SpywareStormer][Adware-SpyStormer]

127.0.0.1 www.symantecreview.com

127.0.0.1 www.thespywaredetective.com #[symantec.TheSpywareDetective]

127.0.0.1 www.unspypc.com #[symantec.UnSpyPC][McAfee.UnSpyPC]

127.0.0.1 www.worldantispy.com #[Adw.WorldAntiSpy][symantec.WorldAntiSpy]

127.0.0.1 yapbrowser.com #[symantec.Trackware.YapBrowser]

127.0.0.1 liveupdate.myim.cn #[Adware.BeSys]

127.0.0.1 activexupdate.com

127.0.0.1 ads1.updated.com

127.0.0.1 check.lavasoftupdate.com

127.0.0.1 codec.divx-update.biz #[Win32/SpamTool.Mailbot]

127.0.0.1 dlx.getupdate.com #[AdvWare.ToolBar.VB.b][Adware.Getup]

127.0.0.1 download.lavasoftupdate.com #[Win32/TrojanProxy.Daemonize]

127.0.0.1 download6.spyaxe.net #[malwarewipeupdate.com]

127.0.0.1 install38.msupdater.org

127.0.0.1 lavasoftupdate.com

127.0.0.1 liveupdate.myim.cn #[Adware.BeSys]

127.0.0.1 msupdater.com #[Troj/StartPa-H]

127.0.0.1 msupdater.net

127.0.0.1 msupdater.net #[Troj/StartPa-H]

127.0.0.1 msupdater.org #[Troj/StartPa-H]

127.0.0.1 newupdates.lzio.com #[TROJ_DLOADER.AFU]

127.0.0.1 nl.browserupdate.co.uk

127.0.0.1 omi-update.net #[Win32.Small.Trojan]

127.0.0.1 pcsecurityupdates.com #[Trojan.Secup]

127.0.0.1 public.windupdates.com #[WindowssyncroAd]

127.0.0.1 runsearch.com #[CWS.Mupdate]

127.0.0.1 scripts.rfwnad.com #[Adware.DynamicUpdater]

127.0.0.1 security-updater.com #[Win32.Wintrim.AG]

127.0.0.1 securityupdatesite.com

127.0.0.1 spyaxeupdate.com

127.0.0.1 static.windupdates.com #[ADW_WUPD.F][ADW_WINSTATX.A]

127.0.0.1 systemupdate.net #[Rogue/Suspectaffiliate.sites][serverdown?]

127.0.0.1 sysupdate.grandstreetinteractive.com #[Win32.Imiserv]

127.0.0.1 sysupdate.ieplugin.com

127.0.0.1 trial.updates.winsoftware.com

127.0.0.1 update.680130.net

127.0.0.1 update.digitalnames.net #[sPYW_DIGITALNM.A]

127.0.0.1 update.downloadv3.com

127.0.0.1 update.firefoxupdatecenter.net

127.0.0.1 update.msupdater.com

127.0.0.1 update.msupdater.net

127.0.0.1 update.outerinfo.com

127.0.0.1 update.passivecow.com #[Trojan.Win32.VB.aft][Adware.Superlogy]

127.0.0.1 update.searchsquire.com #[sunBelt.SearchSquire]

127.0.0.1 update.smartallyes.com #[Trojan.Smartallyes]

127.0.0.1 update.smart-browser.com #[Parasite.SmartBrowser]

127.0.0.1 update.topconverting.com #[Adware.ZQuest]

127.0.0.1 update.webhancer.com #[sPYW_WEBHANCER.A]

127.0.0.1 update.yupsearch.com #[WildcarddNS]

127.0.0.1 update2.outerinfo.com #[McAfee.Adware-ClickSpring]

127.0.0.1 update32.searchmiracle.com

127.0.0.1 updates.browseraid.com

127.0.0.1 updates.desktop.ak-networks.com

127.0.0.1 updates.desktop.virtumundo.com #[TrojanDownloader.Win32.Virtumonde.a]

127.0.0.1 updates.hotbar.com

127.0.0.1 updates.lzio.com #[McAfee.Downloader-LE][Adware.ZioCom]

127.0.0.1 updates.shopperreports.com

127.0.0.1 updatescenter.com #[TROJ_PUPER.AT][eTrust.Win32.Puper]

127.0.0.1 updatesearches.com

127.0.0.1 updateserver.gator.com

127.0.0.1 updatesystemcenter.com

127.0.0.1 updateyoursystem.com #[Trojan.Zlob.F]

127.0.0.1 urgentsystemupdate.biz #[Rogue/Suspect.Affiliate.sites]

127.0.0.1 urgentsystemupdate.com

127.0.0.1 urgentwindowsupdate.biz #[W32/Spywad.LO]

127.0.0.1 windowsupdate4.com #[Adware.MoneyGainer]

127.0.0.1 windowsupdate4.iviewsystem.com

127.0.0.1 windupdates.com #[Adware.WinTaskAd][Trojan.TrustedZones]

127.0.0.1 winsoftwareupdate.org #[Trojan.Renver]

127.0.0.1 wm.mtree.com #[McAfee.Adware-Nsupdate]

127.0.0.1 www.activexupdate.com

127.0.0.1 www.bannersandpopups.com #[Adware.SP2Update]

127.0.0.1 www.browserupdate.co.uk #[browserupdatedialer]

127.0.0.1 www.ddupdates.com

127.0.0.1 www.fake-mailer.com #[Trojan-Downloader.Win32.TSUpdate.o]

127.0.0.1 www.hotwinupdates.com

127.0.0.1 www.malwarewipeupdate.com

127.0.0.1 www.malwarewipeupdate.com

127.0.0.1 www.msupdater.com

127.0.0.1 www.msupdater.net

127.0.0.1 www.msupdater.net

127.0.0.1 www.msupdater.org

127.0.0.1 www.mtreexxx.nl #[Troj/NSUpdate-A]

127.0.0.1 www.necessaryupdates.com #[Rogue/Suspectaffiliate.sites]

127.0.0.1 www.needupdate.com

127.0.0.1 www.omi-update.net #[Win32.Siboco.A,b][Adware.OMI]

127.0.0.1 www.pcsecurityupdates.com #[dofinder.com]

127.0.0.1 www.registryupdate.com

127.0.0.1 www.security-updater.com

127.0.0.1 www.securityupdatesite.com

127.0.0.1 www.sp2msupdateresearch.com #[Adware.SP2Update][TROJ_DLOADER.ACJ]

127.0.0.1 www.spyaxeupdate.com

127.0.0.1 www.spyfalconupdate.com

127.0.0.1 www.systemupdates.net #[Rogue/Suspectaffiliate.sites]

127.0.0.1 www.sysupdates.com

127.0.0.1 www.sysupdates2.com

127.0.0.1 www.update05.com #[eTrust.Win32/Beovens]

127.0.0.1 www.updatehq.net #[spyware.Surfcomp]

127.0.0.1 www.updatenow.org #[iE-SpyAd]

127.0.0.1 www.updatesearches.com #[eTrust.Puper.UpdateSearches]

127.0.0.1 www.updatesystempage.com

127.0.0.1 www.updateyoursystem.com #[eTrust.Win32.Puper]

127.0.0.1 www.updateyourwindows.com

127.0.0.1 www.urgentsystemupdate.biz #[McAfee.FakeAlert-B]

127.0.0.1 www.urgentsystemupdate.com

127.0.0.1 www.videocodecupdate.com

127.0.0.1 www.windowsupdate4.com

127.0.0.1 www.windupdates.com #[AdvWare.WinAD]

127.0.0.1 www.win-update.net #[Trojan.Magise]

127.0.0.1 xbs.mtree.com #[Downloader.Dyfica.N][Troj/NSUpdate-A]

127.0.0.1 ai003.insightexpressai.com #[TrendMicro.Internetcookie]

127.0.0.1 bar.baidu.com #[sPYW_BDPLUGIN.A][sophos.JS/BDHelper-A]

127.0.0.1 www.404search.com #[iE-SpyAD][sophos.404Search]

127.0.0.1 www.ucmore.com #[ADW_IMENEXT.A][sophos.UCMore]

127.0.0.1 10000hits.net #[iE-SpyAd][sunBelt.Cookie.10000hits]

127.0.0.1 18.sharedsource.org #[sunBelt.SharedSource.org]

127.0.0.1 20x2p.com #[sunBelt.20x2p][F-Secure.Small.wy]

127.0.0.1 a.as-us.falkag.net #[sunBelt.as-us.falkag]

127.0.0.1 a.websponsors.com #[sunBelt.a.websponsors]

127.0.0.1 ad.br.doubleclick.net #[sunBelt.DoubleClick]

127.0.0.1 ad.erasercash.com #[sunBelt.Erasercash]

127.0.0.1 ad.linkexchange.com #[sunBelt.LinkExchange.com]

127.0.0.1 ad3.peel.com #[sunBelt.Peel]

127.0.0.1 ads.internetfuel.com #[sunBelt.InternetFuel.com]

127.0.0.1 ads.mamma.com #[sunBelt.Mamma]

127.0.0.1 ads.mydailyhoroscope.net #[sunBelt.MyDailyHoroscope]

127.0.0.1 ads.popupsponsor.com #[sunBelt.PopupSponsor]

127.0.0.1 ads.revenue.net #[sunBelt.Revenue.net]

127.0.0.1 ads.track-star.com #[sunBelt.Track-Star.com]

127.0.0.1 ads04.hyperbanner.net #[sunBelt.HyperBanner.net]

127.0.0.1 ads07.bpath.com #[sunBelt.BPath.com]

127.0.0.1 ads1.tripod.com #[sunBelt.Tripod]

127.0.0.1 adserver.aim4media.com #[sunBelt.Adserver.aim4media]

127.0.0.1 adserver.monster.com #[sunBelt.AdServer.Monster.com]

127.0.0.1 adserver.news.com.au #[sunBelt.AdServer.News.com]

127.0.0.1 adserver.sextracker.com #[sunBelt.SexTracker.com]

127.0.0.1 adserver.trafficsyndicate.com #[sunBelt.trafficsyndicate.com]

127.0.0.1 adserver.tribuneinteractive.com #[sunBelt.TribuneInteractive]

127.0.0.1 adserver1.realtracker.com #[sunBelt.RealTracker.com]

127.0.0.1 adserving.autotrader.com #[sunBelt.AdServing.AutoTrader.com]

127.0.0.1 adtrak.net #[sunBelt.Adtrak.net]

127.0.0.1 amazing.mygeek.com #[sunBelt.MyGeek.com]

127.0.0.1 awbeta.net-nucleus.com #[sunBelt.net-nucleus]

127.0.0.1 banner.clickfinders.com #[sunBelt.ClickFinders]

127.0.0.1 blowsearch.com #[sunBelt.BlowSearch.com]

127.0.0.1 c1.xxxcounter.com #[sunBelt.XXXCounter.com]

127.0.0.1 ca1.bluestreak.com #[sunBelt.Bluestreak.com]

127.0.0.1 cache.unicast.com #[sunBelt.Unicast]

127.0.0.1 cdn.eyewonder.com #[iE-SpyAd][sunBelt.EyeWonder]

127.0.0.1 cdn.valueclick.com #[sunBelt.ValueClick.com]

127.0.0.1 cdn1.tribalfusion.com #[sunBelt.TribalFusion]

127.0.0.1 cheats.joysticknetworks.com #[sunBelt.Joysticknetworks.com]

127.0.0.1 clickagents.com #[sunBelt.ClickAgents.com]

127.0.0.1 clickxchange.com #[sunBelt.Clickxchange.com]

127.0.0.1 cmhtml.nl.overture.com #[sunBelt.Overture.com]

127.0.0.1 control.x10.com #[sunBelt.X10.com]

127.0.0.1 cookie.monster.com #[sunBelt.cookie.monster]

127.0.0.1 corr.conscorr.com #[sunBelt.ConsCorr]

127.0.0.1 counter.rambler.ru #[sunBelt.Rambler.ru]

127.0.0.1 dl.searchforit.com #[sunBelt.SearchForIt.AdShooter]

127.0.0.1 dlsearchbar.com #[sunBelt.DLSearchBar][serverdown?]

127.0.0.1 download.secondpower.com #[sunBelt.SecondPower.com]

127.0.0.1 downloads.zango.com #[sunBelt.180Solutions.Zango.TVTimes]

127.0.0.1 ds.eyeblaster.com #[sunBelt.Eyeblaster]

127.0.0.1 edn.redswoosh.com #[sunBelt.RedSwoosh]

127.0.0.1 ehg-cisco.hitbox.com #[sunBelt.Ehg-Cisco.Hitbox]

127.0.0.1 ehg-espn.hitbox.com #[sunBelt.Ehg-ESPN.Hitbox]

127.0.0.1 ehg-space.hitbox.com #[sunBelt.Ehg-Space.hitbox]

127.0.0.1 extremelyamateurs.com #[sunBelt.SmartBrowser]

127.0.0.1 focus.ivwbox.de #[sunBelt.ivwbox]

127.0.0.1 free.wegcash.com #[sunBelt.WegCash.com]

127.0.0.1 games.zango.com #[sunBelt.Adw.Zango.Solitaire]

127.0.0.1 get.inetbar.com #[sunBelt.INetBar]

127.0.0.1 help.mysearch.com #[sunBelt.Mysearchbar][Ewido.Spyware.MySearch]

127.0.0.1 hit1.vioclicks.com #[sunBelt.VioClicks.com]

127.0.0.1 hit13.hotlog.ru #[sunBelt.HotLog.ru]

127.0.0.1 hits.icdirect.com #[sunBelt.ICDirect.com]

127.0.0.1 hits.spylog.com #[sunBelt.SpyLog.com]

127.0.0.1 hp.naupoint.com #[sunBelt.NauPointinstaller]

127.0.0.1 hstde.tradedoubler.com #[sunBelt.TradeDoubler.com]

127.0.0.1 http10.edge.ru4.com #[sunBelt.Ru4.com]

127.0.0.1 huntbar.com #[bHO_HUNTBAR.G][sunBelt.HuntBar]

127.0.0.1 images.pacificpoker.com #[sunBelt.PacificPoker]

127.0.0.1 images.trafficmp.com #[sunBelt.Trafficmp.com]

127.0.0.1 img.casalemedia.com #[sunBelt.casalemedia.com]

127.0.0.1 in.mainentrypoint.com #[sunBelt.MainEntryPoint]

127.0.0.1 iquicksearch.net #[sunBelt.iquicksearch]

127.0.0.1 i--search.com #[sunBelt.SearchUpgrade]

127.0.0.1 isearchtech.com #[sunBelt.IST.Protector]

127.0.0.1 landing.seek2.com #[sunBelt.Seek2.com]

127.0.0.1 linktrack.bravenet.com #[sunBelt.Bravenet.com]

127.0.0.1 makemesearch.com #[vip-se.com][sunbelt.Tubby.MakeMeSearch]

127.0.0.1 media.rapid-pass.net #[sunBelt.Rapid-pass.net]

127.0.0.1 media22.fastclick.net #[sunBelt.FastClick.com]

127.0.0.1 mmm.roings.com #[limmyloding.limmyform][sunBelt.JimmyHelp]

127.0.0.1 moviesponsor.istarthere.com #[sunBelt.IStartHere]

127.0.0.1 nedstat.net #[sunBelt.Nedstat]

127.0.0.1 netster.xmlsearch.findwhat.com #[sunBelt.Findwhat]

127.0.0.1 nitrous.exitfuel.com #[sunBelt.ExitFuel.com]

127.0.0.1 outwar.com #[sunBelt.Outwaradwarelauncher]

127.0.0.1 oxcash.com #[sunBelt.OxCash]

127.0.0.1 pageload2.babenet.com #[sunBelt.Babenet]

127.0.0.1 proxy.or3.marketscore.com #[sunBelt.MarketScore.com]

127.0.0.1 proxycfg.netsetter.com #[eTrust.MarketScore/Netsetter][sunBelt.Netsetter]

127.0.0.1 redzip.com #[sunBelt.Adw.RedZip.Toolbar]

127.0.0.1 ri.clickability.com #[sunBelt.Clickability.com]

127.0.0.1 roscoe.burstmedia.com #[sunBelt.BurstMedia]

127.0.0.1 s2.statcounter.com #[sunBelt.statcounter.com]

127.0.0.1 search.grip.com #[sunBelt.Griptoolbar]

127.0.0.1 search.prositefinder.com #[sunBelt.bho.180Solutions.ProSiteFinder]

127.0.0.1 search123.com #[sunBelt.Search123.com]

127.0.0.1 search3.com #[sunBelt.Search3hijacker]

127.0.0.1 searchant.com #[sunBelt.saSyncMgr]

127.0.0.1 search-system.com #[sunBelt.Search-SystemPlugin]

127.0.0.1 secure.certone.com #[Adware.WebDir][sunBelt.WebDir]

127.0.0.1 secure-sg.imrworldwide.com #[sunBelt.IMRworldwide]

127.0.0.1 sexyque.com #[sunBelt.Sexyque.com]

127.0.0.1 sj.burstnet.com #[sunBelt.BurstNet]

127.0.0.1 smarter.com #[iE-SpyAd][sunBelt.Smarter.com]

127.0.0.1 smutserver.com #[yxcv.is-a-geek.net][sunBelt.Smutserver.com]

127.0.0.1 specific911.net #[sunBelt.Specific911]

127.0.0.1 specificpop.com #[sunBelt.Specificpop.com]

127.0.0.1 spysheriff.com #[sunBelt.SpySheriff]

127.0.0.1 st.wetrack.it #[sunBelt.Wetrack.it]

127.0.0.1 stats.maximumcash.com #[sunBelt.MaximumCash.com]

127.0.0.1 stats.popuptraffic.com #[sunBelt.PopupTraffic.com]

127.0.0.1 stats.superstats.com #[sunBelt.SuperStats]

127.0.0.1 supersexpass.com #[sunBelt.SuperSexPass]

127.0.0.1 tafbar.com #[symantec.Spyware.TAFbar][sunBelt.Tafbar]

127.0.0.1 teeniedialer.com #[sunBelt.TeenieDialer]

127.0.0.1 toolbar.locators.com #[sunBelt.Locatorstoolbar]

127.0.0.1 toolbar.searchit.com #[sunBelt.SearchIttoolbar]

127.0.0.1 toolbar.startnow.com #[sunBelt.StartNowhyperbar]

127.0.0.1 top-banners.com #[sunBelt.KGhost]

127.0.0.1 topconverting.com #[sunBelt.Topconverting]

127.0.0.1 topmoxie.com #[sunBelt.TopMoxie]

127.0.0.1 trafficmarketplace.com #[sunBelt.TrafficMarketplace]

127.0.0.1 trustyhound.com #[sunBelt.TrustyHound]

127.0.0.1 u1.extreme-dm.com #[sunBelt.Extreme-DM.com]

127.0.0.1 ulink4.dudu.com #[Adware.DDDClient][sunBelt.DuDuAccelerator]

127.0.0.1 update.searchsquire.com #[sunBelt.SearchSquire]

127.0.0.1 users.effectivebrand.com #[sunBelt.IEMenuExtensiontoolbar]

127.0.0.1 vsii.spinbox.net #[sunBelt.SpinBox]

127.0.0.1 weirdontheweb.net #[sunBelt.Cok.weirdontheweb]

127.0.0.1 wfix.com #[sunBelt.WFix.com]

127.0.0.1 whyppc.com #[sunBelt.WhyPPC]

127.0.0.1 wish7.com #[sunBelt.Wish7.com]

127.0.0.1 www.adbars.com #[sunBelt.AdBars]

127.0.0.1 www.adbutler.de #[sunBelt.AdButler.de]

127.0.0.1 www.adlogix.com #[sunBelt.AdLogix]

127.0.0.1 www.adreporting.com #[sunBelt.Adreporting.com]

127.0.0.1 www.alfacleaner.com #[sunBelt.PUS.AlfaCleaner]

127.0.0.1 www.bikinidesk.com #[sunBelt.Adwarebundler]

127.0.0.1 www.browservillage.com #[sunBelt.BrowserVillagetoolbar]

127.0.0.1 www.cashbackbuddy.com #[sunBelt.eXact.CashBack]

127.0.0.1 www.casino-on-net.com #[sunBelt.CasinoOnNet]

127.0.0.1 www.cj.com #[sunBelt.WWW.CJ.com]

127.0.0.1 www.clickedyclick.com #[sunBelt.ClickedyClick]

127.0.0.1 www.clickhouse.com #[iE-SpyAd][sunBelt.ClickHouse]

127.0.0.1 www.clicktracks.com #[iE-SpyAd][sunBelt.ClickTracks]

127.0.0.1 www.clickzs.com #[sunBelt.Clickzs.com]

127.0.0.1 www.codeccash.com #[sunBelt.CodecCash]

127.0.0.1 www.consumersoftwarelabs.com #[sunBelt.Malwhere]

127.0.0.1 www.content-loader.com #[sunBelt.Dialer.CCAccess][Win32.Stwoyle]

127.0.0.1 www.crystalysmedia.biz #[sunBelt.Crystalysmedia]

127.0.0.1 www.cybereps.com #[sunBelt.Cybereps.com]

127.0.0.1 www.cydoor.com #[Adware.Cydoor][sunBelt.Cydoor.com]

127.0.0.1 www.date-manager.com #[sunBelt.Claria.DateManager][Adware.DateManager]

127.0.0.1 www.downseek.com #[sunBelt.DownSeeksearch]

127.0.0.1 www.earncashontheinternet.com #[sunBelt.OpinionBar]

127.0.0.1 www.errorfixer.com #[sunBelt.Errorfixer]

127.0.0.1 www.freehqmovies.com #[sunBelt.FreeHQMovies]

127.0.0.1 www.free-movies-download.com #[sunBelt.Free-Movies-Download.com]

127.0.0.1 www.funbuddyicons.com #[sunBelt.FunBuddyIcons]

127.0.0.1 www.funwebproducts.com #[sunBelt.FunWebProducts]

127.0.0.1 www.geowhere.net #[sunBelt.GeoWheresearch]

127.0.0.1 www.greenhorse.com #[sunBelt.Greenhorse]

127.0.0.1 www.hitslink.com #[sunBelt.hitslink.com]

127.0.0.1 www.homelandnetwork.com #[sunBelt.Homelandnetwork]

127.0.0.1 www.hypercount.com #[sunBelt.HyperCount]

127.0.0.1 www.illtemperedguppys.com #[sunBelt.illtemperedguppys.com][serverdown?]

127.0.0.1 www.internet-search.info #[sunBelt.Internet-Search.info]

127.0.0.1 www.isearchtech.com #[sunBelt.IST.ISTbar]

127.0.0.1 www.jraun.com #[KeyActivexcontrol][sunBelt.Jraun]

127.0.0.1 www.livestat.com #[sunBelt.Livestat.com]

127.0.0.1 www.mediaplex.com #[sunBelt.Mediaplex.com]

127.0.0.1 www.mycpworld.com #[sunBelt.mycpworld.com]

127.0.0.1 www.mynetprotector.net #[sunBelt.MyNetProtector]

127.0.0.1 www.myquicksearch.com #[sunBelt.MyQuickSearchsearchassistant]

127.0.0.1 www.netspry.com #[McAfee.StartPage-IS][sunBelt.netspry.com]

127.0.0.1 www.newtonknows.com #[Newtonknows.Bar][sunBelt.NewtonKnows]

127.0.0.1 www.paycounter.com #[sunBelt.PayCounter.com]

127.0.0.1 www.personalmoneytree.com #[sunBelt.PersonalMoneyTree]

127.0.0.1 www.popupad.net #[iE-SpyAd][sunBelt.PopUpAd]

127.0.0.1 www.popupsearches.com #[sunBelt.PopUpSearches.com]

127.0.0.1 www.profitzone.com #[sunBelt.ProfitZONEadbar]

127.0.0.1 www.qklinkserver.com #[sunBelt.QuickLinks][AdWare.Win32.Suggestor.o]

127.0.0.1 www.relevantknowledge.com #[sunBelt.Marketscore.RelevantKnowledge]

127.0.0.1 www.roispy.com #[sunBelt.ROISpy.com]

127.0.0.1 www.screensavers.com #[sunBelt.Screensavers.comtoolbar]

127.0.0.1 www.search123.com #[sunBelt.SearchExehijacker]

127.0.0.1 www.searchfast.net #[sunBelt.SearchFast]

127.0.0.1 www.searchitquick.com #[sunBelt.SearchItQuicktoolbar]

127.0.0.1 www.searchmeup.com #[sunBelt.SearchMeUphijacker]

127.0.0.1 www.secondpower.com #[sunBelt.SecondPowermultimediaspeedbar]

127.0.0.1 www.sexprovider.com #[sunBelt.Sexprovider.com]

127.0.0.1 www.sexyads.net #[sunBelt.SexyAds.net]

127.0.0.1 www.simpletoolbar.com #[sunBelt.UniversalSearchToolbar][serverdown?]

127.0.0.1 www.sirsearch.com #[sunBelt.SirSearch.com]

127.0.0.1 www.skeech.com #[iE-SpyAd][sunBelt.Skeech]

127.0.0.1 www.smartadserver.com #[sunBelt.SmartAdServer.com]

127.0.0.1 www.smarter.com #[sunBelt.eBates.WebSearch]

127.0.0.1 www.spedia.net #[sunBelt.SpediaBar][Adware.Spedia]

127.0.0.1 www.spyspotter.com #[sunBelt.SpySpotter]

127.0.0.1 www.standardinternet.com #[sunBelt.StandardInternet]

127.0.0.1 www.startingsearch.com #[sunBelt.StartingSearch.com]

127.0.0.1 www.targetnet.com #[sunBelt.Targetnet.com]

127.0.0.1 www.thismedia.com #[sunBelt.Softec.Dialer]

127.0.0.1 www.toolbar4cash.com #[sunBelt.Toolbar4Cash]

127.0.0.1 www.trafficadvance.net #[sunBelt.TrafficAdvance]

127.0.0.1 www.traffixinc.com #[sunBelt.Traffix]

127.0.0.1 www.urlblaze.com #[sunBelt.UrlBlaze]

127.0.0.1 www.urpo.com #[sunBelt.Urpo][iE-SpyAd]

127.0.0.1 www.vcatch.com #[sunBelt.CommonSearchvCatch]

127.0.0.1 www.virtuescope.com #[sunBelt.Adw.Purityscan.Virtuescope]

127.0.0.1 www.weatherscope.com #[sunBelt.Claria.WeatherScope]

127.0.0.1 www.webconnect.net #[sunBelt.WebConnect.net]

127.0.0.1 www.webhancer.com #[sunBelt.webHancer]

127.0.0.1 www.websidestory.com #[sunBelt.WebSideStory.com]

127.0.0.1 www.webtrends.net #[sunBelt.WebTrends]

127.0.0.1 www.windowenhancer.com #[sunBelt.WindowEnhancer]

127.0.0.1 www.winfixer.com #[sunBelt.misc.winsoftware.winfixer]

127.0.0.1 www.wurldmedia.com #[Adware.Wurldmedia][sunBelt.Wurldmedia]

127.0.0.1 www.xxxtoolbar.com #[sunBelt.XXXToolBar.com]

127.0.0.1 www.yandex.ru #[sunBelt.Yandex][Adware.SecureServicePk]

127.0.0.1 www.yazzle.net #[sunBelt.Adw.Yazzle.Sudoku][Adware.Yazzle]

127.0.0.1 www.yourstartingpage.com #[sunBelt.Tro.YourStartingPage]

127.0.0.1 www.zoombar.net #[sunBelt.ZoomBar]

127.0.0.1 www2.fortunecity.com #[sunBelt.FortuneCity.com]

127.0.0.1 www2.undergroundlair.net #[sunBelt.Undergroundlair.net]

127.0.0.1 www21.paypopup.com #[sunBelt.PayPopup.com]

127.0.0.1 x86adserv003.adtech.de #[sunBelt.Adtech.de]

127.0.0.1 xit.sexlist.com #[sunBelt.SexList.com]

127.0.0.1 xxsware.com #[sunBelt.Xware]

127.0.0.1 yeah.com #[sunBelt.Yeah.com]

127.0.0.1 ysearchus.com #[Parasite.TinyBar][sunBelt.TINYBAR]

127.0.0.1 102.122.2o7.net #[Panda.Spyware:Cookie/2o7.net]

127.0.0.1 a.as-test.falkag.net #[Panda.Spyware:Cookie/Falkag]

127.0.0.1 ad2.doubleclick.net #[Panda.Spyware:Cookie/Doubleclick]

127.0.0.1 anico24.com #[Panda.AKStealer.A]

127.0.0.1 as.adwave.com #[Parasite.HuntBar][Panda.Adware/WinTools]

127.0.0.1 ath.belnk.com #[Panda.Spyware:Cookie/Belnk]

127.0.0.1 atlasdmt.com #[Panda.Spyware:Cookie/AtlasdMT]

127.0.0.1 c.enhance.com #[Panda.Spyware:Cookie/Enhance]

127.0.0.1 c2.outster.com #[Panda.Spyware:Cookie/Outster]

127.0.0.1 c4.gostats.com #[Panda.Spyware:Cookie/GoStats]

127.0.0.1 cm.need2find.com #[Panda.adware/need2find]

127.0.0.1 cmhtml.fr.overture.com #[Panda.Spyware:Cookie/Overture]

127.0.0.1 content.yieldmanager.com #[Panda.Spyware:Cookie/YieldManager]

127.0.0.1 counter.yadro.ru #[McAfee.Cookie-Yadro][Panda.Spyware:Cookie/Yadro]

127.0.0.1 cs.sexcounter.com #[Panda.Spyware:Cookie/cs.sexcounter]

127.0.0.1 ct.360i.com #[McAfee.Cookie-360i][Panda.Spyware:Cookie/360i]

127.0.0.1 download.redswoosh.net #[installCtlclass][Panda.Adware.Redswoosh]

127.0.0.1 ehg-playboy.hitbox.com #[Panda.Spyware:Cookie/Hitbox]

127.0.0.1 emediacodec.com #[Panda.adware/emediacodec]

127.0.0.1 impbe.tradedoubler.com #[Panda.Spyware:Cookie/Tradedoubler]

127.0.0.1 l4.zedo.com #[Panda.Spyware:Cookie/Zedo]

127.0.0.1 line07.metriweb.be #[Panda.Spyware:Cookie]

127.0.0.1 lobby.sexlist.com #[Panda.Spyware:Cookie/SexList]

127.0.0.1 logv3.xiti.com #[Panda.Spyware:Cookie/Xiti]

127.0.0.1 media.pointroll.com #[Panda.Spyware:Cookie/PointRoll]

127.0.0.1 media4.fastclick.net #[Panda.Spyware:Cookie/FastClick]

127.0.0.1 megatds.com #[Panda.Adware/Megatds]

127.0.0.1 microsofteup.112.2o7.net #[Panda.Spyware:Cookie/Microsofte]

127.0.0.1 newnet.qsrch.com #[Panda.Spyware:Cookie/Qsrch]

127.0.0.1 oasc02.247realmedia.com #[Panda.Spyware:Cookie]

127.0.0.1 oss-crules.marketscore.com #[Panda.Spyware/MarketScore]

127.0.0.1 s5.bluestreak.com #[Panda.Spyware:Cookie/Bluestreak]

127.0.0.1 search.mywebsearch.com #[Panda.Adware/MyWebSearch]

127.0.0.1 searchessistant.com #[Panda.Spyware/LinkReplacer]

127.0.0.1 secure.worldantispy.com #[Panda.WorldAntiSpy]

127.0.0.1 st.valueclick.com #[Panda.Spyware:Cookie/Valueclick]

127.0.0.1 static.smni.com #[Panda.Spyware:Cookie/Santamonicanetworks]

127.0.0.1 stream1000.babenet.com #[Panda.Spyware/Redhotnetworks]

127.0.0.1 track.did-it.com #[Panda.Spyware:Cookie/did-it]

127.0.0.1 www.600pics.com #[Panda.SpamNet.A]

127.0.0.1 www.75558889.com #[Panda.Hupigon.BS]

127.0.0.1 www.accoona.com #[Adware-Accoona][Adware.Atoolb][Panda.Accoona]

127.0.0.1 www.adslim.com #[Panda.Spyware.Slimield]

127.0.0.1 www.apmebf.com #[Panda.Spyware:Cookie/Apmebf][spySweeper.Spy.Cookie]

127.0.0.1 www.burstbeacon.com #[Panda.Spyware:Cookie/BurstBeacon]

127.0.0.1 www.ccbill.com #[Panda.Spyware:Cookie/Ccbill]

127.0.0.1 www.cms1.net #[Panda.Spyware/Cydoor]

127.0.0.1 www.crystalysmedia.com #[Panda.Adware/Crystalys]

127.0.0.1 www.czech-teens.com #[Pandadialer.WE]

127.0.0.1 www.domainsponsor.com #[Panda.Spyware:Cookie/DomainSponsor]

127.0.0.1 www.mp3search.com #[Panda.Spyware:Cookie/Mp3search]

127.0.0.1 www.n-case.com #[Panda.Adware/nCase]

127.0.0.1 www.passivecow.com #[ADW_SUPERLOGY.A][Panda.Adware/Getup]

127.0.0.1 www.protectedmedia.com #[Trojan.Wimad][Panda.WmvDown.B]

127.0.0.1 www.spytrooper.com #[Panda.Adware/Spytrooper][eTrust.Win32.Puper]

127.0.0.1 www.yoogee.com #[Panda.Spyware/Dyfuca]

127.0.0.1 www48.seeq.com #[Panda.Spyware:Cookie/Seeq]

127.0.0.1 urgentwindowsupdate.biz #[W32/Spywad.LO]

127.0.0.1 windowsupdate4.com #[Adware.MoneyGainer]

127.0.0.1 windowsupdate4.iviewsystem.com

127.0.0.1 www.windowsupdate4.com

REGEDIT4

 

[taskmgr.exe]

"Debugger"="C:\\WINDOWS\\process.exe"

 

 

 

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-06-27 14:52:01

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

268 - ashMaiSv.exe

308 - ashWebSv.exe

544 - csrss.exe

572 - winlogon.exe

620 - services.exe

632 - lsass.exe

804 - svchost.exe

880 - svchost.exe

932 - svchost.exe

1044 - svchost.exe

1140 - ashServ.exe

1428 - oodag.exe

1476 - kpf4ss.exe

1568 - ashDisp.exe

1656 - WRSSSDK.exe

1724 - CLI.exe

1920 - SpySweeper.exe

1964 - ctfmon.exe

2044 - explorer.exe

2060 - kpf4gui.exe

2340 - svchost.exe

2396 - kpf4gui.exe

2712 - cmd.exe

3088 - CLI.exe

3656 - firefox.exe

 

Total number of processes = 26

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntoskrnl.exe

8070E000 - \WINDOWS\system32\hal.dll

F8A35000 - \WINDOWS\system32\KDCOM.DLL

F8945000 - \WINDOWS\system32\BOOTVID.dll

F8444000 - sptd.sys

F8A37000 - \WINDOWS\System32\Drivers\WMILIB.SYS

F842C000 - \WINDOWS\System32\Drivers\SPTD3837.SYS

F83FD000 - ACPI.sys

F83EC000 - pci.sys

F8535000 - isapnp.sys

F8A39000 - viaide.sys

F87B5000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

F8545000 - MountMgr.sys

F83CD000 - ftdisk.sys

F8A3B000 - dmload.sys

F83A7000 - dmio.sys

F87BD000 - PartMgr.sys

F8555000 - VolSnap.sys

F838F000 - atapi.sys

F8565000 - disk.sys

F8575000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F8370000 - fltMgr.sys

F8359000 - KSecDD.sys

F82CC000 - Ntfs.sys

F829F000 - NDIS.sys

F8585000 - viaagp.sys

F8AFD000 - speedfan.sys

F8284000 - Mup.sys

F8AFE000 - giveio.sys

F85B5000 - \SystemRoot\system32\DRIVERS\amdk7.sys

F80AD000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys

F8099000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F85C5000 - \SystemRoot\system32\DRIVERS\imapi.sys

F85D5000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F85E5000 - \SystemRoot\system32\DRIVERS\redbook.sys

F8076000 - \SystemRoot\system32\DRIVERS\ks.sys

F87E5000 - \SystemRoot\system32\DRIVERS\usbuhci.sys

F8053000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F803E000 - \SystemRoot\system32\drivers\ac97via.sys

F801A000 - \SystemRoot\system32\drivers\portcls.sys

F85F5000 - \SystemRoot\system32\drivers\drmk.sys

F87F5000 - \SystemRoot\system32\DRIVERS\usbehci.sys

F7FD0000 - \SystemRoot\System32\Drivers\dtscsi.sys

F7FB8000 - \SystemRoot\System32\Drivers\SCSIPORT.SYS

F880D000 - \SystemRoot\system32\DRIVERS\fdc.sys

F7FA7000 - \SystemRoot\system32\DRIVERS\serial.sys

F8A19000 - \SystemRoot\system32\DRIVERS\serenum.sys

F7F93000 - \SystemRoot\system32\DRIVERS\parport.sys

F8815000 - \SystemRoot\system32\DRIVERS\dfmirage.sys

F8C32000 - \SystemRoot\system32\DRIVERS\audstub.sys

F8605000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

F8A21000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

F7F7C000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F8615000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F8625000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F8835000 - \SystemRoot\system32\DRIVERS\TDI.SYS

F7F6B000 - \SystemRoot\system32\DRIVERS\psched.sys

F8635000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F8845000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F8855000 - \SystemRoot\system32\DRIVERS\raspti.sys

F7F12000 - \SystemRoot\system32\DRIVERS\rdpdr.sys

F8645000 - \SystemRoot\system32\DRIVERS\termdd.sys

F8865000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F8875000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F8A41000 - \SystemRoot\system32\DRIVERS\swenum.sys

F7EDE000 - \SystemRoot\system32\DRIVERS\update.sys

F824C000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F8685000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F8695000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F8A47000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F8A4B000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F8C71000 - \SystemRoot\System32\Drivers\Null.SYS

F8A4F000 - \SystemRoot\System32\Drivers\Beep.SYS

F86B5000 - \??\C:\WINDOWS\system32\xpdx.sys

F88B5000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

F88BD000 - \SystemRoot\System32\drivers\vga.sys

F8A55000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F8A59000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

EFD8D000 - \SystemRoot\system32\drivers\fwdrv.sys

F88CD000 - \SystemRoot\System32\Drivers\Msfs.SYS

F88DD000 - \SystemRoot\System32\Drivers\Npfs.SYS

F8A0D000 - \SystemRoot\system32\DRIVERS\rasacd.sys

EFD7A000 - \SystemRoot\system32\DRIVERS\ipsec.sys

EFD22000 - \SystemRoot\system32\DRIVERS\tcpip.sys

F86D5000 - \SystemRoot\System32\Drivers\aswTdi.SYS

F86E5000 - \SystemRoot\system32\DRIVERS\wanarp.sys

EFCD2000 - \SystemRoot\system32\DRIVERS\netbt.sys

EFCB0000 - \SystemRoot\System32\drivers\afd.sys

F86F5000 - \SystemRoot\system32\DRIVERS\netbios.sys

EFC85000 - \SystemRoot\system32\DRIVERS\rdbss.sys

EFC16000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

EFC05000 - \SystemRoot\system32\drivers\khips.sys

F8715000 - \SystemRoot\System32\Drivers\Fips.SYS

F891D000 - \SystemRoot\System32\Drivers\Aavmker4.SYS

F8735000 - \SystemRoot\System32\Drivers\Cdfs.SYS

EFB25000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F8A67000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

EFE02000 - \SystemRoot\System32\drivers\Dxapi.sys

F893D000 - \SystemRoot\System32\watchdog.sys

BF9C1000 - \SystemRoot\System32\drivers\dxg.sys

F8BF5000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9D3000 - \SystemRoot\System32\ati2dvag.dll

BFA15000 - \SystemRoot\System32\ati2cqag.dll

BFA4F000 - \SystemRoot\System32\atikvmag.dll

BFA85000 - \SystemRoot\System32\ati3duag.dll

BFCEC000 - \SystemRoot\System32\ativvaxx.dll

EF8B7000 - \SystemRoot\System32\Drivers\aswMon2.SYS

F8AA7000 - \SystemRoot\System32\Drivers\ParVdm.SYS

EF66E000 - \SystemRoot\System32\Drivers\HTTP.sys

EF5A4000 - \SystemRoot\system32\DRIVERS\srv.sys

EF44F000 - \SystemRoot\system32\drivers\wdmaud.sys

EF524000 - \SystemRoot\system32\drivers\sysaudio.sys

EF266000 - \??\C:\WINDOWS\system32\drivers\aswRdr.sys

F8C05000 - \??\C:\WINDOWS\TEMP\mc21.tmp

F883D000 - \SystemRoot\system32\DRIVERS\usbccgp.sys

EED34000 - \SystemRoot\system32\DRIVERS\hidusb.sys

EF1BA000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

EED40000 - \SystemRoot\system32\DRIVERS\kbdhid.sys

EF763000 - \SystemRoot\system32\DRIVERS\mouhid.sys

EED54000 - \SystemRoot\system32\DRIVERS\FA312nd5.sys

F8B1C000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

EEC06000 - \SystemRoot\system32\drivers\kmixer.sys

 

Total number of drivers = 123

 

Liste des programmes installes

 

Adobe Reader 8.1.0 - Français

Adobe Shockwave Player

Adobe Shockwave Player

ATI - Software Uninstall Utility

ATI - Software Uninstall Utility

ATI Catalyst Control Center

ATI Display Driver

ATI Display Driver

µTorrent

µTorrent 1.4 (build 402)

Avanquest update

avast! Antivirus

avast! Antivirus

BricsCad 6.2

Cartes du Ciel V3.0 beta 3.0.1.2

CCleaner (remove only)

CCleaner (remove only)

CDBurnerXP Pro 3

Correctif pour Windows XP (KB893357)

Correctif Windows XP - KB834707

Correctif Windows XP - KB834707

Correctif Windows XP - KB867282

Correctif Windows XP - KB867282

Correctif Windows XP - KB873333

Correctif Windows XP - KB873333

Correctif Windows XP - KB873339

Correctif Windows XP - KB873339

Correctif Windows XP - KB884020

Correctif Windows XP - KB884020

Correctif Windows XP - KB884883

Correctif Windows XP - KB884883

Correctif Windows XP - KB885222

Correctif Windows XP - KB885250

Correctif Windows XP - KB885523

Correctif Windows XP - KB885626

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB885894

Correctif Windows XP - KB886185

Correctif Windows XP - KB886677

Correctif Windows XP - KB886716

Correctif Windows XP - KB887742

Correctif Windows XP - KB888113

Correctif Windows XP - KB888302

Correctif Windows XP - KB890047

Correctif Windows XP - KB890175

Correctif Windows XP - KB890831

Correctif Windows XP - KB890859

Correctif Windows XP - KB890923

Correctif Windows XP - KB891781

Correctif Windows XP - KB893086

Correctif Windows XP - KB896626

D-Link VGA Webcam

D-Link VGA Webcam

DH Driver Cleaner Professional Edition

DH Driver Cleaner Professional Edition

DVD Decoder Pak for Windows XP

DVD Decrypter 3.5.4.0 Fr

DVD Decrypter 3.5.4.0 Fr

FairUse Wizard 2

FairUse Wizard 2

Free Spider

Free Spider

FX AccuCharts

getPlus®_dll

getPlus®_dll

Global Trading System

Global Trading System

GTK+ 2.8.9 runtime environment

HijackThis 1.99.1

HijackThis 1.99.1

Hotfix for Windows XP (KB915865)

IKEA Home Planner Kitchen

IKEA Home Planner Kitchen

J2SE Runtime Environment 5.0 Update 9

K-Lite Codec Pack 2.81 Full

Lecteur Windows Media 10

Macromedia Extension Manager

Macromedia Flash 8

Macromedia Flash 8 Video Encoder

Macromedia Flash Player 8

Macromedia Flash Player 8 Plugin

Messenger Plus! Live

Microsoft .NET Framework 1.1

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft MSN MoneyCentral Stock Quotes Add-In for Excel

Microsoft National Language Support Downlevel APIs

Microsoft Office Professional Edition 2003

Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)

Mise à jour de sécurité pour Windows XP (KB883939)

Mise à jour de sécurité pour Windows XP (KB883939)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893066)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896422)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB903235)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900930)

Motorola Phone Tools

Motorola USB Drivers v2.9

Mozilla Firefox (2.0.0.2)

Mozilla Firefox (2.0.0.4)

Mozilla Thunderbird (1.5.0.10)

Mozilla Thunderbird (2.0.0.4)

Mp3tag v2.38

Multimedia Keyboard Driver

Multimedia Keyboard Driver

Multimedia Keyboard Driver

Multimedia Mouse Driver

Multimedia Mouse Driver

Multimedia Mouse Driver

Neuf - Kit de connexion

Notepad++

O&O Defrag Professional Edition

Opera 9.20

Palm Desktop

PDFCreator

PhotoFiltre

Quick Zip 4.60.013

QuickTime

Radio Fr Solo 2.1

Samsung Media Studio

Shareaza version 2.2.5.0

Shockwave

SpeedFan (remove only)

Spy Sweeper

Spybot - Search & Destroy 1.4

Sunbelt Personal Firewall

SUPER © Version 2007.bld.22 (Mar 14, 2007)

The GIMP 2.2.10

Viewpoint Media Player (Remove Only)

WAMP5 1.7.1

WebFldrs XP

Windows Installer 3.1 (KB893803)

Windows Internet Explorer 7

Windows Internet Explorer 7

Windows Live Messenger

Windows Live OneCare safety scanner

Windows Media Format Runtime

Windows Media Player Tag Support Extender

xp-AntiSpy 3.94-2

XviD MPEG-4 Video Codec

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 2459-A113

 

Répertoire de C:\Program Files

 

26/06/2007 22:14 <REP> .

26/06/2007 22:14 <REP> ..

25/06/2007 20:40 <REP> Adobe

19/12/2005 18:43 <REP> Alwil Software

05/03/2006 10:45 <REP> ATI Technologies

13/05/2007 22:17 <REP> AviSynth 2.5

15/12/2005 22:09 <REP> ComPlus Applications

26/06/2007 14:31 <REP> Fichiers communs

17/03/2007 08:42 <REP> FX

17/04/2007 09:59 <REP> fxsgts

23/12/2006 16:11 <REP> Internet Explorer

27/10/2006 14:21 <REP> Java

15/04/2007 10:44 <REP> LiveUpdate

07/04/2007 16:12 <REP> MarkAny

19/12/2005 19:16 <REP> Microsoft Office

19/12/2005 19:17 <REP> Microsoft.NET

15/04/2007 11:04 <REP> Motorola Phone Tools

18/06/2007 21:24 <REP> Mozilla Firefox

15/06/2007 07:56 <REP> Mozilla Thunderbird

07/03/2007 16:06 <REP> MSN Messenger

27/09/2006 14:22 <REP> MSNStockQuote

15/12/2005 22:11 <REP> NetMeeting

04/09/2006 22:47 <REP> Neuf

15/12/2005 22:17 <REP> Outlook Express

21/06/2007 19:33 <REP> Palm

17/03/2007 07:01 <REP> PDFCreator

13/04/2006 11:09 <REP> piPOol

07/04/2007 16:11 <REP> Samsung

20/04/2007 07:50 <REP> Sangha

15/12/2005 22:11 <REP> Services en ligne

13/08/2006 00:16 <REP> SpeedFan

23/07/2006 21:11 <REP> Viewpoint

26/06/2007 22:14 <REP> Webroot

23/05/2007 22:29 <REP> Windows Live Safety Center

21/01/2007 15:14 <REP> Windows Media Player

15/12/2005 22:09 <REP> Windows NT

07/04/2007 16:13 <REP> XviD

0 fichier(s) 0 octets

37 Rép(s) 71 572 148 224 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 2459-A113

 

Répertoire de C:\Program Files\fichiers communs

 

26/06/2007 14:31 <REP> .

26/06/2007 14:31 <REP> ..

18/06/2007 21:39 <REP> Adobe

18/03/2006 18:21 <REP> BricsCad

19/12/2005 19:16 <REP> DESIGNER

06/01/2006 22:53 <REP> InstallShield

27/10/2006 14:20 <REP> Java

27/07/2006 11:33 <REP> Macromedia

19/12/2005 19:17 <REP> Microsoft Shared

15/12/2005 22:11 <REP> MSSoap

15/12/2005 23:05 <REP> ODBC

15/12/2005 22:11 <REP> Services

15/12/2005 23:05 <REP> SpeechEngines

13/05/2007 21:28 <REP> SWF Studio

19/12/2005 19:16 <REP> System

0 fichier(s) 0 octets

15 Rép(s) 71 572 148 224 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 2459-A113

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

19/12/2005 19:16 <REP> .

19/12/2005 19:16 <REP> ..

19/12/2005 19:16 <REP> 1033

19/12/2005 19:16 <REP> 1036

11/07/2003 11:15 1 292 872 MSONSEXT.DLL

15/07/2003 07:52 35 896 MSOSV.DLL

03/06/1999 13:09 122 937 MSOWS409.DLL

07/03/2001 08:00 127 033 MSOWS40c.DLL

11/07/2003 03:25 80 448 PKMWS.DLL

5 fichier(s) 1 659 186 octets

4 Rép(s) 71 572 148 224 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 2459-A113

 

Répertoire de C:\

 

12/05/2007 18:22 68 096 diff.exe

12/05/2007 18:22 103 424 grep.exe

2 fichier(s) 171 520 octets

0 Rép(s) 71 572 148 224 octets libres

c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\QuickTime 7.1.3.100\QuickTimeInstallerAdmin.exe

c:\Documents and Settings\Famille\file.exe

c:\Documents and Settings\Famille\loader.exe

c:\Documents and Settings\Famille\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe

c:\Documents and Settings\Famille\Application Data\Microsoft\Installer\{86EB9B75-C7F8-4D7D-A032-6C5858757525}\ARPPRODUCTICON.exe

c:\Documents and Settings\Famille\Application Data\Microsoft\Installer\{885A63EA-382B-4DD4-A755-14809B8557D6}\ARPPRODUCTICON.exe

c:\Documents and Settings\Famille\Application Data\Microsoft\Installer\{91057632-CA70-413C-B628-2D3CDBBB906B}\ARPPRODUCTICON.exe

c:\Documents and Settings\Famille\Application Data\Microsoft\Installer\{9B52B30C-F65C-4244-ABCE-215E46E27AF0}\NewShortcut5_4.exe

c:\Documents and Settings\Famille\Application Data\Microsoft\Installer\{9B52B30C-F65C-4244-ABCE-215E46E27AF0}\NewShortcut5_6.exe

c:\Documents and Settings\Famille\Application Data\Microsoft\Installer\{9B52B30C-F65C-4244-ABCE-215E46E27AF0}\NewShortcut7.exe

c:\Documents and Settings\Famille\Application Data\Microsoft\Installer\{9B52B30C-F65C-4244-ABCE-215E46E27AF0}\QuickTourShortcut.exe

c:\Documents and Settings\Famille\Application Data\Microsoft\Installer\{E89D78B8-28F7-412F-8B26-C684739CBBDC}\ARPPRODUCTICON.exe

c:\Documents and Settings\Famille\Application Data\Microsoft\Installer\{E89D78B8-28F7-412F-8B26-C684739CBBDC}\PalmDesktopShortcut.exe

c:\Documents and Settings\Famille\Application Data\Microsoft\Installer\{FC0C72DD-A491-43FF-B377-67273E4D94D7}\ARPPRODUCTICON.exe

c:\Documents and Settings\Famille\Application Data\U3BD0EA60524058D6\cleanup.exe

c:\Documents and Settings\Famille\Application Data\U3BD0EA60524058D6\Launchpad.exe

c:\Documents and Settings\Famille\Bureau\KillBox.exe

c:\Documents and Settings\Famille\Bureau\VundoFix.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\Famille\Application Data\Macromedia\Dreamweaver 8\Configuration\Flash Player\FlashPlayerW.dll

c:\Documents and Settings\Famille\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\Famille\Application Data\Thunderbird\Profiles42fbydb.default\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbscmp.dll

c:\Documents and Settings\Famille\Application Data\Thunderbird\Profiles42fbydb.default\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\strgcmps.dll

c:\Documents and Settings\Famille\Application Data\Thunderbird\Profiles42fbydb.default\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\webdav.dll

c:\Documents and Settings\Famille\Application Data\U3BD0EA60524058D6\LPSecurityExtension.dll

c:\Documents and Settings\Famille\Application Data\U3BD0EA60524058D6\u3dapi10.dll

c:\Documents and Settings\Famille\Local Settings\Application Data\Macromedia\Flash 8\fr\Configuration\External Libraries\FLfile.dll

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

 

****** Fin du rapport DiagHelp

 

Merci.

Modifié par gege30

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour avancer un peu, je viens de faire un scan F-Secure Blacklight dont voici le log :

 

06/27/07 15:39:25 [info]: BlackLight Engine 1.0.64 initialized

06/27/07 15:39:25 [info]: OS: 5.1 build 2600 (Service Pack 2)

06/27/07 15:39:26 [Note]: 7019 4

06/27/07 15:39:26 [Note]: 7005 0

06/27/07 15:39:43 [Note]: 7006 0

06/27/07 15:39:43 [Note]: 7011 2044

06/27/07 15:39:43 [Note]: 7026 0

06/27/07 15:39:43 [Note]: 7026 0

06/27/07 15:39:46 [Note]: FSRAW library version 1.7.1022

06/27/07 15:43:13 [Note]: 7007 0

Partager ce message


Lien à poster
Partager sur d’autres sites

salut :P

 

On voit bien des restes de Vundo... mais aussi un rootkit! >

 

Télécharge rustbfix (par ejvindh) de l'un de ces deux liens :

 

http://www.uploads.ejvindh.net/rustbfix.exe

http://uploads.ejvindh.andymanchesta.com/Rustbfix.exe

...et sauvegarde-le sur ton Bureau.

 

Double clique rustbfix.exe afin de lancer l'outil.

Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

Suite au(x) redémarrage(s), deux rapports s'ouvriront : (C:\avenger.txt & C:\rustbfix\pelog.txt).

Poste (Copie/Colle) le contenu de ces deux rapports dans ta prochaine réponse.

 

Il y a aussi une reste de l'infection Magic Control Agent >

 

Fais un clic droit sur ce lien > navilog1 de IL-MAFIOSO

  • Choisis Enregistrer la cible (du lien) sous et enregistre-le fichier sur ton bureau.
  • Ensuite double clique sur navilog1.exe pour lancer l'installation.
  • Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  • Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
  • Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
  • Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
  • Copie-colle l'intégralité dans une réponse. Referme le bloc note.
  • Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

La procédure est décrite ici , en images >

http://www.malekal.com/Adware.Magic_Control.html

ca correspond à la première étape > "Téléchargement et installation de navilog1"

Ne lance pas d'autre option pour le moment!

Modifié par charles ingals

Partager ce message


Lien à poster
Partager sur d’autres sites

Me re-voilà,

 

Voici 2 les logs de rustbfix :

 

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\bgfdvhqp

 

*******************

 

Script file located at: \??\C:\llwwowqj.txt

Script file opened successfully.

 

Script file read successfully

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Driver xpdx unloaded successfully.

Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

 

************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************

27/06/2007 15:58:19,31

 

******************* Pre-run Status of system *******************

 

Rootkit driver xpdx is found. Starting the unload-procedure....

 

Rustock.b-ADS attached to the System32-folder:

No streams found.

 

Looking for Rustock.b-files in the System32-folder:

system32\xpdx.sys FOUND!

attempting to delete xpdx.sys from system32-folder

 

 

******************* Post-run Status of system *******************

 

Rustock.b-driver on the system: NONE!

 

Rustock.b-ADS attached to the System32-folder:

No System32-ADS found.

 

Looking for Rustock.b-files in the System32-folder:

No Rustock.b-files found in system32

 

 

******************************* End of Logfile ********************************

 

et voici le log de Navilog1 :

 

Search Navipromo version 2.0.3 commencé le 27/06/2007 à 16:12:48,14

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Famille\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

 

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

======================================

 

Copyright 2005-2006 F-Secure Corporation. All rights reserved.

This is a beta version. It will expire on 1st of April, 2007.

Version information: 2.2.1061.

 

[+] Started on 06/27/07 at 16:13:02.

[+] Initializing ...

[+] Starting scan, press Ctrl-C to abort.

[+] Scanning for hidden items ......................................

[+] Scan complete.

[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.

[+] Exited on 06/27/07 at 16:15:35 (return code = 0).

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

C:\WINDOWS\system32\aybeg.bak1 trouvé ! infection Vundo possible non traité par cet outil !

 

2)Recherche Heuristique :

*

**

***

****

*****

******

*******

********

 

 

*** Analyse Terminé le 27/06/2007 à 16:15:59,21 ***

Partager ce message


Lien à poster
Partager sur d’autres sites

Très bien le rootkit est éliminé! continue comme ceci >

 

1) Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

  • Au menu principal, choisis 2 et valide.
  • Le fix va t'informer qu'il va alors redémarrer ton PC
  • Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
  • Appuie sur une touche comme demandé.(si ton Pc ne redémarre pas automatiquement, fais le toi même)
  • Au redémarrage de ton PC, choisis ta session habituelle.Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
  • Le bloc note va s'ouvrir: sauvegarde le rapport de manière à le retrouver.
  • Referme le bloc note. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer et valide. Celà te fera apparaitre ton bureau.

 

2) Double clique sur VundoFix.exe (il se trouve sur ton bureau) >

  • Fais un clic droit sur une endroit vide de la fenêtre qui s'ouvre.
  • Un pop up va afficher "Add More Files ?" > Clique dessus : une seconde fenêtre va s'ouvrir.
  • Sous "Paste files into the boxes below:" copie/colle les fichiers ci-dessous, un par case >

    C:\WINDOWS\System32\aybeg.ini
    C:\WINDOWS\System32\aybeg.bak1
    C:\WINDOWS\System32\instcat.dll
    C:\WINDOWS\System32\vtuussr.dll
    C:\WINDOWS\system32\Smab.dll

     
  • Clique sur Add files
  • Ensuite clique sur Close Windows
  • Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
  • Si l'outils demande un redémarrage, accepte

3) Poste le rapport de VundoFix, navilog, ainsi que le rapport du scan suivant >

 

Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

 

En cas de souci >

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur bouton-scann1.jpg
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

@+

Partager ce message


Lien à poster
Partager sur d’autres sites

Bon, voilà les logs que tu m'as demandé Charles. Par contre Vundofix a bien redémarré le pc après le fix mais n'a pas fourni de log.

 

Le log de Navilog :

 

Clean Navipromo version 2.0.3 commencé le 27/06/2007 à 21:50:48,03

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

 

Mode suppression automatique avec prise en charge résultats Blacklight

 

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\Famille\Application Data ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Famille\Local Settings\Temp effectué !

 

 

*** Sauvegarde du registre vers dossier Backupnavi***

 

 

sauvegarde du registre réalise avec succes !

 

 

*** Nettoyage registre ***

 

 

Nettoyage registre Ok

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

C:\WINDOWS\system32\aybeg.bak1 trouvé ! infection Vundo possible non traité par cet outil !

 

2)Recherche et Suppression Heuristique :

 

*

**

***

****

*****

******

*******

********

 

3)Contrôle présence clés Rootkit dans le registre :

 

Aucune autre clés présente dans le registre !

 

*** Nettoyage termine le 27/06/2007 à 21:54:23,72 ***

 

 

et le log du scan panda :

 

 

Incident Statut Analyse

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Famille\Cookies\famille@xiti[1].txt

Outil indésirable:Application/Processor No Désinfecté C:\Download\SmitfraudFix\Process.exe

Virus:Trj/Shutdown.Z Désinfecté C:\Download\SmitfraudFix\restart.exe

Outil indésirable:Application/Processor No Désinfecté C:\Program Files\Navilog1\Process.exe

Partager ce message


Lien à poster
Partager sur d’autres sites

ok très bien :P pour ce qui est du rapport Vundo, tu le trouveras ici > C:\vundofix.txt

Poste le stp pour voir s'il a bien nettoyé les fichiers.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Charles,

 

Voilà le rapport Vundifix. Ce qui m'a trompé c'est "Scan started at 14:37:02 27/06/2007". En regardant les propriétés du fichier il a bien été modifié pour la dernière fois vers 22 h 00, quand j'ai fait le dernier scan.

 

 

 

Java version is 1.5.0.9

Old versions of java are exploitable and should be removed.

 

Scan started at 14:37:02 27/06/2007

 

Listing files found while scanning....

 

No infected files were found.

 

 

Beginning removal...

 

Attempting to delete c:\windows\System32\aybeg.bak1

c:\windows\System32\aybeg.bak1 Has been deleted!

 

Attempting to delete c:\windows\System32\aybeg.ini

c:\windows\System32\aybeg.ini Has been deleted!

 

Attempting to delete c:\windows\System32\instcat.dll

c:\windows\System32\instcat.dll Has been deleted!

 

Attempting to delete c:\windows\System32\Smab.dll

c:\windows\System32\Smab.dll Has been deleted!

 

Attempting to delete c:\windows\System32\vtuussr.dll

c:\windows\System32\vtuussr.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...