[résolu] infecté par win.32.netsky D etAA rapport hijackthis

gaetanl · le 19 novembre 2007

Ayez, mon ordi est bien désinfecté je te remercie

J'ai installé sp2 et je vais pas tarder à télécharger firefox.

Merci encore.

@ +

Thanos · le 19 novembre 2007

salut

Tu te souviens de ce que je te disait ? >

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne doit plus voir l'icône du Teatimer dans la barre de tâches!
Ne fais pas l'impasse sur cette étape, car ca peut faire échouer la procédure de désinfection !

Tu peux faire la manipulation inverse afin de rétablir le Teatimer si tu le souhaite.

Par curiosité fais ce test en ligne pour connaitre l'efficacité du parefeu > http://www.zebulon.fr/outils/scanports/test-securite.php

clique sur "Testez la sécurité de votre PC" > un résultat va s'afficher quelques secondes après > si tu vois qu'un ou des ports sont ouverts, poste le rapport.

Ne faut-il pas que je commence par rajouter de la mémoire (ça rame sérieusement)?

On en a parlé plus haut, c'est OUI!!! avec 256Mo on ne fait pas tourner Windows XP...Il faut un minimum de 512Mo pour avoir une utilisation confortable > + serait très bien aussi!!

Si tu as des doutes ou ne sait pas comment faire pour ajouter de la mémoire, tu peux demander de l'aide ici > http://forum.zebulon.fr/index.php?showforum=3

Faire attention à la fréquence de barettes surtout!

@++

Modifié le 19 novembre 2007 par charles ingals

gaetanl · le 20 novembre 2007

Ben,j'ai déjà installé le sp2 par windows update

Tout a l'air de fonctionner à par le fait qu'il m'a installé sun pare-feu alors que j'ai déjà celui de bit-defender.Avec l'aide de Logic, j'ai arrêté le service pare-feu de windows. J'ai fait un test comme tu me l'as conseillé et tout est okay.

Est-il utile de rétablir teatimer? Je sais plus très bien à quoi ça sert? et à mon niveau en informatique c'est un peu compliqué pour moi.A toi de me convaincre

Je suis sur le forum hardware pour changer ma mémoire, thanks.

@+

Thanos · le 20 novembre 2007

salut

Tu as bien fait d'installer le SP2

Est-il utile de rétablir teatimer? Je sais plus très bien à quoi ça sert?

le Teatimer protège le pc dans ce sens ou il surveille les tentative de modification faites dans la base de registre.

Le Teatimer enverra donc des alertes à chaque fois qu'une modification sera sur le point de se faire.Le problème étant qu'il faut savoir si l'on doit ou non autoriser ces modifications > certaines sont nécéssaires (installation d'un programme/ mise à jour d'un programme etc...) mais d'autres sont effectuées par des malwares : il faut donc savoir réagir et prendre la bonne décision face à ces alertes. Plus d'infos dans le paragraphe "SSD_04 - TeaTimer - Le résident temps réel de SpyBot Search & Destroy" du Tutoriel > http://assiste.com.free.fr/p/logitheque/sp...nd_destroy.html

A toi de voir si tu souhaites ou non utiliser cette protection. Si tu penses ne pas en avoir besoin, ou que c'est trop intrusif, tu n'auras qu'à laisser la case "Résident Teatimer" décochée (voir plus haut).

**************

Stp, quand tu auras le temps(ca prend 5 minutes) et si tu veux bien>

Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors n'hésite pas :

- Voir les règles de Malware-Complaints

- Enregistre toi sur le forum à partir du bouton register en haut :

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforu...e115fda8cee41a4

Si le malware que tu as eu n'apparaît pas dans la liste, pour toi il s'agit de Trojan-Downloader.BAT.Ftp.ab, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

Pour poster un message, clique sur le bouton "post reply" et complête les informations.

Si tu as des questions ou des problèmes, n'hésite pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.

ps: n'hésite pas à témoigner sur Malware Complaints , ca fera réagir les dirigeants et permettra de rendre la toile plus sûre

**************

Les conseils qui suivent sont volontairement génériques, de sorte qu'ils puissent servir à un maximum de personnes. Je t'invite à prendre le temps de bien lire tout cela, de t'informer, d'essayer... Pour trouver quels sont les softs qui te conviennent le mieux.

Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )
- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier.

- IMPORTANT :une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, etc) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert ainsi que les fichiers téléchargés dont la provenance n'est pas sûre!!)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles avec ATF cleaner, nettoyage de la base de registre avec jv16, scandisk, defragmentation du disque dur régulière)

- scan hebdomadaire antispyware

Pour en savoir plus sur la sécurité pc, consulte les pages suivantes:

Ipl_001 : http://IPL001.free.fr/IT/IT-AM0.html

Malekal_Morte : http://www.malekal.com/

@++

gaetanl · le 20 novembre 2007

Non mais t'as pas vu tout le boulot que tu me donnes

gaetanl · le 23 novembre 2007

Salut,

j'ai réactivé le teatimer,par "outils">"résident">coché "résident teatimer".

Je ne sais plus exactement quand, mais ssd m'a affiché plein de messages à propos de changement de clé de registre. Après quelques hésitations (dues en partie au cftmon.exe), j'ai tout autorisé.

Pas de problème sur mon pc mais je ne sais quand-même pas si j'ai bien fait.

Ensuite, quand j'ai eteint le pc, un message est apparu avec une belle croix rouge et des chiffres.Il était tard et j'ai pas noté.En fait c'est ça qui m'inquiète un peu.

J'ai collé: le journal du résident teatimer, le rapport ssd, et un rapport hjt.

Si tu peux jeter un oeil, merci.

Je modifie mon message:je viens d'installer la maj pour windows média player et au redémarrage(avant l'extinction), j'ai, je crois, le même type de message:Access violation at address 0046C405 in module 'TeaTimer.exe'.Read address at 00000010.

Ssd m'a prévenu de changements dans le regitre, normal j'installais wmp.

@ +.

12/11/2007 22:20:59 Refusé(e) (based on user decision) value "SpybotSD TeaTimer" (new data: "") supprimé(e) in System Startup user entry!

12/11/2007 22:21:14 Autorisé(e) (based on user decision) value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") supprimé(e) in Browser Helper Object!

13/11/2007 19:49:17 Autorisé(e) (based on user decision) value "Windows installer" (new data: "") supprimé(e) in System Startup user entry!

20/11/2007 22:37:36 Refusé(e) (based on user decision) value "CTFMON.EXE" (new data: "C:\WINDOWS\system32\ctfmon.exe") modifié(e) in System Startup user entry!

20/11/2007 22:38:05 Autorisé(e) (based on user decision) value "swg" (new data: "C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe") ajouté(e) in System Startup user entry!

20/11/2007 22:38:18 Autorisé(e) (based on user decision) value "SpybotSD TeaTimer" (new data: "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe") ajouté(e) in System Startup user entry!

20/11/2007 22:39:29 Refusé(e) (based on user decision) value "CTFMON.EXE" (new data: "") supprimé(e) in System Startup user entry!

20/11/2007 22:39:42 Autorisé(e) (based on user decision) value "spool" (new data: "") supprimé(e) in System Startup user entry!

20/11/2007 22:40:11 Refusé(e) (based on user decision) value "host32disc" (new data: "") supprimé(e) in System Startup user entry!

20/11/2007 22:40:45 Autorisé(e) (based on user decision) value "Philips Intelligent Agent" (new data: "") supprimé(e) in System Startup user entry!

20/11/2007 22:41:44 Autorisé(e) (based on user decision) value "DXM6Patch_981116" (new data: "") supprimé(e) in System Startup global entry!

20/11/2007 22:42:03 Autorisé(e) (based on user decision) value "hostwin" (new data: "") supprimé(e) in System Startup global entry!

20/11/2007 22:42:15 Autorisé(e) (based on user decision) value "{8E718888-423F-11D2-876E-00A0C9082467}" (new data: "") supprimé(e) in Global browser toolbar!

20/11/2007 22:42:21 Autorisé(e) (based on user decision) value "Local Page" (new data: "C:\WINDOWS\system32\blank.htm") modifié(e) in Browser page!

20/11/2007 22:42:26 Autorisé(e) (based on user decision) value "Search Page" (new data: "http://www.google.com") modifié(e) in Browser page!

20/11/2007 22:42:29 Autorisé(e) (based on user decision) value "Search Bar" (new data: "http://www.google.com/ie"'>http://www.google.com/ie"'>http://www.google.com/ie"'>http://www.google.com/ie") ajouté(e) in Browser page!

20/11/2007 22:42:36 Autorisé(e) (based on user decision) value "SearchAssistant" (new data: "http://www.google.com/ie") ajouté(e) in Browser page!

20/11/2007 22:42:38 Autorisé(e) (based on user decision) value "" (new data: "http://www.google.com/search?q=%s") ajouté(e) in Browser page!

20/11/2007 22:42:40 Autorisé(e) (based on user decision) value "Default_Search_URL" (new data: "http://www.google.com/ie") modifié(e) in Browser page!

20/11/2007 22:42:41 Autorisé(e) (based on user decision) value "SearchAssistant" (new data: "http://www.google.com/ie") modifié(e) in Browser page!

20/11/2007 22:42:48 Autorisé(e) (based on user decision) value "BootExecute" (new data: "") supprimé(e) in Session manager!

20/11/2007 22:42:56 Autorisé(e) (based on user decision) value "ExcludeFromKnownDlls" (new data: "") supprimé(e) in Session manager!

20/11/2007 22:42:59 Autorisé(e) (based on user decision) value "BootExecute" (new data: "autocheck autochk *

") ajouté(e) in Session manager!

20/11/2007 22:43:07 Autorisé(e) (based on user decision) value "ExcludeFromKnownDlls" (new data: "") ajouté(e) in Session manager!

20/11/2007 22:43:12 Autorisé(e) (based on user decision) value "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}" (new data: "") ajouté(e) in Internet Explorer searches!

20/11/2007 22:43:15 Autorisé(e) (based on user decision) value "{08C06D61-F1F3-4799-86F8-BE1A89362C85}" (new data: "") supprimé(e) in Internet Explorer searches!

20/11/2007 22:43:33 Autorisé(e) (based on user decision) value "CTFMON.EXE" (new data: "C:\WINDOWS\system32\ctfmon.exe") modifié(e) in System Startup user entry!

--- Search result list ---

PWS.LDPinchIE: [sBI $D845F869] Réglages (Clé du registre, fixed)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\poof

PWS.LDPinchIE: [sBI $ACF1FE98] Réglages (Clé du registre, fixed)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\poof

Adviva: [sBI $4CDCC3D5] Cookie traceur (Internet Explorer: gae) (Cookie, fixed)

BlueStreak: [sBI $4CDCC3D5] Cookie traceur (Internet Explorer: gae) (Cookie, fixed)

WebTrends live: [sBI $4CDCC3D5] Cookie traceur (Internet Explorer: gae) (Cookie, fixed)

DoubleClick: [sBI $4CDCC3D5] Cookie traceur (Internet Explorer: gae) (Cookie, fixed)

--- Spybot - Search & Destroy version: 1.5 (build: 20070830) ---

2007-08-31 blindman.exe (1.0.0.6)

2007-08-31 SDMain.exe (1.0.0.4)

2007-08-31 SDUpdate.exe (1.0.6.4)

2007-08-31 SDWinSec.exe (1.0.0.

2007-08-31 SpybotSD.exe (1.5.1.15)

2007-08-31 TeaTimer.exe (1.5.0.9)

2007-11-13 unins000.exe (51.46.0.0)

2007-08-31 Update.exe (1.4.0.5)

2007-08-31 advcheck.dll (1.5.3.0)

2007-04-02 aports.dll (2.1.0.0)

2007-04-02 DelZip179.dll (1.79.5.3)

2007-08-31 SDHelper.dll (1.5.0.

2007-08-31 Tools.dll (2.1.2.0)

2007-11-21 Includes\Cookies.sbi (*)

2007-10-31 Includes\Dialer.sbi (*)

2007-11-21 Includes\DialerC.sbi (*)

2007-11-07 Includes\Hijackers.sbi (*)

2007-11-21 Includes\HijackersC.sbi (*)

2007-10-04 Includes\Keyloggers.sbi (*)

2007-11-21 Includes\KeyloggersC.sbi (*)

2004-11-29 Includes\LSP.sbi (*)

2007-11-07 Includes\Malware.sbi (*)

2007-11-21 Includes\MalwareC.sbi (*)

2007-10-24 Includes\PUPS.sbi (*)

2007-11-21 Includes\PUPSC.sbi (*)

2007-11-21 Includes\Revision.sbi (*)

2007-05-30 Includes\Security.sbi (*)

2007-11-21 Includes\SecurityC.sbi (*)

2007-11-07 Includes\Spybots.sbi (*)

2007-11-21 Includes\SpybotsC.sbi (*)

2007-11-06 Includes\Tracks.uti

2007-11-14 Includes\Trojans.sbi (*)

2007-11-21 Includes\TrojansC.sbi (*)

2008-12-24 Plugins\TCPIPAddress.dll

--- System information ---

Windows XP (Build: 2600) Service Pack 2 (5.1.2600)

/ Internet Explorer 6 / SP1: Correctif Windows XP - KB918439

/ Internet Explorer 6 / SP1: Correctif Windows XP - KB918899

/ Internet Explorer 6 / SP1: Correctif Windows XP - KB925486

/ Outlook Express 6 / SP1: Correctif Windows XP - KB911567

/ Windows Media Player 6.4: Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)

/ Windows Media Player 8: Mise à jour de sécurité pour Lecteur Windows Media 8 (KB917734)

/ Windows Media Player 9: Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)

/ Windows XP: Mise à jour de sécurité pour Windows XP (KB923689)

/ Windows XP / SP2: Windows XP Service Pack 2

/ Windows XP / SP3: Correctif Windows XP - KB873339

/ Windows XP / SP3: Correctif Windows XP - KB885835

/ Windows XP / SP3: Correctif Windows XP - KB885836

/ Windows XP / SP3: Correctif Windows XP - KB886185

/ Windows XP / SP3: Correctif Windows XP - KB887472

/ Windows XP / SP3: Correctif Windows XP - KB888302

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB890046)

/ Windows XP / SP3: Correctif Windows XP - KB890859

/ Windows XP / SP3: Correctif Windows XP - KB891781

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB893756)

/ Windows XP / SP3: Windows Installer 3.1 (KB893803)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB896358)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB896423)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB896424)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB896428)

/ Windows XP / SP3: Mise à jour pour Windows XP (KB898461)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB899587)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB899591)

/ Windows XP / SP3: Mise à jour pour Windows XP (KB900485)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB900725)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB901017)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB901214)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB902400)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB904706)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB905414)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB905749)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB908519)

/ Windows XP / SP3: Mise à jour pour Windows XP (KB908531)

/ Windows XP / SP3: Mise à jour pour Windows XP (KB910437)

/ Windows XP / SP3: Mise à jour pour Windows XP (KB911280)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB911562)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB911927)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB912919)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB913580)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB914388)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB914389)

/ Windows XP / SP3: Mise à jour pour Windows XP (KB916595)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB917344)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB917422)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB917953)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB918118)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB919007)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB920213)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB920670)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB920683)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB920685)

/ Windows XP / SP3: Mise à jour pour Windows XP (KB920872)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB921398)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB921503)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB921883)

/ Windows XP / SP3: Mise à jour pour Windows XP (KB922582)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB922616)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB922819)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB923191)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB923414)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB923980)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB924191)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB924270)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB924496)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB924667)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB925902)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB926255)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB926436)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB927779)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB927802)

/ Windows XP / SP3: Mise à jour pour Windows XP (KB927891)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB928255)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB928843)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB929123)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB930178)

/ Windows XP / SP3: Mise à jour pour Windows XP (KB930916)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB931261)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB931784)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB932168)

/ Windows XP / SP3: Mise à jour pour Windows XP (KB933360)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB933729)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB935839)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB935840)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB936021)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB938127)

/ Windows XP / SP3: Mise à jour pour Windows XP (KB938828)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB938829)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB939653)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB941202)

/ Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB943460)

--- Startup entries list ---

Located: HK_LM:Run, BDAgent

command: "C:\Program Files\Softwin\BitDefender10\bdagent.exe"

file: C:\Program Files\Softwin\BitDefender10\bdagent.exe

size: 69632

MD5: 2FFA83A15BC21C5B3F336D96F19B47E6

Located: HK_LM:Run, BDMCon

command: "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg

file: C:\Program Files\Softwin\BitDefender10\bdmcon.exe

size: 290816

MD5: 0595CCCF2E5BABFC6D5052CFEFFA96F6

Located: HK_LM:Run, DeviceDiscovery

command: C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

file: C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

size: 40960

MD5: 7D750887E39563620BC5F057295A501D

Located: HK_LM:Run, HP Software Update

command: C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

file: C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

size: 49152

MD5: 919CE09D182D8AAAFCFBC4C40493961D

Located: HK_LM:Run, HPDJ Taskbar Utility

command: C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

file: C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

size: 172032

MD5: EFA425C96F30751FCD79D7787FE4B075

Located: HK_LM:Run, NeroCheck

command: C:\WINDOWS\System32\NeroCheck.exe

file: C:\WINDOWS\System32\NeroCheck.exe

size: 155648

MD5: 3E4C03CEFAD8DE135263236B61A49C90

Located: HK_LM:Run, NeroFilterCheck

command: C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

file: C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

size: 155648

MD5: C93AB037A8C792D5F8A1A9FC88A7C7C5

Located: HK_LM:Run, NWEReboot

command:

file:

size: 0

MD5: D41D8CD98F00B204E9800998ECF8427E

Warning: if the file is actually larger than 0 bytes,

the checksum could not be properly calculated!

Located: HK_LM:Run, POINTER

command: point32.exe

file:

size: 0

MD5: D41D8CD98F00B204E9800998ECF8427E

Warning: if the file is actually larger than 0 bytes,

the checksum could not be properly calculated!

Located: HK_LM:Run, SoundMan

command: SOUNDMAN.EXE

file: C:\WINDOWS\SOUNDMAN.EXE

size: 46592

MD5: 2234718C65055E2B23336B993F3DF977

Located: HK_CU:Run, CTFMON.EXE

where: .DEFAULT...

command: C:\WINDOWS\System32\CTFMON.EXE

file: C:\WINDOWS\System32\CTFMON.EXE

size: 15360

MD5: 64E41E8FEE655B03E3F19DED21BA5118

Located: HK_CU:Run, CTFMON.EXE

where: S-1-5-19...

command: C:\WINDOWS\System32\CTFMON.EXE

file: C:\WINDOWS\System32\CTFMON.EXE

size: 15360

MD5: 64E41E8FEE655B03E3F19DED21BA5118

Located: HK_CU:Run, CTFMON.EXE

where: S-1-5-20...

command: C:\WINDOWS\System32\CTFMON.EXE

file: C:\WINDOWS\System32\CTFMON.EXE

size: 15360

MD5: 64E41E8FEE655B03E3F19DED21BA5118

Located: HK_CU:Run, CTFMON.EXE

where: S-1-5-21-1275210071-839522115-1383302723-1005...

command: C:\WINDOWS\system32\ctfmon.exe

file: C:\WINDOWS\system32\ctfmon.exe

size: 15360

MD5: 64E41E8FEE655B03E3F19DED21BA5118

Located: HK_CU:Run, host32disc

where: S-1-5-21-1275210071-839522115-1383302723-1005...

command: C:\WINDOWS\System32\data.exe

file:

size: 0

MD5: D41D8CD98F00B204E9800998ECF8427E

Warning: if the file is actually larger than 0 bytes,

the checksum could not be properly calculated!

Located: HK_CU:Run, SpybotSD TeaTimer

where: S-1-5-21-1275210071-839522115-1383302723-1005...

command: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

file: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

size: 1460560

MD5: B7D4586BFC0DD6C3BE7DCCC252A3E97E

Located: HK_CU:Run, swg

where: S-1-5-21-1275210071-839522115-1383302723-1005...

command: C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

file:

size: 0

MD5: D41D8CD98F00B204E9800998ECF8427E

Warning: if the file is actually larger than 0 bytes,

the checksum could not be properly calculated!

Located: HK_CU:Run, CTFMON.EXE

where: S-1-5-18...

command: C:\WINDOWS\System32\CTFMON.EXE

file: C:\WINDOWS\System32\CTFMON.EXE

size: 15360

MD5: 64E41E8FEE655B03E3F19DED21BA5118

Located: Démarrage (tous utilisateurs), Microsoft Office.lnk

where: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage...

command: C:\Program Files\Microsoft Office\Office\OSA9.EXE

file: C:\Program Files\Microsoft Office\Office\OSA9.EXE

size: 65588

MD5: 2A131D54ADC71C14B4D11EA5566375BB

Located: Démarrage (utilisateur), OpenOffice.org 1.1.0.lnk

where: C:\Documents and Settings\gae\Menu Démarrer\Programmes\Démarrage...

command: C:\Program Files\OpenOffice.org1.1.0\program\quickstart.exe

file: C:\Program Files\OpenOffice.org1.1.0\program\quickstart.exe

size: 61440

MD5: 915C1968C59D0FCAD6A716AA6C90264A

Located: WinLogon, crypt32chain

command: crypt32.dll

file: crypt32.dll

size: 0

MD5: D41D8CD98F00B204E9800998ECF8427E

Warning: if the file is actually larger than 0 bytes,

the checksum could not be properly calculated!

Located: WinLogon, cryptnet

command: cryptnet.dll

file: cryptnet.dll

size: 0

MD5: D41D8CD98F00B204E9800998ECF8427E

Warning: if the file is actually larger than 0 bytes,

the checksum could not be properly calculated!

Located: WinLogon, cscdll

command: cscdll.dll

file: cscdll.dll

size: 0

MD5: D41D8CD98F00B204E9800998ECF8427E

Warning: if the file is actually larger than 0 bytes,

the checksum could not be properly calculated!

Located: WinLogon, ScCertProp

command: wlnotify.dll

file: wlnotify.dll

size: 0

MD5: D41D8CD98F00B204E9800998ECF8427E

Warning: if the file is actually larger than 0 bytes,

the checksum could not be properly calculated!

Located: WinLogon, Schedule

command: wlnotify.dll

file: wlnotify.dll

size: 0

MD5: D41D8CD98F00B204E9800998ECF8427E

Warning: if the file is actually larger than 0 bytes,

the checksum could not be properly calculated!

Located: WinLogon, sclgntfy

command: sclgntfy.dll

file: sclgntfy.dll

size: 0

MD5: D41D8CD98F00B204E9800998ECF8427E

Warning: if the file is actually larger than 0 bytes,

the checksum could not be properly calculated!

Located: WinLogon, SensLogn

command: WlNotify.dll

file: WlNotify.dll

size: 0

MD5: D41D8CD98F00B204E9800998ECF8427E

Warning: if the file is actually larger than 0 bytes,

the checksum could not be properly calculated!

Located: WinLogon, termsrv

command: wlnotify.dll

file: wlnotify.dll

size: 0

MD5: D41D8CD98F00B204E9800998ECF8427E

Warning: if the file is actually larger than 0 bytes,

the checksum could not be properly calculated!

Located: WinLogon, wlballoon

command: wlnotify.dll

file: wlnotify.dll

size: 0

MD5: D41D8CD98F00B204E9800998ECF8427E

Warning: if the file is actually larger than 0 bytes,

the checksum could not be properly calculated!

--- Browser helper object list ---

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)

location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

BHO name:

CLSID name: AcroIEHlprObj Class

description: Adobe Acrobat reader

classification: Legitimate

known filename: AcroIEhelper.ocx AcroIEhelper.dll

info link: http://www.adobe.com/products/acrobat/readstep2.html

info source: TonyKlein

Path: C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\

Long name: AcroIEHelper.ocx

Short name: ACROIE~1.OCX

Date (created): 06/03/2003 20:02:08

Date (last access): 23/11/2007 18:01:26

Date (last write): 16/04/2001 15:39:02

Filesize: 37808

Attributes:

MD5: 8394ABFC1BE196A62C9F532511936DF7

CRC32: 71D6E350

Version: 1.0.0.1

{53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)

location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

BHO name:

CLSID name: Spybot-S&D IE Protection

description: Spybot-S&D IE Browser plugin

classification: Legitimate

known filename: SDhelper.dll

info link: http://spybot.eon.net.au/

info source: Patrick M. Kolla

Path: C:\PROGRA~1\SPYBOT~1\

Long name: SDHelper.dll

Short name:

Date (created): 13/11/2007 18:56:16

Date (last access): 23/11/2007 18:12:32

Date (last write): 31/08/2007 16:46:14

Filesize: 1122128

Attributes: archive

MD5: B8958471DAA4481E93B03DF8F991DD6E

CRC32: 35E35F14

Version: 1.5.0.8

{AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)

location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

BHO name:

CLSID name: Google Toolbar Helper

description: Google toolbar

classification: Open for discussion

known filename: googletoolbar.dll googletoolbar*.dll (* = number) googletoolbar_en_*.**-big.dll Googletoolbar_en_*.*.**-deleon.dll

info link: http://toolbar.google.com/

info source: TonyKlein

Path: c:\program files\google\

Long name: GoogleToolbar1.dll

Short name: GOOGLE~1.DLL

Date (created): 14/11/2007 22:15:32

Date (last access): 22/11/2007 19:13:24

Date (last write): 14/11/2007 22:15:32

Filesize: 2436160

Attributes: readonly archive

MD5: 6D44E0C3B43D27484FBB355E470C4188

CRC32: 2DE875CD

Version: 4.0.1601.4978

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)

location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

BHO name:

CLSID name: Google Toolbar Notifier BHO

Path: C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\

Long name: swg.dll

Short name:

Date (created): 16/11/2007 19:19:46

Date (last access): 22/11/2007 19:13:24

Date (last write): 16/11/2007 19:19:46

Filesize: 325048

Attributes: archive

MD5: 1DC47CA76A0FFEAA25B45DE5706F2115

CRC32: E2052360

Version: 2.0.301.7164

--- ActiveX list ---

DirectAnimation Java Classes (DirectAnimation Java Classes)

DPF name: DirectAnimation Java Classes

CLSID name:

Installer:

Codebase: file://C:\WINDOWS\Java\classes\dajava.cab

description:

classification: Legitimate

known filename: %WINDIR%\Java\classes\dajava.cab

info link:

info source: Patrick M. Kolla

Microsoft XML Parser for Java (Microsoft XML Parser for Java)

DPF name: Microsoft XML Parser for Java

CLSID name:

Installer:

Codebase: file://C:\WINDOWS\Java\classes\xmldso.cab

description:

classification: Legitimate

known filename: %WINDIR%\Java\classes\xmldso.cab

info link:

info source: Patrick M. Kolla

{00000161-0000-0010-8000-00AA00389B71} ()

DPF name:

CLSID name:

Installer: C:\WINDOWS\Downloaded Program Files\msaudio.inf

Codebase: http://codecs.microsoft.com/codecs/i386/msaudio.cab

description: Microsoft Audio Codec

classification: Legitimate

known filename: MSAUDIO.CAB

info link:

info source: Patrick M. Kolla

{0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object)

DPF name:

CLSID name: CKAVWebScan Object

Installer: C:\WINDOWS\Downloaded Program Files\kavwebscan.inf

Codebase: http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

description:

classification: Legitimate

known filename:

info link:

info source: Safer Networking Ltd.

Path: C:\WINDOWS\System32\Kaspersky Lab\Kaspersky Online Scanner\

Long name: kavwebscan.dll

Short name: KAVWEB~1.DLL

Date (created): 20/03/2006 13:17:20

Date (last access): 22/11/2007 18:30:22

Date (last write): 20/03/2006 13:17:20

Filesize: 798720

Attributes: archive

MD5: F74B09086C2097BC535C5DCCCD3402AC

CRC32: 01AA9D3D

Version: 5.0.83.0

{9F1C11AA-197B-4942-BA54-47A8489BB47F} ()

DPF name:

CLSID name:

Installer: C:\WINDOWS\Downloaded Program Files\iuctl.inf

Codebase: http://v4.windowsupdate.microsoft.com/CAB/...37571.179224537

description: Windows Update

classification: Legitimate

known filename: %WINDIR%\System32\iuctl.dll,iuengine.dll

info link:

info source: Patrick M. Kolla

{A4639D2F-774E-11D3-A490-00C04F6843FB} ()

DPF name:

CLSID name:

Installer: C:\WINDOWS\Downloaded Program Files\launchie.inf

Codebase: http://download.microsoft.com/download/viz...N-US/msorun.cab

description:

classification: Legitimate

known filename:

info link:

info source: Safer Networking Ltd.

{D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object)

DPF name:

CLSID name: Shockwave Flash Object

Installer: C:\WINDOWS\Downloaded Program Files\swflash.inf

Codebase: http://download.macromedia.com/pub/shockwa...ash/swflash.cab

description: Macromedia Shockwave Flash Player

classification: Legitimate

known filename:

info link:

info source: Patrick M. Kolla

Path: C:\WINDOWS\System32\Macromed\Flash\

Long name: Flash9b.ocx

Short name:

Date (created): 09/11/2006 14:46:28

Date (last access): 22/11/2007 19:43:40

Date (last write): 09/11/2006 14:46:28

Filesize: 2262648

Attributes: readonly archive

MD5: F3B3EE66CA76C94510555ABE9D00A353

CRC32: A51F3CB4

Version: 9.0.28.0

--- Process list ---

PID: 0 ( 0) [system]

PID: 376 ( 0) \SystemRoot\System32\smss.exe

size: 50688

PID: 604 ( 0) \??\C:\WINDOWS\system32\csrss.exe

size: 6144

PID: 628 ( 0) \??\C:\WINDOWS\system32\winlogon.exe

size: 506368

PID: 672 ( 0) C:\WINDOWS\system32\services.exe

size: 108544

MD5: 63DCDE1A0D86EEB8924D6738FF616EAD

PID: 684 ( 0) C:\WINDOWS\system32\lsass.exe

size: 13312

MD5: 259AF82A0932EEA4F316F92DB94707B6

PID: 828 ( 0) C:\WINDOWS\system32\svchost.exe

size: 14336

MD5: 2979B03D5382A602623C0535B16AB9C0

PID: 888 ( 0) C:\WINDOWS\system32\svchost.exe

size: 14336

MD5: 2979B03D5382A602623C0535B16AB9C0

PID: 924 ( 0) C:\WINDOWS\System32\svchost.exe

size: 14336

MD5: 2979B03D5382A602623C0535B16AB9C0

PID: 984 ( 0) C:\WINDOWS\System32\svchost.exe

size: 14336

MD5: 2979B03D5382A602623C0535B16AB9C0

PID: 1088 ( 0) C:\WINDOWS\System32\svchost.exe

size: 14336

MD5: 2979B03D5382A602623C0535B16AB9C0

PID: 1376 ( 0) C:\WINDOWS\system32\spoolsv.exe

size: 57856

MD5: DA81EC57ACD4CDC3D4C51CF3D409AF9F

PID: 1556 ( 0) C:\WINDOWS\System32\svchost.exe

size: 14336

MD5: 2979B03D5382A602623C0535B16AB9C0

PID: 1588 ( 0) C:\WINDOWS\System32\wdfmgr.exe

size: 38912

MD5: C81B8635DEE0D3EF5F64B3DD643023A5

PID: 1608 ( 0) C:\WINDOWS\system32\UStorSrv.exe

size: 139264

MD5: B97CEE113444789BE94FB38CE4621AC3

PID: 1656 ( 0) C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

size: 86016

MD5: B31359D3CD699A484AF46477231C019C

PID: 1680 ( 0) C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

size: 81920

MD5: A20EB9A2772C8D2130FF10783E9B42EA

PID: 1700 ( 0) C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

size: 237568

MD5: 677C7E6A93CC89998713FA05E1E84362

PID: 2024 ( 0) C:\WINDOWS\Explorer.EXE

size: 1037312

MD5: D0288319660EDCFED07C7E74C4EA38A5

PID: 260 ( 0) C:\WINDOWS\SOUNDMAN.EXE

size: 46592

MD5: 2234718C65055E2B23336B993F3DF977

PID: 356 ( 0) C:\Program Files\Microsoft Hardware\Mouse\point32.exe

size: 176128

MD5: 44FCD222D8A4BCFF2C944C081AEAD78C

PID: 348 ( 0) C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

size: 172032

MD5: EFA425C96F30751FCD79D7787FE4B075

PID: 340 ( 0) C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

size: 49152

MD5: 919CE09D182D8AAAFCFBC4C40493961D

PID: 328 ( 0) C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

size: 40960

MD5: 7D750887E39563620BC5F057295A501D

PID: 392 ( 0) C:\Program Files\Softwin\BitDefender10\bdmcon.exe

size: 290816

MD5: 0595CCCF2E5BABFC6D5052CFEFFA96F6

PID: 404 ( 0) C:\Program Files\Softwin\BitDefender10\bdagent.exe

size: 69632

MD5: 2FFA83A15BC21C5B3F336D96F19B47E6

PID: 420 ( 0) C:\WINDOWS\system32\ctfmon.exe

size: 15360

MD5: 64E41E8FEE655B03E3F19DED21BA5118

PID: 428 ( 0) C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

size: 1460560

MD5: B7D4586BFC0DD6C3BE7DCCC252A3E97E

PID: 492 ( 0) C:\Program Files\OpenOffice.org1.1.0\program\soffice.exe

size: 425984

MD5: 62EF9DDA585D3968E323BF422E0E12B3

PID: 1868 ( 0) C:\Program Files\Softwin\BitDefender10\vsserv.exe

size: 462848

MD5: 411A48D09F0FA6C51FAD1499AA918B42

PID: 2236 ( 0) C:\WINDOWS\system32\wuauclt.exe

size: 53080

MD5: F3E9065EB617A7E3A832A7976BFA021B

PID: 3528 ( 0) C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

size: 4943184

MD5: C92780F50B8BB7A89E919585916494A9

--- Browser start & search pages list ---

Spybot - Search & Destroy browser pages report, 23/11/2007 18:16:53

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page

C:\WINDOWS\system32\blank.htm

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page

http://www.google.com

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar

http://www.google.com/ie

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

http://www.google.fr/ig?hl=fr

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\SearchAssistant

http://www.google.com/ie

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\@

http://www.google.com/search?q=%s

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page

%SystemRoot%\system32\blank.htm

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page

http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page

http://www.microsoft.com/isapi/redir.dll?p...ER}&ar=home

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL

http://www.microsoft.com/isapi/redir.dll?p...&ar=msnhome

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL

http://www.google.com/ie

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant

http://www.google.com/ie

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch

http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

--- Winsock Layered Service Provider list ---

Protocol 0: MSAFD Tcpip [TCP/IP]

GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}

Filename: %SystemRoot%\system32\mswsock.dll

Description: Microsoft Windows NT/2k/XP IP protocol

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: MSAFD Tcpip [*]

Protocol 1: MSAFD Tcpip [uDP/IP]

GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}

Filename: %SystemRoot%\system32\mswsock.dll

Description: Microsoft Windows NT/2k/XP IP protocol

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: MSAFD Tcpip [*]

Protocol 2: MSAFD Tcpip [RAW/IP]

GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}

Filename: %SystemRoot%\system32\mswsock.dll

Description: Microsoft Windows NT/2k/XP IP protocol

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: MSAFD Tcpip [*]

Protocol 3: RSVP UDP Service Provider

GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}

Filename: %SystemRoot%\system32\rsvpsp.dll

Description: Microsoft Windows NT/2k/XP RVSP

DB filename: %SystemRoot%\system32\rsvpsp.dll

DB protocol: RSVP * Service Provider

Protocol 4: RSVP TCP Service Provider

GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}

Filename: %SystemRoot%\system32\rsvpsp.dll

Description: Microsoft Windows NT/2k/XP RVSP

DB filename: %SystemRoot%\system32\rsvpsp.dll

DB protocol: RSVP * Service Provider

Protocol 5: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B43C354D-1AC7-43F0-BC5E-88723FF61872}] SEQPACKET 4

GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}

Filename: %SystemRoot%\system32\mswsock.dll

Description: Microsoft Windows NT/2k/XP NetBios protocol

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: MSAFD NetBIOS *

Protocol 6: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B43C354D-1AC7-43F0-BC5E-88723FF61872}] DATAGRAM 4

GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}

Filename: %SystemRoot%\system32\mswsock.dll

Description: Microsoft Windows NT/2k/XP NetBios protocol

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: MSAFD NetBIOS *

Protocol 7: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1DB02AA1-643C-48E4-8C5D-B61DD472FEE1}] SEQPACKET 1

GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}

Filename: %SystemRoot%\system32\mswsock.dll

Description: Microsoft Windows NT/2k/XP NetBios protocol

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: MSAFD NetBIOS *

Protocol 8: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1DB02AA1-643C-48E4-8C5D-B61DD472FEE1}] DATAGRAM 1

GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}

Filename: %SystemRoot%\system32\mswsock.dll

Description: Microsoft Windows NT/2k/XP NetBios protocol

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: MSAFD NetBIOS *

Protocol 9: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D8E85EE5-A3EA-4FDE-9D97-550F1DB427A5}] SEQPACKET 2

GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}

Filename: %SystemRoot%\system32\mswsock.dll

Description: Microsoft Windows NT/2k/XP NetBios protocol

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: MSAFD NetBIOS *

Protocol 10: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D8E85EE5-A3EA-4FDE-9D97-550F1DB427A5}] DATAGRAM 2

GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}

Filename: %SystemRoot%\system32\mswsock.dll

Description: Microsoft Windows NT/2k/XP NetBios protocol

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: MSAFD NetBIOS *

Protocol 11: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E5CB0518-64B1-4524-A11D-CB2FE4163742}] SEQPACKET 0

GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}

Filename: %SystemRoot%\system32\mswsock.dll

Description: Microsoft Windows NT/2k/XP NetBios protocol

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: MSAFD NetBIOS *

Protocol 12: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E5CB0518-64B1-4524-A11D-CB2FE4163742}] DATAGRAM 0

GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}

Filename: %SystemRoot%\system32\mswsock.dll

Description: Microsoft Windows NT/2k/XP NetBios protocol

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: MSAFD NetBIOS *

Protocol 13: MSAFD NetBIOS [\Device\NetBT_Tcpip_{DC8CDA9C-F2AE-4E71-8859-8CCE6248F5D2}] SEQPACKET 3

GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}

Filename: %SystemRoot%\system32\mswsock.dll

Description: Microsoft Windows NT/2k/XP NetBios protocol

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: MSAFD NetBIOS *

Protocol 14: MSAFD NetBIOS [\Device\NetBT_Tcpip_{DC8CDA9C-F2AE-4E71-8859-8CCE6248F5D2}] DATAGRAM 3

GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}

Filename: %SystemRoot%\system32\mswsock.dll

Description: Microsoft Windows NT/2k/XP NetBios protocol

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: MSAFD NetBIOS *

Namespace Provider 0: TCP/IP

GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B}

Filename: %SystemRoot%\System32\mswsock.dll

Description: Microsoft Windows NT/2k/XP TCP/IP name space provider

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: TCP/IP

Namespace Provider 1: NTDS

GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC}

Filename: %SystemRoot%\System32\winrnr.dll

Description: Microsoft Windows NT/2k/XP name space provider

DB filename: %SystemRoot%\system32\winrnr.dll

DB protocol: NTDS

Namespace Provider 2: Espace de noms NLA (Network Location Awareness)

GUID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83}

Filename: %SystemRoot%\System32\mswsock.dll

Description: Microsoft Windows NT/2k/XP name space provider

DB filename: %SystemRoot%\system32\mswsock.dll

DB protocol: NLA-Namespace

Logfile of HijackThis v1.99.1

Scan saved at 18:28:10, on 23/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\UStorSrv.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Softwin\BitDefender10\bdmcon.exe

C:\Program Files\Softwin\BitDefender10\bdagent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\OpenOffice.org1.1.0\program\soffice.exe

C:\Program Files\Softwin\BitDefender10\vsserv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [bDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg

O4 - HKLM\..\Run: [bDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [host32disc] C:\WINDOWS\System32\data.exe

O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Program Files\OpenOffice.org1.1.0\program\quickstart.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Modifié le 23 novembre 2007 par gaetanl

Thanos · le 23 novembre 2007

salut

Tu as bien fait de reposter les rapports

Il y a un élément à vérifier >

De la même manière que précédemment, désactive le Teatimer de SS&D

1) Démarre Hijackthis,clique sur "Do a system scan only", et coche les lignes suivantes :

O4 - HKCU\..\Run: [host32disc] C:\WINDOWS\System32\data.exe

-Ferme tous les programmes et clique sur "Fix Checked"

2) Rend toi à cette adresse => http://www.virustotal.com/

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier data.exe que tu trouveras en allant dans le dossier C:\WINDOWS\System32

Tu cliques une fois sur le fichier data.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

Il est possible que ce fichier soit caché et que tu ne le vois pas : si c'est le cas, fais au préalable >

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

@+

gaetanl · le 23 novembre 2007

Salut,

bon, le teatimer est désactivé et....impossible de trouver le dossier data.exe. Le premier dossier en D

c'est dhcp, et il est vide...

Je réactive le teatimer et j'attend de plus amples renseignements.

Merci.

Thanos · le 24 novembre 2007

salut

data.exe n'est pas un dossier, mais bien un fichier.

Est ce que tu as bien modifié les options d'affichage afin de voir les fichiers/dossiers cachés ?

Stp rend toi sur cette page afin de télécharger le fichier list.bat > http://www.sendspace.com/file/a3li5m

pour cela, clique sur le lien en bas de page > Download Link: list.bat

Double clique sur le fichier et poste le rapport.Poste aussi un nouveau rapport hijackthis stp.

gaetanl · le 25 novembre 2007

Salut,

je ne savais pas qu'il fallait modifier les options d'affichage.J'ai essayé de le faire, toujours pas de data.exe.Mais peut-être n'ai-je pas fait la bonne manip....Help please

Voilà les résultats des rapports que tu me demandes:

rapport sendspace:

Effectué le 25/11/2007 à 1:08:43,96.

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C441-0D4C

Logfile of HijackThis v1.99.1

Scan saved at 01:14:53, on 25/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\UStorSrv.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Softwin\BitDefender10\bdmcon.exe

C:\Program Files\Softwin\BitDefender10\bdagent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\OpenOffice.org1.1.0\program\soffice.exe

C:\Program Files\Softwin\BitDefender10\vsserv.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157