Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Aidez moi svp à analyser le rapport HijackThis..

Miiro

Par Miiro
dans Analyses et éradication malwares

 Partager

Messages recommandés

Miiro Power Member

Miiro

Posté(e)
Posté(e) (modifié)

Bonjour,

Mon PC vient d'etre infecter par : (virus ?) W32.Myzor.FK@yf

: Spyware.CyberLog-X

 

Concretement cela se manifeste par des pubs/spams intespestifs pour des marques de nettoyeur de spyware + des messages d'erreur du style "error fatal" concernant Win32 ou Internet Explorer.

 

En consultant les forums du site j ai cru comprendre qu'il existe une solution... enfin jespere!!!

Je crois que la 1ere étape pour desinfecter est de lancer une analyse HijackThis et de mettre le rapport (car je ne sais pas l interpreter)

 

Merci d'avance à ceux qui pourront m aider et m expliquer la suite de la procedure.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 09:42:05, on 13/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe

C:\Program Files\VDOTool\TBPanel.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmon.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1C1DD717-53B2-485E-A17B-C9977C205E10} - C:\WINDOWS\System32\xxywwwx.dll

O2 - BHO: (no name) - {63C00314-D926-4598-8FAF-04B4613ABF6B} - C:\WINDOWS\System32\ddaba.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\ahlwvpvb.dll

O2 - BHO: {79442219-b90a-524b-d334-0fd4b7469eba} - {abe9647b-4df0-433d-b425-a09b91224497} - C:\WINDOWS\system32\sjtxxhll.dll

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ahlwvpvb.dll

O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe"

O4 - HKLM\..\Run: [Gainward] C:\Program Files\VDOTool\TBPanel.exe /A

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [dcc10928] rundll32.exe "C:\WINDOWS\system32\bdrkdhlo.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: ahlwvpvb - C:\WINDOWS\SYSTEM32\ahlwvpvb.dll

O20 - Winlogon Notify: xxywwwx - C:\WINDOWS\SYSTEM32\xxywwwx.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

 

 

Merci de m'aider à resoudre mon probleme.

Modifié par Miiro

Miiro Power Member

Miiro

Posté(e)
  • Auteur
Posté(e)
Bonjour,

Mon PC vient d'etre infecter par : (virus ?) W32.Myzor.FK@yf

: Spyware.CyberLog-X

 

Concretement cela se manifeste par des pubs/spams intespestifs pour des marques de nettoyeur de spyware + des messages d'erreur du style "error fatal" concernant Win32 ou Internet Explorer.

 

En consultant les forums du site j ai cru comprendre qu'il existe une solution... enfin jespere!!!

Je crois que la 1ere étape pour desinfecter est de lancer une analyse HijackThis et de mettre le rapport (car je ne sais pas l interpreter)

 

Merci d'avance à ceux qui pourront m aider et m expliquer la suite de la procedure.

Logfile of HijackThis v1.99.1

Scan saved at 09:42:05, on 13/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe

C:\Program Files\VDOTool\TBPanel.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmon.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1C1DD717-53B2-485E-A17B-C9977C205E10} - C:\WINDOWS\System32\xxywwwx.dll

O2 - BHO: (no name) - {63C00314-D926-4598-8FAF-04B4613ABF6B} - C:\WINDOWS\System32\ddaba.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\ahlwvpvb.dll

O2 - BHO: {79442219-b90a-524b-d334-0fd4b7469eba} - {abe9647b-4df0-433d-b425-a09b91224497} - C:\WINDOWS\system32\sjtxxhll.dll

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ahlwvpvb.dll

O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe"

O4 - HKLM\..\Run: [Gainward] C:\Program Files\VDOTool\TBPanel.exe /A

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [dcc10928] rundll32.exe "C:\WINDOWS\system32\bdrkdhlo.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: ahlwvpvb - C:\WINDOWS\SYSTEM32\ahlwvpvb.dll

O20 - Winlogon Notify: xxywwwx - C:\WINDOWS\SYSTEM32\xxywwwx.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

Merci de m'aider à resoudre mon probleme.

 

 

 

 

re-bonjour,

 

Je suis toujours entrain de lutter pour desinfecter mon PC de ces saletés de virus ou Trojan...

 

Je viens de faire un scan avec Ad-Aware SE dont voici le rapport :

 

 

Ad-Aware SE Build 1.06r1

Logfile Created on:mardi 13 novembre 2007 12:20:32

Using definitions file:SE1R202 12.11.2007

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

References detected during the scan:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

MRU List(TAC index:0):16 total references

Tracking Cookie(TAC index:3):11 total references

Win32.Trojandownloader.Zlob(TAC index:10):9 total references

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Ad-Aware SE Settings

===========================

Set : Search for negligible risk entries

Set : Safe mode (always request confirmation)

Set : Scan active processes

Set : Scan registry

Set : Deep-scan registry

Set : Scan my IE Favorites for banned URLs

Set : Scan my Hosts file

 

Extended Ad-Aware SE Settings

===========================

Set : Unload recognized processes & modules during scan

Set : Ignore spanned files when scanning cab archives

Set : Scan registry for all users instead of current user only

Set : Always try to unload modules before deletion

Set : During removal, unload Explorer and IE if necessary

Set : Let Windows remove files in use at next reboot

Set : Delete quarantined objects after restoring

Set : Block pop-ups aggressively

Set : Automatically select problematic objects in results lists

Set : Include basic Ad-Aware settings in log file

Set : Include additional Ad-Aware settings in log file

Set : Include reference summary in log file

Set : Include alternate data stream details in log file

Set : Show splash screen

Set : Backup current definitions file before updating

Set : Play sound at scan completion if scan locates critical objects

 

 

13-11-2007 12:20:32 - Scan started. (Full System Scan)

 

MRU List Object Recognized!

Location: : C:\Documents and Settings\Miiro\Application Data\microsoft\office\recent

Description : list of recently opened documents using microsoft office

 

 

MRU List Object Recognized!

Location: : C:\Documents and Settings\Miiro\recent

Description : list of recently opened documents

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1214440339-706699826-725345543-1004\software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct3d

 

 

MRU List Object Recognized!

Location: : software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct3d

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1214440339-706699826-725345543-1004\software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct X

 

 

MRU List Object Recognized!

Location: : software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct X

 

 

MRU List Object Recognized!

Location: : software\microsoft\directdraw\mostrecentapplication

Description : most recent application to use microsoft directdraw

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1214440339-706699826-725345543-1004\software\microsoft\internet explorer

Description : last download directory used in microsoft internet explorer

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1214440339-706699826-725345543-1004\software\microsoft\internet explorer\typedurls

Description : list of recently entered addresses in microsoft internet explorer

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1214440339-706699826-725345543-1004\software\microsoft\microsoft management console\recent file list

Description : list of recent snap-ins used in the microsoft management console

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1214440339-706699826-725345543-1004\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru

Description : list of recent programs opened

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1214440339-706699826-725345543-1004\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru

Description : list of recently saved files, stored according to file extension

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1214440339-706699826-725345543-1004\software\microsoft\windows\currentversion\explorer\recentdocs

Description : list of recent documents opened

 

 

MRU List Object Recognized!

Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general

Description : windows media sdk

 

 

MRU List Object Recognized!

Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general

Description : windows media sdk

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1214440339-706699826-725345543-1004\software\microsoft\windows media\wmsdk\general

Description : windows media sdk

 

 

Listing running processes

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

#:1 [smss.exe]

FilePath : \SystemRoot\System32\

ProcessID : 564

ThreadCreationTime : 13-11-2007 07:31:59

BasePriority : Normal

 

 

#:2 [csrss.exe]

FilePath : \??\C:\WINDOWS\system32\

ProcessID : 628

ThreadCreationTime : 13-11-2007 07:32:00

BasePriority : Normal

 

 

#:3 [winlogon.exe]

FilePath : \??\C:\WINDOWS\system32\

ProcessID : 668

ThreadCreationTime : 13-11-2007 07:32:02

BasePriority : High

 

 

#:4 [services.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 712

ThreadCreationTime : 13-11-2007 07:32:02

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Système d'exploitation Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Applications Services et Contrôleur

InternalName : services.exe

LegalCopyright : © Microsoft Corporation. Tous droits réservés.

OriginalFilename : services.exe

 

#:5 [lsass.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 724

ThreadCreationTime : 13-11-2007 07:32:02

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : LSA Shell (Export Version)

InternalName : lsass.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : lsass.exe

 

#:6 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 900

ThreadCreationTime : 13-11-2007 07:32:05

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:7 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 968

ThreadCreationTime : 13-11-2007 07:32:06

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:8 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 1060

ThreadCreationTime : 13-11-2007 07:32:06

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:9 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 1156

ThreadCreationTime : 13-11-2007 07:32:07

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:10 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 1308

ThreadCreationTime : 13-11-2007 07:32:08

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:11 [explorer.exe]

FilePath : C:\WINDOWS\

ProcessID : 1496

ThreadCreationTime : 13-11-2007 07:32:11

BasePriority : Normal

FileVersion : 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)

ProductVersion : 6.00.2900.3156

ProductName : Système d'exploitation Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Explorateur Windows

InternalName : explorer

LegalCopyright : © Microsoft Corporation. Tous droits réservés.

OriginalFilename : EXPLORER.EXE

 

Win32.Trojandownloader.Zlob Object Recognized!

Type : Process

Data : sjtxxhll.dll

TAC Rating : 10

Category : Malware

Comment : hnelunjq.dll.dmp

Object : C:\WINDOWS\system32\

 

 

Warning! Win32.Trojandownloader.Zlob Object found in memory(C:\WINDOWS\system32\sjtxxhll.dll)

 

 

#:12 [lexbces.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1608

ThreadCreationTime : 13-11-2007 07:32:12

BasePriority : Normal

FileVersion : 8.16

ProductVersion : 8.16

ProductName : MarkVision for Windows (32 bit)

CompanyName : Lexmark International, Inc.

FileDescription : LexBce Service

InternalName : LexBce Service

LegalCopyright : © 1993 - 2003 Lexmark International, Inc.

OriginalFilename : LexBceS.exe

 

#:13 [spoolsv.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1648

ThreadCreationTime : 13-11-2007 07:32:12

BasePriority : Normal

FileVersion : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)

ProductVersion : 5.1.2600.2696

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Spooler SubSystem App

InternalName : spoolsv.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : spoolsv.exe

 

#:14 [lexpps.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1656

ThreadCreationTime : 13-11-2007 07:32:12

BasePriority : Normal

FileVersion : 8.16

ProductVersion : 8.16

ProductName : MarkVision for Windows (32 bit)

CompanyName : Lexmark International, Inc.

FileDescription : LEXPPS.EXE

InternalName : LEXPPS

LegalCopyright : © 1993 - 2003 Lexmark International, Inc.

OriginalFilename : LEXPPS.EXE

Comments : MarkVision for Windows '95 New P2P Server (32-bit)

 

#:15 [dlbkbmgr.exe]

FilePath : C:\Program Files\Dell AIO Printer A920\

ProcessID : 2004

ThreadCreationTime : 13-11-2007 07:32:18

BasePriority : Normal

FileVersion : 0.1.1.1

ProductVersion : 0.1.1.1

ProductName : Button Manager Executable

CompanyName : Dell Computer Corporation

FileDescription : Dell AIO Printer A920Button Manager

InternalName : dlbkbmgr.exe

OriginalFilename : dlbkbmgr.exe

 

#:16 [tbpanel.exe]

FilePath : C:\Program Files\VDOTool\

ProcessID : 2020

ThreadCreationTime : 13-11-2007 07:32:18

BasePriority : Normal

FileVersion : 4.5

ProductVersion : 4.5

ProductName : VDOTool : Display Control Panel

CompanyName : Palit Microsystems, Inc.

FileDescription : VDOTool : Display Control Panel

InternalName : TBPanel

LegalCopyright : Copyright © 2006

OriginalFilename : TBPanel

 

#:17 [dlbkbmon.exe]

FilePath : C:\Program Files\Dell AIO Printer A920\

ProcessID : 2028

ThreadCreationTime : 13-11-2007 07:32:18

BasePriority : Normal

FileVersion : 0.1.1.1

ProductVersion : 0.1.1.1

ProductName : Button Monitor Executable

CompanyName : Dell Computer Corporation

FileDescription : Dell AIO Printer A920Button Monitor

InternalName : dlbkbmon.exe

OriginalFilename : dlbkbmon.exe

 

#:18 [rundll32.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 140

ThreadCreationTime : 13-11-2007 07:32:18

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Système d'exploitation Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Exécuter une DLL en tant qu'application

InternalName : rundll

LegalCopyright : © Microsoft Corporation. Tous droits réservés.

OriginalFilename : RUNDLL.EXE

 

#:19 [ccapp.exe]

FilePath : C:\Program Files\Fichiers communs\Symantec Shared\

ProcessID : 168

ThreadCreationTime : 13-11-2007 07:32:18

BasePriority : Normal

FileVersion : 106.0.1.10

ProductVersion : 106.0.1.10

ProductName : Symantec Security Technologies

CompanyName : Symantec Corporation

FileDescription : Symantec User Session

InternalName : ccApp

LegalCopyright : Copyright © 2000-2006 Symantec Corporation. All rights reserved.

OriginalFilename : ccApp.exe

 

#:20 [ctfmon.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 240

ThreadCreationTime : 13-11-2007 07:32:21

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : CTF Loader

InternalName : CTFMON

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : CTFMON.EXE

 

#:21 [msnmsgr.exe]

FilePath : C:\Program Files\MSN Messenger\

ProcessID : 280

ThreadCreationTime : 13-11-2007 07:32:21

BasePriority : Normal

FileVersion : 8.1.0178.00

ProductVersion : 8.1.0178

ProductName : Messenger

CompanyName : Microsoft Corporation

FileDescription : Messenger

InternalName : msnmsgr.exe

LegalCopyright : Copyright © Microsoft Corporation. All rights reserved.

OriginalFilename : msnmsgr.exe

 

#:22 [ccsvchst.exe]

FilePath : C:\Program Files\Fichiers communs\Symantec Shared\

ProcessID : 396

ThreadCreationTime : 13-11-2007 07:32:24

BasePriority : Normal

FileVersion : 106.0.1.10

ProductVersion : 106.0.1.10

ProductName : Symantec Security Technologies

CompanyName : Symantec Corporation

FileDescription : Symantec Service Framework

InternalName : ccSvcHst

LegalCopyright : Copyright © 2000-2006 Symantec Corporation. All rights reserved.

OriginalFilename : ccSvcHst.exe

 

#:23 [yahoowidgetengine.exe]

FilePath : C:\Program Files\Yahoo!\Yahoo! Widget Engine\

ProcessID : 412

ThreadCreationTime : 13-11-2007 07:32:24

BasePriority : Normal

FileVersion : 4.0.5

ProductVersion : 4.0.5

ProductName : Yahoo! Widgets

CompanyName : Yahoo! Inc.

FileDescription : Yahoo! Widgets

InternalName : Yahoo! Widgets

LegalCopyright : Copyright © 2004-2007 Yahoo! Inc.

OriginalFilename : YahooWidgetEngine.exe

 

#:24 [nvsvc32.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 924

ThreadCreationTime : 13-11-2007 07:32:31

BasePriority : Normal

FileVersion : 6.14.10.9131

ProductVersion : 6.14.10.9131

ProductName : NVIDIA Driver Helper Service, Version 91.31

CompanyName : NVIDIA Corporation

FileDescription : NVIDIA Driver Helper Service, Version 91.31

InternalName : NVSVC

LegalCopyright : © NVIDIA Corporation. All rights reserved.

OriginalFilename : nvsvc32.exe

 

#:25 [aluschedulersvc.exe]

FilePath : C:\Program Files\Symantec\LiveUpdate\

ProcessID : 1036

ThreadCreationTime : 13-11-2007 07:32:32

BasePriority : Normal

FileVersion : 3.1.0.99

ProductVersion : 3.1.0.99

ProductName : LiveUpdate

CompanyName : Symantec Corporation

FileDescription : Automatic LiveUpdate Scheduler Service

InternalName : Automatic LiveUpdate Scheduler Service

LegalCopyright : Copyright © 1996-2006 Symantec Corporation

OriginalFilename : ALUSchedulerSvc.exe

 

#:26 [yahoowidgetengine.exe]

FilePath : C:\Program Files\Yahoo!\Yahoo! Widget Engine\

ProcessID : 1516

ThreadCreationTime : 13-11-2007 07:32:46

BasePriority : Normal

FileVersion : 4.0.5

ProductVersion : 4.0.5

ProductName : Yahoo! Widgets

CompanyName : Yahoo! Inc.

FileDescription : Yahoo! Widgets

InternalName : Yahoo! Widgets

LegalCopyright : Copyright © 2004-2007 Yahoo! Inc.

OriginalFilename : YahooWidgetEngine.exe

 

#:27 [yahoowidgetengine.exe]

FilePath : C:\Program Files\Yahoo!\Yahoo! Widget Engine\

ProcessID : 1848

ThreadCreationTime : 13-11-2007 07:32:47

BasePriority : Normal

FileVersion : 4.0.5

ProductVersion : 4.0.5

ProductName : Yahoo! Widgets

CompanyName : Yahoo! Inc.

FileDescription : Yahoo! Widgets

InternalName : Yahoo! Widgets

LegalCopyright : Copyright © 2004-2007 Yahoo! Inc.

OriginalFilename : YahooWidgetEngine.exe

 

#:28 [yahoowidgetengine.exe]

FilePath : C:\Program Files\Yahoo!\Yahoo! Widget Engine\

ProcessID : 1452

ThreadCreationTime : 13-11-2007 07:32:47

BasePriority : Normal

FileVersion : 4.0.5

ProductVersion : 4.0.5

ProductName : Yahoo! Widgets

CompanyName : Yahoo! Inc.

FileDescription : Yahoo! Widgets

InternalName : Yahoo! Widgets

LegalCopyright : Copyright © 2004-2007 Yahoo! Inc.

OriginalFilename : YahooWidgetEngine.exe

 

#:29 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 916

ThreadCreationTime : 13-11-2007 07:32:51

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:30 [appsvc32.exe]

FilePath : C:\Program Files\Fichiers communs\Symantec Shared\AppCore\

ProcessID : 1252

ThreadCreationTime : 13-11-2007 07:32:52

BasePriority : Normal

FileVersion : 1.0.00.101

ProductVersion : 1.0

ProductName : Symantec Application Core

CompanyName : Symantec Corporation

FileDescription : Symantec Application Core Service

InternalName : AppSvc32

LegalCopyright : Copyright © 1997-2006 Symantec Corporation

OriginalFilename : AppSvc32.exe

 

#:31 [alg.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 3028

ThreadCreationTime : 13-11-2007 07:33:05

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Application Layer Gateway Service

InternalName : ALG.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : ALG.exe

 

#:32 [symlcsvc.exe]

FilePath : C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\

ProcessID : 3468

ThreadCreationTime : 13-11-2007 07:33:17

BasePriority : Normal

 

 

#:33 [usnsvc.exe]

FilePath : C:\Program Files\MSN Messenger\

ProcessID : 1840

ThreadCreationTime : 13-11-2007 07:59:41

BasePriority : Normal

FileVersion : 8.1.0178.00

ProductVersion : 8.1.0178

ProductName : Messenger

CompanyName : Microsoft Corporation

FileDescription : Messenger Sharing USN Journal Reader Service

InternalName : usnsvc.exe

LegalCopyright : Copyright © Microsoft Corporation. All rights reserved.

OriginalFilename : usnsvc.exe

 

#:34 [taskmgr.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 512

ThreadCreationTime : 13-11-2007 08:26:44

BasePriority : High

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Système d'exploitation Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Gestionnaire des tâches de Windows

InternalName : taskmgr

LegalCopyright : © Microsoft Corporation. Tous droits réservés.

OriginalFilename : taskmgr.exe

 

#:35 [ad-aware.exe]

FilePath : C:\Program Files\Lavasoft\Ad-Aware SE Professional\

ProcessID : 1228

ThreadCreationTime : 13-11-2007 11:19:39

BasePriority : Normal

FileVersion : 6.2.0.238

ProductVersion : SE 106

ProductName : Lavasoft Ad-Aware SE

CompanyName : Lavasoft Sweden

FileDescription : Ad-Aware SE Core application

InternalName : Ad-Aware.exe

LegalCopyright : Copyright © Lavasoft AB Sweden

OriginalFilename : Ad-Aware.exe

Comments : All Rights Reserved

 

Memory scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 17

 

 

Started registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Win32.Trojandownloader.Zlob Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : clsid\{11a69ae4-fbed-4832-a2bf-45af82825583}

 

Win32.Trojandownloader.Zlob Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : clsid\{a95b2816-1d7e-4561-a202-68c0de02353a}

 

Win32.Trojandownloader.Zlob Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_USERS

Object : S-1-5-21-1214440339-706699826-725345543-1004\software\microsoft\windows\currentversion\ext\stats\{11a69ae4-fbed-4832-a2bf-45af82825583}

 

Win32.Trojandownloader.Zlob Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_USERS

Object : S-1-5-21-1214440339-706699826-725345543-1004\software\microsoft\windows\currentversion\ext\stats\{a95b2816-1d7e-4561-a202-68c0de02353a}

 

Win32.Trojandownloader.Zlob Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\windows\currentversion\explorer\browser helper objects\{a95b2816-1d7e-4561-a202-68c0de02353a}

 

Win32.Trojandownloader.Zlob Object Recognized!

Type : RegValue

Data :

TAC Rating : 10

Category : Malware

Comment : "{11a69ae4-fbed-4832-a2bf-45af82825583}"

Rootkey : HKEY_USERS

Object : S-1-5-21-1214440339-706699826-725345543-1004\software\microsoft\internet explorer\toolbar\webbrowser

Value : {11a69ae4-fbed-4832-a2bf-45af82825583}

 

Win32.Trojandownloader.Zlob Object Recognized!

Type : RegValue

Data :

TAC Rating : 10

Category : Malware

Comment : "{11a69ae4-fbed-4832-a2bf-45af82825583}"

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\internet explorer\toolbar

Value : {11a69ae4-fbed-4832-a2bf-45af82825583}

 

Registry Scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 7

Objects found so far: 24

 

 

Started deep registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Deep registry scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 24

 

 

Started Tracking Cookie scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : miiro@tradedoubler[2].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:9

Value : Cookie:miiro@tradedoubler.com/

Expires : 13-12-2007 11:42:38

LastSync : Hits:9

UseCount : 0

Hits : 9

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : miiro@smartadserver[2].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:32

Value : Cookie:miiro@smartadserver.com/

Expires : 08-11-2027 11:40:48

LastSync : Hits:32

UseCount : 0

Hits : 32

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : miiro@doubleclick[2].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:6

Value : Cookie:miiro@doubleclick.net/

Expires : 12-11-2009 09:02:20

LastSync : Hits:6

UseCount : 0

Hits : 6

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : miiro@adviva[2].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:2

Value : Cookie:miiro@adviva.net/

Expires : 17-10-2012 09:02:58

LastSync : Hits:2

UseCount : 0

Hits : 2

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : miiro@bluestreak[1].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:7

Value : Cookie:miiro@bluestreak.com/

Expires : 10-11-2017 06:41:06

LastSync : Hits:7

UseCount : 0

Hits : 7

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : miiro@weborama[1].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:1

Value : Cookie:miiro@weborama.fr/

Expires : 12-11-2009 11:41:38

LastSync : Hits:1

UseCount : 0

Hits : 1

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : miiro@ad.yieldmanager[2].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:10

Value : Cookie:miiro@ad.yieldmanager.com/

Expires : 11-11-2009 23:23:48

LastSync : Hits:10

UseCount : 0

Hits : 10

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : miiro@msnportal.112.2o7[1].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:1

Value : Cookie:miiro@msnportal.112.2o7.net/

Expires : 10-11-2012 23:26:50

LastSync : Hits:1

UseCount : 0

Hits : 1

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : miiro@atdmt[2].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:12

Value : Cookie:miiro@atdmt.com/

Expires : 10-11-2012 01:00:00

LastSync : Hits:12

UseCount : 0

Hits : 12

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : miiro@apmebf[2].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:2

Value : Cookie:miiro@apmebf.com/

Expires : 11-11-2012 10:06:32

LastSync : Hits:2

UseCount : 0

Hits : 2

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : miiro@advertising[1].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:35

Value : Cookie:miiro@advertising.com/

Expires : 11-11-2012 11:43:18

LastSync : Hits:35

UseCount : 0

Hits : 35

 

Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 11

Objects found so far: 35

 

 

 

Deep scanning and examining files (C:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Disk Scan Result for C:\

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 35

 

 

Scanning Hosts file......

Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Hosts file scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

1 entries scanned.

New critical objects:0

Objects found so far: 35

 

 

 

 

Performing conditional scans...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Win32.Trojandownloader.Zlob Object Recognized!

Type : File

Data : tracking.log

TAC Rating : 10

Category : Malware

Comment :

Object : c:\system volume information\

 

 

 

Conditional scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 1

Objects found so far: 36

 

12:28:50 Scan Complete

 

Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:08:18.219

Objects scanned:142683

Objects identified:19

Objects ignored:0

New critical objects:19

 

 

Une fois le scan terminé Ad Aware m indique avoir éliminé les fichiers suspects mais ils reapparaissent tout de suite apres..

 

Je ne comprend pas pourquoi mon Norton Antivirus n'a pas bloqué ces infections ?

 

Peut etre manque t il des infos pour que qql un puissent m aider?

 

Ya til une ame charitable pour me venir en aide?

 

Merci

wong Full Patch Member

wong

Posté(e)
Posté(e) (modifié)

Bonjour Miiro, et bienvenue,

 

1°) TéléchargeVundoFix de ATribune : http://www.atribune.org/ccount/click.php?id=4

  • Enregistre le fichier sur ton Bureau.
  • Ferme tous les programmes: il va y avoir arrêt du PC.
  • Double-clique VundoFix.exe afin de le lancer.
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "Clique sur le bouton Scan for Vundo".

 

 

2°)Lance HijackThis

 

Copie/Colle un nouveau rapport HijackThis dans ta réponse

 

 

J'attends 2 rapports ( celui de Vundo et celui de HijackThis ).

 

Cordialement.

Modifié par wong
Miiro Power Member

Miiro

Posté(e)
  • Auteur
Posté(e)

Bonjour et merci Wong de m'aider,

 

J'ai suivi tes instructions et voila les 2 rapports:

 

 

1) rapport Vundo

 

VundoFix V6.5.11

 

Checking Java version...

 

Sun Java not detected

Scan started at 14:00:50 13/11/2007

 

Listing files found while scanning....

 

C:\WINDOWS\system32\ahlwvpvb.dll

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\ahlwvpvb.dll

C:\WINDOWS\system32\ahlwvpvb.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

 

2) rapport HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 14:13:02, on 13/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe

C:\Program Files\VDOTool\TBPanel.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmon.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1C1DD717-53B2-485E-A17B-C9977C205E10} - C:\WINDOWS\System32\xxywwwx.dll

O2 - BHO: (no name) - {2F9D92AA-2B3D-4CC7-A7C0-FAEBCC7637F0} - C:\WINDOWS\System32\ddaba.dll

O2 - BHO: {6c676621-a2cc-7d58-fde4-d1120c3b5216} - {6125b3c0-211d-4edf-85d7-cc2a126676c6} - C:\WINDOWS\system32\fejntkyf.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)

O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe"

O4 - HKLM\..\Run: [Gainward] C:\Program Files\VDOTool\TBPanel.exe /A

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [dcc10928] rundll32.exe "C:\WINDOWS\system32\jxlhuoxe.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: xxywwwx - C:\WINDOWS\SYSTEM32\xxywwwx.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

 

Qu'en penses tu ??

Miiro Power Member

Miiro

Posté(e)
  • Auteur
Posté(e)

Apres avoir utilisé Vundo et HijackThis comme me l avais indiqué Wong

Je n est plus les fenetres publicitaires intempestives qui s'affiche sur mon ecran

Merci deja pour cela...

 

Mais le Pc rame toujours + Internet explorer qui me dit qu'il ne trouve pas certains fichiers .dll + autoprotect norton qui m indique sans arret qu'il a bloqué une menace

 

Je penses que mon pc n'est toujours pas desinfecté.

Qu indique mon rapport HijackThis ? je ne veux faire de betise et supprimer n importe quoi ?

 

Merci

wong Full Patch Member

wong

Posté(e)
Posté(e)

RE Miiro,

 

Les dernières versions de Vundo sont assez coriaces.

 

1°) Téléchargement d'utilitaires :

 

1.1 - Télécharge VirtumundoBeGone (Secured2k) sur ton bureau : http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

 

1.2 - Télécharge FixVundo.exe ( de Symantec ) sur ton bureau : http://securityresponse.symantec.com/avcenter/FixVundo.exe

 

 

2°) Redémarre en mode sans échec

 

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer la procédure ( ou, événtuellement, de l'enregistrer dans un fichier texte ).

  • Clique sur Démarrer
  • Clique sur Arrêter l'ordinateur
  • Dans la fenêtre qui s'ouvre : clique sur " Redémarrer "
  • Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
  • Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul )
  • Appui dur la touche " ENTRÉE "
  • Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ).
  • Clique sur ta session normale : ton nom (Administrateur )
  • Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI

Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php

 

2.1 - Nettoyage avec VirtumundoBeGone

  • Double clique sur VirtumundoBeGone.exe et suis les instructions.
  • Une fois terminé, le rapport VBG.TXT sera crée sur le bureau .
    (Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu).
  • Copie/Colle le rapport dans ta prochaine réponse

2.2 - Nettoyage avec FixVundo.exe

  • Double clique sur FixVundo.exe pour lancer l'outil de suppression.
  • Clique sur Démarrer pour commencer la procédure puis laissez l'outil s'exécuter.

3°) Redémarre en mode normal

 

2°)Lance HijackThis

 

Copie/Colle un nouveau rapport HijackThis dans ta réponse

 

 

Cordialement.

Miiro Power Member

Miiro

Posté(e)
  • Auteur
Posté(e)

Je viens d essayer de suivre tes instructions Wong

Je suis un peu larguer dans cette desinfection.

 

Je me suis mis en mode sans echec mais ca a u une reaction bisare car les icone sur mon bureau apparaissaient et disparaissaient

Jai quand meme reussi a lancer VirtumundoBeGone sur le mode sans echec

L erreur fatable + ecran bleu est apparue et jai donc du etaindre et rallumer mon pc

 

J ai ensuite lancer FixVundo.exe mais en mode normal (Je ne sais pas ce que cela implique) alors que je crois tu m a demanader de le faire en mode sans echec..!

 

Et jai ensuite relancer HijackThis

 

 

[11/13/2007, 16:41:49] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Miiro\Bureau\VirtumundoBeGone.exe" )

[11/13/2007, 16:41:57] - Detected System Information:

[11/13/2007, 16:41:57] - Windows Version: 5.1.2600, Service Pack 2

[11/13/2007, 16:41:57] - Current Username: Miiro (Admin)

[11/13/2007, 16:41:57] - Windows is in SAFE mode with Networking.

[11/13/2007, 16:41:57] - Searching for Browser Helper Objects:

[11/13/2007, 16:41:57] - BHO 1: {1C1DD717-53B2-485E-A17B-C9977C205E10} ()

[11/13/2007, 16:41:57] - WARNING: BHO has no default name. Checking for Winlogon reference.

[11/13/2007, 16:41:57] - Checking for HKLM\...\Winlogon\Notify\xxywwwx

[11/13/2007, 16:41:57] - Found: HKLM\...\Winlogon\Notify\xxywwwx - This is probably Virtumundo.

[11/13/2007, 16:41:57] - Assigning {1C1DD717-53B2-485E-A17B-C9977C205E10} MSEvents Object

[11/13/2007, 16:41:57] - BHO list has been changed! Starting over...

[11/13/2007, 16:41:57] - BHO 1: {1C1DD717-53B2-485E-A17B-C9977C205E10} (MSEvents Object)

[11/13/2007, 16:41:57] - ALERT: Found MSEvents Object!

[11/13/2007, 16:41:57] - BHO 2: {7c02f774-b6e8-4837-8c06-667b7f57aae2} ()

[11/13/2007, 16:41:57] - WARNING: BHO has no default name. Checking for Winlogon reference.

[11/13/2007, 16:41:57] - Checking for HKLM\...\Winlogon\Notify\fhmeslwx

[11/13/2007, 16:41:57] - Key not found: HKLM\...\Winlogon\Notify\fhmeslwx, continuing.

[11/13/2007, 16:41:57] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()

[11/13/2007, 16:41:57] - WARNING: BHO has no default name. Checking for Winlogon reference.

[11/13/2007, 16:41:57] - No filename found. Continuing.

[11/13/2007, 16:41:57] - BHO 4: {A7F4C1CA-A96D-47A7-B2D3-B1A9387F1FF4} ()

[11/13/2007, 16:41:57] - WARNING: BHO has no default name. Checking for Winlogon reference.

[11/13/2007, 16:41:57] - Checking for HKLM\...\Winlogon\Notify\ddaba

[11/13/2007, 16:41:57] - Key not found: HKLM\...\Winlogon\Notify\ddaba, continuing.

[11/13/2007, 16:41:57] - Finished Searching Browser Helper Objects

[11/13/2007, 16:41:57] - *** Detected MSEvents Object

[11/13/2007, 16:41:57] - Trying to remove MSEvents Object...

[11/13/2007, 16:41:58] - Terminating Process: IEXPLORE.EXE

[11/13/2007, 16:41:58] - Terminating Process: RUNDLL32.EXE

[11/13/2007, 16:41:58] - Disabling Automatic Shell Restart

[11/13/2007, 16:41:58] - Terminating Process: EXPLORER.EXE

[11/13/2007, 16:41:58] - Suspending the NT Session Manager System Service

[11/13/2007, 16:41:58] - Terminating Windows NT Logon/Logoff Manager

[11/13/2007, 16:41:59] - Re-enabling Automatic Shell Restart

[11/13/2007, 16:41:59] - File to disable: C:\WINDOWS\System32\xxywwwx.dll

[11/13/2007, 16:41:59] - Renaming C:\WINDOWS\System32\xxywwwx.dll -> C:\WINDOWS\System32\xxywwwx.dll.vir

[11/13/2007, 16:41:59] - File successfully renamed!

[11/13/2007, 16:41:59] - Removing HKLM\...\Browser Helper Objects\{1C1DD717-53B2-485E-A17B-C9977C205E10}

[11/13/2007, 16:41:59] - Removing HKCR\CLSID\{1C1DD717-53B2-485E-A17B-C9977C205E10}

[11/13/2007, 16:41:59] - Adding Kill Bit for ActiveX for GUID: {1C1DD717-53B2-485E-A17B-C9977C205E10}

[11/13/2007, 16:41:59] - Deleting ATLEvents/MSEvents Registry entries

[11/13/2007, 16:41:59] - Removing HKLM\...\Winlogon\Notify\xxywwwx

[11/13/2007, 16:41:59] - Searching for Browser Helper Objects:

[11/13/2007, 16:41:59] - BHO 1: {7c02f774-b6e8-4837-8c06-667b7f57aae2} ()

[11/13/2007, 16:41:59] - WARNING: BHO has no default name. Checking for Winlogon reference.

[11/13/2007, 16:41:59] - Checking for HKLM\...\Winlogon\Notify\fhmeslwx

[11/13/2007, 16:41:59] - Key not found: HKLM\...\Winlogon\Notify\fhmeslwx, continuing.

[11/13/2007, 16:41:59] - BHO 2: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()

[11/13/2007, 16:41:59] - WARNING: BHO has no default name. Checking for Winlogon reference.

[11/13/2007, 16:41:59] - No filename found. Continuing.

[11/13/2007, 16:41:59] - BHO 3: {A7F4C1CA-A96D-47A7-B2D3-B1A9387F1FF4} ()

[11/13/2007, 16:41:59] - WARNING: BHO has no default name. Checking for Winlogon reference.

[11/13/2007, 16:41:59] - Checking for HKLM\...\Winlogon\Notify\ddaba

[11/13/2007, 16:41:59] - Key not found: HKLM\...\Winlogon\Notify\ddaba, continuing.

[11/13/2007, 16:41:59] - Finished Searching Browser Helper Objects

[11/13/2007, 16:41:59] - Finishing up...

[11/13/2007, 16:41:59] - A restart is needed.

[11/13/2007, 16:41:59] - Automatic Reboot on STOP Error is not set. User will have to manually restart.

[11/13/2007, 16:42:08] - Attempting to Restart via STOP error (Blue Screen!)

 

 

--------------------------------------------------------------------------------------------

Symantec Trojan.Vundo Removal Tool 1.5.0

 

C:\Documents and Settings\All Users\Application Data\Symantec\SRTSP\Quarantine: (not scanned)

C:\Documents and Settings\All Users\Application Data\Symantec\SRTSP\SrtETmp: (not scanned)

C:\System Volume Information: (not scanned)

Trojan.Vundo has not been found on your computer.

 

 

-----------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 16:59:01, on 13/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmon.exe

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {85D24C8B-83B4-4A3F-8DAE-75BB6838306B} - C:\WINDOWS\System32\ddaba.dll

O2 - BHO: {2ee34b3e-badc-fbea-0fe4-93152305150c} - {c0515032-5139-4ef0-aebf-cdabe3b43ee2} - C:\WINDOWS\system32\wwbwsrgc.dll

O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)

O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [dcc10928] rundll32.exe "C:\WINDOWS\system32\fyscafqu.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

 

 

Merci de tes conseils et de ta patience.

wong Full Patch Member

wong

Posté(e)
Posté(e)

Bonjour Miiro,

 

Supprime les utilitaires suivants de ton PC : VirtumundoBeGone et FixVundo.exe ( ne te trompe pas avec VundoFix ), ainsi que tous les rapports.

 

1°) Relance VundoFix

  • Ferme tous les programmes: il va y avoir arrêt du PC.
  • Double-clique VundoFix.exe afin de le lancer.
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "Clique sur le bouton Scan for Vundo".

 

 

2°)Lance HijackThis

 

Copie/Colle un nouveau rapport HijackThis dans ta réponse

 

 

J'attends 2 rapports ( celui de Vundo et celui de HijackThis ).

 

Cordialement.

Miiro Power Member

Miiro

Posté(e)
  • Auteur
Posté(e)

Re bonsoir Wong

 

1) rapport VundoFix

 

VundoFix V6.5.11

 

Checking Java version...

 

Sun Java not detected

Scan started at 19:15:01 2007-11-13

 

Listing files found while scanning....

 

No infected files were found.

 

 

Beginning removal...

 

 

2) rapport HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 19:27, on 2007-11-13

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {70D8AD3F-0366-4991-8748-FF9AD3FB544C} - C:\WINDOWS\System32\ddaba.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: {a7139d47-05ce-9be8-1834-7f66715bd728} - {827db517-66f7-4381-8eb9-ec5074d9317a} - C:\WINDOWS\system32\gmcndasm.dll

O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [dcc10928] rundll32.exe "C:\WINDOWS\system32\hbjmdclb.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: Service de la passerelle de la couche Application (ALG) - Unknown owner - cmd.exe (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

 

 

Je pense etre encore contaminer meme si cela va beaucoup mieu depuis ce matin.

Je me demande si cette entree ne serait pas un effet du virus ???? :

O2 - BHO: (no name) - {70D8AD3F-0366-4991-8748-FF9AD3FB544C} - C:\WINDOWS\System32\ddaba.dll

 

Cordialemenet

wong Full Patch Member

wong

Posté(e)
Posté(e)

RE Miiro,

 

Tu es encore infecté.

 

Demain je te prépare une procédure pour enlever les restes de Vundo et pour faire un premier nettoyage.

 

Cordialement.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...