analyse hichjack

[olly]

Bonsoir Messieurs,

 

Merci de bien vouloir analyser ce rapport

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Ink\KeyboardSurrogate.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe

c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\McAfee\MPF\MPFSrv.exe

C:\PROGRA~1\McAfee\MPS\mps.exe

C:\Program Files\McAfee\MSK\MskSrver.exe

C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe

C:\Program Files\SiteAdvisor\6066\SAService.exe

C:\WINDOWS\SYSTEM32\WISPTIS.EXE

C:\WINDOWS\System32\tabbtnu.exe

C:\Program Files\McAfee\MPS\mpsevh.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Ink\TCServer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\igfxtray.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Ink\TabTip.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Acer\Notebook Manager\almxptray.exe

C:\Progra~1\Launch Manager\LaunchAp.exe

C:\Progra~1\Launch Manager\PowerKey.exe

C:\Progra~1\Launch Manager\HotkeyApp.exe

C:\Progra~1\Launch Manager\CtrlVol.exe

C:\Progra~1\Launch Manager\Wbutton.exe

C:\Program Files\Wise Backlight\wsbklite.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\ltmoh\Ltmoh.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\McAfee\MSK\MskAgent.exe

C:\Program Files\SiteAdvisor\6066\SiteAdv.exe

C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\OLIVIER\LOCALS~1\Temp\Rar$EX01.431\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6066\SiteAdv.dll

O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\program files\mcafee\virusscan\scriptcl.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - C:\WINDOWS\system32\__c00A8DC.dat

O2 - BHO: (no name) - {D61D7E1A-6613-49CA-B6F9-51DB248E209D} - C:\Program Files\Video ActiveX Access\iesplg.dll (file missing)

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6066\SiteAdv.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Program Files\Video ActiveX Access\iesbpl.dll (file missing)

O4 - HKLM\..\Run: [TabletTip] "C:\Program Files\Fichiers communs\microsoft shared\ink\tabtip.exe" /resume

O4 - HKLM\..\Run: [LaunchApp] LaunApp

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe

O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe

O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [HotkeyApp] C:\Progra~1\Launch Manager\HotkeyApp.exe

O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe

O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [Wise Backlight] "C:\Program Files\Wise Backlight\wsbklite.exe"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [newname] c:\\nwnmff_e8.exe

O4 - HKLM\..\Run: [TabletWizard] C:\WINDOWS\help\SplshWrp.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [MskAgentexe] C:\Program Files\McAfee\MSK\MskAgent.exe

O4 - HKLM\..\Run: [siteAdvisor] C:\Program Files\SiteAdvisor\6066\SiteAdv.exe

O4 - HKLM\..\Run: [ssAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Zinio DLM] C:\Program Files\Zinio\ZDLM.exe /hide

O4 - HKCU\..\Run: [ChkMail] hR?

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKLM\..\Policies\Explorer\Run: [isamonitor.exe] C:\Program Files\Video ActiveX Object\isamonitor.exe

O4 - HKLM\..\Policies\Explorer\Run: [none] C:\Program Files\Video ActiveX Object\pmsngr.exe

O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Program Files\Video ActiveX Access\imsmain.exe

O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Program Files\Video ActiveX Access\iesmn.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [TabletWizard] %windir%\help\wizard.hta (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Registration-Studio 8 SE.lnk = ?

O4 - Global Startup: SketchBook Snapshot.lnk = C:\Program Files\AliasWavefront\Alias SketchBook Pro 1.0\SketchBookSnap.exe

O4 - Global Startup: Image Transfer.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...01/mcinsctl.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,26/mcgdmgr.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{327CDF92-B6CF-4EF8-B655-A7660700F9CB}: NameServer = 85.255.115.60,85.255.112.136

O17 - HKLM\System\CCS\Services\Tcpip\..\{A4AF7727-B733-4E9F-83F8-6686B4B78AD9}: NameServer = 85.255.115.60,85.255.112.136

O17 - HKLM\System\CCS\Services\Tcpip\..\{B946C7DF-E6F8-4EBE-9A43-A36FF540E309}: NameServer = 85.255.115.60,85.255.112.136

O17 - HKLM\System\CCS\Services\Tcpip\..\{CCFB204F-9996-42EB-98A3-F2DA2B708CE1}: NameServer = 85.255.115.60,85.255.112.136

O17 - HKLM\System\CCS\Services\Tcpip\..\{F732862A-EA9D-411B-BA2F-DC9483CDE649}: NameServer = 85.255.115.60,85.255.112.136

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.136

O17 - HKLM\System\CS1\Services\Tcpip\..\{327CDF92-B6CF-4EF8-B655-A7660700F9CB}: NameServer = 85.255.115.60,85.255.112.136

O17 - HKLM\System\CS2\Services\Tcpip\..\{327CDF92-B6CF-4EF8-B655-A7660700F9CB}: NameServer = 85.255.115.60,85.255.112.136

O17 - HKLM\System\CS3\Services\Tcpip\..\{327CDF92-B6CF-4EF8-B655-A7660700F9CB}: NameServer = 85.255.115.60,85.255.112.136

O20 - Winlogon Notify: SharedDLLs - C:\WINDOWS\system32\scgina.dll (file missing)

O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\scgina.dll (file missing)

O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\scgina.dll (file missing)

O21 - SSODL: eupeptic - {8670ee50-01f9-47da-ac1e-cf8549e9e521} - (no file)

O22 - SharedTaskScheduler: eupeptic - {8670ee50-01f9-47da-ac1e-cf8549e9e521} - (no file)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe

O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\PROGRA~1\McAfee\MPS\mps.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Program Files\SiteAdvisor\6066\SAService.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: Microsoft Languages Service (Windows Languages Service) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)

 

--

End of file - 14518 bytes

 

Merci par avance de votre réponse

 

olly

[Gof]

Bonsoir Olly

 

Ton rapport révèle la présence d'infections assez importantes. Tout d'abord, il manque le début de ton log hijackthis, je ne peux que supposer que tu es sous XP, mais lequel ? Sans ces éléments, je ne connais pas non plus l'état de tes mises à jour windows et Internet explorer. Dans le prochain rapport que tu me communiqueras, il faudra y faire attention.

 

Si tu n'es pas sous XP, me le préciser tout de suite dans ta prochaine réponse et ignorer ma procédure.

 

Je vais te demander de générer un rapport avec ce premier outil. Il peut être détecté par ton antivirus, je te prie d'ignorer cette alerte. Il va me détailler les entrées décochées dans MSCONFIG, de sorte que je puisse voir s'il y a là aussi des entrées infectieuses que tu aurais désactivées sans savoir.

 

Télécharge MsLook sur ton bureau.

• Double-clique le afin de l'exécuter.
  
• A l'invitation appuie sur une touche.
  
• Le bloc-notes va s'ouvrir très rapidement, poste le contenu ici à la suite dans ta prochaine réponse.
  

Imprime ces instructions si nécessaire car il va y avoir sans doute plusieurs redémarrages de l'ordinateur.

 

Ensuite, je vais te demander de réaliser une succession de passage d'outils. Il est important que tu le réalises correctement et que tu me communiques chacun des rapports dans le prochain message. Je ferais le récapitulatif des rapports que tu dois me communiquer en fin de message.

 

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

 

Télécharge le FixWareout (LonnyRJones) sur le Bureau.

**Si le lien ne fonctionne pas, clique ici**

Lance le fix (FixWareout.exe), clique sur Next puis Install.

Assure-toi que Run fixit soit bien activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.

Ton système mettra un peu plus de temps au démarrage, c'est normal.

Au final, poste le contenu du rapport C:\fixwareout\report.txt

 

Télécharge SmitfraudFix sur ton bureau.

• Décompresse totalité de l'archive smitfraudfix.zip dans un dossier dédié sur ton bureau.
  
• Double-clique sur smitfraudfix.cmd
  
• Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
  
• Poste le rapport sur le forum dans ta prochaine réponse.
  Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
  

Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec"et appuyer sur [Entrée].

 

Double-clique sur smitfraudfix.cmd

• Sélectionne 2 pour supprimer les fichiers responsables de l'infection.
  
• A la question Voulez-vous nettoyer le registre ? réponds O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
  Le fix déterminera si le fichier wininet.dll est infecté.
  
• A la question Corriger le fichier infecté ? réponds O (oui) pour remplacer le fichier corrompu.
  
• Redémarre en mode normal et poste le rapport sur le forum.
  N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
  Attention : l'option 2 de l'outil supprime le fond d'écran !
  process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
  Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
  

Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

• Double-clique combofix.exe afin de l'exécuter et suis les instructions.
  
• Lorsque l'analyse sera complétée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse. suivi d'un nouveau log hijackthis et d'un nouveau blacklight.
  

Au final, je veux voir donc dans l'ordre les rapports suivants :

• Le rapport MSLook
  
• Le rapport Fixwareout
  
• Le rapport Smitfraudfix en option 1
  
• Le rapport Smitfraudfix en option 2
  
• Le rapport Combofix
  
• Un nouveau rapport hijackthis
  

Prends le temps de bien faire tout ceci. A bientôt, bon courage

[olly]

Bonsoir Olly

 

Ton rapport révèle la présence d'infections assez importantes. Tout d'abord, il manque le début de ton log hijackthis, je ne peux que supposer que tu es sous XP, mais lequel ? Sans ces éléments, je ne connais pas non plus l'état de tes mises à jour windows et Internet explorer. Dans le prochain rapport que tu me communiqueras, il faudra y faire attention.

 

Si tu n'es pas sous XP, me le préciser tout de suite dans ta prochaine réponse et ignorer ma procédure.

 

Je vais te demander de générer un rapport avec ce premier outil. Il peut être détecté par ton antivirus, je te prie d'ignorer cette alerte. Il va me détailler les entrées décochées dans MSCONFIG, de sorte que je puisse voir s'il y a là aussi des entrées infectieuses que tu aurais désactivées sans savoir.

 

Télécharge MsLook sur ton bureau.

• Double-clique le afin de l'exécuter.
  
• A l'invitation appuie sur une touche.
  
• Le bloc-notes va s'ouvrir très rapidement, poste le contenu ici à la suite dans ta prochaine réponse.
  

Imprime ces instructions si nécessaire car il va y avoir sans doute plusieurs redémarrages de l'ordinateur.

 

Ensuite, je vais te demander de réaliser une succession de passage d'outils. Il est important que tu le réalises correctement et que tu me communiques chacun des rapports dans le prochain message. Je ferais le récapitulatif des rapports que tu dois me communiquer en fin de message.

 

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

 

Télécharge le FixWareout (LonnyRJones) sur le Bureau.

**Si le lien ne fonctionne pas, clique ici**

Lance le fix (FixWareout.exe), clique sur Next puis Install.

Assure-toi que Run fixit soit bien activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.

Ton système mettra un peu plus de temps au démarrage, c'est normal.

Au final, poste le contenu du rapport C:\fixwareout\report.txt

 

Télécharge SmitfraudFix sur ton bureau.

• Décompresse totalité de l'archive smitfraudfix.zip dans un dossier dédié sur ton bureau.
  
• Double-clique sur smitfraudfix.cmd
  
• Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
  
• Poste le rapport sur le forum dans ta prochaine réponse.
  Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
  

Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Double-clique sur smitfraudfix.cmd

• Sélectionne 2 pour supprimer les fichiers responsables de l'infection.
  
• A la question Voulez-vous nettoyer le registre ? réponds O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
  Le fix déterminera si le fichier wininet.dll est infecté.
  
• A la question Corriger le fichier infecté ? réponds O (oui) pour remplacer le fichier corrompu.
  
• Redémarre en mode normal et poste le rapport sur le forum.
  N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
  Attention : l'option 2 de l'outil supprime le fond d'écran !
  process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
  Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
  

Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

• Double-clique combofix.exe afin de l'exécuter et suis les instructions.
  
• Lorsque l'analyse sera complétée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse. suivi d'un nouveau log hijackthis et d'un nouveau blacklight.
  

Au final, je veux voir donc dans l'ordre les rapports suivants :

• Le rapport MSLook
  
• Le rapport Fixwareout
  
• Le rapport Smitfraudfix en option 1
  
• Le rapport Smitfraudfix en option 2
  
• Le rapport Combofix
  
• Un nouveau rapport hijackthis
  

Prends le temps de bien faire tout ceci. A bientôt, bon courage

 

Bonsoir gof,

 

Merci de ton attention

 

Dois je effectuer les opérations en mode sans echec ?

[olly]

Voilà les rapports dans l'ordre :

 

MsLook.exe execute le : 09/08/2007 19:29:00,94

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state]

"system.ini"=dword:00000000

"win.ini"=dword:00000000

"bootini"=dword:00000002

"services"=dword:00000000

"startup"=dword:00000000

 

rUsername "OLIVIER" - 2007-08-09 19:30:20 [Fixwareout edited 2007/07/05]

 

»»»»»Prerun check

HKLM\SOFTWARE\~\Winlogon\ "System"="kdfkb.exe"

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{327CDF92-B6CF-4EF8-B655-A7660700F9CB}

"nameserver"="85.255.115.60,85.255.112.136" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{A4AF7727-B733-4E9F-83F8-6686B4B78AD9}

"nameserver"="85.255.115.60,85.255.112.136" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{B946C7DF-E6F8-4EBE-9A43-A36FF540E309}

"nameserver"="85.255.115.60,85.255.112.136" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{CCFB204F-9996-42EB-98A3-F2DA2B708CE1}

"nameserver"="85.255.115.60,85.255.112.136" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{F732862A-EA9D-411B-BA2F-DC9483CDE649}

"nameserver"="85.255.115.60,85.255.112.136" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{754A03EF-5984-4051-B321-C0604F09BBBC}

"DhcpNameServer"="85.255.115.60,85.255.112.136" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{B946C7DF-E6F8-4EBE-9A43-A36FF540E309}

"DhcpNameServer"="85.255.115.60,85.255.112.136" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{CCFB204F-9996-42EB-98A3-F2DA2B708CE1}

"DhcpNameServer"="85.255.115.60,85.255.112.136" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{F732862A-EA9D-411B-BA2F-DC9483CDE649}

"DhcpNameServer"="85.255.115.60,85.255.112.136" <Value cleared.

 

Cache de résolution DNS vidé.

 

 

System was rebooted successfully.

 

»»»»» Postrun check

HKLM\SOFTWARE\~\Winlogon\ "system"=""

....

....

»»»»» Misc files.

 

SmitFraudFix v2.210

 

Rapport fait à 19:44:31,63, 09/08/2007

Executé à partir de C:\Documents and Settings\OLIVIER\Bureau\sm\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est FAT32

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Ink\KeyboardSurrogate.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SYSTEM32\WISPTIS.EXE

C:\WINDOWS\System32\tabbtnu.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe

c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\McAfee\MPF\MPFSrv.exe

C:\PROGRA~1\McAfee\MPS\mps.exe

C:\Program Files\McAfee\MSK\MskSrver.exe

C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe

C:\Program Files\SiteAdvisor\6066\SAService.exe

C:\Program Files\McAfee\MPS\mpsevh.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Ink\TCServer.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Ink\TabTip.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Acer\Notebook Manager\almxptray.exe

C:\Progra~1\Launch Manager\LaunchAp.exe

C:\Progra~1\Launch Manager\PowerKey.exe

C:\Progra~1\Launch Manager\HotkeyApp.exe

C:\Progra~1\Launch Manager\CtrlVol.exe

C:\Progra~1\Launch Manager\Wbutton.exe

C:\Program Files\Wise Backlight\wsbklite.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\ltmoh\Ltmoh.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\McAfee\MSK\MskAgent.exe

C:\Program Files\SiteAdvisor\6066\SiteAdv.exe

C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

C:\WINDOWS\drsmartload2.dat PRESENT !

C:\WINDOWS\keyboard1.dat PRESENT !

C:\WINDOWS\newname.dat PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\OLIVIER

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\OLIVIER\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\OLIVIER\Favoris

 

C:\DOCUME~1\OLIVIER\Favoris\Online Security Test.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8670ee50-01f9-47da-ac1e-cf8549e9e521}"="eupeptic"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=dword:00000001

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"system"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Intel® PRO/Wireless LAN 2100 3B Mini PCI Adapter - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.54.252

DNS Server Search Order: 212.27.53.252

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{95AC8F20-A5A1-499D-B4E5-2669F6F5F011}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{327CDF92-B6CF-4EF8-B655-A7660700F9CB}: DhcpNameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{327CDF92-B6CF-4EF8-B655-A7660700F9CB}: NameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{754A03EF-5984-4051-B321-C0604F09BBBC}: DhcpNameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{95AC8F20-A5A1-499D-B4E5-2669F6F5F011}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{95AC8F20-A5A1-499D-B4E5-2669F6F5F011}: NameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{A4AF7727-B733-4E9F-83F8-6686B4B78AD9}: DhcpNameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{A4AF7727-B733-4E9F-83F8-6686B4B78AD9}: NameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{B946C7DF-E6F8-4EBE-9A43-A36FF540E309}: DhcpNameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{B946C7DF-E6F8-4EBE-9A43-A36FF540E309}: NameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{CCFB204F-9996-42EB-98A3-F2DA2B708CE1}: DhcpNameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{CCFB204F-9996-42EB-98A3-F2DA2B708CE1}: NameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F732862A-EA9D-411B-BA2F-DC9483CDE649}: DhcpNameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F732862A-EA9D-411B-BA2F-DC9483CDE649}: NameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS2\Services\Tcpip\..\{95AC8F20-A5A1-499D-B4E5-2669F6F5F011}: DhcpNameServer=212.198.2.51 212.198.0.91

HKLM\SYSTEM\CS3\Services\Tcpip\..\{95AC8F20-A5A1-499D-B4E5-2669F6F5F011}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.115.60 85.255.112.136

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.2.51 212.198.0.91

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

SmitFraudFix v2.210

 

Rapport fait à 19:51:40,95, 09/08/2007

Executé à partir de C:\Documents and Settings\OLIVIER\Bureau\sm\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est FAT32

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8670ee50-01f9-47da-ac1e-cf8549e9e521}"="eupeptic"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\drsmartload2.dat supprimé

C:\WINDOWS\keyboard1.dat supprimé

C:\WINDOWS\newname.dat supprimé

C:\DOCUME~1\OLIVIER\Favoris\Online Security Test.url supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{95AC8F20-A5A1-499D-B4E5-2669F6F5F011}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{327CDF92-B6CF-4EF8-B655-A7660700F9CB}: DhcpNameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{327CDF92-B6CF-4EF8-B655-A7660700F9CB}: NameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{754A03EF-5984-4051-B321-C0604F09BBBC}: DhcpNameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{95AC8F20-A5A1-499D-B4E5-2669F6F5F011}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{95AC8F20-A5A1-499D-B4E5-2669F6F5F011}: NameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{A4AF7727-B733-4E9F-83F8-6686B4B78AD9}: DhcpNameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{A4AF7727-B733-4E9F-83F8-6686B4B78AD9}: NameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{B946C7DF-E6F8-4EBE-9A43-A36FF540E309}: DhcpNameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{B946C7DF-E6F8-4EBE-9A43-A36FF540E309}: NameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{CCFB204F-9996-42EB-98A3-F2DA2B708CE1}: DhcpNameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{CCFB204F-9996-42EB-98A3-F2DA2B708CE1}: NameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F732862A-EA9D-411B-BA2F-DC9483CDE649}: DhcpNameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F732862A-EA9D-411B-BA2F-DC9483CDE649}: NameServer=85.255.115.60,85.255.112.136

HKLM\SYSTEM\CS2\Services\Tcpip\..\{95AC8F20-A5A1-499D-B4E5-2669F6F5F011}: DhcpNameServer=212.198.2.51 212.198.0.91

HKLM\SYSTEM\CS3\Services\Tcpip\..\{95AC8F20-A5A1-499D-B4E5-2669F6F5F011}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.115.60 85.255.112.136

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.2.51 212.198.0.91

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"system"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Logfile of HijackThis v1.99.1

Scan saved at 20:17:30, on 09/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Ink\KeyboardSurrogate.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

C:\WINDOWS\SYSTEM32\WISPTIS.EXE

c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe

C:\WINDOWS\System32\tabbtnu.exe

C:\WINDOWS\Explorer.EXE

c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\McAfee\MPF\MPFSrv.exe

C:\PROGRA~1\McAfee\MPS\mps.exe

C:\Program Files\McAfee\MSK\MskSrver.exe

C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe

C:\Program Files\SiteAdvisor\6066\SAService.exe

C:\Program Files\McAfee\MPS\mpsevh.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Ink\TCServer.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Ink\TabTip.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Acer\Notebook Manager\almxptray.exe

C:\Progra~1\Launch Manager\LaunchAp.exe

C:\Progra~1\Launch Manager\PowerKey.exe

C:\Progra~1\Launch Manager\HotkeyApp.exe

C:\Progra~1\Launch Manager\CtrlVol.exe

C:\Progra~1\Launch Manager\Wbutton.exe

C:\Program Files\Wise Backlight\wsbklite.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\ltmoh\Ltmoh.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\McAfee\MSK\MskAgent.exe

C:\Program Files\SiteAdvisor\6066\SiteAdv.exe

C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\OLIVIER\LOCALS~1\Temp\Rar$EX00.634\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6066\SiteAdv.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\program files\mcafee\virusscan\scriptcl.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6066\SiteAdv.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [TabletTip] "C:\Program Files\Fichiers communs\microsoft shared\ink\tabtip.exe" /resume

O4 - HKLM\..\Run: [LaunchApp] LaunApp

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe

O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe

O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [HotkeyApp] C:\Progra~1\Launch Manager\HotkeyApp.exe

O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe

O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [Wise Backlight] "C:\Program Files\Wise Backlight\wsbklite.exe"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [TabletWizard] C:\WINDOWS\help\SplshWrp.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [MskAgentexe] C:\Program Files\McAfee\MSK\MskAgent.exe

O4 - HKLM\..\Run: [siteAdvisor] C:\Program Files\SiteAdvisor\6066\SiteAdv.exe

O4 - HKLM\..\Run: [ssAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Zinio DLM] C:\Program Files\Zinio\ZDLM.exe /hide

O4 - HKCU\..\Run: [ChkMail] hR?

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Registration-Studio 8 SE.lnk = ?

O4 - Global Startup: SketchBook Snapshot.lnk = C:\Program Files\AliasWavefront\Alias SketchBook Pro 1.0\SketchBookSnap.exe

O4 - Global Startup: Image Transfer.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...01/mcinsctl.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,26/mcgdmgr.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.136

O17 - HKLM\System\CS1\Services\Tcpip\..\{327CDF92-B6CF-4EF8-B655-A7660700F9CB}: NameServer = 85.255.115.60,85.255.112.136

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program Files\SiteAdvisor\6066\SiteAdv.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: loginkey - C:\Program Files\Fichiers communs\Microsoft Shared\Ink\loginkey.dll

O20 - Winlogon Notify: TabBtnWL - C:\WINDOWS\SYSTEM32\TabBtnWL.dll

O20 - Winlogon Notify: tpgwlnotify - C:\WINDOWS\SYSTEM32\tpgwlnot.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe

O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\PROGRA~1\McAfee\MPS\mps.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Program Files\SiteAdvisor\6066\SAService.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: Microsoft Languages Service (Windows Languages Service) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)

 

Merci

 

 

Bonsoir gof,

 

Merci de ton attention

 

Dois je effectuer les opérations en mode sans echec ?

[Gof]

Bonjour Olly

 

Bon travail, mais tu as oublié de passer l'outil Combofix ou alors tu as oublié de me communiquer le rapport ?

[olly]

Bonsoir,

 

Navré le voici

 

ComboFix 07-08-09.3 - "OLIVIER" 2007-08-11 20:20:09.2 - FAT32x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.132 [GMT 2:00]

 

 

((((((((((((((((((((((((( Files Created from 2007-07-11 to 2007-08-11 )))))))))))))))))))))))))))))))

 

 

2007-08-09 20:14 53,248 --a------ C:\WINDOWS\system32\Process.exe

2007-08-09 20:14 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2007-08-09 20:14 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2007-08-09 19:53 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-08-09 19:44 4,044 --a------ C:\WINDOWS\system32\tmp.reg

2007-08-09 19:30 10,673 --a------ C:\dnsbak.reg

2007-07-29 23:41 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-07-29 20:14 552 --a------ C:\WINDOWS\system32\d3d8caps.dat

2007-07-29 19:49 <REP> d-------- C:\WINDOWS\pss

2007-07-28 21:15 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP

2007-07-21 23:44 <REP> d-------- C:\Program Files\Fichiers communs\3DO Shared

2007-07-21 23:44 <REP> d-------- C:\Program Files\3DO

2007-07-19 23:40 <REP> d-------- C:\DOCUME~1\OLIVIER\APPLIC~1\WinRAR

2007-07-18 23:48 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Trymedia

 

 

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

 

2007-08-09 23:25 1660 --a------ C:\WINDOWS\bthservsdp.dat

2007-07-14 17:20 76480 --a------ C:\WINDOWS\system32\perfc00C.dat

2007-07-14 17:20 471280 --a------ C:\WINDOWS\system32\perfh00C.dat

2007-05-16 17:13 86528 --------- C:\WINDOWS\system32\dllcache\directdb.dll

2007-05-16 17:13 85504 --------- C:\WINDOWS\system32\dllcache\wabimp.dll

2007-05-16 17:13 683520 --a------ C:\WINDOWS\system32\inetcomm.dll

2007-05-16 17:13 683520 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll

2007-05-16 17:13 510976 --------- C:\WINDOWS\system32\dllcache\wab32.dll

2007-05-16 17:13 1314816 --------- C:\WINDOWS\system32\dllcache\msoe.dll

 

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TabletTip"="C:\Program Files\Fichiers communs\microsoft shared\ink\tabtip.exe" [2004-08-19 16:10]

"LaunchApp"="LaunApp" []

"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-08-28 06:32]

"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-08-28 06:19]

"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2002-11-15 17:40]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2002-11-18 09:34]

"AcerNotebookManager"="C:\Program Files\Acer\Notebook Manager\almxptray.exe" [2003-03-05 09:54]

"LaunchAp"="C:\Progra~1\Launch Manager\LaunchAp.exe" [2003-05-12 14:28]

"PowerKey"="C:\Progra~1\Launch Manager\PowerKey.exe" [2002-08-30 15:02]

"HotkeyApp"="C:\Progra~1\Launch Manager\HotkeyApp.exe" [2003-05-16 11:49]

"CtrlVol"="C:\Progra~1\Launch Manager\CtrlVol.exe" [2003-05-12 15:05]

"Wbutton"="C:\Progra~1\Launch Manager\Wbutton.exe" [2003-03-12 11:19]

"Wise Backlight"="C:\Program Files\Wise Backlight\wsbklite.exe" [2003-10-22 15:27]

"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 11:59 C:\WINDOWS\AGRSMMSG.exe]

"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2002-11-25 10:23]

"TabletWizard"="C:\WINDOWS\help\SplshWrp.exe" [2004-08-19 16:10]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]

"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2002-10-08 11:03]

"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2003-03-04 17:09]

"MskAgentexe"="C:\Program Files\McAfee\MSK\MskAgent.exe" [2007-01-17 17:30]

"SiteAdvisor"="C:\Program Files\SiteAdvisor\6066\SiteAdv.exe" [2007-03-05 21:10]

"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 02:36]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09]

"Zinio DLM"="C:\Program Files\Zinio\ZDLM.exe" []

"ChkMail"="hR?" []

"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 21:45]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\loginkey]

C:\Program Files\Fichiers communs\Microsoft Shared\Ink\loginkey.dll 2004-08-19 16:09 47104 C:\Program Files\Fichiers communs\Microsoft Shared\Ink\loginkey.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TabBtnWL]

TabBtnWL.dll 2002-08-29 11:45 11776 C:\WINDOWS\system32\tabbtnwl.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpgwlnotify]

tpgwlnot.dll 2004-08-19 16:09 30208 C:\WINDOWS\system32\tpgwlnot.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

@=""

 

R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\system32\DRIVERS\bsstor.sys

R0 sbp2port;Pilote de bus de transport/protocole SBP-2;C:\WINDOWS\system32\DRIVERS\sbp2port.sys

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys

R1 MPFP;MPFP;C:\WINDOWS\system32\Drivers\Mpfp.sys

R1 StarOpen;StarOpen;C:\WINDOWS\system32\drivers\StarOpen.sys

R1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys

R1 WSBKLITE;WSBKLITE;C:\WINDOWS\system32\drivers\WSBKLITE.sys

R2 acernbm;acernbm;C:\WINDOWS\system32\drivers\acernbm.sys

R2 BsUDF;InCD UDF Driver;C:\WINDOWS\system32\drivers\BsUDF.sys

R2 MASPINT;MASPINT;C:\WINDOWS\system32\drivers\MASPINT.sys

R2 SVKP;SVKP;\??\C:\WINDOWS\System32\SVKP.sys

R3 BTHMODEM;Pilote de communication série Bluetooth;C:\WINDOWS\system32\DRIVERS\bthmodem.sys

R3 HBtnKey;Acer Tablet PC Keyboard Buttons HID Driver;C:\WINDOWS\system32\DRIVERS\AcerTBtn.sys

R3 POWERKEY;POWERKEY;\??\C:\Progra~1\Launch Manager\POWERKEY.sys

R3 RFCOMM;Périphérique Bluetooth (TDI protocole RFCOMM);C:\WINDOWS\system32\DRIVERS\rfcomm.sys

R3 w70n51;Pilote Intel® PRO/Wireless 7100 Adapter;C:\WINDOWS\system32\DRIVERS\w70n51.sys

R3 WacomPen;Pilote de tablette Wacom à stylet série;C:\WINDOWS\system32\DRIVERS\wacompen.sys

S2 Windows Languages Service;Microsoft Languages Service;"C:\WINDOWS\csrss.exe"

S3 flash;flash;\??\C:\WINDOWS\System32\drivers\flash.sys

S3 LEX_AS_NIC_SERVICE;LAN-Express IEEE 802.11a/b Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\Expsab2.sys

S3 NTIDrvr;Upper Class Filter Driver;C:\WINDOWS\system32\DRIVERS\NTIDrvr.sys

S3 SQLAgent$MICROSOFTBCM;SQLAgent$MICROSOFTBCM;C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlagent.EXE -i MICROSOFTBCM

S3 wceusbsh;Windows CE USB Serial Host Driver;C:\WINDOWS\system32\DRIVERS\wceusbsh.sys

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs BthServ

 

 

Contents of the 'Scheduled Tasks' folder

2007-03-26 08:36:26 C:\WINDOWS\Tasks\McQcTask.job - c:\program files\mcafee\mqc\QcConsol.exe

2007-04-14 23:00:02 C:\WINDOWS\Tasks\McDefragTask.job - c:\program files\mcafee\mqc\QcConsol.exe

2007-08-10 12:42:02 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

 

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-08-11 20:24:10

Windows 5.1.2600 Service Pack 2 FAT NTAPI

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

Completion time: 2007-08-11 20:26:59

C:\ComboFix-quarantined-files.txt ... 2007-08-11 20:26

 

--- E O F ---

Merci de ta compréhension

 

Bonjour Olly

 

Bon travail, mais tu as oublié de passer l'outil Combofix ou alors tu as oublié de me communiquer le rapport ?

[Gof]

Bonsoir olly

 

Redémarre en mode sans échec.

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.) C'est un mode de diagnostic et de débuggage de Windows, il est normal que cela mette du temps à démarrer et que l'affichage soit différent.

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].Sélectionne ensuite ta session habituelle.

NB:Si problème, consulte cette aide : http://www.malekal.com/modesansechec.php

 

 

Double-clique sur smitfraudfix.cmd

• Sélectionne 2 pour supprimer les fichiers responsables de l'infection.
  
• A la question Voulez-vous nettoyer le registre ? réponds O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
  Le fix déterminera si le fichier wininet.dll est infecté.
  
• A la question Corriger le fichier infecté ? réponds O (oui) pour remplacer le fichier corrompu.
  
• Redémarre en mode normal et poste le rapport sur le forum.
  N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
  Attention : l'option 2 de l'outil supprime le fond d'écran !
  

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

Redémarre en mode normal. Exécute à nouveau le fix FIXWAREOUT et poste également le nouveau rapport généré. Pour rappel :

Lance le fix (FixWareout.exe), clique sur Next puis Install.

Assure-toi que Run fixit soit bien activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.

Ton système mettra un peu plus de temps au démarrage, c'est normal.

Au final, poste le contenu du rapport C:\fixwareout\report.txt

 

A plus.