Rapport hijackthis

lsylvie · le 21 août 2007

Bonjour,

Pouvez-vous m'aider à comprendre ce rapport et surtout ce qu'il arrive à mon ordinateur ?

Mes logiciels se bloquent (j'ai souvent le message "Ne réponds pas") et je suis obligée de redémarrer mon ordinateur.

Merci d'avance.

Sylvie

Logfile of HijackThis v1.99.1

Scan saved at 14:05:22, on 21/08/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Spyware Doctor\svcntaux.exe

C:\Program Files\Spyware Doctor\swdsvc.exe

C:\Program Files\Spyware Doctor\SDTrayApp.exe

C:\WINDOWS\System32\pmcoanej.exe

C:\Documents and Settings\sl\Bureau\hijackthis\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gsearching.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [mmsass] mmdmm.exe

O4 - HKLM\..\Run: [amsgupdate] C:\WINDOWS\system32\ams.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\ltsuzc.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\lsass.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [Windows Serces Agnt] hwehrokmu.exe

O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [sDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"

O4 - HKLM\..\Run: [Microsoft OCX] C:\WINDOWS\System32\sphgsxcxh.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Windows Service Agent] pmcoanej.exe

O4 - HKLM\..\RunServices: [mmsass] mmdmm.exe

O4 - HKLM\..\RunServices: [MSN Messenger] C:\WINDOWS\lsass.exe

O4 - HKLM\..\RunServices: [Windows Serces Agnt] hwehrokmu.exe

O4 - HKLM\..\RunServices: [Windows Service Agent] pmcoanej.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [amsgupdate] C:\WINDOWS\system32\ams.exe

O4 - HKCU\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe

O4 - HKCU\..\Run: [Windows Service Agent] vefyispe.exe

O4 - HKCU\..\Run: [MSN Messenger] C:\WINDOWS\lsass.exe

O4 - HKCU\..\Run: [Windows Serces Agnt] hwehrokmu.exe

O4 - Startup: StarOffice 8.lnk = C:\Program Files\Sun\StarOffice 8\program\quickstart.exe

O4 - Startup: TribalWeb.lnk = C:\Program Files\TribalWeb\tribalweb.exe

O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1186517483380

O20 - AppInit_DLLs: NVDESK32.DLL C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Win32_Guard (Guarddy) - Unknown owner - C:\WINDOWS\Win32Cam.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

bruce lee · le 21 août 2007

Bonjour lsylvie et bienvenue sur zebulon

Supprime ta version de HijackThis.

En attendant que j'analyse ton rapport, télécharge Hijackthis V 2.02 http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe enregistre ce fichier sur le bureau.

bruce lee · le 21 août 2007

re,

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

Je te conseille d'enregistrer la page web compléte sous Internet Explorer comme ceci :

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau,comme cela tu retrouvera la mise en forme ou imprime cette réponse. Une partie de la désinfection se déroulera en mode sans échec.

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

2/Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.

***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

3/Télécharge combofix.exe (par sUBs) ici :

http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

sur ton Bureau.

4/Démarre en mode sans échec http://cybersecurite.xooit.com/t88-Demarre...s-echec.htm#665

5/

Démarrer/panneau de configuration/ajout et suppression de programmes et vérifie la présence de:

TribalWeb

Si ce programme est présent désinstalle-le.

Désinstalle aussi Avast! ou Antivir.

6/fais:

demarer executer services.msc repere Win32_Guard

Double clic dessus :dans le champs Statut du service met le sur arrêté

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

maintenant on va supprimer le service:

demarrer/executer/ cmd

execute cette commande qui est en citation sans le mot citation:

sc delete Guarddy

7/Lance hijackthis en cliquant sur do a scan system only et coche ces lignes:

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\ltsuzc.exe

O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\lsass.exe

O4 - HKLM\..\Run: [Microsoft OCX] C:\WINDOWS\System32\sphgsxcxh.exe

O4 - HKLM\..\Run: [Windows Service Agent] pmcoanej.exe

O4 - HKLM\..\RunServices: [MSN Messenger] C:\WINDOWS\lsass.exe

O4 - HKLM\..\RunServices: [Windows Service Agent] pmcoanej.exe

O4 - HKCU\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe

O4 - HKCU\..\Run: [Windows Service Agent] vefyispe.exe

O4 - HKCU\..\Run: [MSN Messenger] C:\WINDOWS\lsass.exe

O4 - HKCU\..\Run: [Windows Serces Agnt] hwehrokmu.exe

O4 - Startup: TribalWeb.lnk = C:\Program Files\TribalWeb\tribalweb.exe

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

8/Pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

9/Supprime ce qui est en gras si trouvé:

C:\Program Files\ TribalWeb<== tout le dossier

C:\WINDOWS\System32\ ltsuzc.exe<== le fichier

C:\WINDOWS\System32\ mdm.exe<== le fichier

C:\WINDOWS\System32\ sphgsxcxh.exe<== le fichier

C:\WINDOWS\ Win32Cam.exe<== le fichier

C:\WINDOWS\ lsass.exe<== le fichier.

NOTE: Ne supprime surtout pas lsass.exe qui se trouve dans le system32

10/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

11/Déroule la liste des instructions ci-dessous :

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

12/ Double clique sur combofix.exe qui est sur ton Bureau puis tape 1 pour lancer le scan.

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

13/Tu n'as pas de firewall, c'est pourtant indispensable, prends en un tel kerio:

_kerio que tu peux télecharger ici http://www.inoculer.com/firewall5.php3

-tuto pour kerio http://www.vulgarisation-informatique.com/kerio.php

Telecharge et installe le puis mets le à jour si necessaire.

14/

- Fais un double clic sur HJTInstall.exe afin de lancer l'installation

- Clique sur Install ensuite sur I Accept

- Clique sur Do a scan system and save log file

- Le Bloc-notes s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse.

En cas de problèmes suit ce tuto: http://cybersecurite.xooit.com/t138-Hijack...-2-0-2.htm#1185

15/ Poste le rapport d'AVG Anti spyware 7.5.

Bon courage, et si tu as la moindre question n'hésite surtout pas

@+

lsylvie · le 22 août 2007

Bonjour Bruce Lee,

Merci pour ton aide.

J'ai suivi toute la procédure et voilà mes différents rapports :

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

+ Créé à: 13:47:20 22/08/2007

+ Résultat de l'analyse:

HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Erreur lors du nettoyage.

HKU\S-1-5-21-1960408961-1580818891-725345543-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{C194E732-D9F3-4DA3-8753-19CAC5B41D72}\RP19\A0103730.exe -> Backdoor.IRCBot.acp : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{C194E732-D9F3-4DA3-8753-19CAC5B41D72}\RP19\A0104741.exe -> Backdoor.IRCBot.acp : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{C194E732-D9F3-4DA3-8753-19CAC5B41D72}\RP20\A0133759.exe -> Backdoor.IRCBot.acp : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8LYRKDIN\mmdmm[1].exe -> Backdoor.IRCBot.acp : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KPYN0T67\mmdmm[1].exe -> Backdoor.IRCBot.acp : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\.exe -> Backdoor.Rbot.bni : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\irdvxc.exe -> Backdoor.Rbot.bni : Nettoyé et sauvegardé (mise en quarantaine).

:mozilla.118:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.247realmedia : Nettoyé.

:mozilla.219:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.

:mozilla.189:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.47:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Adtech : Nettoyé.

:mozilla.48:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Adtech : Nettoyé.

:mozilla.50:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.

:mozilla.51:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.

:mozilla.48:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.49:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.52:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.53:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.87:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.88:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.89:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.90:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.132:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Atdmt : Nettoyé.

:mozilla.71:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.

:mozilla.49:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Bluestreak : Nettoyé.

:mozilla.93:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.

:mozilla.31:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Comclick : Nettoyé.

:mozilla.32:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Comclick : Nettoyé.

:mozilla.33:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Comclick : Nettoyé.

:mozilla.37:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.

:mozilla.38:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.

:mozilla.39:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.

:mozilla.45:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Doubleclick : Nettoyé.

:mozilla.47:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.

:mozilla.8:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Estat : Nettoyé.

:mozilla.8:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.

:mozilla.13:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.14:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.15:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.16:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.17:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.18:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.19:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.54:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.55:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.56:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.57:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.58:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.59:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.60:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.138:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.

:mozilla.139:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.

:mozilla.80:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Imrworldwide : Nettoyé.

:mozilla.81:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Imrworldwide : Nettoyé.

:mozilla.102:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.

:mozilla.57:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Mediaplex : Nettoyé.

:mozilla.115:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Netflame : Nettoyé.

:mozilla.58:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Overture : Nettoyé.

:mozilla.97:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Overture : Nettoyé.

:mozilla.119:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.120:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.121:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.122:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.123:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.124:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.150:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.151:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.152:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.153:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.154:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.155:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.140:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyé.

:mozilla.141:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyé.

:mozilla.82:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Sitestat : Nettoyé.

:mozilla.83:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Sitestat : Nettoyé.

:mozilla.22:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.23:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.24:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.87:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.88:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.89:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.178:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Statcounter : Nettoyé.

:mozilla.11:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Tradedoubler : Nettoyé.

:mozilla.6:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Tradedoubler : Nettoyé.

:mozilla.90:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.

:mozilla.91:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.

:mozilla.44:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.

:mozilla.45:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.

:mozilla.46:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.

:mozilla.92:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Weborama : Nettoyé.

:mozilla.93:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Weborama : Nettoyé.

:mozilla.94:C:\Documents and Settings\sl\Application Data\Mozilla\Firefox\Profiles\bqb52rlr.default\cookies-1.txt -> TrackingCookie.Weborama : Nettoyé.

Fin du rapport

_____________________________________________

SDFix: Version 1.99

Run by sl on 22/08/2007 at 13:53

Microsoft Windows XP [version 5.1.2600]

Running From: C:\PROGRA~1\SDFix\SDFix

Safe Mode:

Checking Services:

Name:

MSDisk

ImagePath:

"C:\WINDOWS\System32\irdvxc.exe" /service

MSDisk - Deleted

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\ANNOOA.EXE - Deleted

C:\WINDOWS\SYSTEM32\HD.EXE - Deleted

C:\WINDOWS\SYSTEM32\OW.EXE - Deleted

C:\WINDOWS\SYSTEM32\RW.EXE - Deleted

C:\WINDOWS\SYSTEM32\SYSINFO.EXE - Deleted

C:\WINDOWS\system32\mmdmm.exe - Deleted

C:\WINDOWS\system32\o - Deleted

C:\WINDOWS\system32\sysinfo.exe - Deleted

Removing Temp Files...

ADS Check:

C:\WINDOWS

No streams found.

C:\WINDOWS\system32

No streams found.

C:\WINDOWS\system32\svchost.exe

No streams found.

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

Final Check:

Remaining Services:

------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:

---------------

File Backups: - C:\PROGRA~1\SDFix\SDFix\backups\backups.zip

Registry Backups: - C:\PROGRA~1\SDFix\SDFix\backups\backupreg.zip

Full Registry Backup: - C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE

Files with Hidden Attributes:

C:\dgkwclxjo.exe

C:\GooleToolbar.exe

C:\hugndcbst.exe

C:\idjybhijh.exe

C:\nokzaqjbo.exe

C:\nukfztsxx.exe

C:\rundll32.exe

C:\vpgrugqxn.exe

C:\ykrwmocrr.exe

C:\yrjqxswgo.exe

C:\Program Files\Picasa2\setup.exe

C:\RECYCLER\S-1-5-21-1960408961-1580818891-725345543-1003\Dc16.exe

C:\WINDOWS\system32\a.exe

C:\WINDOWS\LastGood.Tmp\INF\NVAUtlml.PNF

C:\WINDOWS\LastGood.Tmp\INF\oem11.inf

C:\WINDOWS\LastGood.Tmp\INF\oem11.PNF

C:\WINDOWS\LastGood.Tmp\INF\oem12.inf

C:\WINDOWS\LastGood.Tmp\INF\oem12.PNF

C:\WINDOWS\LastGood.Tmp\INF\oem13.inf

C:\WINDOWS\LastGood.Tmp\INF\oem13.PNF

C:\WINDOWS\LastGood.Tmp\INF\oem14.inf

C:\WINDOWS\LastGood.Tmp\INF\oem14.PNF

Finished

_____________________________________________

ComboFix 07-08-22.2 - "sl" 2007-08-22 14:16:16.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.82 [GMT 2:00]

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\Autorun.inf

E:\Autorun.inf

((((((((((((((((((((((((( Files Created from 2007-07-22 to 2007-08-22 )))))))))))))))))))))))))))))))

2007-08-22 14:15 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-08-22 14:04 53,760 ---hs---- C:\WINDOWS\system32\mdm.exe

2007-08-22 13:52 <REP> d-------- C:\WINDOWS\ERUNT

2007-08-21 20:55 262,144 --a------ C:\WINDOWS\system32\config\SYSTEM~1\NtUser.dat

2007-08-21 20:44 <REP> d-------- C:\Program Files\SDFix

2007-08-21 20:28 <REP> d-------- C:\hijackthis

2007-08-21 20:26 <REP> d-------- C:\Program Files\Trend Micro

2007-08-21 14:10 99,744 --a------ C:\WINDOWS\system32\taskmgrr.exe

2007-08-21 00:30 78,336 --a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\nbkrjlbx.exe

2007-08-20 14:34 48,128 ---hs---- C:\rundll32.exe

2007-08-20 01:13 48,128 ---hs---- C:\GooleToolbar.exe

2007-08-18 13:43 <REP> d-------- C:\DOCUME~1\sl\APPLIC~1\Media Player Classic

2007-08-17 19:14 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll

2007-08-17 19:14 740,442 --a------ C:\WINDOWS\system32\divx.dll

2007-08-17 19:14 73,728 --a------ C:\WINDOWS\system32\dpl100.dll

2007-08-17 19:14 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll

2007-08-17 19:14 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll

2007-08-17 19:14 217,088 --a------ C:\WINDOWS\system32\yv12vfw.dll

2007-08-17 19:14 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll

2007-08-17 19:14 163,840 --a------ C:\WINDOWS\system32\unrar.dll

2007-08-17 19:14 <REP> d-------- C:\Program Files\K-Lite Codec Pack

2007-08-17 19:14 <REP> d-------- C:\DOCUME~1\sl\APPLIC~1\Real

2007-08-17 19:14 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real

2007-08-16 23:54 <REP> d-------- C:\DOCUME~1\sl\APPLIC~1\Opera

2007-08-16 12:43 28,880 --a------ C:\DOCUME~1\sl\APPLIC~1\GDIPFONTCACHEV1.DAT

2007-08-16 12:36 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic

2007-08-15 19:14 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Macrovision

2007-08-15 19:10 <REP> d-------- C:\Program Files\Fichiers communs\Macromedia Shared

2007-08-15 19:08 <REP> d--h----- C:\WINDOWS\PIF

2007-08-15 00:57 24 --a------ C:\WINDOWS\system32\g.bat

2007-08-14 14:12 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2007-08-14 14:12 <REP> d-------- C:\WINDOWS\LastGood

2007-08-14 14:08 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion

2007-08-14 00:44 <REP> d-------- C:\WINDOWS\system32\MWWW

2007-08-13 17:00 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-08-13 16:44 <REP> d-------- C:\VundoFix Backups

2007-08-13 15:04 0 -rahs---- C:\vpgrugqxn.exe

2007-08-13 13:37 <REP> d-------- C:\WINDOWS\system32\appmgmt

2007-08-13 13:36 <REP> d-------- C:\DOCUME~1\sl\APPLIC~1\StarOffice8

2007-08-13 13:29 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT

2007-08-13 13:29 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer

2007-08-13 13:29 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau

2007-08-13 13:29 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression

2007-08-13 13:29 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles

2007-08-13 13:29 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents

2007-08-13 13:29 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris

2007-08-13 13:29 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau

2007-08-13 13:23 <REP> d--hs---- C:\WINDOWS\CSC

2007-08-12 16:43 101,944 --a------ C:\WINDOWS\system32\lion.exe

2007-08-12 00:18 114 --a------ C:\WINDOWS\system32\tjsm.bat

2007-08-11 23:56 119 --a------ C:\WINDOWS\system32\jjcdug.bat

2007-08-11 13:32 83,024 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2007-08-11 13:32 57,424 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2007-08-11 13:32 53,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2007-08-11 13:32 39,376 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys

2007-08-11 13:32 29,264 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2007-08-11 13:31 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll

2007-08-11 13:31 <REP> d-------- C:\Program Files\Spyware Doctor

2007-08-11 13:31 <REP> d-------- C:\DOCUME~1\sl\APPLIC~1\PC Tools

2007-08-11 13:15 <REP> d-------- C:\DOCUME~1\sl\APPLIC~1\Google

2007-08-11 13:02 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys

2007-08-11 13:02 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys

2007-08-11 12:59 <REP> d-------- C:\Program Files\Picasa2

2007-08-11 12:49 <REP> d-------- C:\Program Files\Norton Security Scan

2007-08-11 12:29 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater

2007-08-11 12:28 <REP> d-------- C:\Program Files\Google

2007-08-11 00:14 57,856 --a------ C:\WINDOWS\system32\drivers\drmk.sys

2007-08-11 00:14 57,472 -ra------ C:\WINDOWS\system32\drivers\nvarm.sys

2007-08-11 00:14 530,816 -ra------ C:\WINDOWS\system32\drivers\nvmcp.sys

2007-08-11 00:14 44,416 --a------ C:\WINDOWS\system32\drivers\stream.sys

2007-08-11 00:14 4,096 -ra------ C:\WINDOWS\system32\nvack.dll

2007-08-11 00:14 4,096 --a------ C:\WINDOWS\system32\ksuser.dll

2007-08-11 00:14 162,304 -ra------ C:\WINDOWS\system32\drivers\nvapu.sys

2007-08-11 00:14 134,272 --a------ C:\WINDOWS\system32\drivers\portcls.sys

2007-08-11 00:14 131,712 --a------ C:\WINDOWS\system32\drivers\ks.sys

2007-08-11 00:14 13,056 -ra------ C:\WINDOWS\system32\drivers\nvax.sys

2007-08-11 00:13 13,502 -ra------ C:\WINDOWS\system32\drivers\nv_agp.SYS

2007-08-11 00:13 <REP> d-------- C:\WINDOWS\system32\ReinstallBackups

2007-08-11 00:10 32,768 -ra------ C:\WINDOWS\system32\nvsdit.dll

2007-08-11 00:10 32,768 -ra------ C:\WINDOWS\system32\nvsdfr.dll

2007-08-11 00:10 32,768 -ra------ C:\WINDOWS\system32\nvsdel.dll

2007-08-11 00:10 282,624 -ra------ C:\WINDOWS\system32\NVAPanel.exe

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdzht.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdzhc.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdtr.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdsv.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdsl.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdsk.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdru.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdptb.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdpt.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdpl.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdno.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdnl.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdko.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdja.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdhu.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdhe.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdfi.dll

2007-08-11 00:10 28,672 -ra------ C:\WINDOWS\system32\nvsdes.dll

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-09 01:46 2410 --a------ C:\WINDOWS\pchealth\HelpCtr\PackageStore\SkuStore.bin

2007-08-07 22:04 8738 --a------ C:\WINDOWS\pchealth\HelpCtr\Config\Cntstore.bin

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Version Cue CS2"="C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 16:53]

"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 02:12]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 15:49]

"NVIDIA nForce APU1 Utilities"="NVATray.exe" [2001-11-28 12:43 C:\WINDOWS\system32\NVATray.exe]

"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-08-11 12:40]

"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-06-16 01:15]

"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2007-06-12 13:19]

"Microsoft OCX"="C:\WINDOWS\System32\sphgsxcxh.exe" []

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-06-14 18:32]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

"Microsoft Office"="C:\WINDOWS\System32\mdm.exe" [2007-08-21 18:50]

"Local Security Authority Service"="C:\WINDOWS\System32\lssas.exe" [2002-08-29 11:45]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45]

"Microsoft Office"="C:\WINDOWS\System32\mdm.exe" [2007-08-21 18:50]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"Microsoft Office"=C:\WINDOWS\System32\mdm.exe

"Windows Serces Agnt"=hwehrokmu.exe

"Windows Service Agent"=pmcoanej.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{C84D8A0A-E708-42B6-90CA-9C30956A87C6}"= C:\WINDOWS\System32\gebxxxu.dll [2007-08-22 14:21 43542]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebxxxu]

gebxxxu.dll 2007-08-22 14:21 43542 C:\WINDOWS\system32\gebxxxu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"appinit_dlls"=c:\windows\system32\ssqpnnl.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys

R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys

R1 avipbb;avipbb;C:\WINDOWS\System32\DRIVERS\avipbb.sys

R1 ssmdrv;ssmdrv;C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

S4 Guarddy;Win32_Guard;"C:\WINDOWS\Win32Cam.exe"

Contents of the 'Scheduled Tasks' folder

2007-08-19 22:00:10 C:\WINDOWS\Tasks\HPpromotions psc 2350 series.job - C:\Program Files\HP\Digital Imaging\bin\HP Promotions\AiOMVC\HPpromo.exe

2007-08-17 13:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job - C:\Program Files\Norton Security Scan\Nss.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-08-22 14:20:27

Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

Completion time: 2007-08-22 14:21:58

C:\ComboFix-quarantined-files.txt ... 2007-08-22 14:21

C:\ComboFix2.txt ... 2007-08-14 14:00

--- E O F ---

_____________________________________

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:21:19, on 22/08/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Spyware Doctor\svcntaux.exe

C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe

C:\Program Files\Spyware Doctor\swdsvc.exe

C:\Program Files\Spyware Doctor\SDTrayApp.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe

C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\System32\NVATray.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\mdm.exe

C:\WINDOWS\System32\ctfmon.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\Program Files\Sun\StarOffice 8\program\soffice.exe

C:\Program Files\Sun\StarOffice 8\program\soffice.BIN

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gsearching.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7e25076a-098d-48c5-94af-59f7f9a2bca7} - C:\WINDOWS\system32\mmdute.dll

O2 - BHO: (no name) - {9BD5F054-4694-4E17-B860-07C4629977B9} - C:\WINDOWS\System32\geebc.dll (file missing)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O2 - BHO: (no name) - {C84D8A0A-E708-42B6-90CA-9C30956A87C6} - C:\WINDOWS\System32\gebxxxu.dll