Analyse rapport Hijackthis+smitfraudfix S.V.P

felipe · le 6 juillet 2007

Salut....effectivement....

DiagHelp version v1.1.2 - http://www.malekal.com

excute le 06/07/2007 à 0:44:56,75

Liste des derniers fichies modifies/crees dans windir\system32

C:\WINDOWS\System32/drivers\sptd.sys -->01/07/2007 23:11:17

C:\WINDOWS\System32/drivers\TCPIP.SYS.ORIGINAL -->01/07/2007 15:15:20

C:\WINDOWS\System32/drivers\sbapifs.sys -->01/07/2007 14:46:26

C:\WINDOWS\System32/drivers\103C_HP_CPC_EZ082AA-ABF m7438.fr_YC_0Pavi_QCZB617_E62FRemMPA2_48_IAsterope_SHewleet-Packard_V1.0_B3.08_T060224_WXP2_L40C_M1024_J250_7Intel_8Pentium D_92.8_#070701_N10EC8139_Z_G_OHL-DT-ST DVDRRW GSA-H21L_D.MRK -->01/07/2007 13:21:02

C:\WINDOWS\System32/drivers\LVMVdrv.sys -->11/05/2007 17:29:54

C:\WINDOWS\System32/drivers\Lvckap.sys -->11/05/2007 17:27:58

C:\WINDOWS\System32/drivers\LVFeL002.cfg -->11/05/2007 16:14:14

C:\WINDOWS\System32\nmllm.ini -->06/07/2007 00:44:50

C:\WINDOWS\System32\nvapps.xml -->06/07/2007 00:18:53

C:\WINDOWS\System32\wpa.dbl -->06/07/2007 00:15:59

C:\WINDOWS\System32\OODBS.lor -->06/07/2007 00:14:31

C:\WINDOWS\System32\owfspelt.exe -->05/07/2007 22:28:38

C:\WINDOWS\System32\iruqgand.exe -->05/07/2007 22:28:37

C:\WINDOWS\System32\mllmn.dll -->05/07/2007 22:25:36

C:\WINDOWS\System32\cbxxwtq.dll -->05/07/2007 22:20:32

C:\WINDOWS\System32\tmp.txt -->05/07/2007 22:17:03

C:\WINDOWS\System32\tmp.reg -->05/07/2007 22:17:03

C:\WINDOWS\System32\CONFIG.NT -->05/07/2007 19:55:59

C:\WINDOWS\System32\ppctl.dll -->02/07/2007 22:57:11

C:\WINDOWS\System32\intercept.dll -->02/07/2007 22:47:52

C:\WINDOWS\System32\tmmute.ini -->02/07/2007 20:54:51

C:\WINDOWS\System32\lvcoinst.log -->02/07/2007 20:18:03

C:\WINDOWS\System32\Installer.log -->02/07/2007 20:13:36

C:\WINDOWS\System32\hpzjrd01.dll -->02/07/2007 17:30:33

C:\WINDOWS\System32\BASSMOD.dll -->01/07/2007 23:26:32

C:\WINDOWS\System32\CmdLineExt.dll -->01/07/2007 23:22:01

C:\WINDOWS\System32\FNTCACHE.DAT -->01/07/2007 23:12:30

C:\WINDOWS\System32\PerfStringBackup.INI -->01/07/2007 15:36:37

C:\WINDOWS\System32\perfh00C.dat -->01/07/2007 15:36:37

C:\WINDOWS\System32\perfh009.dat -->01/07/2007 15:36:37

C:\WINDOWS\System32\perfc00C.dat -->01/07/2007 15:36:37

C:\WINDOWS\System32\perfc009.dat -->01/07/2007 15:36:37

C:\WINDOWS.log -->06/07/2007 00:15:24

C:\WINDOWS\wiadebug.log -->06/07/2007 00:15:14

C:\WINDOWS\WindowsUpdate.log -->06/07/2007 00:15:12

C:\WINDOWS\wiaservc.log -->06/07/2007 00:15:07

C:\WINDOWS\bootstat.dat -->06/07/2007 00:14:35

C:\WINDOWS\msnfix.txt -->05/07/2007 22:33:30

C:\WINDOWS\windebug.log -->05/07/2007 22:10:53

C:\WINDOWS\SchedLgU.Txt -->05/07/2007 19:56:31

C:\WINDOWS\intercept.dll -->02/07/2007 22:47:52

C:\WINDOWS\HP_CounterReport_Update_HPSU.ini -->02/07/2007 17:32:58

C:\WINDOWS\HP_48BitScanUpdatePatch.ini -->02/07/2007 17:32:43

C:\WINDOWS\HP_RedboxHprblog_HPSU.ini -->02/07/2007 17:30:39

C:\WINDOWS\Sti_Trace.log -->01/07/2007 20:36:31

C:\WINDOWS\win.ini -->01/07/2007 15:28:59

C:\WINDOWS\WMSysPr9.prx -->01/07/2007 15:27:21

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est E878-F4CB

Répertoire de C:\WINDOWS\system

07/05/1998 18:04 52 736 hpsysdrv.exe

1 fichier(s) 52 736 octets

0 Rép(s) 228 759 556 096 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est E878-F4CB

Répertoire de C:\WINDOWS\system32

10/08/2004 13:00 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 228 759 556 096 octets libres

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est E878-F4CB

Répertoire de C:\WINDOWS\Downloaded Program Files

02/07/2007 20:10 <REP> .

02/07/2007 20:10 <REP> ..

10/10/2005 13:32 65 desktop.ini

26/07/2002 02:13 24 576 dwusplay.dll

26/07/2002 02:13 196 608 dwusplay.exe

23/03/2007 12:17 1 292 erma.inf

18/06/2007 12:19 1 570 hardwaredetection.inf

28/07/2004 00:48 323 584 isusweb.dll

6 fichier(s) 547 695 octets

Total des fichiers listés :

6 fichier(s) 547 695 octets

2 Rép(s) 228 759 552 000 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"

"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"

"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe:*:Enabled:hpqdia.exe"

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"

"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL France"

"C:\\Program Files\\utorrent\\utorrent.exe"="C:\\Program Files\\utorrent\\utorrent.exe:*:Enabled:µTorrent"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Export de la clef SharedTaskScheduler

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

Rechercher adresses sensibles dans le fichier HOSTS...

REGEDIT4

[taskmgr.exe]

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-07-06 00:49:42

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden services: 0

hidden files: 0

Thanos · le 6 juillet 2007

salut felipe

Bon on a le principal mais le rapport DaigHelp n'est pas complêt il y avait encore des répertoires listés : on réessaiera plus tard, et il ne faudra pas oublier de taper sur une touche une fois le scan CatchMe terminé

Voilà la suite >

1) Double clique sur VundoFix.exe (il se trouve sur ton bureau) >

Ne clique pas sur "Scan for a vundo" !!
Fais un clic droit sur une endroit vide de la fenêtre.
Un message va afficher "Add More Files ?", clique dessus : une seconde fenêtre va s'ouvrir.
Sous "Paste files into the box below:" copie/colle les fichiers ci-dessous ( un par case) >
C:\WINDOWS\System32\owfspelt.exe
C:\WINDOWS\System32\iruqgand.exe
C:\WINDOWS\System32\mllmn.dll
C:\WINDOWS\System32\cbxxwtq.dll
C:\WINDOWS\intercept.dll
C:\WINDOWS\system32\intercept.dll
C:\WINDOWS\system32\dllcache\winmga.exe
Clique sur Add files
Ensuite clique sur Close Windows
Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
Si l'outil demande un redémarrage, accepte.

2) Ouvre Hijackthis et clique sur "Open the misc tools section"=> puis "Delete an NT service".

la fenêtre "Delete a Windows NT service" va s'ouvrir
Dans la fenêtre qui s'ouvre, copie/colle ceci => Microsoft Genuine Advantage
Note : assure-toi de ne pas mettre d'espace avant le nom du service que tu as copié/collé dans le champs.
clique sur OK
Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.
Cliquer sur YES

Le pc devrait redémarrer : une fois ceci fait reposte stp un nouveau rapport hijackthis ainsi que le rapport Vundofix > C:\vundofix.txt

Fais le scan en ligne suivant >

Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

@+

felipe · le 6 juillet 2007

Salut...

Procédure suivie mais Windows genuine est actif...donc ne peux pas le supprimer...comment le désactiver please?

Thanos · le 6 juillet 2007

salut

Est ce que tu as utilisé VundoFix comme demandé? si oui poste le rapport stp

Désolé pour ce qui est du service Microsoft Genuine Advantage !! j'ai oublié de te demander de le désactiver avant...

Donc, voilà ce que tu vas faire stp >

1) vas dans le menu démarrer executer et tu tapes : services.msc

Cherche le service suivant:Microsoft Genuine Advantage et double clique dessus :

dans le champs"Status du service" met le sur "arrêté"

dans le champs"Type de démarrage" met le sur "désactivé"

puis clique sur "Appliquer" puis"ok"

Quitte les services.

2) Utilise hijackthis comme expliqué ci dessus pour éliminer le service.

tu as pû faire le scan en ligne ? poste le rapport stp

felipe · le 6 juillet 2007

Pas de soucis par contre il est déja désactivé !!!

mais impossible a supprimer!!!

que faire?

felipe · le 6 juillet 2007

ok WGA effacé...je continue et reposte a tout de suite....

Thanos · le 6 juillet 2007

ok ca marche : prend ton temps

felipe · le 6 juillet 2007

fffff avast refuse le scan panda!!!!!

Thanos · le 6 juillet 2007

ok dans ce cas, essaie celui ci stp >

Fais un scan en ligne Kaspersky avec Internet Explorer :
Clique sur
Clique maintenant sur J'accepte.
Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
Patiente pendant l'installation des Mises à jour.
Choisis par la suite l'analyse du Poste de travail
Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

felipe · le 7 juillet 2007

Ok , Bonjour Mr Ingals...

Ci-dessous voici le rapport Kaspersky:

KASPERSKY ON-LINE SCANNER REPORT

Saturday, July 07, 2007 3:52:05 PM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 7/07/2007

Enregistrements dans la base antivirus Kaspersky : 337135

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

K:\

Statistiques de l'analyse

Total d'objets analysés 78344

Nombre de virus trouvés 3

Nombre d'objets infectés 21 / 0

Nombre d'objets suspects 0

Durée de l'analyse 01:15:51

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\MSDVRMM_3900241099_1703936_53431 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\MSDVRMM_3900241099_720896_53430 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\SBE1.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\SBE2.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\{C73EA08C-0E24-4EA5-8FBC-D5BB055AA2C5}.TmpSBE L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\{E54F8533-63AB-47AB-8D47-081D55F3C8F2}.TmpSBE L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\DRM\drmstore.hds L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Messenger\p.g.box@hotmail.fr\SharingMetadata\Logs\Dfsr00005.log L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Messenger\p.g.box@hotmail.fr\SharingMetadata\pending.dat L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Messenger\p.g.box@hotmail.fr\SharingMetadata\Working\database_BAE8_7939_E878_F4CB\dfsr.db L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Messenger\p.g.box@hotmail.fr\SharingMetadata\Working\database_BAE8_7939_E878_F4CB\fsr.log L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Messenger\p.g.box@hotmail.fr\SharingMetadata\Working\database_BAE8_7939_E878_F4CB\tmp.edb L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Windows Live Contacts\p.g.box@hotmail.fr\real\members.stg L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Windows Live Contacts\p.g.box@hotmail.fr\shadow\members.stg L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Historique\History.IE5\MSHist012007070720070708\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\hpodvd09.log L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\_hphtra07.log L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\~DF136F.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\~DF7B7.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\~DFD714.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\~DFD72B.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\~DFED34.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\~DFEF60.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Mes documents\Mes fichiers reçus\lcapi0.log L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Mes documents\Mes fichiers reçus\MsnMsgr.txt L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\Mes documents\Mes fichiers reçus\Transport0.log L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\HP_Administrateur\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2007-07-07.13-37-24.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

C:\Program Files\CA\SharedComponents\PPRT\logs\2007-07-07.csv L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp1.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp2.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp4.part L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP26\A0005279.exe/script.au3 Infecté : IM-Worm.Win32.Agent.d ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP26\A0005279.exe AutoIt: infecté - 1 ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP26\A0005279.exe UPX: infecté - 1 ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP26\A0005279.exe PE_Patch.UPX: infecté - 1 ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP26\A0006305.exe/script.au3 Infecté : IM-Worm.Win32.Agent.d ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP26\A0006305.exe AutoIt: infecté - 1 ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP26\A0006305.exe UPX: infecté - 1 ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP26\A0006305.exe PE_Patch.UPX: infecté - 1 ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP28\A0006400.exe/script.au3 Infecté : IM-Worm.Win32.Agent.d ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP28\A0006400.exe AutoIt: infecté - 1 ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP28\A0006400.exe UPX: infecté - 1 ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP28\A0006400.exe PE_Patch.UPX: infecté - 1 ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP30\A0006658.exe/script.au3 Infecté : IM-Worm.Win32.Agent.d ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP30\A0006658.exe AutoIt: infecté - 1 ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP30\A0006658.exe UPX: infecté - 1 ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP30\A0006658.exe PE_Patch.UPX: infecté - 1 ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP31\A0006714.exe Infecté : Trojan-Downloader.Win32.Tiny.id ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP31\A0006715.exe Infecté : Trojan-Downloader.Win32.Tiny.id ignoré

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP31\change.log L'objet est verrouillé ignoré

C:\VundoFix Backups\owfspelt.exe .bad Infecté : Trojan-Downloader.Win32.Tiny.id ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{AB1E2D6B-08A9-41F8-9390-8DBF1148D93A}.crmlog L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Media Ce.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\xnrjlufd.exe Infecté : Trojan-Downloader.Win32.Tiny.id ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_628.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

C:\_OTMoveIt\MovedFiles\WINDOWS\system32\dllcache\winmga.exe Infecté : Backdoor.Win32.VanBot.dk ignoré

Analyse terminée.

-------------------------------------------------------------------------------------------------------------------------------------------

Le Logfile Hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 15:55:43, on 07/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\arservice.exe

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\CA\SharedComponents\PPRT\bin\ITMRTSVC.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\oodag.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\ARPWRMSG.EXE

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Sonic\DigitalMedia Plus\DigitalMedia Archive\DMAScheduler.exe

C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\CA\CA Internet Security Suite\cctray\cctray.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\CA\CA Internet Security Suite\CA Anti-Spyware\CAPPActiveProtection.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Program Files\CA\CA Internet Security Suite\ccprovsp.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\HP\KBD\KBD.EXE

c:\windows\system\hpsysdrv.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Documents and Settings\HP_Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 66.98.148.65 auto.search.msn.com

O1 - Hosts: 66.98.148.65 auto.search.msn.es

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [ftutil2] "rundll32.exe" ftutil2.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [HPHUPD08] "c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe"

O4 - HKLM\..\Run: [DMAScheduler] "c:\Program Files\Sonic\DigitalMedia Plus\DigitalMedia Archive\DMAScheduler.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPwuSchd2.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [cctray] "C:\Program Files\CA\CA Internet Security Suite\cctray\cctray.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.touslesdrivers.com/fichiers/har...on.cab?version=

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: CaCCProvSP - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\ccprovsp.exe

O23 - Service: CA Pest Patrol Realtime Protection Service (ITMRTSVC) - CA, Inc. - C:\Program Files\CA\SharedComponents\PPRT\bin\ITMRTSVC.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: PPCtlPriv - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Spyware\PPCtlPriv.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

Autrement j'ai suivi toute ta procédure....

En attente de tes instructions....

Connexion

Pas encore inscrit ?

Analyse rapport Hijackthis+smitfraudfix S.V.P

Messages recommandés

felipe

Thanos

felipe

Thanos

felipe

felipe

Thanos

felipe

Thanos

felipe

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer

Pas encore inscrit ?

** Analyse rapport Hijackthis+smitfraudfix S.V.P **

Messages recommandés

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Analyse rapport Hijackthis+smitfraudfix S.V.P